2011 Business Risk Auditing in de MKB jaarrekeningcontrole - V&A
2011 Business Risk Auditing in de MKB jaarrekeningcontrole - V&A
2011 Business Risk Auditing in de MKB jaarrekeningcontrole - V&A
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Bestuurlijke <strong>in</strong>formatieverzorg<strong>in</strong>g<br />
<strong>Bus<strong>in</strong>ess</strong> <strong>Risk</strong> <strong>Audit<strong>in</strong>g</strong> <strong>in</strong> <strong>de</strong><br />
21e eeuw, uniform toepasbaar?!<br />
Joost van Buuren en Niels van Nieuw Amerongen<br />
SAMENVATTING In dit artikel beschrijven wij <strong>de</strong> ontwikkel<strong>in</strong>gen <strong>in</strong> het afgelopen<br />
<strong>de</strong>cennium van het gebruik van bedrijfsrisico’s <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>gcontrole. Vanaf <strong>de</strong><br />
<strong>in</strong>troductie is er aanhou<strong>de</strong>n<strong>de</strong> kritiek geweest op <strong>de</strong> motivatie en beweer<strong>de</strong> effectiviteit<br />
en efficiëntie van <strong>de</strong> bedrijfsrisicoanalyse <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>gcontrole. Met het beschrijven<br />
van <strong>de</strong> ontwikkel<strong>in</strong>g en uitgangspunten van <strong>de</strong> bedrijfsrisicoanalyse vanuit <strong>de</strong><br />
wetenschappelijke literatuur, willen wij diepgang geven aan <strong>de</strong> discussie over <strong>de</strong><br />
toepasbaarheid en <strong>de</strong> schaalbaarheid van bedrijfsrisicoanalyse <strong>in</strong> <strong>de</strong> controle. Wij<br />
betogen dat een one-size-fits-all controlebena<strong>de</strong>r<strong>in</strong>g niet efficiënt is <strong>in</strong> <strong>de</strong> toepass<strong>in</strong>g<br />
ervan op controlecliënten die we<strong>in</strong>ig complex zijn.<br />
RELEVANTIE VOOR DE PRAKTIJK Over het nut en <strong>de</strong> noodzaak van bedrijfsrisicoanalyse<br />
<strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>gcontrole is nog steeds discussie <strong>in</strong> <strong>de</strong> praktijk, <strong>in</strong> het bijzon<strong>de</strong>r <strong>de</strong><br />
concrete toepass<strong>in</strong>g ervan bij kle<strong>in</strong>e controleopdrachten. Ondanks omvangrijke vernieuw<strong>de</strong><br />
richtlijnen van <strong>de</strong> International Fe<strong>de</strong>ration of Accountants, IFAC (2010a en 2010b), blijft hierover<br />
onzekerheid bestaan. In dit artikel willen we door een analyse van <strong>de</strong> uitgangspunten<br />
van bedrijfsrisicoanalyse, het on<strong>de</strong>rschei<strong>de</strong>n van soorten bedrijfsrisico’s en <strong>de</strong> beschrijv<strong>in</strong>g<br />
van een conceptueel raamwerk, meer dui<strong>de</strong>lijkheid bie<strong>de</strong>n over <strong>de</strong> schaalbaarheid van <strong>de</strong><br />
controle on<strong>de</strong>r toepass<strong>in</strong>g van ISA 315.<br />
85E 512 JAARGANG OKTOBER<br />
1 Inleid<strong>in</strong>g<br />
In het afgelopen <strong>de</strong>cennium is één van <strong>de</strong> belangrijkste<br />
wijzig<strong>in</strong>gen <strong>in</strong> <strong>de</strong> controlemethodologie geweest dat <strong>de</strong><br />
analyse van bedrijfsrisico’s is toegevoegd aan het traditionele<br />
audit risk mo<strong>de</strong>l. De controlebena<strong>de</strong>r<strong>in</strong>g die hierop is<br />
gebaseerd, wordt <strong>in</strong> dit artikel geduid als <strong>Bus<strong>in</strong>ess</strong> <strong>Risk</strong><br />
Audit (ver<strong>de</strong>r te noemen: BRA). Vanaf <strong>de</strong> <strong>in</strong>troductie is er<br />
aanhou<strong>de</strong>n<strong>de</strong> kritiek geweest op <strong>de</strong> motivatie, effectiviteit<br />
en efficiëntie van BRA. Als recent voorbeeld noemen we <strong>in</strong><br />
Europees verband <strong>de</strong> Green Paper, waar<strong>in</strong> <strong>de</strong> vraag wordt<br />
gesteld of het niet beter is om terug naar <strong>de</strong> basis van <strong>de</strong><br />
controle te gaan, met een sterke focus op gegevensgerichte<br />
testwerkzaamhe<strong>de</strong>n van balansposities en m<strong>in</strong><strong>de</strong>r te<br />
steunen op het stelsel van adm<strong>in</strong>istratieve organisatie en<br />
<strong>in</strong>terne beheers<strong>in</strong>g (Europese Commissie, 2010, p. 7). Ook<br />
rondom <strong>de</strong> algemene toepasbaarheid van BRA is er een<br />
blijven<strong>de</strong> discussie of <strong>de</strong> opvatt<strong>in</strong>g an audit is an audit<br />
(IFAC, 2008, p. 49) onverkort van toepass<strong>in</strong>g op kle<strong>in</strong>ere<br />
entiteiten. Ook stelt <strong>de</strong> Green Paper (Europese Commissie,<br />
2010, p. 19) <strong>de</strong> vraag of controlestandaar<strong>de</strong>n meer zou<strong>de</strong>n<br />
moeten wor<strong>de</strong>n toegesne<strong>de</strong>n op kle<strong>in</strong>ere accountantsfirma’s<br />
en (<strong>de</strong> controle van) kle<strong>in</strong>ere entiteiten. 1 Aan <strong>de</strong><br />
nieuwe set van controlestandaar<strong>de</strong>n (NIVRA, HRA <strong>de</strong>el1A,<br />
2010) is het zogenaam<strong>de</strong> proportionaliteitsbeg<strong>in</strong>sel toegevoegd.<br />
In <strong>de</strong> praktijk blijkt nog veel ondui<strong>de</strong>lijkheid over<br />
<strong>de</strong> toepass<strong>in</strong>g van BRA bij kle<strong>in</strong>ere controleopdrachten<br />
(IFAC 2010a en 2010b; Van Buuren et al., <strong>2011</strong>). Met het<br />
beschrijven van <strong>de</strong> ontwikkel<strong>in</strong>g en uitgangspunten van<br />
BRA vanuit <strong>de</strong> wetenschappelijke literatuur, willen wij<br />
diepgang geven aan <strong>de</strong> discussie over <strong>de</strong> proportionele<br />
toepasbaarheid van BRA.<br />
Voor het beantwoor<strong>de</strong>n van <strong>de</strong>ze vraagstell<strong>in</strong>g beschrijven<br />
we <strong>in</strong> paragraaf 2 <strong>de</strong> oorsprong, doelstell<strong>in</strong>gen en wetenschappelijk<br />
on<strong>de</strong>rzoek naar <strong>de</strong> BRA- controlebena<strong>de</strong>r<strong>in</strong>g.<br />
Deze beschrijv<strong>in</strong>g wordt <strong>in</strong> paragraaf 3 aangevuld met een<br />
analyse van <strong>de</strong> aard van bedrijfsrisico’s. In paragraaf 4<br />
analyseren wij <strong>de</strong> mogelijkhe<strong>de</strong>n van een proportionele<br />
toepass<strong>in</strong>g van <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g on<strong>de</strong>r ISA 315.<br />
Deze analyse is me<strong>de</strong> gebaseerd op on<strong>de</strong>rzoek on<strong>de</strong>r 38<br />
partners van kle<strong>in</strong>e en mid<strong>de</strong>lgrote kantoren uit Ne<strong>de</strong>rland<br />
en Duitsland ten behoeve van <strong>de</strong> International <strong>Audit<strong>in</strong>g</strong> en<br />
Assurance Standards Board (IAASB) door Van Buuren et al.<br />
(<strong>2011</strong>).<br />
2 Historisch perspectief BRA-controlebena<strong>de</strong>r<strong>in</strong>g<br />
2.1 Wat is <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g?<br />
In 1997 verscheen een eerste omvattend boekwerk (Bell et<br />
al., 1997) over <strong>de</strong> op bedrijfsrisico’s gebaseer<strong>de</strong> controlebena<strong>de</strong>r<strong>in</strong>g.<br />
Zoals uit <strong>de</strong> <strong>in</strong>leid<strong>in</strong>g van Bell et al. (1997) kan<br />
wor<strong>de</strong>n afgeleid, v<strong>in</strong>dt BRA haar ontstaansgrond me<strong>de</strong> <strong>in</strong><br />
<strong>de</strong> ontwikkel<strong>in</strong>gen op het gebied van automatiser<strong>in</strong>g. Dit
etrof on<strong>de</strong>r an<strong>de</strong>re <strong>de</strong> automatiser<strong>in</strong>g van bedrijfsprocessen<br />
waardoor – zo werd gesteld – <strong>de</strong> betrouwbaarheid<br />
van <strong>de</strong> rout<strong>in</strong>ematige gegevensverwerk<strong>in</strong>g sterk was<br />
toegenomen, me<strong>de</strong> ten gevolge van <strong>de</strong> <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen<br />
die <strong>in</strong> applicaties waren verankerd.<br />
Deze <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen betroffen zowel<br />
f<strong>in</strong>anciële als niet-f<strong>in</strong>anciële gegevens (veelal bedrijfsmatige<br />
of operationele gegevens). De jaarreken<strong>in</strong>g werd me<strong>de</strong><br />
door <strong>de</strong>ze ontwikkel<strong>in</strong>g nog meer een afgelei<strong>de</strong> of resultante<br />
van <strong>de</strong> bedrijfsprocessen. Ofwel, <strong>de</strong> jaarreken<strong>in</strong>g kan<br />
door <strong>de</strong> accountant niet goed begrepen wor<strong>de</strong>n zon<strong>de</strong>r<br />
goe<strong>de</strong> kennis van <strong>de</strong> cliënt, en <strong>de</strong> plaats die zij <strong>in</strong>neemt ten<br />
opzichte van an<strong>de</strong>re on<strong>de</strong>rnem<strong>in</strong>gen <strong>in</strong> haar branche.<br />
Naast <strong>de</strong> ontwikkel<strong>in</strong>gen op het gebied van automatiser<strong>in</strong>g<br />
werd ook veron<strong>de</strong>rsteld dat <strong>de</strong> wereld waar<strong>in</strong> on<strong>de</strong>rnem<strong>in</strong>gen<br />
hun activiteiten ontplooien aanzienlijk<br />
complexer was gewor<strong>de</strong>n vergeleken met een aantal<br />
<strong>de</strong>cennia daarvoor. De toenemen<strong>de</strong> globaliser<strong>in</strong>g was<br />
daarvan een on<strong>de</strong>r<strong>de</strong>el, maar ook bijvoorbeeld <strong>de</strong> ontwikkel<strong>in</strong>g<br />
van <strong>in</strong>ternet-gebaseer<strong>de</strong> producten en an<strong>de</strong>re<br />
vormen van complexe producten of contracten. De toegenomen<br />
complexiteit vorm<strong>de</strong> aanleid<strong>in</strong>g om een topdownbena<strong>de</strong>r<strong>in</strong>g<br />
te hanteren, <strong>in</strong> bewoord<strong>in</strong>gen van Bell et<br />
al. (1997): een strategic systems lens-bena<strong>de</strong>r<strong>in</strong>g. De<br />
gedachten rond un<strong>de</strong>rstand<strong>in</strong>g client’s bus<strong>in</strong>ess en top-down<br />
approach waren niet nieuw, nieuw was wel <strong>de</strong> pog<strong>in</strong>g om<br />
aan het werkveld van accountants meer guidance te<br />
verschaffen hoe <strong>de</strong>ze concepten toe te passen (zoals toepass<strong>in</strong>g<br />
van strategische concepten uit <strong>de</strong> bedrijfskundige<br />
discipl<strong>in</strong>e).<br />
Samenvattend omvatte <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g <strong>in</strong> 1997<br />
