Accountant
NBA-platform voor accountants en financials
Overig
Magazine Podcast Dossiers Nieuwsbrief Contact
Home > Opinie > 2016 > 3 > Interne beheersing in de mkb-praktijk
Opinie

Interne beheersing in de mkb-praktijk

Leestijd van ongeveer 3 minuten 9 reacties

Wat is het toch dat accountants zichzelf keer op keer op het verkeerde been zetten door controlebewijskracht toe te kennen aan 'interne beheersingsmaatregelen' die dat niet zijn? Waarom leren deze collega's het verschil maar niet tussen interne beheersingsmaatregelen en entity level controls?

Wat is het kenmerkende verschil tussen beide?

Wat mij betreft is het belangrijkste verschil dat interne beheersingsmaatregelen op werking kunnen worden getoetst en entity level controls alleen op bestaan. Entity level controls zijn steunmaatregelen die de kans op fouten verkleinen maar deze niet kunnen ontdekken of verbeteren. Interne beheersingsmaatregelen hebben deze kracht juist wel.

Je kunt bij de controle dus per definitie niet op de werking van entity level controls steunen.

Als je de werking van een entity level control-test, zegt dat alleen iets over de geteste waarnemingen en niets over de werking van het systeem.

Probleem in de mkb-controlepraktijk is dat er bij de meeste ondernemingen (heel) veel entitity level controls zijn maar nauwelijks tot geen interne beheersingsmaatregelen. Er wordt door de accountant dan maar gesteund op de werking van de entity level controls, want 'je moet toch iets'.

Ja, het is fijn als de directeur een handtekening zet onder een verkoopcontract. Maar dat zegt niets over de interne beheersing rond het verkoopcontractenbeheer. Deze maatregel vermindert de kans op foutieve verkoopcontracten, maar ontdekt niet de contracten waarop de handtekening ontbreekt.

Er is pas sprake van een interne beheersingsmaatregel als iemand (of de software) binnen de organisatie controleert dat de directeur zijn handtekening onder ieder verkoopcontract zet. Als je de werking van deze maatregel in voldoende hebt gecontroleerd, kun je voor dit aspect op het systeem steunen, anders niet.

Ja, het is fijn als iemand van de administratie inkomende goederen facturen controleert met pakbonnen. Dit vermindert de kans op foutieve inkoopfacturen, maar ontdekt niet de inkoopfacturen die niet met een pakbon zijn gecontroleerd.

Er is pas sprake van een interne beheersingsmaatregel als iemand (of de software) binnen de organisatie controleert dat iedere inkomende goederen factuur is gecontroleerd met de pakbon. Als je de werking van deze maatregel in voldoende mate hebt gecontroleerd, kun je voor dit aspect op het systeem steunen, anders niet.

En zo kan ik nog wel een tijdje doorgaan.

Het testen van de 'werking' van entity level controls is verloren moeite en voegt geen zekerheid aan de controle toe. Het eenmalig vaststellen van het bestaan is voldoende om te kunnen beoordelen of een proces een hoog of een laag foutenrisico heeft. Veel entity level controls binnen het proces: laag foutenrisico.

Weinig entity level controls binnen het poces: hoog foutenrisico.

Maar dit foutenrisico zegt niets over de continue goede werking van de interne beheersing binnen het proces. Dat doel wordt pas bereikt als door iemand (of de software) wordt gecontroleerd dat deze entity level controls op iedere transactie worden uitgevoerd; pas dan zijn het interne beheersingsmaatregelen geworden.

Uiteraard kunnen deze werkzaamheden worden beperkt tot die beheersingsmaatregelen die de accountant voor zijn controle(doelstellingen) relevant acht.

Waarom wordt er dan toch zoveel kostbare controletijd aan verspild?

Heel eenvoudig: gebrek aan basiskennis over het controlevak en omdat het ongemakkelijk voelt als er geen interne beheersingsmaatregelen binnen een proces of onderneming te bekennen zijn? Of is het de angst om te veel te moeten doen?

