Magazine

Zoek de zwarte zwaan

Het toetsen van de interne beheersing kan efficiënter en effectiever door daarbij de wetenschappelijke methode van falsificeren toe te passen. Praktijkervaringen laten dat ook zien. Waarom één zwarte zwaan meer zegt dan duizend witte.

Dit artikel is verschenen in de Accountant nr. 5, 2007

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Tom Koning

Zijn de controlerichtlijnen voldoende concreet? Wapenen ze de accountant voldoende tegen de omgeving, waarin hij steeds vaker moet vertrouwen op geautomatiseerde processen? Ik vind van wel, maar daarvoor is het nodig bepaalde delen van RAC 330 goed te lezen.

De belangrijkste paragraaf is volgens mij paragraaf 34. Deze is niet vetgedrukt maar geeft een heel duidelijke handreiking voor het testen van de interne beheersing. In die paragraaf staat dat onjuistheden die de accountant tijdens het uitvoeren van gegevensgerichte werkzaamheden ontdekt, in overweging moet nemen bij het beoordelen van de effectieve werking van de daarmee verbonden beheersingsmaatregelen. Dit lijkt op het begrip falsificatie van Karl Popper, zoals dat ook in de wetenschap wordt toegepast. Of onze collega’s van de International Federation of Accountants het daadwerkelijk zo hebben bedoeld is onduidelijk, maar het kan een eye opener zijn.

Zwarte zwaan

Het principe van falsificatie gaat ervan uit dat een onderzoeker een stelling kan bewijzen als deze falsificeerbaar is, ofwel dat het mogelijk moet zijn het logische tegendeel te bewijzen. Zo zou de stelling dat alle zwanen wit zijn kunnen worden gefalsificeerd door één zwarte zwaan te vinden, terwijl het tellen van een miljoen witte zwanen nog steeds geen sluitend bewijs zou vormen.

Een onderzoeker die niet zoekt naar zwarte zwanen ziet ze mogelijk over het hoofd. Bij het onderzoeken van stellingen kan falsificatie dus mogelijk een sterker bewijs bieden dan alleen verificatie.

Wat zou er gebeuren wanneer accountants dit wetenschappelijke principe toepassen op het testen van de interne beheersing? De te onderzoeken stelling (van het management) is dan: ‘Deze controlemaatregel is met een redelijke mate van zekerheid in staat een materiële fout in de verantwoording te voorkomen óf te ontdekken en te corrigeren.’

De accountant richt zich vervolgens op het zoeken naar voorbeelden waar controlemaatregelen onvoldoende of helemaal niet zijn toegepast. Als het niet lukt die voorbeelden te vinden, dan heeft hij daarmee sterker bewijs voor de stelling van het management dan wanneer hij alleen verificatie toepast.

In de volgende paragrafen wordt dit principe gespiegeld aan de verschillende testmethoden zoals RAC 330 die benoemt: inwinnen van inlichtingen, waarneming ter plaatse, documentatie bekijken en herhalen van de uitvoering.

Op basis van een aantal (gestileerde en geanonimiseerde) praktijksituaties en anecdotal evidence zal ik laten zien dat het falsificerend toepassen van deze methoden de kans om een zwarte zwaan over het hoofd te zien kan verminderen.

Inwinnen van inlichtingen

Iedere accountant weet dat accountantscontrole bestaat uit toetsen aan normen.

Inwinnen van inlichtingen op basis van een normstelling is feitelijk falsificeren. De accountant stelt door middel van open vragen vast óf degene die hij interviewt het juiste antwoord weet.

Weet die persoon:

  • Wat hij moet doen.
  • Waar hij dat mee moet doen.
  • Wanneer hij dat moet doen.
  • Wát de relevantie daarvan is.

Mijn mooiste ervaring in dit kader is een onderzoek naar beheersing van functiescheidingen in een IT-systeem. Het controleteam had een lijst met noodzakelijke functiescheidingen opgesteld, die essentieel waren voor beweringen in de jaarrekening. De lijst bevatte voor de hand liggende zaken als een functiescheiding tussen mutatie voorraad en crediteurenstamgegevens en tussen mutaties prijstabel en verkoop.

Wij hadden in totaal acht functiescheidingen als norm verzameld en vroegen de voor IT-security verantwoordelijke persoon ‘waar let u op?’. Zonder hints te geven en zonder voorbereiding had deze persoon in staat moeten zijn om antwoord te geven. Voor één van de functiescheidingen kon hij dat inderdaad, maar de overige functiescheidingen kon hij niet noemen. Het controleteam had dus zeven zwarte zwanen gevonden. Iemand die niet weet wat hij moet doen kan immers onmogelijk zijn taak goed uitvoeren. Het testen van de interne beheersing was dus klaar en we konden rapporteren dat deze niet voldeed aan de eisen. Het arbeidsintensief doornemen van de tabel met rollen per user ID kon achterwege blijven. Dit arbeidsintensieve werk als enige accountantsprocedure kan, zoals betoogd, bovendien niet bewijzen dat er sprake is van een goede interne beheersing rondom die tabel.

Waarneming ter plaatse

Waarneming ter plaatse staat genoemd in paragraaf 30. Deze paragraaf gaat in op het testen van controlemaatregelen in de automatisering. Dit is het type controlemaatregel waar falsificerend waarnemen het snelst en meest eenduidig een zwarte zwaan kan opleveren.

Als tweedejaars assistent moest ik systeemgerichte werkzaamheden uitvoeren in een verkoopproces. Volgens een procesbeschrijving waren er twee belangrijke interne beheersmaatregelen in de automatisering in dat proces:

  • de prijsberekening was automatisch op basis van ingevoerde gegevens;
  • de door het systeem berekende prijs was niet te overschrijven door de medewerkers.