een tweetal speerpunten:<br />
verdiep<strong>in</strong>g van <strong>de</strong> kennis van <strong>de</strong> accountant ten aanzien<br />
van <strong>de</strong> bus<strong>in</strong>ess waar<strong>in</strong> <strong>de</strong> controlecliënt (ver<strong>de</strong>r te<br />
noemen: <strong>de</strong> entiteit) opereert.<br />
top-downbena<strong>de</strong>r<strong>in</strong>g, waarbij analyse van <strong>de</strong> strategie<br />
van <strong>de</strong> entiteit en <strong>de</strong> daarmee samenhangen<strong>de</strong> doelstell<strong>in</strong>gen<br />
een belangrijk vertrekpunt vormen.<br />
De comb<strong>in</strong>atie van <strong>de</strong>ze bei<strong>de</strong> elementen leidt er <strong>in</strong> <strong>de</strong><br />
opvatt<strong>in</strong>g van Bell et al. (1997) toe dat het blikveld van <strong>de</strong><br />
accountant systematisch wordt verbreed, waarbij <strong>de</strong><br />
beschikbaarheid van gegevens over <strong>de</strong> performance van <strong>de</strong><br />
entiteit (zowel f<strong>in</strong>ancieel als niet-f<strong>in</strong>ancieel) alsook van<br />
gegevens omtrent <strong>de</strong> branche waar<strong>in</strong> <strong>de</strong> entiteit opereert,<br />
belangrijke steunpunten wor<strong>de</strong>n <strong>in</strong> <strong>de</strong> controle. Latere<br />
on<strong>de</strong>rzoeken (bijvoorbeeld Erickson et al., 2000; Eilifsen et<br />
al., 2001) leveren enig empirisch bewijs voor <strong>de</strong>ze opvatt<strong>in</strong>g.<br />
Belangrijke argumenten voor <strong>de</strong> lancer<strong>in</strong>g van een<br />
nieuwe controlemetho<strong>de</strong> vorm<strong>de</strong>n het verbeteren van <strong>de</strong><br />
kwaliteit van <strong>de</strong> controle evenals het realiseren van efficiencyverbeter<strong>in</strong>gen.<br />
De BRA-controlebena<strong>de</strong>r<strong>in</strong>g werd <strong>in</strong> <strong>de</strong> perio<strong>de</strong> 1997 – 2003<br />
geïmplementeerd door <strong>de</strong> Big 4-accountantsfirma’s. Van<br />
een veranker<strong>in</strong>g <strong>in</strong> <strong>de</strong> controlestandaar<strong>de</strong>n was nog geen<br />
sprake. Ondanks <strong>de</strong> nieuwe controlebena<strong>de</strong>r<strong>in</strong>g heeft aan<br />
het beg<strong>in</strong> van <strong>de</strong> 21e eeuw een golf aan boekhoudschandalen<br />
plaatsgevon<strong>de</strong>n bij entiteiten waarvan Big 4-accountantsfirma's<br />
<strong>de</strong> boeken controleer<strong>de</strong>n. In een latere publicatie<br />
van Bell et al. (2005) zien we dan ook dat expliciete<br />
aandacht wordt besteed aan het ont<strong>de</strong>kken van frau<strong>de</strong><br />
door het management. Begrippen als professional skepticism 2<br />
en tri-angulation of evi<strong>de</strong>nce 3 staan daarbij centraal.<br />
In <strong>de</strong>zelf<strong>de</strong> publicatie (Bell et al., 2005) wordt ook een nieuw<br />
begrip geïntroduceerd: evi<strong>de</strong>nce-driven, belief-based risk<br />
assessment. De accountant verzamelt bij <strong>de</strong> jaarreken<strong>in</strong>gcontrole<br />
bewijsmateriaal uit verschillen<strong>de</strong> bronnen. Deze<br />
verschillen<strong>de</strong> bronnen zorgen er voor dat <strong>de</strong> beliefs (overtuig<strong>in</strong>gen)<br />
van <strong>de</strong> accountant toereikend wor<strong>de</strong>n on<strong>de</strong>rbouwd.<br />
Er is <strong>in</strong> <strong>de</strong> BRA-bena<strong>de</strong>r<strong>in</strong>g <strong>in</strong> toenemen<strong>de</strong> mate<br />
sprake van <strong>in</strong>direct bewijs. Het stapelen van bewijsmateriaal<br />
uit verschillen<strong>de</strong> bronnen stelt <strong>de</strong> accountant <strong>in</strong> staat<br />
om voldoen<strong>de</strong> bewijsmateriaal te hebben ter on<strong>de</strong>rbouw<strong>in</strong>g<br />
van <strong>de</strong> elementen van het Audit <strong>Risk</strong> Mo<strong>de</strong>l.<br />
De trechtermetho<strong>de</strong> zoals beschreven <strong>in</strong> het leerboek van<br />
Knechel (2001) is een veel door Ne<strong>de</strong>rlandse universiteiten<br />
gebruikte metho<strong>de</strong>. Als eerste stap v<strong>in</strong>dt <strong>de</strong> analyse van<br />
externe en <strong>in</strong>terne bedrijfsrisico’s plaats. Een bedrijfsrisico<br />
betreft het risico dat een bedrijf haar eigen doelstell<strong>in</strong>gen<br />
niet haalt. Vervolgens beoor<strong>de</strong>elt <strong>de</strong> accountant of <strong>de</strong> door<br />
<strong>de</strong> entiteit geïmplementeer<strong>de</strong> controle-sensitieve bedrijfsprocessen<br />
(is dus bre<strong>de</strong>r dan gegevensverwerken<strong>de</strong><br />
processen) effectief blijken om <strong>de</strong>ze bedrijfsrisico’s op te<br />
vangen. De effectiviteit van <strong>de</strong> bedrijfsprocessen heeft <strong>de</strong><br />
accountant op grond controlewerkzaamhe<strong>de</strong>n (bijvoorbeeld<br />
test of controls) vastgesteld. Op grond van <strong>de</strong>ze<br />
analyse bepaalt <strong>de</strong> accountant welke bedrijfsrisico’s niet<br />
voldoen<strong>de</strong> door <strong>de</strong> entiteit gemitigeerd wor<strong>de</strong>n en zogenaam<strong>de</strong><br />
‘controleproblemen’ vormen. Deze controleproblemen<br />
heeft Knechel (2001) <strong>in</strong>ge<strong>de</strong>eld naar vijf gebie<strong>de</strong>n:<br />
controlerisico’s, cont<strong>in</strong>uïteitsveron<strong>de</strong>rstell<strong>in</strong>gen, het<br />
ontwikkelen van verwacht<strong>in</strong>gen van <strong>de</strong> accountant,<br />
<strong>in</strong>terne beheers<strong>in</strong>g en klantbehoeften. Het is vervolgens<br />
aan <strong>de</strong> accountant <strong>de</strong>ze controleproblemen te relateren aan<br />
<strong>de</strong> impact voor <strong>de</strong> jaarreken<strong>in</strong>g en aanvullen<strong>de</strong> werkzaamhe<strong>de</strong>n<br />
uit te voeren om het risico op een materiële fout <strong>in</strong><br />
<strong>de</strong> jaarreken<strong>in</strong>g aanvaardbaar laag te hou<strong>de</strong>n.<br />
2.2 Kantteken<strong>in</strong>gen bij <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g<br />
De implementatie van <strong>de</strong> bre<strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g is<br />
niet zon<strong>de</strong>r slag of stoot gegaan. In <strong>de</strong>ze paragraaf gaan we<br />
daarom na<strong>de</strong>r <strong>in</strong> op kantteken<strong>in</strong>gen die bij <strong>de</strong>ze controlebena<strong>de</strong>r<strong>in</strong>g<br />
zijn te plaatsen. Paragraaf 2.2 vormt daarmee tevens<br />
85 E JAARGANG OKTOBER 513
Bestuurlijke <strong>in</strong>formatieverzorg<strong>in</strong>g<br />
85E 514 JAARGANG OKTOBER<br />
een opmaat naar paragraaf 3 waar<strong>in</strong> we <strong>de</strong> <strong>in</strong>bedd<strong>in</strong>g van<br />
BRA-concepten <strong>in</strong> Standaard 315 bespreken. Achtereenvolgens<br />
staan we <strong>in</strong> <strong>de</strong>ze paragraaf stil bij <strong>de</strong> hoofdthema's: effectiviteit<br />
en efficiency van <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g.<br />
2.2.1 Effectiviteit van <strong>de</strong> controlebena<strong>de</strong>r<strong>in</strong>g<br />
In <strong>de</strong> literatuur v<strong>in</strong><strong>de</strong>n we terug dat <strong>de</strong> vernieuw<strong>de</strong> controlebena<strong>de</strong>r<strong>in</strong>g<br />
zou resulteren <strong>in</strong> een meer effectieve controlebena<strong>de</strong>r<strong>in</strong>g<br />
(Bell et al., 1997; Lemon et al., 2000; Erickson<br />
et al., 2000; Eilifsen et al., 2001; Bell et al., 2005; Peecher et al.,<br />
2007; Bell et al., 2008). In het bijzon<strong>de</strong>r suggereren <strong>de</strong>ze<br />
auteurs dat <strong>de</strong> vernieuw<strong>de</strong> controlebena<strong>de</strong>r<strong>in</strong>g behulpzaam<br />
zou zijn bij het <strong>de</strong>tecteren van managementfrau<strong>de</strong><br />
vanwege <strong>de</strong> holistische, organisatiebre<strong>de</strong> <strong>in</strong>steek. Tot op<br />
he<strong>de</strong>n is nog geen systematisch on<strong>de</strong>rzoek gepubliceerd<br />
waaruit blijkt dat <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g niet effectief<br />
zou zijn of niet effectiever vergeleken met een meer traditionele<br />
aanpak zoals <strong>de</strong> controlebena<strong>de</strong>r<strong>in</strong>g gebaseerd op het<br />
risicoanalysemo<strong>de</strong>l. Evenwel kan betoogd wor<strong>de</strong>n dat <strong>de</strong><br />
grote boekhoudschandalen die <strong>de</strong> 21e eeuw luidruchtig<br />
hebben <strong>in</strong>geluid, plaatsvon<strong>de</strong>n bij entiteiten waar <strong>de</strong> Big<br />
4-accountantsfirma’s <strong>de</strong> jaarreken<strong>in</strong>gcontrole uitvoer<strong>de</strong>n.<br />
Van Arthur An<strong>de</strong>rsen is bekend dat zij een opportunistische<br />
variant van <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g hanteer<strong>de</strong>,<br />
die vooral gericht was op een significante reductie van<br />
gegevensgerichte werkzaamhe<strong>de</strong>n (Genron en Spira, 2009).<br />
Een belangrijk aantal boekhoudschandalen vond plaats bij<br />
voormalige Arthur An<strong>de</strong>rsen-cliënten (o.a. Enron,<br />
WorldCom). Naast an<strong>de</strong>re aspecten die Arthur An<strong>de</strong>rsen’s<br />
rol beïnvloed<strong>de</strong>n (zoals hun sterk commercieel get<strong>in</strong>te<br />
cultuur), heeft <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g <strong>de</strong> boekhoudschandalen<br />
tenm<strong>in</strong>ste niet kunnen voorkomen. Uit empirisch<br />
on<strong>de</strong>rzoek wor<strong>de</strong>n ook bijvoorbeeld zogenaam<strong>de</strong><br />
‘halo’-effecten gerapporteerd die sterk samenhangen met<br />
<strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g. Zo rapporteren bijvoorbeeld<br />
O’Donnell en Schultz Jr. (2005) dat een sterke focus <strong>in</strong> <strong>de</strong><br />
controlebena<strong>de</strong>r<strong>in</strong>g op het bus<strong>in</strong>ess mo<strong>de</strong>l van <strong>de</strong> entiteit<br />
wel resulteert <strong>in</strong> goe<strong>de</strong> risicoafweg<strong>in</strong>gen op het niveau van<br />
bewer<strong>in</strong>gen <strong>in</strong> <strong>de</strong> situatie waar<strong>in</strong> sprake is van een negatief<br />
toekomstperspectief behorend bij het bus<strong>in</strong>ess mo<strong>de</strong>l. Met<br />