Wat is het verschil in controleaanpak bij een onderneming met goede interne beheersingsmaatregelen en precies dezelfde onderneming met ontbrekende interne beheersingsmaatregelen?

Bij de eerste onderneming kan controlezekerheid worden verkregen uit een mix van het vaststellen van de goede werking van relevante interne beheersingsmaatregelen en het in aanvulling uitvoeren van beperkte gegevensgerichte controlewerkzaamheden. De uitvoering van werkzaamheden verschuift van gegevensgericht naar systeemgericht; als de accountant daar tenminste voor kiest.

Bij de tweede onderneming kan slechts controlezekerheid worden verkregen door het uitvoeren van uitgebreide gegevensgerichte controlewerkzaamheden. De uitvoering van de werkzaamheden beperkt zich tot het vaststellen van het bestaan van de entity level controls en vindt verder volledig gegevensgericht plaats. En ja, bij de controle op de volledigheid van de opbrengstverantwoording kan dit problemen geven , maar dat is geheel afhankelijk van de omstandigheden.

Veel controledossiers die ik zie moet ik helaas alleen al op dit aspect afkeuren. Te veel gesteund op interne beheersingsmaatregelen die dat niet zijn, waardoor te weinig geschikte controle informatie is verkregen om het oordeel in de controleverklaring te kunnen onderbouwen.

En dat is niet nodig als er minder tijd wordt verprutst bij menig interimcontrole en deze tijd bij de jaareinde controle nuttig wordt ingezet.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Gerard Dirven is registeraccountant, oud partner van Ernst & Young Accountants en nagenoeg zijn hele werkzame leven werkzaam als openbaar accountant.

Gerelateerd

9 reacties

Jan

Geachte heer Dirven,

Ik ben niet helemaal eens met uw standpunt, omdat ten eerste van belang is welke handelingen verricht de directeur voordat hij bijvoorbeeld een verkoopcontract tekent. In het geval dat hij eerst vaststelt of alle stappen (en autorisaties) zijn uitgevoerd en daarna pas tekent dan kan je dat naar m.i. wel als een IB maatregel beschouwen. Ten tweede kan bijvoorbeeld de procedure zijn dat elke contract door de directeur wordt getekend. Wanneer je de populatie van het aantal geregistreerde verkoopcontracten (betrouwbaarheid lijstwerk) hebt vastgesteld en daarna a-select de deelwaarnemingen selecteert dan controleer je daarmee of deze procedure wordt nageleefd.

Groeten,
Jan

Gerard Dirven

Beste Alle,

Sorry voor mijn foutieve vorige reactie.
De correcte reactie moet als volgt zijn:
We hebben het inderdaad over hetzelfde.
Zo'n bedrijf is heel erg in control maar alleen gegevensgericht en niet systeemgericht te controleren.

Gerard Dirven

Beste Alle,

We hebben het inderdaad over hetzelfde.
Zo'n bedrijf is heel erg in control maar niet te controleren.

Alle Bergsma

Beste Gerard,

Praten we hier over een MKB-praktijk waarbij de omvang zodanig is dat de DGA de in-en-outs van het bedrijf nog kan overzien? Dus dat de DGA zodanig betrokken is en zodanig een vinger in de pap heeft, dat indien er zaken afwijken je de DGA naast je bureau hebt staan die om opheldering vraagt?

Dat is namelijk wel vaak de omvang waarbij er geen formele vastleggingen zijn in registers van afwijkingen en van interne beheersingsmaatregelen. Maar ook de omvang waarbij er interne controle is door bijvoorbeeld de inkoper, maar ook door de DGA. De omvang waarbij op maandagmorgen even de puntjes op de i worden gezet, zonder dat hier formele notulen van zijn.

Mijns inziens is zo'n bedrijf juist heel erg in control en zou een controle zich vooral moeten richten op de risico's van verkeerde verantwoording en hierop een gegevensgerichte controle. Bijvoorbeeld afgrenzing, contanten, juiste koppeling tussen systemen en posten met significante oordeelsvorming.

Bedoelen we dan hetzelfde?

