2011 Business Risk Auditing in de MKB jaarrekeningcontrole - V&A
2011 Business Risk Auditing in de MKB jaarrekeningcontrole - V&A
2011 Business Risk Auditing in de MKB jaarrekeningcontrole - V&A
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
3 Soorten bedrijfsrisico’s<br />
Standaard 315 schrijft voor dat <strong>de</strong> accountant <strong>in</strong>zicht dient<br />
te verwerven <strong>in</strong> <strong>de</strong> doelstell<strong>in</strong>gen en strategieën van <strong>de</strong><br />
entiteit en <strong>de</strong> daarmee verband hou<strong>de</strong>n<strong>de</strong> bedrijfsrisico’s 4<br />
die kunnen lei<strong>de</strong>n tot risico’s van een afwijk<strong>in</strong>g van materieel<br />
belang (315.11d). Uit <strong>de</strong>ze passage lei<strong>de</strong>n wij af dat <strong>de</strong><br />
standaar<strong>de</strong>n een beperktere, meer directe vorm van <strong>de</strong><br />
BRA-bena<strong>de</strong>r<strong>in</strong>g voorstaan. De accountant dient ‘slechts’<br />
die bedrijfsrisico’s (voortvloeiend uit <strong>de</strong> strategie) <strong>in</strong> overweg<strong>in</strong>g<br />
te nemen voor zover ze lei<strong>de</strong>n tot een risico op een<br />
afwijk<strong>in</strong>g van materieel belang <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g. Ter<br />
vergelijk<strong>in</strong>g, Knechel’s BRA-metho<strong>de</strong> (2001) kent een heel<br />
bre<strong>de</strong> <strong>in</strong>steek, die zich ook richt op bedrijfsrisico’s die <strong>in</strong><br />
eerste <strong>in</strong>stantie niet veel met een jaarreken<strong>in</strong>gcontrole van<br />
doen lijken te hebben. Knechel (2001) beschrijft bijvoorbeeld<br />
dat <strong>de</strong> beoor<strong>de</strong>l<strong>in</strong>g van <strong>de</strong> effectiviteit van market<strong>in</strong>g-bedrijfsprocessen<br />
en samenhangen<strong>de</strong> bedrijfsrisico’s<br />
z<strong>in</strong>vol is voor het vaststellen van controleproblemen. Ter<br />
on<strong>de</strong>rscheid van BRA noemen wij <strong>de</strong> beperktere bena<strong>de</strong>r<strong>in</strong>g<br />
van Standaard 315 <strong>de</strong> ‘BRMM’-controlebena<strong>de</strong>r<strong>in</strong>g<br />
(BedrijfsRisico’s resulterend <strong>in</strong> een risico op een Materiële<br />
onjuistheid <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g).<br />
Uit Standaard 315.A30/A31 volgt dat er bedrijfsrisico’s zijn<br />
die direct verband hou<strong>de</strong>n met bewer<strong>in</strong>gen <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g,<br />
en dat er bedrijfsrisico’s zijn die <strong>in</strong>direct verband<br />
hou<strong>de</strong>n met bewer<strong>in</strong>gen <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g. Voor <strong>de</strong><br />
concrete analyse van bedrijfsrisico’s naar kans op en impact<br />
van bedrijfsrisico’s op een materiële fout <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g<br />
(Standaard 315.15), is het volgens ons z<strong>in</strong>vol on<strong>de</strong>rscheid te<br />
maken <strong>in</strong> <strong>de</strong> volgen<strong>de</strong> categorieën bedrijfsrisico’s:<br />
Strategische bedrijfsrisico’s (SBR) – bedrijfsrisico’s die verband<br />
