Interne beheersing in de mkb-praktijk
Wat is het toch dat accountants zichzelf keer op keer op het verkeerde been zetten door controlebewijskracht toe te kennen aan 'interne beheersingsmaatregelen' die dat niet zijn? Waarom leren deze collega's het verschil maar niet tussen interne beheersingsmaatregelen en entity level controls?
Wat is het kenmerkende verschil tussen beide?
Wat mij betreft is het belangrijkste verschil dat interne beheersingsmaatregelen op werking kunnen worden getoetst en entity level controls alleen op bestaan. Entity level controls zijn steunmaatregelen die de kans op fouten verkleinen maar deze niet kunnen ontdekken of verbeteren. Interne beheersingsmaatregelen hebben deze kracht juist wel.
Je kunt bij de controle dus per definitie niet op de werking van entity level controls steunen.
Als je de werking van een entity level control-test, zegt dat alleen iets over de geteste waarnemingen en niets over de werking van het systeem.
Probleem in de mkb-controlepraktijk is dat er bij de meeste ondernemingen (heel) veel entitity level controls zijn maar nauwelijks tot geen interne beheersingsmaatregelen. Er wordt door de accountant dan maar gesteund op de werking van de entity level controls, want 'je moet toch iets'.
Ja, het is fijn als de directeur een handtekening zet onder een verkoopcontract. Maar dat zegt niets over de interne beheersing rond het verkoopcontractenbeheer. Deze maatregel vermindert de kans op foutieve verkoopcontracten, maar ontdekt niet de contracten waarop de handtekening ontbreekt.
Er is pas sprake van een interne beheersingsmaatregel als iemand (of de software) binnen de organisatie controleert dat de directeur zijn handtekening onder ieder verkoopcontract zet. Als je de werking van deze maatregel in voldoende hebt gecontroleerd, kun je voor dit aspect op het systeem steunen, anders niet.
Ja, het is fijn als iemand van de administratie inkomende goederen facturen controleert met pakbonnen. Dit vermindert de kans op foutieve inkoopfacturen, maar ontdekt niet de inkoopfacturen die niet met een pakbon zijn gecontroleerd.
Er is pas sprake van een interne beheersingsmaatregel als iemand (of de software) binnen de organisatie controleert dat iedere inkomende goederen factuur is gecontroleerd met de pakbon. Als je de werking van deze maatregel in voldoende mate hebt gecontroleerd, kun je voor dit aspect op het systeem steunen, anders niet.
En zo kan ik nog wel een tijdje doorgaan.
Het testen van de 'werking' van entity level controls is verloren moeite en voegt geen zekerheid aan de controle toe. Het eenmalig vaststellen van het bestaan is voldoende om te kunnen beoordelen of een proces een hoog of een laag foutenrisico heeft. Veel entity level controls binnen het proces: laag foutenrisico.
Weinig entity level controls binnen het poces: hoog foutenrisico.
Maar dit foutenrisico zegt niets over de continue goede werking van de interne beheersing binnen het proces. Dat doel wordt pas bereikt als door iemand (of de software) wordt gecontroleerd dat deze entity level controls op iedere transactie worden uitgevoerd; pas dan zijn het interne beheersingsmaatregelen geworden.
Uiteraard kunnen deze werkzaamheden worden beperkt tot die beheersingsmaatregelen die de accountant voor zijn controle(doelstellingen) relevant acht.
Waarom wordt er dan toch zoveel kostbare controletijd aan verspild?
Heel eenvoudig: gebrek aan basiskennis over het controlevak en omdat het ongemakkelijk voelt als er geen interne beheersingsmaatregelen binnen een proces of onderneming te bekennen zijn? Of is het de angst om te veel te moeten doen?
Wat is het verschil in controleaanpak bij een onderneming met goede interne beheersingsmaatregelen en precies dezelfde onderneming met ontbrekende interne beheersingsmaatregelen?
Bij de eerste onderneming kan controlezekerheid worden verkregen uit een mix van het vaststellen van de goede werking van relevante interne beheersingsmaatregelen en het in aanvulling uitvoeren van beperkte gegevensgerichte controlewerkzaamheden. De uitvoering van werkzaamheden verschuift van gegevensgericht naar systeemgericht; als de accountant daar tenminste voor kiest.
Bij de tweede onderneming kan slechts controlezekerheid worden verkregen door het uitvoeren van uitgebreide gegevensgerichte controlewerkzaamheden. De uitvoering van de werkzaamheden beperkt zich tot het vaststellen van het bestaan van de entity level controls en vindt verder volledig gegevensgericht plaats. En ja, bij de controle op de volledigheid van de opbrengstverantwoording kan dit problemen geven , maar dat is geheel afhankelijk van de omstandigheden.
Veel controledossiers die ik zie moet ik helaas alleen al op dit aspect afkeuren. Te veel gesteund op interne beheersingsmaatregelen die dat niet zijn, waardoor te weinig geschikte controle informatie is verkregen om het oordeel in de controleverklaring te kunnen onderbouwen.
En dat is niet nodig als er minder tijd wordt verprutst bij menig interimcontrole en deze tijd bij de jaareinde controle nuttig wordt ingezet.
Gerelateerd
Laten we zuinig zijn op assurance in het mkb
Accountantskantoren die weinig assurance-opdrachten uitvoeren, stoppen daar steeds vaker mee. Zo schiet de sector zichzelf in de voet, waarschuwt John Weerdenburg.
Terugkijken: NBA Helpt-webinar over duurzaamheid in het mkb
Bijna vierhonderd NBA-leden namen eind mei deel aan het NBA Helpt-webinar 'Duurzaamheid in het mkb'. Inmiddels is het webinar ook via YouTube terug te kijken.
Besluit verhoging controlegrenzen gepubliceerd
Het besluit over de verhoging van de controlegrenzen, waar de ministerraad recent mee instemde, is op 12 maart gepubliceerd in het Staatsblad. Daarmee treedt het...
Ministerraad stemt in met verhoging controlegrenzen
De ministerraad heeft ingestemd met de algemene maatregel van bestuur die de verhoging van de grensbedragen voor controles regelt. Daarmee verlaagt het kabinet de...
Raad van State positief over voorstel verhoging controlegrenzen
De Raad van State adviseert positief over de verhoging van de grensbedragen voor wettelijke controles, zoals vastgelegd in de gewijzigde Europese Richtlijn en voorgesteld...