Gerard Dirven

Heren,
Hartelijk dank voor jullie actieve participatie in deze vaktechnische discussie. Ik zal proberen mijn visie nog enigszins te verduidelijken.

Uitvoeren van een controlehandeling (entity level control) is één. Vaststellen dat een controlehandeling consequent is uitgevoerd (interne beheersingsmaatregel) is iets anders. Dat laatste is naar mijn mening waar we als accountant op willen steunen. Door vast te stellen dat de laatste handeling een heel jaar heeft gefunctioneerd geeft je dat als accountant de controlezekerheid die je zoekt.

Nog even specifiek ingaand op Pieter's vraag. Als een DGA alle betalingen goedkeurt en tevens zelf vaststelt dat hij alle betalingen heeft goedgekeurd is dat geen interne beheersingsmaatregel waar we op kunnen steunen omdat deze mank gaat op de benodigde functiescheiding tussen beschikken (betaling goedkeuren) en controleren (vaststellen dat alle betalingen zijn goedgekeurd).

Ik hoop hiermede jullie vragen afdoende te hebben beantwoord. Mocht dat niet het geval zijn laat dan zeker nog wat van je horen.

Met vriendelijke groet,

Gerard Dirven

Alle Bergsma

Welk belang heeft de magazijnmeester, administratie, inkoper er bij om verkeerd te verantwoorden?

Door de korte lijnen in het MKB zullen bij diverse afwijkingen toch direct maatregelen genomen worden op deze persoon? Doordat je veel minder anoniem bent in de mkb-praktijk dan in een grote organisatie, is de ontdekkingskans van verkeerd verantwoorden ook veel groter. Immers als jij de persoon bent die inkoopfacturen inboekt (en niet met 5 anderen), dan zal jij die fout hebben gemaakt. Je kijkt wel uit...

Het ontbreken van een vastleggingsdocument van afwijken is dan toch ook een logische? Immers het probleem wordt direct opgepakt, afgestemd en afgehandeld. Als je dan zegt dat je dit hebt uitgevoerd (zonder het te kunnen aantonen met papieren), is het dan niet uitgevoerd?

Pieter de Kok

Gerard, ik begrijp je betoog, eens, hoewel ik het MKB ICT landschap wat onderbelicht vind, hetgeen betekent dat menig controle in mijn praktijk nu ook in MKB veelal een mix is van ITGC, application, steekproeven op input/normen en data analyse rondom transacties (gegevensgericht) is. Enity levels controls zijn zelden geformaliseerd in MKB. Risico-analyses? Whistleblowers? Wel zijn er veel DGAs die gelukkig zeer actief onderdeel zijn van het wat ik zie het "controle raamwerk ". Collegas van Audit & Co hebben hier een prima en treffend stuk over: http://www.auditenco.nl/sites/default/files/De%20DGA%20een%20significant%20risico%20of%20een%20ELC_0.pdf

Wat betreft je prima betoog dat ik oo onze Yammer ook nog maar eens heb gedeeld begrijp ik alleen niet een paragraaf, kan je dit verder inkleuren? Welke entity level controls bijvoorbeeld? Zijn er voorbeelden van MKB entity level controls die ook als IB maatregel kunnen fungeren? Bijvoorbeeld DGA (als vertegenwoordiger entiteit) keurt alle betalingen goed en stelt tevens vast (IB maatregel) dat hij alle facturen heeft goedgekeurd? Of slip of the pen omdat entity level controls, zelfs in mkb setting, geen IB maatregel kan zijn?

"Dat doel wordt pas bereikt als door iemand (of de software) wordt gecontroleerd dat deze entity level controls op iedere transactie worden uitgevoerd; pas dan zijn het interne beheersingsmaatregelen geworden."


Adriaan van der Putten

Geachte Victor,

In het door u geschetste inkoopproces dienen de betrokken personen wel hun bevindingen en de wijze waarop de afwijkingen zijn opgelost zichtbaar schriftelijk vast te leggen en te rapporteren (verantwoordingsrapportages).
Dus de magazijnmeester documenteert de afwijkingen tussen bestelling en ontvangst / pakbon; de financiële administratie documenteert de afwijkingen tussen inkoopfactuur met de goedgekeurde pakbon; het hoofd inkoop documenteert de afwijkingen tussen de inkoopfactuur en de bestelling en de directeur documenteert de afwijkingen tussen de betaling en de administratie.