hou<strong>de</strong>n met het realiseren van strategische doelstell<strong>in</strong>gen,<br />
<strong>in</strong> het algemeen gemeten over een perio<strong>de</strong> van 3 jaar of<br />
langer. Deze bedrijfsrisico’s betreffen bijvoorbeeld <strong>de</strong><br />
mate waar<strong>in</strong> het management <strong>in</strong> staat is w<strong>in</strong>stgevendheid<br />
en groei <strong>in</strong> stand te hou<strong>de</strong>n, door juiste keuzes te<br />
maken <strong>in</strong> product/markt<strong>in</strong>novaties, tijdig <strong>in</strong> te spelen op<br />
noodzakelijke samenwerk<strong>in</strong>g en schaalvergrot<strong>in</strong>g en <strong>de</strong><br />
entiteit organisatorisch en f<strong>in</strong>ancieel slagvaardig te<br />
hou<strong>de</strong>n bij snelle economische en technologische ontwikkel<strong>in</strong>gen.<br />
Deze risico’s hangen vaak samen met grote<br />
meerjarige <strong>in</strong>vester<strong>in</strong>gen <strong>in</strong> on<strong>de</strong>rzoek en productiefaciliteiten<br />
<strong>in</strong> een sterk <strong>in</strong>ternationale omgev<strong>in</strong>g. Het missen<br />
van <strong>de</strong> snelle opmars van digitale fotocamera’s door Kodak<br />
en van smartphones door Nokia zijn concrete voorbeel<strong>de</strong>n<br />
van SBR’s. Uite<strong>in</strong><strong>de</strong>lijk kunnen SBR’s grote gevolgen<br />
hebben voor het voortbestaan van entiteiten en <strong>de</strong> waar<strong>de</strong>r<strong>in</strong>g<br />
van <strong>in</strong>vester<strong>in</strong>gen <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g.<br />
Tactische bedrijfsrisico’s (TBR) – <strong>de</strong>ze bedrijfsrisico’s hou<strong>de</strong>n<br />
verband met het realiseren van bedrijfsdoelstell<strong>in</strong>gen op<br />
mid<strong>de</strong>llange termijn (1-3 jaar). Vaak is <strong>de</strong> verantwoor<strong>de</strong>-<br />
lijkheid voor <strong>de</strong>ze risico’s op een lager niveau <strong>in</strong> <strong>de</strong><br />
organisatie (bijvoorbeeld bus<strong>in</strong>ess unit-niveau) gelegd.<br />
Voorbeel<strong>de</strong>n van <strong>de</strong>rgelijke risico’s zijn het niet kunnen<br />
realiseren en/of succesvol <strong>in</strong>troduceren van nieuwe of<br />
verbeter<strong>de</strong> producten en diensten (time-to-market is te<br />
lang). Vanwege keuzes voor leveranciers, verkoopkanalen,<br />
product/marktcomb<strong>in</strong>aties en geselecteer<strong>de</strong> product/<br />
dienstkwalificaties doelstell<strong>in</strong>gen omtrent marktaan<strong>de</strong>len,<br />
w<strong>in</strong>stgevendheid en omzet niet kunnen behalen.<br />
Dit kan gevolgen hebben voor bijvoorbeeld <strong>de</strong> terugverdientermijnen<br />
van <strong>in</strong>vester<strong>in</strong>gen en daarmee <strong>de</strong> waar<strong>de</strong>r<strong>in</strong>g<br />
van productielijnen en an<strong>de</strong>re <strong>in</strong>vester<strong>in</strong>gen. Een<br />
an<strong>de</strong>r voorbeeld van een TBR is <strong>de</strong> keuze voor een <strong>in</strong>a<strong>de</strong>quaat<br />
management<strong>in</strong>formatiesysteem of het sturen op <strong>de</strong><br />
verkeer<strong>de</strong> kritische succesfactoren of prestatie-<strong>in</strong>dicatoren.<br />
