Opinie

Audit risk-model: fundament voor relevantie

Eerder schreef ik een opinie over het wel of niet afschaffen van de controleplicht. Verplichting of niet, voor mij is het audit risk-model de basis voor een relevante controle; voor de gebruiker en de gecontroleerde.

Het audit risk-model is voor mij meer dan de inherente-, controle- en detectierisico's, die als basis dienen voor het bepalen van het accountantscontrolerisico. Voor de niet accountants: het accountantscontrolerisico is het risico dat de accountant tot een fout oordeel komt, hoewel hij zijn werk goed heeft gedaan.

Het audit risk-model staat voor mij voor drie stappen:

  • Het begrijpen van een organisatie en wat zij wil. Ook: haar omgeving als basis voor de bepaling van risico's dat zij niet succesvol is.
  • Het testen van interne beheersmaatregelen, om te zien hoe goed de organisatie is in het beheersen van haar risico's.
  • Het gegevensgericht testen: om de nog noodzakelijke controle-informatie te krijgen, maar ook om eventuele materiële fraude te onderkennen.

Puntsgewijs zal ik aangeven waar de relevantie zit.

Begrijpen van een organisatie

Het uitgangspunt voor het audit risk-model is volgens mij dat je meer moet controleren, als je minder begrijpt van de organisatie. Pas wanneer je een organisatie echt goed kent, snap je wat er fout kan gaan en waar je dus extra op moet letten. Om dit te illustreren: het maakt nogal uit of een organisatie handelt in edelmetalen of in zand en tuinaarde. In theorie neemt iemand net zo makkelijk een kilo zand mee als een kilo goud. Maar de gevolgen zijn totaal verschillend. Nu is dit voorbeeld eenvoudig, iedere accountant ziet de grotere risico's bij edelmetalen dan bij zand. Maar hoe zit dat bij een computerfabrikant met goedkope en dure componenten? Met harde schijven die gewild zijn en andere onderdelen waarvoor dit niet geldt? Met harde schijven die technisch verouderd of juist net nieuw ontwikkeld zijn? Ga je als accountant met alles hetzelfde om, of helpt kennis van de organisatie je om tijdens de controle te focussen?

De voorbeelden illustreren dat kennis van wat er speelt de basis is voor een kwalitatief goede controle. Die kennis krijgt een accountant vooral in gesprekken. Met het bestuur (waar sturen zij op en waarom), met de mensen in de organisatie (wat doen ze en hoe zit het) met de raad van commissarissen (hoe houden zij toezicht). En mogelijk zelfs met toezichthouders en belanghebbenden van buiten (wat vinden zij).

Daarom verbaasde het mij dat Jos Nijhuis van Schiphol en een aantal anderen vorig jaar in het FD stelden dat zij geen goed gesprek met hun accountants meer konden hebben over hun organisatie. De standaarden verwachten dat juist wèl. Het leidt niet tot een onafhankelijkheidsprobleem, de accountant mag best een spiegel voorhouden. Wat een accountant (bij grote organisaties) echter niet kan, is voorstellen dat zijn collega's komen helpen om problemen op te lossen.

Als je dit als accountant goed doet helpt het om gefundeerd te bepalen waar je meer moet doen, maar met name ook waar je minder mag doen. Daarmee is het een belangrijke stap voor het krijgen van voldoende en toereikende controle-informatie. Maar het is ook relevant voor de organisatie: die kan haar voordeel doen met de inzichten die zij krijgt vanuit de discussies met de accountant.

Testen interne beheersmaatregelen

Uit de eerste stap kent de accountant nu de risico's, en weet wat de organisatie zegt te doen om die risico's te beheersen. Het gaat daarbij om het voorkomen van materiële afwijkingen als gevolg van fouten en van fraude.

Het is vaak efficiënt voor accountants om dit te testen. De besparing op gegevensgerichte werkzaamheden is vaak groter dan het benodigde werk voor het testen van interne beheersingsmaatregelen. Maar de relevantie van dit testen is ook groter voor de organisatie. De aanbevelingen aan de organisatie, op grond van deze werkzaamheden, helpen processen beter te beheersen.

Zeker ook voor gebruikers is het relevant dat accountants naar processen kijken, ook al zijn ze niet voldoende voor een afzonderlijk oordeel. Natuurlijk geeft de vaststelling dat processen gedurende de controleperiode werkten geen garantie voor de toekomst. Maar waarom zouden organisaties die gisteren in control waren dat morgen niet meer zijn?

In dit kader wil ik nog opmerken dat ik oprecht voorstander ben van data analytics en grote mogelijkheden zie voor de controle. Maar ik denk dat dit dan wel moet worden ingezet in het kader van het audit risk-model en dus voor alle stappen in het proces: kennis van de huishouding, testen van de beheersing en gegevensgerichte werkzaamheden. Dat leidt tot meer relevantie dan wanneer wordt gekozen voor een gegevensgerichte aanpak waarbij de hele populatie wordt getest.

Gegevensgericht testen

Het sluitstuk van de controle zijn de gegevensgerichte werkzaamheden. Deze zijn deels bedoeld om de nog noodzakelijke controle-informatie te verzamelen. Dat is met name belangrijk als de processen niet voldoende betrouwbaar zijn of als er simpelweg geen echt proces is (bijvoorbeeld de waardebepaling van een enkel bedrijfspand).

Maar het speelt ook een rol bij het onderkennen van materiële fraudes. De standaarden stellen dat je altijd enige gegevensgerichte controles moet doen; ook als de processen effectief lijken, omdat de interne beheersing kan worden omzeild. Dat is in mijn optiek zeer relevant voor gebruikers, maar ook voor de organisatie. Het geeft de accountant immers het laatste puzzelstukje voor zijn oordeel dat er geen materiële fouten in de jaarrekening zitten.

Fundament

Het bovenstaande maakt duidelijk dat ik het niet eens ben met de soms gehoorde stelling dat we het beroep opnieuw moeten uitvinden. Ik denk dat het verstandig is om na te denken over assurance bij niet-financiële informatie. Ik denk ook dat we moeten nadenken over andere mogelijkheden voor het delen van de inzichten van de accountant bij minder gestructureerde informatie. Maar voor mij blijft het fundament: Kennis over de organisatie, over de beheersing van processen en over de details. Het audit risk-model legt voor mij dat fundament.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Jan Thijs Drupsteen is hoofd Vaktechniek bij de NBA en secretaris van het Adviescollege voor Beroepsreglementering. Hij schrijft op persoonlijke titel.

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.