Een medewerker vertelde al tijdens het eerste gesprek dat de prijsberekening heel eenvoudig te overschrijven was. Als hij dat niet had gezegd weet ik niet of ik er zelfstandig achter zou zijn gekomen, maar ik nam mezelf toen voor om voortaan falsificerende waarneming ter plaatse toe te passen op beheersmaatregelen in de IT.

Het is niet arbeidsintensief om een medewerker in aanwezigheid van de accountant zijn functie te laten doorbreken en vervolgens door waarneming ter plaatste vast te stellen dat het systeem blokkeert. Maar als het systeem niet blokkeert heb je een zwarte zwaan gevonden, hoef je geen verdere systeemgerichte werkzaamheden uit te voeren en is bewezen dat de stelling van het management niet waar is. Sindsdien is dat mij al meer keren overkomen.

Documentatie bekijken

Het falsificerende doornemen van documenten heeft vaak betrekking op door een mens uitgevoerde maatregelen van interne beheersing. Daardoor bestaat er altijd een kans op willekeurige fouten. Mensen werken niet altijd even nauwkeurig en ook de kwaliteit van hun vastlegging verschilt van tijd tot tijd. Daarom moet een accountant bij het falsificerende doornemen van documenten zijn professional judgment het sterkst aanspreken. Vooral omdat hij bij het doornemen van documenten ook sterk bewijs kan aantreffen dat de control wel effectief is.

Neem ter illustratie de beheersing van de uitgaande geldstroom. Vaak bestaat die controle uit een afstemming tussen de conceptbetaalopdracht, de originele facturen en de parafenlijst. Dit is feitelijk een functiescheiding buiten het systeem, waarbij de procuratiehouder vaststelt dat uitsluitend functionarissen die geen conceptbetaalbatch op kunnen stellen (bewarende functie), door hun paraaf (uitvoeren beschikkende functie) hebben geautoriseerd voor betaling.

Falsificeren kan dan op verschillende manieren, afhankelijk van het belang van de uitgaande geldstroom:

  • Het doornemen van de map met betaalbatches om alle batches te verzamelen waar geen interne controletekens op staan.
  • Het doornemen van facturenmappen om voorbeelden te verzamelen van facturen die niet zijn getekend (maar toch zijn uitbetaald).
  • Het doornemen van facturenmappen om te zoeken naar parafen van functionarissen die niet voorkomen op de parafenlijst.
  • Het verzamelen van kopieën van de aangetroffen parafen (als een parafenlijst ontbreekt) om de voor de controle verantwoordelijke medewerker te vragen van wie deze zijn. Deze persoon moet namelijk in staat zijn om op basis van parate kennis antwoord te geven. Vervolgens vraagt de accountant de paraferende personen om een paraaf te zetten om te verifiëren dat het inderdaad hun paraaf is.

Het gevonden bewijs is soms heel eenduidig. Het leukste voorbeeld was een projectorganisatie waar urenstaten van medewerkers moesten worden getekend door een van de vijf projectmanagers. Een assistent uit het controleteam had bij deze cliënt twee uur lang falsificerend documenten doorgenomen. Zij had alle urenstaten van één persoon verzameld. Wij troffen daar in totaal zeventien verschillende parafen op aan. Een duidelijk geval van een geslaagde falsificatie.

Soms tref je op conceptbetaallijsten ook aantekeningen aan als ‘paraaf niet bekend, blokkeren!’, ‘bankrekeningnummer onjuist, blokkeren!’, ‘typefout in bedrag, aanpassen!’. Dat maakt juist aannemelijk dat de interne beheersing wel werkt. Paragraaf 97 van auditing standard nummer 2 van de PCAOB onderkent dit ook en gaat zijdelings in op navraag naar intern gevonden fouten. Feitelijk is dat een soort omgekeerd falsificeren. Als een niet gevonden fout duidt op een ineffectieve interne beheersing, dan duidt een intern gevonden fout mogelijk op een effectieve interne beheersing.

Herhalen van de uitvoering

Bij herhalen van de uitvoering hoeven we niet lang stil te staan. Vaak is dit het vaststellen dat de intern geplaatste controletekens terecht zijn geplaatst. Daarmee hebben deze werkzaamheden vaak een verifiërend karakter. Uit herhaling van uitvoering kán blijken dat intern gezette controletekens onterecht zijn gezet. In dat geval levert het een zwarte zwaan op. Maar naar haar karakter dient deze methode als allerlaatste verifiërende stap om tot een verzameling bewijzen te komen.

Meer controlebewijs

Tijdens het plannen van de eerste drie soorten werkzaamheden om de interne controle te testen, kan een accountant het falsificatiebeginsel dus in het achterhoofd houden. De manier waarop en mate waarin hij deze aanpak volgt kan afhankelijk zijn van de inrichting van het proces, het inherente risico, bevindingen uit voorgaande jaren en het type controlemaatregelen. Als falsificatie geen resultaten oplevert moet vaak toch nog verificatie worden toegepast. Om bevestiging te zoeken van voorbeelden waar de interne beheersing wel heeft gewerkt moet de accountant herhaling van procedures toepassen.

Hoe dan ook: het toepassen van het falsificatiebeginsel bij het toetsen van de interne beheersing leidt tot een concrete en efficiënte aanpak en mogelijk ook tot meer controlebewijs.

Noot
Tom Koning is werkzaam bij KPMG Financial Services. Het artikel is geschreven op persoonlijke titel.

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.