Operationele bedrijfsrisico’s (OBR) – bedrijfsrisico’s die verband<br />
hou<strong>de</strong>n met het realiseren van bedrijfsdoelstell<strong>in</strong>gen<br />
over een perio<strong>de</strong> van korter dan 1 jaar. Deze bedrijfsrisico’s<br />
betreffen uitvoer<strong>in</strong>gsrisico’s, zoals het afleveren van<br />
producten en diensten on<strong>de</strong>r het gestel<strong>de</strong> niveau, mogelijk<br />
resulterend <strong>in</strong> klachten en extra kosten voor herstel. An<strong>de</strong>re<br />
voorbeel<strong>de</strong>n zijn te lage operationele kasstroom, waardoor<br />
acute betal<strong>in</strong>gsproblemen kunnen ontstaan, het verkopen<br />
van producten en diensten aan wanbetalers, onvoldoen<strong>de</strong><br />
beheers<strong>in</strong>g hebben op budgetten, onbetrouwbare stur<strong>in</strong>gs<strong>in</strong>formatie,<br />
zoals tussentijdse cijfers en prestatie-<strong>in</strong>dicatoren,<br />
een <strong>in</strong>a<strong>de</strong>quate aanstur<strong>in</strong>g van me<strong>de</strong>werkers, voorkomen<br />
van frau<strong>de</strong>, etc.<br />
In elke controle zal <strong>de</strong> accountant na<strong>de</strong>nken over elke soort<br />
bedrijfsrisico: SBR, TBR en OBR. De bedrijfsdoelen en resulteren<strong>de</strong><br />
bedrijfsrisico’s hangen dan ook sterk samen: strategische<br />
doelen wor<strong>de</strong>n uitgewerkt naar tactische doelen,<br />
welke weer wor<strong>de</strong>n uitgewerkt naar operationele doelen.<br />
Echter, <strong>de</strong> mate waar<strong>in</strong> elk soort BR wordt geanalyseerd en<br />
er daadwerkelijk controlemaatregelen wor<strong>de</strong>n uitgevoerd<br />
en controlebewijs wordt vergaard om <strong>de</strong> effectiviteit van <strong>de</strong><br />
achterliggen<strong>de</strong> bedrijfsprocessen te beoor<strong>de</strong>len, zal sterk<br />
afhankelijk zijn van <strong>de</strong> complexiteit van <strong>de</strong> entiteit. Alleen<br />
(zeer) grote en complexe entiteiten zullen hebben geïnvesteerd<br />
<strong>in</strong> een formeel SBR/TBR-analysesysteem met achterliggen<strong>de</strong><br />
bedrijfsprocessen. SBR’s hebben betrekk<strong>in</strong>g op<br />
langere termijn (toekomst-georiënteer<strong>de</strong>) ontwikkel<strong>in</strong>gen<br />
van <strong>de</strong> organisatie en zijn doorgaans op een hoog abstractieniveau<br />
geformuleerd, en lang niet altijd is er een zichtbaar<br />
effect op risico’s <strong>in</strong> <strong>de</strong> huidige jaarreken<strong>in</strong>g. Dit geldt ook,<br />
zij het <strong>in</strong> m<strong>in</strong><strong>de</strong>re mate voor TBR’s. Met een OBR kan <strong>de</strong><br />
accountant doorgaans beter uit <strong>de</strong> voeten met het maken<br />
van een vertaalslag naar concrete risico’s op materiële<br />
onjuisthe<strong>de</strong>n <strong>in</strong> <strong>de</strong> jaarreken<strong>in</strong>g. Uite<strong>in</strong><strong>de</strong>lijk gaat het bij <strong>de</strong><br />
bedrijfsrisicoanalyse (BR-analyse) om het verkrijgen van<br />
voldoen<strong>de</strong> begrip <strong>in</strong> <strong>de</strong> organisatie. Afhankelijk van <strong>de</strong><br />
complexiteit van een gecontroleer<strong>de</strong> organisatie, zoals <strong>de</strong><br />
85 E JAARGANG OKTOBER 515