an<strong>de</strong>re woor<strong>de</strong>n, een negatief toekomstperspectief doet<br />
alarmbellen r<strong>in</strong>kelen. De situatie waar<strong>in</strong> sprake is van een<br />
zonnig toekomstperspectief doet <strong>de</strong> accountant als het<br />
ware <strong>de</strong> ogen sluiten voor mogelijke risico’s op bewer<strong>in</strong>genniveau.<br />
Ook Curtis en Turley (2007) rapporteren een<br />
soortgelijk l<strong>in</strong>kage issue, <strong>de</strong> moeilijkheid van het vertalen<br />
van organisatiebre<strong>de</strong>, strategische bedrijfsrisico’s naar een<br />
concreter en toetsbaar niveau van controlerisico’s. In een<br />
recent on<strong>de</strong>rzoek (Schultz Jr. et al., 2010) is on<strong>de</strong>rzocht <strong>in</strong><br />
hoeverre accountants omgev<strong>in</strong>gs<strong>in</strong>formatie <strong>in</strong>tegreren bij<br />
het <strong>in</strong>schatten van controlerisico’s. In een experimentele<br />
sett<strong>in</strong>g hanteer<strong>de</strong>n ze <strong>de</strong> volgen<strong>de</strong> categorieën van on<strong>de</strong>rzoek<strong>de</strong>elnemers:<br />
1. <strong>de</strong>elnemers die wel respectievelijk niet getra<strong>in</strong>d zijn <strong>in</strong><br />
het toepassen van <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g;<br />
2. <strong>de</strong>elnemers die hun antwoor<strong>de</strong>n wel respectievelijk<br />
niet kon<strong>de</strong>n opschrijven met een specifiek op<br />
BRA-gericht hulpmid<strong>de</strong>l.<br />
Interessant is <strong>de</strong> on<strong>de</strong>rzoeksuitkomst dat alleen die <strong>de</strong>elnemers<br />
die én getra<strong>in</strong>d waren <strong>in</strong> <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g<br />
én die gebruik mochten maken van een specifiek op<br />
BRA-gericht hulpmid<strong>de</strong>l voor <strong>de</strong> vastlegg<strong>in</strong>g, <strong>in</strong> staat<br />
waren om BRA-kennis te <strong>in</strong>tegreren met hun risicoschatt<strong>in</strong>gen.<br />
De an<strong>de</strong>re groepen van <strong>de</strong>elnemers waren hier als<br />
groep niet of m<strong>in</strong><strong>de</strong>r goed toe <strong>in</strong> staat. Het on<strong>de</strong>rzoek illustreert<br />
naar onze men<strong>in</strong>g hoe moeilijk het is om <strong>de</strong><br />
BRA-controlebena<strong>de</strong>r<strong>in</strong>g <strong>in</strong> zuivere vorm toe te passen en<br />
te documenteren zon<strong>de</strong>r daar<strong>in</strong> opgeleid te zijn en daarbij<br />
<strong>de</strong> juiste hulpmid<strong>de</strong>len te gebruiken. In meer aca<strong>de</strong>mische<br />
termen: gebruikmak<strong>in</strong>g van <strong>de</strong> juiste hulpmid<strong>de</strong>len is<br />
behulpzaam bij het <strong>in</strong>zichtelijk maken van het mentale<br />
mo<strong>de</strong>l dat accountants hanteren bij <strong>de</strong> uitvoer<strong>in</strong>g van<br />
controlewerkzaamhe<strong>de</strong>n.<br />
2.2.2 Efficiency van <strong>de</strong> controlebena<strong>de</strong>r<strong>in</strong>g<br />
Voorstan<strong>de</strong>rs van <strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g benadrukten<br />
ook <strong>de</strong> efficiency-voor<strong>de</strong>len ervan. Wanneer het<br />
mogelijk is om te steunen op organisatiebre<strong>de</strong> raamwerken<br />
van <strong>in</strong>terne beheers<strong>in</strong>g, gericht op a<strong>de</strong>quate<br />
monitor<strong>in</strong>g en reductie van bedrijfsrisico’s, moet het<br />
mogelijk zijn om bespar<strong>in</strong>gen te realiseren <strong>in</strong> <strong>de</strong> gegevensgerichte<br />
testwerkzaamhe<strong>de</strong>n op transactieniveau.<br />
De logica van dit aspect komt <strong>in</strong> eerste <strong>in</strong>stantie aannemelijk<br />
over. Echter, <strong>in</strong>mid<strong>de</strong>ls is ook bekend dat <strong>de</strong><br />
implementatie van <strong>de</strong> nieuwe controlebena<strong>de</strong>r<strong>in</strong>g met <strong>de</strong><br />
nodige obstakels gepaard g<strong>in</strong>g. De controlebena<strong>de</strong>r<strong>in</strong>g<br />
van <strong>de</strong> Big 4-accountantsfirma’s was zo breed dat significant<br />
veel meer tijd en aandacht besteed moest wor<strong>de</strong>n<br />
aan <strong>de</strong> plann<strong>in</strong>gsfase van <strong>de</strong> controle dat <strong>de</strong>ze niet meer<br />
werd goedgemaakt <strong>in</strong> <strong>de</strong> ver<strong>de</strong>re uitvoer<strong>in</strong>g van <strong>de</strong><br />
controle, laat staan dat een efficiëntere aanpak resulteer<strong>de</strong><br />
(o.a. Curtis en Turley, 2007). Ook vroeg <strong>de</strong> nieuwe<br />
bena<strong>de</strong>r<strong>in</strong>g om een nieuwe set van kennis en vaardighe<strong>de</strong>n,<br />
waardoor significante <strong>in</strong>vester<strong>in</strong>gen <strong>in</strong> tra<strong>in</strong><strong>in</strong>g<br />
van <strong>de</strong> me<strong>de</strong>werkers noodzakelijk was en <strong>de</strong> implementatie<br />
niet <strong>in</strong> één keer succesvol was. Uit recent on<strong>de</strong>rzoek<br />
ten behoeve van het IAASB on<strong>de</strong>r 38 Ne<strong>de</strong>rlandse en<br />
Duitse partners van kle<strong>in</strong>e en mid<strong>de</strong>lgrote accountantskantoren<br />
(Van Buuren et al., <strong>2011</strong>) komen soortgelijke<br />
implementatieproblemen naar voren. Sterker nog, het<br />
on<strong>de</strong>rzoek laat zien dat een aantal accountants van<br />
men<strong>in</strong>g is dat <strong>de</strong> bre<strong>de</strong> BRA-controlebena<strong>de</strong>r<strong>in</strong>g juist<br />
m<strong>in</strong><strong>de</strong>r efficiënt is, <strong>in</strong> het bijzon<strong>de</strong>r <strong>in</strong> <strong>de</strong> toepass<strong>in</strong>g<br />
ervan bij <strong>de</strong> jaarreken<strong>in</strong>gcontrole van kle<strong>in</strong>ere en mid<strong>de</strong>lgrote<br />
on<strong>de</strong>rnem<strong>in</strong>gen.
3 Soorten bedrijfsrisico’s<br />
Standaard 315 schrijft voor dat <strong>de</strong> accountant <strong>in</strong>zicht dient<br />
te verwerven <strong>in</strong> <strong>de</strong> doelstell<strong>in</strong>gen en strategieën van <strong>de</strong><br />
entiteit en <strong>de</strong> daarmee verband hou<strong>de</strong>n<strong>de</strong> bedrijfsrisico’s 4<br />
die kunnen lei<strong>de</strong>n tot risico’s van een afwijk<strong>in</strong>g van materieel<br />
belang (315.11d). Uit <strong>de</strong>ze passage lei<strong>de</strong>n wij af dat <strong>de</strong><br />
standaar<strong>de</strong>n een beperktere, meer directe vorm van <strong>de</strong><br />
BRA-bena<strong>de</strong>r<strong>in</strong>g voorstaan. De accountant dient ‘slechts’<br />
die bedrijfsrisico’s (voortvloeiend uit <strong>de</strong> strategie) <strong>in</strong> overweg<strong>in</strong>g<br />
te nemen voor zover ze lei<strong>de</strong>n tot een risico op een<br />
afwijk<strong>in</strong>g van materieel belang <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g. Ter<br />
vergelijk<strong>in</strong>g, Knechel’s BRA-metho<strong>de</strong> (2001) kent een heel<br />
bre<strong>de</strong> <strong>in</strong>steek, die zich ook richt op bedrijfsrisico’s die <strong>in</strong><br />
eerste <strong>in</strong>stantie niet veel met een jaarreken<strong>in</strong>gcontrole van<br />
doen lijken te hebben. Knechel (2001) beschrijft bijvoorbeeld<br />
dat <strong>de</strong> beoor<strong>de</strong>l<strong>in</strong>g van <strong>de</strong> effectiviteit van market<strong>in</strong>g-bedrijfsprocessen<br />
en samenhangen<strong>de</strong> bedrijfsrisico’s<br />
z<strong>in</strong>vol is voor het vaststellen van controleproblemen. Ter<br />
on<strong>de</strong>rscheid van BRA noemen wij <strong>de</strong> beperktere bena<strong>de</strong>r<strong>in</strong>g<br />
van Standaard 315 <strong>de</strong> ‘BRMM’-controlebena<strong>de</strong>r<strong>in</strong>g<br />
(BedrijfsRisico’s resulterend <strong>in</strong> een risico op een Materiële<br />
onjuistheid <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g).<br />
Uit Standaard 315.A30/A31 volgt dat er bedrijfsrisico’s zijn<br />
die direct verband hou<strong>de</strong>n met bewer<strong>in</strong>gen <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g,<br />
en dat er bedrijfsrisico’s zijn die <strong>in</strong>direct verband<br />
hou<strong>de</strong>n met bewer<strong>in</strong>gen <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g. Voor <strong>de</strong><br />
concrete analyse van bedrijfsrisico’s naar kans op en impact<br />
van bedrijfsrisico’s op een materiële fout <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g<br />
(Standaard 315.15), is het volgens ons z<strong>in</strong>vol on<strong>de</strong>rscheid te<br />
maken <strong>in</strong> <strong>de</strong> volgen<strong>de</strong> categorieën bedrijfsrisico’s:<br />
Strategische bedrijfsrisico’s (SBR) – bedrijfsrisico’s die verband<br />
hou<strong>de</strong>n met het realiseren van strategische doelstell<strong>in</strong>gen,<br />
<strong>in</strong> het algemeen gemeten over een perio<strong>de</strong> van 3 jaar of<br />
langer. Deze bedrijfsrisico’s betreffen bijvoorbeeld <strong>de</strong><br />
mate waar<strong>in</strong> het management <strong>in</strong> staat is w<strong>in</strong>stgevendheid<br />
en groei <strong>in</strong> stand te hou<strong>de</strong>n, door juiste keuzes te<br />
maken <strong>in</strong> product/markt<strong>in</strong>novaties, tijdig <strong>in</strong> te spelen op<br />
noodzakelijke samenwerk<strong>in</strong>g en schaalvergrot<strong>in</strong>g en <strong>de</strong><br />
entiteit organisatorisch en f<strong>in</strong>ancieel slagvaardig te<br />
hou<strong>de</strong>n bij snelle economische en technologische ontwikkel<strong>in</strong>gen.<br />
Deze risico’s hangen vaak samen met grote<br />
meerjarige <strong>in</strong>vester<strong>in</strong>gen <strong>in</strong> on<strong>de</strong>rzoek en productiefaciliteiten<br />
<strong>in</strong> een sterk <strong>in</strong>ternationale omgev<strong>in</strong>g. Het missen<br />
van <strong>de</strong> snelle opmars van digitale fotocamera’s door Kodak<br />
en van smartphones door Nokia zijn concrete voorbeel<strong>de</strong>n<br />
van SBR’s. Uite<strong>in</strong><strong>de</strong>lijk kunnen SBR’s grote gevolgen<br />
hebben voor het voortbestaan van entiteiten en <strong>de</strong> waar<strong>de</strong>r<strong>in</strong>g<br />
van <strong>in</strong>vester<strong>in</strong>gen <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g.<br />
