Opinie 01 februari 2008

Risicobenadering in controle schept verwarring

Medio december 2007 viel de 'SME Audit Guide' van de International Federation of Accountants in de bus. Een Engelstalig boek (399 pagina's) waarin de risicobenadering in de accountantscontrole wordt uiteengezet, toegespitst op het midden- en kleinbedrijf.

Doel ervan is om de mkb-accountant te ondersteunen in de toepassing van de International Standards on Auditing (ISA's), en om handreikingen te geven voor ontwikkelaars van onderwijsmateriaal, auditsoftware en andere afgeleide producten. Het boek is gratis te downloaden via www.ifac.org (u kunt nog commentaar leveren, want voor 2009 staat een volgende versie op stapel).

Kern van het betoog is de structurering van de controle rond de risicobeoordeling. In tegenstelling tot vóór de introductie van de ISA's wordt de controle niet uitgevoerd op basis van (grotendeels) standaardwerkprogramma's, maar is deze geheel gefocust op adressering van gesignaleerde risico's.

Maar is er iets nieuws onder de zon? Ja en nee.

De ouderwetse benadering was: Uitgaande van de jaarrekening maakt de accountant, door middel van zijn controle, de impliciete uitspraken (assertions) over relevante posten - 'deze omzet is volledig', 'deze voorraden zijn juist gewaardeerd en toegelicht' - tot de zijne. Dat wil zeggen: de accountant wil de correctheid van deze assertions bewijzen. Daarom spraken we van controledoelstellingen (audit objectives). Dit concept komt in de voorliggende tekst niet meer voor.

In de moderne risicobenadering schat de accountant eerst de risico's in op een afwijking van materieel belang (risk of material misstatement). Vervolgens legt hij een relatie van deze risico's  naar de jaarrekening en indien mogelijk naar de assertions. Op basis hiervan bepaalt hij zijn controlewerkzaamheden, waardoor hij de risico's wil terugbrengen tot een acceptabel niveau.

Wat is nu het verschil?

In de risicobenadering is het startpunt de risico-inschatting (inherente risico's, frauderisico's en interne controlerisico's). De uitkomst is een lijst met risico's die vervolgens in verband worden gebracht met de assertions (het risk register). Er wordt gekeken welke risico's worden gemitigeerd door de interne beheersing
(control design matrix). Van hieruit wordt bepaald welke werkzaamheden zullen worden uitgevoerd.

In de ouderwetse benadering daarentegen werden de werkzaamheden bepaald vanuit de assertions. De invalshoek was dus een andere.

Maar er zijn ook overeenkomsten. Om te beginnen werden ook in de ouderwetse benadering controle-accenten gelegd naar aanleiding van gesignaleerde risico's. En in de tweede plaats wordt ook nu nog vereist dat voor alle assertions controlewerkzaamheden worden uitgevoerd (ISA 330 par. 49). Dus in beide benaderingen worden voor alle relevante assertions controlewerkzaamheden  uitgevoerd. Het resulterende werkprogramma zal dus hooguit in nuances verschillen.

Maar er is door de wijziging van invalshoek wel een probleem ontstaan. Want hoe bepaal je de uit te voeren werkzaamheden, daar waar géén risico's zijn gesignaleerd? Dit is het zwakke punt in de risicobenadering. In de voorliggende tekst wordt verklaard dat bepaalde basiswerkzaamheden altijd worden uitgevoerd (pagina 208). Maar welke dat zijn moeten we raden. Het begrip audit objectives wordt hier node gemist.

In de praktijk geeft dit problemen. De accountant legt een lange lijst van risico's aan, namelijk even lang als de voormalige lijst van controledoelstellingen. Maar daarmee is de meerwaarde van de risicobenadering verdwenen.

Sterker nog, de risicobenadering schept verwarring. Op basis van de risico-inschatting zou je het werkprogramma moeten aanvullen, zodanig dat alle assertions worden geraakt. Maar hiervoor geeft de risicobenadering nu juist géén handvatten.

Mij is een situatie bekend waarbij in auditsoftware, geïnspireerd op de risicobenadering, ervoor is gekozen om de risico-inschatting uit te breiden met een risico ‘geen bijzonder risico'. Dit om de accountant een aanknopingspunt te geven om controlewerkzaamheden voor te schrijven voor relevante assertions waarvoor hij geen risico kon verzinnen.

Ik blijf het gevoel houden dat het aloude begrip audit objective hier van pas zou zijn gekomen.