Door kennis te nemen van deze verantwoordingsrapportages kan de accountant vaststellen of de interne beheersingsmaatregelen al of niet hebben gewerkt.

Een voorbeeld ter verduidelijking: als het hoofd inkoop in zijn rapportage een afwijking registreert in de inkoopfactuur en de bestelling dan heeft de interne beheersingsmaatregel van ofwel de magazijnmeester ofwel de financiële administratie onvoldoende gewerkt. Zij hadden namelijk al in een eerder stadium een afwijking moeten registreren (en moeten rapporteren); de magazijnmeester tussen bestelling en pakbon of de financiële administratie tussen de inkoopfactuur en de goedgekeurde pakbon.

Uw opmerking dat de accountant kan steunen op controle-technische-functiescheiding, mits hij het bestaan en de werking heeft getest, lijkt mij niet voldoende.
Alleen als de organisatie naast de controle-technische-functiescheidingen degelijke verantwoordingsrapportage aan de accountant kan verstrekken zegt dit iets over zowel de geteste waarnemingen als niet-geteste waarnemingen en dus over de werking van het systeem. Als de organisatie geen verantwoordingsrapportages aan de accountant kan verstrekken dan zegt de werking van de door de heer Dirven genoemde entity level control-test alleen iets over de geteste waarnemingen en niets over de werking van het systeem.

In het MKB ontbreekt het helaas vaak aan zichtbare verantwoordingsrapportages, waardoor de werking van de geteste waarnemingen alleen iets zegt over de waarneming zelf en niets over de werking van het systeem.

Ten aanzien van uw opmerking “Bovendien is dat ook helemaal niet haalbaar (lees: te kostbaar) voor een gemiddelde MKB-handelsonderneming”, denk ik dat dit mee zal vallen. De interne beheersingsmaatregelen hoeven slechts te worden aangevuld met een vereiste dat de bevindingen in een verantwoordingsrapportage worden vastgelegd.

Victor

Geachte heer Dirven,

Bedankt voor deze opinie waarin we teruggaan naar de basis. Ik vraag me echter af of deze redenering juist is, zeker als we focussen op de MKB-markt.

Laten we kijken naar een inkooptransactie bij een gemiddelde MKB-handelsonderneming. Als de inkoper bestelt (BESCHIKKEN), de magazijnmeester ontvangt (CONTROLEREN) en bewaart (BEWAREN), de financiële administratie de inkoopfactuur registreert (REGISTEREN) en afstemt met de goedgekeurde pakbon (CONTROLEREN), het hoofd inkoop de factuur goedkeurt (CONTROLEREN) en de directeur de betaling goedkeurt (CONTROLEREN)…Dan is er toch sprake van controle-technische-functiescheiding waar de accountant op kan steunen, mits hij het bestaan heeft vastgesteld en de werking heeft getest?

Ik mis nuances in de opinie en ben het niet eens met de claim dat een interne beheersingsmaatregel pas een interne beheersingsmaatregel is als binnen de onderneming voor iedere transactie de werking van deze maatregel is vastgesteld. Bovendien is dat ook helemaal niet haalbaar (lees: te kostbaar) voor een gemiddelde MKB-handelsonderneming. Zelfs beursfondsen, die eigenlijk bestaan uit een groep MKB-bedrijven, hebben moeite met het realiseren van een set van interne beheersingsmaatregelen waarvan ook nog eens intern de werking wordt getest/ vastgesteld.

Tot slot, strookt deze opinie niet met de controle-aanpak van Nederlandse accountants die bij de meest bedrijven systeemgericht is. Ook uit de rapporten van de AFM blijkt dat zij een systeemgerichte controle-aanpak binnen de MKB-markt in de meeste gevallen best mogelijk is (mist juist en volledig uitgevoerd).

Groeten,

Victor

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.

Relevantie Datum