Tactische bedrijfsrisico’s (TBR) – <strong>de</strong>ze bedrijfsrisico’s hou<strong>de</strong>n<br />
verband met het realiseren van bedrijfsdoelstell<strong>in</strong>gen op<br />
mid<strong>de</strong>llange termijn (1-3 jaar). Vaak is <strong>de</strong> verantwoor<strong>de</strong>-<br />
lijkheid voor <strong>de</strong>ze risico’s op een lager niveau <strong>in</strong> <strong>de</strong><br />
organisatie (bijvoorbeeld bus<strong>in</strong>ess unit-niveau) gelegd.<br />
Voorbeel<strong>de</strong>n van <strong>de</strong>rgelijke risico’s zijn het niet kunnen<br />
realiseren en/of succesvol <strong>in</strong>troduceren van nieuwe of<br />
verbeter<strong>de</strong> producten en diensten (time-to-market is te<br />
lang). Vanwege keuzes voor leveranciers, verkoopkanalen,<br />
product/marktcomb<strong>in</strong>aties en geselecteer<strong>de</strong> product/<br />
dienstkwalificaties doelstell<strong>in</strong>gen omtrent marktaan<strong>de</strong>len,<br />
w<strong>in</strong>stgevendheid en omzet niet kunnen behalen.<br />
Dit kan gevolgen hebben voor bijvoorbeeld <strong>de</strong> terugverdientermijnen<br />
van <strong>in</strong>vester<strong>in</strong>gen en daarmee <strong>de</strong> waar<strong>de</strong>r<strong>in</strong>g<br />
van productielijnen en an<strong>de</strong>re <strong>in</strong>vester<strong>in</strong>gen. Een<br />
an<strong>de</strong>r voorbeeld van een TBR is <strong>de</strong> keuze voor een <strong>in</strong>a<strong>de</strong>quaat<br />
management<strong>in</strong>formatiesysteem of het sturen op <strong>de</strong><br />
verkeer<strong>de</strong> kritische succesfactoren of prestatie-<strong>in</strong>dicatoren.<br />
Operationele bedrijfsrisico’s (OBR) – bedrijfsrisico’s die verband<br />
hou<strong>de</strong>n met het realiseren van bedrijfsdoelstell<strong>in</strong>gen<br />
over een perio<strong>de</strong> van korter dan 1 jaar. Deze bedrijfsrisico’s<br />
betreffen uitvoer<strong>in</strong>gsrisico’s, zoals het afleveren van<br />
producten en diensten on<strong>de</strong>r het gestel<strong>de</strong> niveau, mogelijk<br />
resulterend <strong>in</strong> klachten en extra kosten voor herstel. An<strong>de</strong>re<br />
voorbeel<strong>de</strong>n zijn te lage operationele kasstroom, waardoor<br />
acute betal<strong>in</strong>gsproblemen kunnen ontstaan, het verkopen<br />
van producten en diensten aan wanbetalers, onvoldoen<strong>de</strong><br />
beheers<strong>in</strong>g hebben op budgetten, onbetrouwbare stur<strong>in</strong>gs<strong>in</strong>formatie,<br />
zoals tussentijdse cijfers en prestatie-<strong>in</strong>dicatoren,<br />
een <strong>in</strong>a<strong>de</strong>quate aanstur<strong>in</strong>g van me<strong>de</strong>werkers, voorkomen<br />
van frau<strong>de</strong>, etc.<br />
In elke controle zal <strong>de</strong> accountant na<strong>de</strong>nken over elke soort<br />
bedrijfsrisico: SBR, TBR en OBR. De bedrijfsdoelen en resulteren<strong>de</strong><br />
bedrijfsrisico’s hangen dan ook sterk samen: strategische<br />
doelen wor<strong>de</strong>n uitgewerkt naar tactische doelen,<br />
welke weer wor<strong>de</strong>n uitgewerkt naar operationele doelen.<br />
Echter, <strong>de</strong> mate waar<strong>in</strong> elk soort BR wordt geanalyseerd en<br />
er daadwerkelijk controlemaatregelen wor<strong>de</strong>n uitgevoerd<br />
en controlebewijs wordt vergaard om <strong>de</strong> effectiviteit van <strong>de</strong><br />
achterliggen<strong>de</strong> bedrijfsprocessen te beoor<strong>de</strong>len, zal sterk<br />
afhankelijk zijn van <strong>de</strong> complexiteit van <strong>de</strong> entiteit. Alleen<br />
(zeer) grote en complexe entiteiten zullen hebben geïnvesteerd<br />
<strong>in</strong> een formeel SBR/TBR-analysesysteem met achterliggen<strong>de</strong><br />
bedrijfsprocessen. SBR’s hebben betrekk<strong>in</strong>g op<br />
langere termijn (toekomst-georiënteer<strong>de</strong>) ontwikkel<strong>in</strong>gen<br />
van <strong>de</strong> organisatie en zijn doorgaans op een hoog abstractieniveau<br />
geformuleerd, en lang niet altijd is er een zichtbaar<br />
effect op risico’s <strong>in</strong> <strong>de</strong> huidige jaarreken<strong>in</strong>g. Dit geldt ook,<br />
zij het <strong>in</strong> m<strong>in</strong><strong>de</strong>re mate voor TBR’s. Met een OBR kan <strong>de</strong><br />
accountant doorgaans beter uit <strong>de</strong> voeten met het maken<br />
van een vertaalslag naar concrete risico’s op materiële<br />
onjuisthe<strong>de</strong>n <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g. Uite<strong>in</strong><strong>de</strong>lijk gaat het bij <strong>de</strong><br />
bedrijfsrisicoanalyse (BR-analyse) om het verkrijgen van<br />
voldoen<strong>de</strong> begrip <strong>in</strong> <strong>de</strong> organisatie. Afhankelijk van <strong>de</strong><br />
complexiteit van een gecontroleer<strong>de</strong> organisatie, zoals <strong>de</strong><br />
85 E JAARGANG OKTOBER 515
Bestuurlijke <strong>in</strong>formatieverzorg<strong>in</strong>g<br />
85E 516 JAARGANG OKTOBER<br />
mate waar<strong>in</strong> die kapitaal<strong>in</strong>tensief is, <strong>in</strong> staat is flexibel te<br />
opereren en tijdig bij te sturen, zal <strong>de</strong> accountant <strong>in</strong> meer of<br />
m<strong>in</strong><strong>de</strong>re mate aandacht moeten beste<strong>de</strong>n aan BR-analyse.<br />
Door een on<strong>de</strong>rver<strong>de</strong>l<strong>in</strong>g te maken naar SBR’s, TBR’s en<br />
OBR’s beogen we BR-analyse meer begrijpelijk en toepasbaar<br />
te maken.<br />
4 Proportionele toepass<strong>in</strong>g van <strong>de</strong> BRAcontrolebena<strong>de</strong>r<strong>in</strong>g<br />
De vraag die zich nu voordoet, is <strong>in</strong> hoeverre <strong>de</strong><br />
BRA-bena<strong>de</strong>r<strong>in</strong>g altijd toepasbaar is respectievelijk <strong>in</strong> alle<br />
gevallen bij jaarreken<strong>in</strong>gcontroles toegepast zou moeten<br />
wor<strong>de</strong>n. De International Fe<strong>de</strong>ration of Accountants (IFAC,<br />
2008; 2009) heeft haar visie op <strong>de</strong> controle van kle<strong>in</strong>ere entiteiten<br />
willen verdui<strong>de</strong>lijken. Een algemeen uitgangspunt<br />
dat zij hanteert is dat alle doelstell<strong>in</strong>gen van <strong>de</strong> Standaar<strong>de</strong>n<br />
uniform van toepass<strong>in</strong>g zijn op alle jaarreken<strong>in</strong>gcontroles.<br />
Tegelijkertijd stelt zij dat niet ie<strong>de</strong>re controleopdracht op<br />
een exact gelijke wijze wordt gepland en uitgevoerd. Voor<br />
kle<strong>in</strong>ere entiteiten stelt <strong>de</strong> IFAC dat het documenteren van<br />
‘verwerven van <strong>in</strong>zicht van <strong>de</strong> entiteit en haar omgev<strong>in</strong>g’<br />
doorgaans recht-toe-recht-aan plaats kan v<strong>in</strong><strong>de</strong>n. Een meer<br />
gestandaardiseerd controleplan kan behulpzaam zijn bij<br />
het controleren van kle<strong>in</strong>ere entiteiten. Tevens heeft <strong>de</strong><br />
IFAC toepass<strong>in</strong>gsmateriaal gepubliceerd dat <strong>de</strong> accountant<br />
behulpzaam kan zijn bij het plannen, uitvoeren en dienovereenkomstig<br />
documenteren van <strong>de</strong> controle van een<br />
kle<strong>in</strong>er bedrijf (IFAC 2010a en 2010b). Uit on<strong>de</strong>rzoek van<br />
Van Buuren et al. (<strong>2011</strong>) blijkt dat dit toepass<strong>in</strong>gsmateriaal<br />
geen bre<strong>de</strong> bekendheid geniet on<strong>de</strong>r <strong>de</strong> 38 geïnterview<strong>de</strong><br />
partners <strong>in</strong> Ne<strong>de</strong>rland en Duitsland. De Standaar<strong>de</strong>n<br />
maken meld<strong>in</strong>g van specifieke overweg<strong>in</strong>gen <strong>in</strong> geval van<br />
Figuur 1 Aard van het controlebewijs versus complexiteit van <strong>de</strong> controlecliënt<br />
(ontleend aan Van Buuren et al., <strong>2011</strong>)<br />
Aard van controlebewijs<br />
Hoofdzakelijke focus op<br />
op ‘ongrijpbaar’ bewijs<br />
BRA<br />
Hoofdzakelijke focus<br />
op ‘grijpbaar’ bewijs<br />
ARM BRMM<br />
Traditionele<br />
Audit risk mo<strong>de</strong>l<br />
Bedrijfsrisico<br />
analyse<br />
Entity-level<br />
controls<br />
Control-gebaseer<strong>de</strong><br />
gegevensgerichte<br />
analytische procedures<br />
EBS analytische<br />
procedures<br />
lager hoger<br />
Complexiteit van <strong>de</strong> controleklant<br />
controle van kle<strong>in</strong>ere entiteiten. Voor <strong>de</strong> <strong>de</strong>f<strong>in</strong>itie van<br />
kle<strong>in</strong>e entiteiten hanteren we <strong>de</strong> uitgangspunten zoals<br />
genoemd <strong>in</strong> Standaard 200.A64. 5 De term kle<strong>in</strong>ere entiteit is<br />
met <strong>de</strong>ze <strong>de</strong>f<strong>in</strong>itie ook een niet-complexe entiteit, ofwel<br />
kle<strong>in</strong> is zowel een kwantitatief als kwalitatief begrip. Wij<br />
<strong>de</strong>nken dat <strong>de</strong> mate van complexiteit van een entiteit een<br />
belangrijke sleutel is bij het bepalen van <strong>de</strong> controlestrategie.<br />
Toenemen<strong>de</strong> complexiteit van <strong>de</strong> entiteit leidt ertoe<br />
dat <strong>de</strong> accountant steeds meer moet steunen op <strong>de</strong> beschikbare<br />
kennis van een organisatie en <strong>de</strong> effectiviteit van<br />
<strong>in</strong>terne beheers<strong>in</strong>gsmechanismen 6 , om <strong>in</strong> staat te zijn<br />
verwacht<strong>in</strong>gen te formuleren over wat getrouwe jaarreken<strong>in</strong>gposities<br />
zijn. Daarbij veron<strong>de</strong>rstellen we dat <strong>de</strong> controlestrategie<br />
dynamisch is, dat wil zeggen, <strong>de</strong> controleaanpak<br />
is niet standaard, maar afhankelijk van afweg<strong>in</strong>gen betreffen<strong>de</strong><br />
controlekwaliteit 7 en kosten van <strong>de</strong> controle, gegeven<br />
<strong>de</strong> specifieke omstandighe<strong>de</strong>n. Deze afweg<strong>in</strong>g kan tot op<br />
zekere hoogte van jaar tot jaar verschillen. De afweg<strong>in</strong>g is<br />
on<strong>de</strong>r an<strong>de</strong>re gebaseerd op <strong>de</strong> volgen<strong>de</strong> aspecten:<br />
Ten eerste zal een accountant voorkeur 8 hebben voor<br />
grijpbaar controlebewijs (zie ook Standaard 500.A31).<br />
Eigenschappen van grijpbaar controlebewijs zijn: het<br />
controlebewijs is direct gerelateerd aan het controledoel,<br />
