NBA

Doe wat je zegt

Accountants wordt regelmatig verweten een check-the-box mentaliteit te hebben. Te veel focus op het 'dichtharken' van hun controledossiers om maar te voldoen aan al die (documentatie)verplichtingen uit de controlestandaarden. Hierdoor sluiten ze zich op achter hun laptop in plaats van door het bedrijf te lopen.

Zo ook onlangs in Zwolle in de discussie over het beroep.

Een vluchtige lezer ziet een set controlestandaarden met veel verplichte onderdelen die je af moet wikkelen voordat je de controleverklaring afgeeft. Dat komt wellicht door Standaard 200 waarin staat dat je de doelstellingen van alle relevante standaarden moet hebben bereikt en dat je voldaan moet hebben aan alle relevante vereisten.

Leidt dat tot een check-the-box mentaliteit? Dat zou het juist niet moeten zijn. Alle 36 controlestandaarden zijn namelijk verwoord op basis van heel logische (en daarmee principle based) doelstellingen waarvoor de daaraan gekoppelde vereisten de vangrails zijn om die doelstellingen te bereiken. Er wordt daarin vaak benoemd dat de accountant professional judgment moet toepassen. Zo gaat Standaard 315 in op het onderkennen en inschatten van risico's op materiële fouten. De standaard begint ermee dat het team de onderneming en haar omgeving moet begrijpen om de risico's te kunnen identificeren. Door onder andere aandacht te schenken aan de (positieve en negatieve effecten) van de IT-omgeving en werkprocessen op deze risico's. Dat doe je door te praten met de directie en haar medewerkers, de cijfers te analyseren en rond te kijken in het bedrijf.

Kost dat veel tijd? Mijn stelling is dat elk uur dat je in de planning steekt, je in veelvoud terugverdient. Het voorkomt dat je met hagel schiet in plaats van met scherp. Dat is ook begrijpelijk want met een goede risicoanalyse onderken je de belangrijke risico's of onderbouw je dat er geen belangrijke risico's zijn en je onnodige uitvoerende controlewerkzaamheden beperken. Vergelijk het met een huis, zonder goed fundament kan het huis instorten.

Zijn alle vereisten altijd relevant? Nee, het is gelukkig geen one-size-fits-all. Bij een eenvoudige mkb-onderneming is de kans groot dat je niks te maken hebt met groepsaccountants, intern accountants en specialisten. Dan vallen er tientallen vereiste stappen af. Geen signalen voor continuïteitsissues scheelt tien vereiste stappen. En heel veel vereisten zijn zo in te vullen. Eenvoudige situaties kunnen korter worden vastgelegd. In de meeste standaarden is daarom aandacht voor de invulling van de verplichte onderdelen bij kleinere entiteiten.

Omdat de vereisten uit de standaarden zijn gebaseerd op logische principes en daarmee de bouwstenen zijn voor de uiteindelijk af te geven controleverklaring, betekent het wel dat het voldoen aan de controlestandaarden inhoudt dat je aan alle van toepassing zijnde vereisten hebt voldaan. Helaas hoor ik te vaak accountants die opmerken: 'over het hele dossier gezien heb ik de standaarden toch aardig gevolgd'. Dat is een verkeerd uitgangspunt voor een state of art-controle.

Peter Eimers, voorzitter Adviescollege Beroepsreglementering

Deze bijdrage wordt ook als column geplaatst in het septembernummer van Accountant.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Peter Eimers is partner bij EY en hoogleraar Audit & Assurance aan de accountantsopleiding van de Vrije Universiteit te Amsterdam. Namens de NBA is Eimers lid IAASB Data Analytics Working Group.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

    Aanmelden nieuwsbrief

    Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

    Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.