het resulteert <strong>in</strong> een hoge mate van zekerheid en<br />
precisie, het is zelfstandig door <strong>de</strong> accountant vast te<br />
stellen en het is <strong>in</strong>zichtelijk voor <strong>de</strong> accountant.<br />
Inventarisatie van <strong>de</strong> voorra<strong>de</strong>n is een voorbeeld van<br />
grijpbaar controlebewijs. Controlebewijs betreffen<strong>de</strong><br />
bedrijfsrisico’s die door entity level controls (b.v. risk<br />
management procedures) zou<strong>de</strong>n moeten wor<strong>de</strong>n afge<strong>de</strong>kt,<br />
zijn over het algemeen een stuk m<strong>in</strong><strong>de</strong>r grijpbaar.<br />
Standaard 315.A116-A118 geeft <strong>de</strong>ze afweg<strong>in</strong>g weer. De<br />
voorkeur voor grijpbaar controlebewijs bij we<strong>in</strong>ig<br />
complexe entiteiten wordt <strong>in</strong> het on<strong>de</strong>rzoek van Van<br />
Buuren et al. (<strong>2011</strong>) bevestigd.<br />
Ten twee<strong>de</strong> zullen accountants – gegeven <strong>de</strong> concurrentiedruk<br />
– streven naar een toereikend niveau van controlekwaliteit,<br />
niet per se naar <strong>de</strong> hoogst mogelijke controlekwaliteit.<br />
De controlestandaar<strong>de</strong>n en <strong>in</strong>terne regelgev<strong>in</strong>g<br />
van accountantskantoren geven een basis voor wat het<br />
vereiste (m<strong>in</strong>imum)niveau van controlekwaliteit zou<br />
moeten zijn. Desalniettem<strong>in</strong> is het professionele oor<strong>de</strong>el<br />
van <strong>de</strong> accountant lei<strong>de</strong>nd of het vereiste niveau van<br />
controlekwaliteit is gerealiseerd, gegeven alle omstandighe<strong>de</strong>n<br />
(Standaard 200.A31). Overigens veron<strong>de</strong>rstellen we<br />
het niveau van concurrentiedruk niet uniform over alle<br />
controlemarkten. Wel <strong>de</strong>nken we dat een hogere concurrentiedruk<br />
leidt tot meer nadruk op risicoanalyse (Van<br />
Buuren et al., <strong>2011</strong>) en meer steunen op <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen<br />
(Koch et al., <strong>2011</strong>).<br />
Ten <strong>de</strong>r<strong>de</strong> zullen accountants persoonlijke afweg<strong>in</strong>gen<br />
maken <strong>in</strong> <strong>de</strong> mix van controlemid<strong>de</strong>len en technieken.<br />
Dit is enerzijds gebaseerd op kantoor- handboeken en
an<strong>de</strong>rzijds op opleid<strong>in</strong>g en ervar<strong>in</strong>g van <strong>de</strong> accountant<br />
(Schultz Jr. et al., 2010).<br />
Gegeven <strong>de</strong>ze veron<strong>de</strong>rstell<strong>in</strong>gen is een afweg<strong>in</strong>g tussen <strong>de</strong><br />
kosten van het verkrijgen van het controlebewijs enerzijds<br />
en <strong>de</strong> te realiseren controlekwaliteit an<strong>de</strong>rzijds dynamisch.<br />
Figuur 1 geeft <strong>de</strong>ze afweg<strong>in</strong>g schematisch weer en presenteert<br />
<strong>de</strong> voorkeur voor <strong>de</strong> aard van controlebewijs als cont<strong>in</strong>uüm<br />
van een primaire focus op het verkrijgen van grijpbaar<br />
(tangible) controlebewijs tot het voornamelijk richten<br />
op het verkrijgen van ongrijpbaar (<strong>in</strong>tangible) controlebewijs.<br />
Complexiteit wordt daarbij gepresenteerd als belangrijkste<br />
factor voor <strong>de</strong> mate van grijpbaarheid van controlebewijs.<br />
We willen benadrukken dat het on<strong>de</strong>rstaan<strong>de</strong><br />
mo<strong>de</strong>l is gebaseerd op <strong>de</strong> aanpak van Standaard 200 en dat<br />
het Audit <strong>Risk</strong> Mo<strong>de</strong>l (ARM) dus onverkort van toepass<strong>in</strong>g<br />
is. Het gebruik van BRA-metho<strong>de</strong>n is aanvullend en<br />
bedoelt noodzakelijke diepgang te geven voor juiste risicoafweg<strong>in</strong>gen<br />
<strong>in</strong> het ARM. Tevens willen we hierbij benadrukken<br />
dat het controleren van een BR ver<strong>de</strong>r gaat dan<br />
het i<strong>de</strong>ntificeren van risico’s door een <strong>in</strong>terview met het<br />
management en/of een bra<strong>in</strong>stormsessie met het controleteam.<br />
Controleren houdt <strong>in</strong> dat naar aanleid<strong>in</strong>g van <strong>de</strong><br />
BRA, concreet controlebewijs wordt vergaard, via test of<br />
controls of via gegevensgerichte werkzaamhe<strong>de</strong>n waarmee<br />
een controleconclusie wordt on<strong>de</strong>rbouwd.<br />
Het gebruik van het ARM is daarbij <strong>de</strong> m<strong>in</strong>imale basis<br />
(Standaard 200), aangevuld met een beperkte analyse van<br />
<strong>de</strong> bedrijfsrisico’s. 9 Bij een lage complexiteit van <strong>de</strong> gecontroleer<strong>de</strong><br />
entiteit zal <strong>de</strong> accountant nog goed <strong>in</strong> staat zijn<br />
verwacht<strong>in</strong>gen te creëren over wat re<strong>de</strong>lijkerwijs <strong>de</strong> juiste<br />
posities <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g zijn en daarmee <strong>de</strong> kans op<br />
materiële fouten bij bepaal<strong>de</strong> posten te bepalen. Veelal<br />
zullen bij <strong>de</strong>rgelijke huishoud<strong>in</strong>gen geen uitgebrei<strong>de</strong><br />
<strong>in</strong>terne beheers<strong>in</strong>gsprocedures beschikbaar zijn, zoals<br />
bedrijfsrisicoanalyses en evaluatie van (f<strong>in</strong>anciële) prestaties<br />
(zie Standaard 315.A41 en Standaard 315.A45). Grijpbaar<br />
controlebewijs is dan het meest effectief en het goedkoopst<br />
om het vereiste niveau van controlekwaliteit te verkrijgen.<br />
Uit het on<strong>de</strong>rzoek van Van Buuren et al. (<strong>2011</strong>) wordt <strong>de</strong>ze<br />
voorkeur bevestigd.<br />
Echter, naarmate <strong>de</strong> complexiteit van <strong>de</strong> gecontroleer<strong>de</strong><br />
entiteit toeneemt, zal <strong>de</strong> entiteit gaan <strong>in</strong>vesteren <strong>in</strong> <strong>in</strong>terne<br />
beheers<strong>in</strong>gsprocessen om haar bedrijfsdoelen te behalen.<br />
De accountant kan niet an<strong>de</strong>rs dan hiervan gebruik maken,<br />
omdat <strong>de</strong> complexiteit het bepalen van <strong>de</strong> juiste verwacht<strong>in</strong>gen<br />
betreffen<strong>de</strong> <strong>de</strong> re<strong>de</strong>lijkheid van posten <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g<br />
bemoeilijkt. De accountant zal dan meer nadruk<br />
gaan leggen op het verzamelen van m<strong>in</strong><strong>de</strong>r grijpbaar<br />
controlebewijs, zoals <strong>de</strong> beoor<strong>de</strong>l<strong>in</strong>g van <strong>de</strong> effectiviteit van<br />
<strong>de</strong> <strong>in</strong>terne beheers<strong>in</strong>g van bedrijfsprocessen. Als voorbeeld<br />
noemen wij een kle<strong>in</strong> bouwbedrijf met een aantal on<strong>de</strong>rhan<strong>de</strong>n<br />
projecten, waarbij <strong>de</strong> marges en risico’s per project<br />
verschillen. De accountant zal niet <strong>in</strong> staat zijn alle<br />
projecten <strong>in</strong>tegraal te toetsen en na te gaan of bijvoorbeeld<br />
<strong>de</strong> naar-rato w<strong>in</strong>stnem<strong>in</strong>g juist is, al was het alleen al<br />
omdat <strong>de</strong> accountant het aan <strong>de</strong> benodig<strong>de</strong> bouwkundige<br />
kennis ontbreekt en ook niet aanwezig was bij <strong>de</strong> offerteprocedure.<br />
De accountant zal zijn controle dus richten op<br />
hoe <strong>de</strong> entiteit <strong>de</strong> juistheid van <strong>de</strong> on<strong>de</strong>rhan<strong>de</strong>n projecten<br />
zelf vaststelt, aangevuld met zoveel als mogelijk grijpbaar<br />
controlebewijs, zoals afloopcontroles en afstemm<strong>in</strong>g tussen<br />
verkoopofferte en werkelijke kosten (verschillenanalyse<br />
voor- en nacalculatie). De BR-analyse zal beperkt zijn tot het<br />
verzamelen van bewijs betreffen<strong>de</strong> met name OBR’s welke<br />
ook lei<strong>de</strong>n tot een significant risico, zoals <strong>de</strong> voorzien<strong>in</strong>g<br />
on<strong>de</strong>rhan<strong>de</strong>n projecten. Ook kan gedacht wor<strong>de</strong>n aan het<br />
OBR betreffen<strong>de</strong> <strong>de</strong> or<strong>de</strong>rportefeuille en bezett<strong>in</strong>g van<br />
personeel. Omdat het bouwbedrijf flexibel is <strong>in</strong> het <strong>in</strong>zetten<br />
van personeel en mach<strong>in</strong>es, zal <strong>de</strong> analyse van SBR’s en<br />
TBR’s nog beperkt zijn.<br />
Naarmate <strong>de</strong> complexiteit van <strong>de</strong> gecontroleer<strong>de</strong> entiteit<br />
ver<strong>de</strong>r toeneemt, zal <strong>de</strong> accountant meer moeten steunen<br />
op <strong>in</strong>terne procedures en beoor<strong>de</strong>len hoe <strong>de</strong> gecontroleer<strong>de</strong><br />
entiteit vaststelt dat bedrijfsrisico’s voldoen<strong>de</strong> zijn afge<strong>de</strong>kt.<br />
Daarvoor zal <strong>de</strong> gecontroleer<strong>de</strong> entiteit entity-level<br />
controls ontwikkelen, zoals na<strong>de</strong>re functiescheid<strong>in</strong>g, een<br />
effectief systeem van bedrijfs<strong>in</strong>formatieverzorg<strong>in</strong>g en<br />
toezicht op <strong>de</strong> werk<strong>in</strong>g van beheers<strong>in</strong>gsmaatregelen. De<br />
mate van effectiviteit van <strong>de</strong>ze processen, geeft <strong>de</strong> accountant<br />
<strong>de</strong> mogelijkheid een <strong>in</strong>schatt<strong>in</strong>g te maken van <strong>de</strong><br />
getrouwheid van <strong>de</strong> aangelever<strong>de</strong> jaarcijfers en het risico<br />
op een afwijk<strong>in</strong>g van materieel belang hierop te baseren.<br />
Omdat <strong>in</strong> <strong>de</strong>ze fase veel elementen van Standaard 315 tot<br />
hun recht komen, noemen we <strong>de</strong>ze fase BRMM. 10 Bij<br />
BRMM zal er <strong>in</strong> toenemen<strong>de</strong> mate nadruk wor<strong>de</strong>n gelegd<br />
op het analyseren van TBR’s en SBR’s.<br />
Naarmate <strong>de</strong> complexiteit nog ver<strong>de</strong>r toeneemt, zal <strong>de</strong><br />
effectiviteit en omvang van <strong>in</strong>terne beheers<strong>in</strong>g ver<strong>de</strong>r<br />
toenemen en zullen <strong>de</strong> <strong>in</strong>terne cijfers betrouwbaar<strong>de</strong>r<br />
wor<strong>de</strong>n. De accountant zal zich steeds meer gaan richten<br />
op <strong>de</strong> controle van <strong>de</strong> effectiviteit van <strong>de</strong> beheers<strong>in</strong>g van<br />
bedrijfsrisico’s, ofwel bus<strong>in</strong>ess risk audit<strong>in</strong>g (BRA). Vanuit<br />
<strong>de</strong> BRA wordt vastgesteld hoe <strong>de</strong> entiteit <strong>de</strong> risico’s op<br />
materiële afwijk<strong>in</strong>gen <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g mitigeert. Het<br />
wordt dan mogelijk <strong>de</strong> control-gebaseer<strong>de</strong> gegevensgerichte<br />
analytische controlewerkzaamhe<strong>de</strong>n te gaan uitvoeren.<br />
Een voorbeeld hiervan is het volstaan met een afsluiten<strong>de</strong><br />
cijferbeoor<strong>de</strong>l<strong>in</strong>g van bepaal<strong>de</strong> materiële jaarreken<strong>in</strong>gposten,<br />
zon<strong>de</strong>r dat hierop aanvullen<strong>de</strong> gegevensgerichte<br />
controlewerkzaamhe<strong>de</strong>n wor<strong>de</strong>n verricht. De accountant<br />
heeft hiervoor wel <strong>de</strong> beheers<strong>in</strong>g van het gerelateer<strong>de</strong> OBR<br />
85 E JAARGANG OKTOBER 517
Bestuurlijke <strong>in</strong>formatieverzorg<strong>in</strong>g<br />
85E 518 JAARGANG OKTOBER<br />
beoor<strong>de</strong>eld op effectiviteit en daarover (we<strong>in</strong>ig grijpbare)<br />
controle-<strong>in</strong>formatie verzameld, zoals <strong>de</strong> mate van tijdigheid<br />
van bijstur<strong>in</strong>g van <strong>de</strong> bedrijfsprocessen, beoor<strong>de</strong>l<strong>in</strong>g<br />
van het functioneren van me<strong>de</strong>werkers door het management,<br />
uitkomsten van kwaliteitscontroles, etc. Bij het<br />
m<strong>in</strong><strong>de</strong>r grijpbaar wor<strong>de</strong>n van het controlebewijs, wordt<br />
het gebruik van meer<strong>de</strong>re bronnen (triangulatie) ter verificatie<br />
van <strong>de</strong> werkelijke effectieve beheers<strong>in</strong>g van bedrijfsrisico’s<br />
steeds belangrijker. Een potentieel krachtige bron<br />
voor het begrip van <strong>de</strong> entiteit is <strong>de</strong> analyse van <strong>de</strong> relatieve<br />
bedrijfsprestaties ofwel <strong>de</strong> economische staat van <strong>de</strong> entiteit<br />
(Entity <strong>Bus<strong>in</strong>ess</strong> State). Deze relatieve bedrijfsprestaties<br />
zijn on<strong>de</strong>r<strong>de</strong>el van <strong>de</strong> bedrijfsprocessen en omvatten<br />
analyses over marktaan<strong>de</strong>len, productportfolio’s met<br />
kansen en bedreig<strong>in</strong>gen, het gedrag van concurrenten en<br />
substituutproducten, ontwikkel<strong>in</strong>gen <strong>in</strong> <strong>de</strong> markt en<br />
product/dienstontwikkel<strong>in</strong>g, relatieve f<strong>in</strong>anciële performance<br />
van <strong>de</strong> entiteit ten opzichte van concurrenten, etc.<br />
Door het beoor<strong>de</strong>len van <strong>de</strong>rgelijke analyses (<strong>in</strong>clusief<br />
achterliggen<strong>de</strong> bedrijfsprocessen) op kwaliteit (betrouwbaarheid,<br />
tijdigheid en precisie) en impact op <strong>de</strong> organisatie<br />
(wor<strong>de</strong>n er acties op on<strong>de</strong>rnomen), kunnen <strong>de</strong>ze analyses<br />
als basis dienen voor <strong>de</strong> accountant om verwacht<strong>in</strong>gen te<br />
formuleren en als (we<strong>in</strong>ig grijpbaar) controlebewijs wor<strong>de</strong>n<br />
gebruikt ter toets<strong>in</strong>g van <strong>de</strong> re<strong>de</strong>lijkheid van jaarreken<strong>in</strong>gposten.<br />
De nadruk <strong>in</strong> <strong>de</strong> bedrijfsrisicoanalyse zal bij <strong>de</strong>ze<br />
complexe organisaties verschuiven van OBR’s naar TBR’s<br />
en SBR’s, ervan uitgaan<strong>de</strong> dat bedrijfsprocessen effectief<br />
zijn <strong>in</strong> het i<strong>de</strong>ntificeren en mitigeren van OBR’s. Uiteraard<br />
wor<strong>de</strong>n onverkort significante risico’s geanalyseerd.<br />
De dynamiek van <strong>de</strong> keuze voor een soort controlebewijs<br />
(grijpbaar of niet-grijpbaar) wordt nog versterkt, doordat<br />
niet alle entiteiten <strong>in</strong> <strong>de</strong>zelf<strong>de</strong> mate <strong>in</strong>vesteren <strong>in</strong> <strong>de</strong> <strong>in</strong>terne<br />
beheers<strong>in</strong>g. Een oorzaak hiervan is <strong>de</strong> agency problematiek.<br />
In geval van scheid<strong>in</strong>g tussen eigendom en leid<strong>in</strong>g van een<br />
bedrijf, is <strong>de</strong> noodzaak tot <strong>in</strong>vesteren <strong>in</strong> effectieve <strong>in</strong>terne<br />
beheers<strong>in</strong>g en <strong>in</strong>formatievoorzien<strong>in</strong>g groter dan bij entiteiten<br />
waarbij <strong>de</strong> eigenaar ook <strong>de</strong> algemeen directeur is. 11<br />
Ver<strong>de</strong>r kunnen risico’s op jaarreken<strong>in</strong>gniveau (veel prestatiebelon<strong>in</strong>g)<br />
en frau<strong>de</strong>risico’s lei<strong>de</strong>n tot <strong>de</strong> keuze voor meer<br />
grijpbaar controlebewijs, omdat <strong>de</strong> <strong>in</strong>terne beheers<strong>in</strong>gsprocedures<br />
doorbroken kunnen wor<strong>de</strong>n. Tot slot is een<br />
uitgebrei<strong>de</strong> analyse van TBR’s en SBR’s – ook al zou die<br />
<strong>in</strong>formatie beschikbaar zijn – niet altijd nodig, omdat het<br />
risicoprofiel van <strong>de</strong> balans lager is, bijvoorbeeld omdat er<br />
geen grote <strong>in</strong>vester<strong>in</strong>gen <strong>in</strong> activa zijn gedaan.<br />
De hiervoor beschreven bena<strong>de</strong>r<strong>in</strong>g veron<strong>de</strong>rstelt dat<br />
ie<strong>de</strong>re controleomgev<strong>in</strong>g uniek is en <strong>de</strong> controlebena<strong>de</strong>r<strong>in</strong>g<br />
specifiek op <strong>de</strong> entiteit dient te wor<strong>de</strong>n toegesne<strong>de</strong>n.<br />
Daarom is <strong>de</strong> controlebena<strong>de</strong>r<strong>in</strong>g geen one-size-fits-allcontrolebena<strong>de</strong>r<strong>in</strong>g.<br />
Het gebruik van bedrijfsrisico’s is<br />
hierbij geen doel op zich. In sommige omstandighe<strong>de</strong>n<br />
volstaat alleen <strong>de</strong> analyse van OBR’s gericht op materiële<br />
afwijk<strong>in</strong>gen <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g als basis voor <strong>de</strong> <strong>in</strong>schatt<strong>in</strong>g<br />
van <strong>in</strong>herente risico’s. In an<strong>de</strong>re situaties is dit<br />
volstrekt ontoereikend en dient <strong>de</strong> effectiviteit van <strong>de</strong><br />
<strong>in</strong>terne beheers<strong>in</strong>g van SBR’s te wor<strong>de</strong>n beoor<strong>de</strong>eld. Met<br />
an<strong>de</strong>re woor<strong>de</strong>n, het is belangrijk on<strong>de</strong>rscheid te maken<br />
tussen <strong>de</strong> soorten bedrijfsrisico’s – operationeel, tactisch en<br />
strategisch – en <strong>de</strong> mate waar<strong>in</strong> <strong>de</strong> accountant <strong>de</strong>ze nodig<br />
heeft om een verwacht<strong>in</strong>g te kunnen formuleren over <strong>de</strong><br />
re<strong>de</strong>lijkheid van <strong>de</strong> jaarreken<strong>in</strong>gposten. Uitgebrei<strong>de</strong><br />
bedrijfsrisicoanalyses lei<strong>de</strong>n niet per <strong>de</strong>f<strong>in</strong>itie naar een<br />
hogere effectiviteit van <strong>de</strong> controle.<br />
5 Conclusies<br />
Op grond van onze analyse van <strong>de</strong> wetenschappelijke<br />
on<strong>de</strong>rzoeksliteratuur conclu<strong>de</strong>ren wij dat <strong>de</strong> bre<strong>de</strong><br />
BRA-controlebena<strong>de</strong>r<strong>in</strong>g vanaf het beg<strong>in</strong> complicaties en<br />
onzekerheid heeft opgeleverd <strong>in</strong> <strong>de</strong> controle. Ook on<strong>de</strong>r <strong>de</strong><br />
Standaard 315 (BRMM) zijn <strong>de</strong>ze complicaties en onzekerheid<br />
blijven bestaan, <strong>in</strong> het bijzon<strong>de</strong>r voor controles van<br />
kle<strong>in</strong>ere entiteiten. Wij betogen dat <strong>de</strong> on<strong>de</strong>rver<strong>de</strong>l<strong>in</strong>g van<br />
BR’s naar operationele, tactische en strategische BR’s een<br />
bruikbare toepass<strong>in</strong>g geeft en onzekerhe<strong>de</strong>n verm<strong>in</strong><strong>de</strong>rt.<br />
Vervolgens betogen we dat een uitgebrei<strong>de</strong> toepass<strong>in</strong>g van<br />
BR-analyses <strong>in</strong> <strong>de</strong> controle niet per <strong>de</strong>f<strong>in</strong>itie tot een effectieve<br />
en efficiënte controle leidt.<br />
Het verdient aanbevel<strong>in</strong>g na<strong>de</strong>r on<strong>de</strong>rzoek te verrichten<br />
naar <strong>de</strong> (<strong>de</strong>term<strong>in</strong>eren<strong>de</strong>) factoren die <strong>in</strong> belangrijke mate<br />
van <strong>in</strong>vloed zijn op <strong>de</strong> efficiëntie en effectiviteit van<br />
bedrijfsrisicoanalyse <strong>in</strong> <strong>de</strong> controle. Bijvoorbeeld, <strong>in</strong> <strong>de</strong><br />
12-uurs controleaanpak van kle<strong>in</strong>e entiteiten 12 door <strong>de</strong><br />
Cana<strong>de</strong>se beroepsorganisatie (Cowperthwaite, <strong>2011</strong>) wordt<br />
bedrijfsrisicoanalyse niet genoemd noch uitgewerkt als<br />
potentieel effectief en efficiënt controlemid<strong>de</strong>l. Wel wordt<br />
senioriteit van <strong>de</strong> accountant en het gebruik van checklists<br />
als essentieel veron<strong>de</strong>rsteld.<br />
Het verdient ook aanbevel<strong>in</strong>g voor accountantskantoren<br />
en regelgevers te bezien hoe het gebruik van bedrijfsrisico’s<br />
<strong>de</strong> effectiviteit en efficiëntie van controles van kle<strong>in</strong>ere<br />
entiteiten kan verbeteren. Het maken van een on<strong>de</strong>rscheid<br />
<strong>in</strong> operationele, tactische en strategische BR’s kan hier<strong>in</strong><br />
volgens ons een goed uitgangspunt vormen. ■<br />
Dr. J.P. van Buuren RA is associate professor <strong>Audit<strong>in</strong>g</strong> &<br />
Assurance aan Nyenro<strong>de</strong> <strong>Bus<strong>in</strong>ess</strong> School.<br />
Dr. C.M. van Nieuw Amerongen RA is associate professor<br />
<strong>Audit<strong>in</strong>g</strong> & Assurance aan Nyenro<strong>de</strong> <strong>Bus<strong>in</strong>ess</strong> School. Tevens<br />
is hij als directeur verbon<strong>de</strong>n aan V&A accountants-adviseurs<br />
waar hij accountantsfirma’s on<strong>de</strong>rsteunt op het gebied van<br />
kwaliteitsbeheers<strong>in</strong>g.
Noten<br />
1 Citaat Green paper (EU commissie, 2010,<br />
p. 19): ‘SMPs feel that they are surroun<strong>de</strong>d by<br />
an ever grow<strong>in</strong>g regulated environment which<br />
may not necessarily suit their practice or the<br />
immediate needs of their SME clients.’<br />
2 In een recente publicatie wordt ver<strong>de</strong>re <strong>in</strong>houd<br />
gegeven aan het proces van professionele oor<strong>de</strong>elsvorm<strong>in</strong>g<br />
en <strong>de</strong> sceptische houd<strong>in</strong>g van <strong>de</strong><br />
accountant (Ranzilla et al., <strong>2011</strong>). De ge<strong>in</strong>teresseer<strong>de</strong><br />
lezer wordt hiernaar verwezen.<br />
3 Triangulation of evi<strong>de</strong>nce is een metho<strong>de</strong><br />
waarbij bewijsmateriaal vanuit verschillen<strong>de</strong><br />
bronnen wordt geanalyseerd gebruikmakend van<br />
verschillen<strong>de</strong> bena<strong>de</strong>r<strong>in</strong>gen. Het subwoord ‘tri’<br />
verwijst daar<strong>in</strong> naar drie fundamenteel verschillen<strong>de</strong><br />
bronnen: Entity <strong>Bus<strong>in</strong>ess</strong> States (EBS),<br />
Management Information Intermediaries (MII), en<br />
Management <strong>Bus<strong>in</strong>ess</strong> Representations (MBR).<br />
Deze bena<strong>de</strong>r<strong>in</strong>g beoogt het verbeteren van<br />
professional skepticism. Ofwel, als bewijsmateriaal<br />
uit één of meer<strong>de</strong>re bronnen afwijkt van hetgeen<br />
werd verwacht, moet er een alarmbel gaan<br />
r<strong>in</strong>kelen die er toe leidt dat <strong>de</strong> accountant met<br />
een professioneel-kritische houd<strong>in</strong>g on<strong>de</strong>rzoekt<br />
wat <strong>de</strong> re<strong>de</strong>n is van een <strong>de</strong>rgelijke afwijk<strong>in</strong>g. EBS<br />
betreffen: <strong>de</strong> strategieën, condities, processen,<br />
economische acties/gebeurtenissen relaties met<br />
an<strong>de</strong>re entiteiten die te maken hebben <strong>de</strong> entiteit<br />
en het economische web waarb<strong>in</strong>nen zij opereert.<br />
MII betreffen: communicatiekanalen en gegevensverwerken<strong>de</strong><br />
processen die van toepass<strong>in</strong>g zijn<br />
op <strong>de</strong> f<strong>in</strong>anciële verslaggev<strong>in</strong>g en het <strong>in</strong>ternal<br />
control framework, alsook <strong>in</strong>formatiesystemen,<br />
documentatie (zoals facturen), alsook personen<br />
en procedures. MBR betreffen: <strong>de</strong> bewer<strong>in</strong>gen<br />
van het management b<strong>in</strong>nen het grootboek en<br />
bijbehoren<strong>de</strong> dagboeken, bewer<strong>in</strong>gen gedaan <strong>in</strong><br />
conference calls met analisten en <strong>in</strong>vesteer<strong>de</strong>rs,<br />
f<strong>in</strong>anciële verslaggev<strong>in</strong>g (<strong>in</strong>clusief toelicht<strong>in</strong>g),<br />
<strong>in</strong>terviews, directieverslagen, presentaties en<br />
persberichten.<br />
4 Standaard 315.4 <strong>de</strong>f<strong>in</strong>ieert een bedrijfsrisico<br />
als volgt: ‘risico voortkomend uit significante voorwaar<strong>de</strong>n,<br />
gebeurtenissen, omstandighe<strong>de</strong>n, han<strong>de</strong>l<strong>in</strong>gen<br />
of het achterwege laten van han<strong>de</strong>l<strong>in</strong>gen,<br />
die een negatief effect kunnen hebben op het<br />
vermogen van <strong>de</strong> entiteit om haar doelstell<strong>in</strong>gen<br />
te bereiken en haar strategieën uit te voeren, dan<br />
wel uit het bepalen van ongeschikte doelstell<strong>in</strong>gen<br />
en strategieën.’ De toelichten<strong>de</strong> tekst op 315.11d<br />
stelt dat <strong>de</strong> term bedrijfsrisico’s een ruimere<br />
betekenis heeft dan het risico op een afwijk<strong>in</strong>g<br />
van materieel belang (315.A30). Standaard 315.<br />
A31 stelt aansluitend dat <strong>de</strong> meeste bedrijfsrisico’s<br />
uite<strong>in</strong><strong>de</strong>lijk f<strong>in</strong>anciële gevolgen zullen<br />
hebben en daardoor <strong>in</strong>vloed hebben op <strong>de</strong><br />
f<strong>in</strong>anciële overzichten. De accountant draagt geen<br />
verantwoor<strong>de</strong>lijkheid voor het on<strong>de</strong>rkennen van<br />
alle bedrijfsrisico’s (315.A31).<br />
5 Voor <strong>de</strong> <strong>de</strong>f<strong>in</strong>itie van “kle<strong>in</strong>e entiteiten”<br />
hanteren we <strong>de</strong> uitgangspunten zoals genoemd <strong>in</strong><br />
Standaard 200.A64: een kle<strong>in</strong>ere entiteit die “…<br />
normaal gesproken typische kwalitatieve kenmerken<br />
bezit zoals: (a) Concentratie van eigendom en<br />
management bij een kle<strong>in</strong> aantal <strong>in</strong>dividuen; en<br />
(b) één of meer van <strong>de</strong> on<strong>de</strong>rstaan<strong>de</strong>:<br />
i. Eenvoudige en ongecompliceer<strong>de</strong> transacties;<br />
ii. Eenvoudige adm<strong>in</strong>istratie;<br />
iii. We<strong>in</strong>ig productlijnen en een beperkt aantal<br />
producten b<strong>in</strong>nen <strong>de</strong> productlijnen;<br />
iv. We<strong>in</strong>ig <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen;<br />
v. Beperkt aantal niveaus van management met<br />
verantwoor<strong>de</strong>lijkheid voor een bre<strong>de</strong> groep<br />
van <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen;<br />
vi. We<strong>in</strong>ig personeel waarvan velen een breed<br />
scala aan taken hebben.”<br />
6 Ook voor entiteiten is het <strong>in</strong>richten van <strong>in</strong>terne<br />
beheers<strong>in</strong>gsprocessen een resultante van <strong>de</strong><br />
afweg<strong>in</strong>g tussen (potentiële) baten (m<strong>in</strong><strong>de</strong>r risico,<br />
meer kunnen sturen op effectiviteit en efficiency<br />
van bedrijfsprocessen) en lasten (personeelskosten,<br />
<strong>in</strong>vester<strong>in</strong>gen <strong>in</strong> software, etc.). Voor<br />
complexe entiteiten is er meer (economische)<br />
noodzaak te <strong>in</strong>vesteren.<br />
7 De FEE (2006, p. 10) stelt: ‘at its heart, audit<br />
quality is primarily about <strong>de</strong>liver<strong>in</strong>g an appropriate<br />
professional op<strong>in</strong>ion on the f<strong>in</strong>ancial statements<br />
of a company. This is supported by the necessary<br />
evi<strong>de</strong>nce and objective judgments. Audit quality<br />
normally <strong>in</strong>clu<strong>de</strong>s: (i) Lea<strong>de</strong>rship, <strong>in</strong>clud<strong>in</strong>g tone<br />
at the top and audit firm strategy; (ii) People of<br />
competence, quality, objectivity and <strong>in</strong>tegrity; (iii)<br />
Work<strong>in</strong>g practices and quality control procedures;<br />
(iv) Internal monitor<strong>in</strong>g by audit firms of lea<strong>de</strong>rship,<br />
people, client relationships and work<strong>in</strong>g<br />
practices and (v) External monitor<strong>in</strong>g un<strong>de</strong>r public<br />
oversight to encourage and assist audit firms to<br />
improve audit quality.’<br />
8 Dat accountants een voorkeur hebben voor<br />
grijpbaar(<strong>de</strong>r) controlebewijs wil niet zeggen<br />
dat grijpbaar controlebewijs ook per <strong>de</strong>f<strong>in</strong>itie<br />
effectiever is <strong>in</strong> <strong>de</strong> controle dan m<strong>in</strong><strong>de</strong>r grijpbaar<br />
controlebewijs.<br />
9 Overigens is on<strong>de</strong>r <strong>de</strong> ou<strong>de</strong> Standaard 400<br />
<strong>de</strong> analyse van <strong>in</strong>herente risico’s niet beperkt<br />
geweest tot risico’s die direct samenh<strong>in</strong>gen met<br />
een jaarreken<strong>in</strong>gpost. Uit het on<strong>de</strong>rzoek van Van<br />
Buuren et al. (<strong>2011</strong>) is ook door diverse partners<br />
aangegeven dat het analyseren van bedrijfsrisico’s<br />
vroeger ook al van belang was. Standaard 315<br />
heeft het gebruik van bedrijfsrisico’s expliciet<br />
gemaakt.<br />
10 Dat <strong>de</strong>ze fase BRMM wordt genoemd,<br />
betekent niet dat <strong>de</strong> ARM- en BRA-fases buiten<br />
het bestek van Standaard 315 vallen. We willen<br />
ermee aangegeven dat <strong>de</strong> meeste elementen uit<br />
Standaard 315 <strong>in</strong> <strong>de</strong>ze fase toepasbaar wor<strong>de</strong>n en<br />
tot hun recht komen. Alle <strong>in</strong> figuur 1 genoem<strong>de</strong><br />
fases vallen <strong>de</strong>salniettem<strong>in</strong> on<strong>de</strong>r Standaard 200<br />
en 315. In <strong>de</strong> BRA-fase wordt het steunen op<br />
TBR- en SBR-analyses zo <strong>in</strong>tensief en geavanceerd<br />
dat ze ver<strong>de</strong>r gaan dan wat tot nu toe is<br />
beschreven <strong>in</strong> Standaard 315.<br />
11 Het feit dat er geen formele beheers<strong>in</strong>gsstructuren<br />
zijn, wil niet zeggen dat er geen <strong>in</strong>terne<br />
beheers<strong>in</strong>g is. De aan<strong>de</strong>elhou<strong>de</strong>r-manager zal<br />
vaak management-by-walk<strong>in</strong>g-around toepassen.<br />
De accountant kan echter niet, of <strong>in</strong> beperkte<br />
mate steunen op <strong>de</strong>ze <strong>in</strong>formele (soft) controls.<br />
12 Cowperthwaite is van men<strong>in</strong>g dat <strong>de</strong><br />
controle van kle<strong>in</strong>ere entiteiten om een dui<strong>de</strong>lijk<br />
specialisme vraagt van <strong>de</strong> accountantspraktijk,<br />
met een visie op het achterliggen<strong>de</strong> bus<strong>in</strong>ess<br />
mo<strong>de</strong>l. Zo wordt on<strong>de</strong>r meer gesteld dat een<br />
efficiënte controle van een kle<strong>in</strong>ere entiteit het<br />
beste door senior professionals kan wor<strong>de</strong>n<br />
uitgevoerd. Het is aan <strong>de</strong> accountantspraktijken<br />
zelf om te beoor<strong>de</strong>len <strong>in</strong> hoeverre dit aansluit op<br />
hun specifieke strategie en verdienmo<strong>de</strong>l.<br />
85 E JAARGANG OKTOBER 519
Bestuurlijke <strong>in</strong>formatieverzorg<strong>in</strong>g<br />
85E 520 JAARGANG OKTOBER<br />
Literatuur<br />
Allen, R.D., D.R. Hermanson, Th.M. Kozloski<br />
en R.J. Ramsay (2006), Auditor risk<br />
assessment: Insights from the aca<strong>de</strong>mic<br />
literature, Account<strong>in</strong>g Horizons, vol. 20, no. 2,<br />
pp. 157-177.<br />
Bell, T., F. Marrs, I. Solomon en H. Thomas<br />
(1997), <strong>Audit<strong>in</strong>g</strong> organizations through a<br />
strategic-systems lens, The KPMG bus<strong>in</strong>ess<br />
measurement process, KPMG Peat Marwick LLP.<br />
Bell, T.B., M.E. Peecher en I. Solomon<br />
(2005), The 21st century public company audit,<br />
conceptual elements of KPMG’s global audit<br />
methodology, KPMG International.<br />
Bell, T.B., R. Doogar en I. Solomon (2008),<br />
Auditor labor usage and fees un<strong>de</strong>r bus<strong>in</strong>ess risk<br />
audit<strong>in</strong>g, Journal of Account<strong>in</strong>g Research,<br />
vol. 46, no. 4, pp. 729-760.<br />
Barrett, M., D.J. Cooper en K. Jamal (2005),<br />
Globalization and the coord<strong>in</strong>at<strong>in</strong>g of work <strong>in</strong><br />
mult<strong>in</strong>ational audits, Account<strong>in</strong>g, Organizations<br />
and Society, vol. 30, no. 1, pp. 1-24.<br />
Buuren, J.P. van, C. Koch, C.M. van Nieuw<br />
Amerongen en A.M. Wright (<strong>2011</strong>), The use of<br />
<strong>Bus<strong>in</strong>ess</strong> <strong>Risk</strong> Audit perspectives by non-Big 4<br />
audit firms, Work<strong>in</strong>g Paper. Nyenro<strong>de</strong> <strong>Bus<strong>in</strong>ess</strong><br />
Universiteit (July)<br />
Cowperthwaite, Ph. (<strong>2011</strong>), Anatomy of a<br />
12-hour audit of micro-entities, Us<strong>in</strong>g<br />
<strong>in</strong>ternational standards on audit<strong>in</strong>g, a document<br />
for discussion, The Canadian Institute of<br />
Chartered Accountants.<br />
Curtis, E. en S. Turley (2007), The bus<strong>in</strong>ess<br />
risk audit – A longitud<strong>in</strong>al case study of an audit<br />
engagement, Account<strong>in</strong>g, Organizations and<br />
Society, vol. 32, no. 4-5, pp. 439-461.<br />
Eilifsen, A., W.R. Knechel en P. Wallage<br />
(2001), Application of the <strong>Bus<strong>in</strong>ess</strong> <strong>Risk</strong> Audit<br />
mo<strong>de</strong>l: A field study, Account<strong>in</strong>g Horizons,<br />
vol. 15, no. 3, pp. 193-207.<br />
Erickson, M., B.W. Mayhew en W.L. Felix Jr.<br />
(2000), Why do audits fail? Evi<strong>de</strong>nce from<br />
L<strong>in</strong>coln Sav<strong>in</strong>gs and Loan, Journal of Account<strong>in</strong>g<br />
Research, vol. 38, no. 1, pp. 165-194.<br />
European Commission (2010), Green Paper<br />
– Audit policy: Lessons from the crises.<br />
Beschikbaar op: http://ec.europa.eu/<strong>in</strong>ternal_<br />
market/consultations/docs/2010/audit/<br />
green_paper_audit_en.pdf.<br />
FEE (Fédération <strong>de</strong>s Experts Comptables<br />
Européens) (2006), Quality assurance<br />
arrangements across Europe, Brussel.<br />
Gendron, Y. and L.F. Spira (2009), What<br />
went wrong? The downfall of Arthur<br />
An<strong>de</strong>rsen and the construction of controllability<br />
boundaries surround<strong>in</strong>g f<strong>in</strong>ancial audit<strong>in</strong>g,<br />
Contemporary Account<strong>in</strong>g Research, vol. 26,<br />
no. 4, pp. 987-1027.<br />
IFAC (2008), Policy Position 2, IFAC’s<br />
Support for a S<strong>in</strong>gle Set of <strong>Audit<strong>in</strong>g</strong> Standards:<br />
Implications for Audits of Small- and Mediumsized<br />
Entities, september, New York, NY: IFAC.<br />
IFAC (2009), Staff Questions & Answers,<br />
Apply<strong>in</strong>g ISAs proportionately with the size<br />
and complexity of an entity, augustus, New<br />
York, NY: IFAC.<br />
IFAC (2010a), Gui<strong>de</strong> to us<strong>in</strong>g <strong>in</strong>ternational<br />
standards on audit<strong>in</strong>g <strong>in</strong> the audits of small-<br />
and medium-sized entities. New York, NY: IFAC.<br />
IFAC. (2010b), The Role of Small and<br />
Medium Practices <strong>in</strong> Provid<strong>in</strong>g <strong>Bus<strong>in</strong>ess</strong><br />
Support to Small- and Medium-sized<br />
Enterprises. New York, NY: IFAC.<br />
Knechel, W.R. (2001), <strong>Audit<strong>in</strong>g</strong>, assurance<br />
&risk, C<strong>in</strong>c<strong>in</strong>nati: South-Western College<br />
Publish<strong>in</strong>g.<br />
Knechel, W.R. (2007), The bus<strong>in</strong>ess risk<br />
audit: Orig<strong>in</strong>s, obstacles and opportunities.<br />
Account<strong>in</strong>g, Organizations and Society, vol. 32,<br />
no. 4-5, pp. 383-408.<br />
Koch, C., J.P. van Buuren en A. Wright<br />
(<strong>2011</strong>), Does price competition lead to lower<br />
audit effort and more lenient report<strong>in</strong>g?<br />
Experimental evi<strong>de</strong>nce, Work<strong>in</strong>g Paper,<br />
Nyenro<strong>de</strong> <strong>Bus<strong>in</strong>ess</strong> Universiteit.<br />
Kopp, L.S. en E. O’Donnell (2005), The<br />
<strong>in</strong>fluence of a bus<strong>in</strong>ess-process focus on<br />
category knowledge and <strong>in</strong>ternal control<br />
evaluation, Account<strong>in</strong>g, Organizations and<br />
Society, vol. 30, no. 5, pp. 423-434.<br />
Kotchetova, N. (2005), Analysis of client’s<br />
strategy and auditor’s risk assessment. Work<strong>in</strong>g<br />
Paper, University of Waterloo.<br />
Lemon, W., K. Tatum en S. Turley (2000),<br />
Developments <strong>in</strong> the audit methodologies of<br />
large account<strong>in</strong>g firms, Caxton Hill, Harford, UK:<br />
Stephen Aust<strong>in</strong> & Sons Ltd.<br />
Ne<strong>de</strong>rlandse Beroepsorganisatie van<br />
Accountants. Na<strong>de</strong>re Voorschriften<br />
Controlestandaar<strong>de</strong>n. HRA 1A (2010):<br />
NV Controlestandaard 200. Algemene<br />
doelstell<strong>in</strong>gen van <strong>de</strong> onafhankelijke accountant,<br />
alsme<strong>de</strong> het uitvoeren van een controle<br />
overeenkomstig <strong>de</strong> Standaar<strong>de</strong>n.<br />
NV Controlestandaard 315. Het on<strong>de</strong>rkennen<br />
en <strong>in</strong>schatten van <strong>de</strong> risico’s van een afwijk<strong>in</strong>g<br />
van materieel belang door mid<strong>de</strong>l van het<br />
verwerven van <strong>in</strong>zicht <strong>in</strong> <strong>de</strong> entiteit en haar<br />
omgev<strong>in</strong>g.<br />
NV Controlestandaard 500. Controle<strong>in</strong>formatie.<br />
NV Controlestandaard 520. Cijferanalyses.<br />
NV Controlestandaard 570. Cont<strong>in</strong>uïteit.<br />
NIVRA (2002) Bun<strong>de</strong>l1: Richtlijnen voor <strong>de</strong><br />
Accountantscontrole<br />
RAC 400 Risicoanalyse en <strong>in</strong>terne beheers<strong>in</strong>g<br />
O’Donnell, E. en J. Schultz Jr. (2005), The<br />
halo effect <strong>in</strong> bus<strong>in</strong>ess risk audits: Can strategic<br />
risk assessment bias auditor judgment about<br />
account<strong>in</strong>g <strong>de</strong>tails? The Account<strong>in</strong>g Review,<br />
vol. 80, no. 3, pp. 921-939.<br />
Peecher, M.E., R. Schwartz, en I. Solomon<br />
(2007), It’s all about audit quality: Perspectives<br />
on strategic-systems audit<strong>in</strong>g, Account<strong>in</strong>g,<br />
Organizations and Society, vol. 32, no. 4-5,<br />
pp. 463-485.<br />
Ranzilla, S., R. Chevalier, G. Herrmann,<br />
S. Glover en D. Prawitt (<strong>2011</strong>), Elevat<strong>in</strong>g<br />
professional judgment <strong>in</strong> audit<strong>in</strong>g: The KPMG<br />
Professional Judgment Framework, KPMG LLP.<br />
Robson, K., C. Humphrey, R. Khalifa en J.<br />
Jones (2007), Transform<strong>in</strong>g audit technologies:<br />
<strong>Bus<strong>in</strong>ess</strong> risk audit methodologies and the audit<br />
field, Account<strong>in</strong>g, Organizations and Society,<br />
vol. 32, no. 4-5, pp. 409-438.<br />
Schultz Jr., J.J., J.L. Bierstaker en<br />
E. O’Donnell (2010), Integrat<strong>in</strong>g bus<strong>in</strong>ess<br />
risk <strong>in</strong>to auditor judgment about the risk of<br />
material misstatement: The <strong>in</strong>fluence of a<br />
strategic-systems-audit approach,<br />
Account<strong>in</strong>g, Organizations and Society, vol. 35,<br />
no. 2, 238-251.