Accountant
NBA-platform voor accountants en financials
Overig
Magazine Podcast Dossiers Nieuwsbrief Contact
Home > Opinie > 2017 > 3 > Audit risk-model: fundament voor relevantie
Opinie

Audit risk-model: fundament voor relevantie

Leestijd van ongeveer 5 minuten 5 reacties

Eerder schreef ik een opinie over het wel of niet afschaffen van de controleplicht. Verplichting of niet, voor mij is het audit risk-model de basis voor een relevante controle; voor de gebruiker en de gecontroleerde.

Het audit risk-model is voor mij meer dan de inherente-, controle- en detectierisico's, die als basis dienen voor het bepalen van het accountantscontrolerisico. Voor de niet accountants: het accountantscontrolerisico is het risico dat de accountant tot een fout oordeel komt, hoewel hij zijn werk goed heeft gedaan.

Het audit risk-model staat voor mij voor drie stappen:

  • Het begrijpen van een organisatie en wat zij wil. Ook: haar omgeving als basis voor de bepaling van risico's dat zij niet succesvol is.
  • Het testen van interne beheersmaatregelen, om te zien hoe goed de organisatie is in het beheersen van haar risico's.
  • Het gegevensgericht testen: om de nog noodzakelijke controle-informatie te krijgen, maar ook om eventuele materiële fraude te onderkennen.

Puntsgewijs zal ik aangeven waar de relevantie zit.

Begrijpen van een organisatie

Het uitgangspunt voor het audit risk-model is volgens mij dat je meer moet controleren, als je minder begrijpt van de organisatie. Pas wanneer je een organisatie echt goed kent, snap je wat er fout kan gaan en waar je dus extra op moet letten. Om dit te illustreren: het maakt nogal uit of een organisatie handelt in edelmetalen of in zand en tuinaarde. In theorie neemt iemand net zo makkelijk een kilo zand mee als een kilo goud. Maar de gevolgen zijn totaal verschillend. Nu is dit voorbeeld eenvoudig, iedere accountant ziet de grotere risico's bij edelmetalen dan bij zand. Maar hoe zit dat bij een computerfabrikant met goedkope en dure componenten? Met harde schijven die gewild zijn en andere onderdelen waarvoor dit niet geldt? Met harde schijven die technisch verouderd of juist net nieuw ontwikkeld zijn? Ga je als accountant met alles hetzelfde om, of helpt kennis van de organisatie je om tijdens de controle te focussen?

De voorbeelden illustreren dat kennis van wat er speelt de basis is voor een kwalitatief goede controle. Die kennis krijgt een accountant vooral in gesprekken. Met het bestuur (waar sturen zij op en waarom), met de mensen in de organisatie (wat doen ze en hoe zit het) met de raad van commissarissen (hoe houden zij toezicht). En mogelijk zelfs met toezichthouders en belanghebbenden van buiten (wat vinden zij).

Daarom verbaasde het mij dat Jos Nijhuis van Schiphol en een aantal anderen vorig jaar in het FD stelden dat zij geen goed gesprek met hun accountants meer konden hebben over hun organisatie. De standaarden verwachten dat juist wèl. Het leidt niet tot een onafhankelijkheidsprobleem, de accountant mag best een spiegel voorhouden. Wat een accountant (bij grote organisaties) echter niet kan, is voorstellen dat zijn collega's komen helpen om problemen op te lossen.

Als je dit als accountant goed doet helpt het om gefundeerd te bepalen waar je meer moet doen, maar met name ook waar je minder mag doen. Daarmee is het een belangrijke stap voor het krijgen van voldoende en toereikende controle-informatie. Maar het is ook relevant voor de organisatie: die kan haar voordeel doen met de inzichten die zij krijgt vanuit de discussies met de accountant.

Testen interne beheersmaatregelen

Uit de eerste stap kent de accountant nu de risico's, en weet wat de organisatie zegt te doen om die risico's te beheersen. Het gaat daarbij om het voorkomen van materiële afwijkingen als gevolg van fouten en van fraude.

Het is vaak efficiënt voor accountants om dit te testen. De besparing op gegevensgerichte werkzaamheden is vaak groter dan het benodigde werk voor het testen van interne beheersingsmaatregelen. Maar de relevantie van dit testen is ook groter voor de organisatie. De aanbevelingen aan de organisatie, op grond van deze werkzaamheden, helpen processen beter te beheersen.

Zeker ook voor gebruikers is het relevant dat accountants naar processen kijken, ook al zijn ze niet voldoende voor een afzonderlijk oordeel. Natuurlijk geeft de vaststelling dat processen gedurende de controleperiode werkten geen garantie voor de toekomst. Maar waarom zouden organisaties die gisteren in control waren dat morgen niet meer zijn?

In dit kader wil ik nog opmerken dat ik oprecht voorstander ben van data analytics en grote mogelijkheden zie voor de controle. Maar ik denk dat dit dan wel moet worden ingezet in het kader van het audit risk-model en dus voor alle stappen in het proces: kennis van de huishouding, testen van de beheersing en gegevensgerichte werkzaamheden. Dat leidt tot meer relevantie dan wanneer wordt gekozen voor een gegevensgerichte aanpak waarbij de hele populatie wordt getest.

Gegevensgericht testen

Het sluitstuk van de controle zijn de gegevensgerichte werkzaamheden. Deze zijn deels bedoeld om de nog noodzakelijke controle-informatie te verzamelen. Dat is met name belangrijk als de processen niet voldoende betrouwbaar zijn of als er simpelweg geen echt proces is (bijvoorbeeld de waardebepaling van een enkel bedrijfspand).

Maar het speelt ook een rol bij het onderkennen van materiële fraudes. De standaarden stellen dat je altijd enige gegevensgerichte controles moet doen; ook als de processen effectief lijken, omdat de interne beheersing kan worden omzeild. Dat is in mijn optiek zeer relevant voor gebruikers, maar ook voor de organisatie. Het geeft de accountant immers het laatste puzzelstukje voor zijn oordeel dat er geen materiële fouten in de jaarrekening zitten.

Fundament

Het bovenstaande maakt duidelijk dat ik het niet eens ben met de soms gehoorde stelling dat we het beroep opnieuw moeten uitvinden. Ik denk dat het verstandig is om na te denken over assurance bij niet-financiële informatie. Ik denk ook dat we moeten nadenken over andere mogelijkheden voor het delen van de inzichten van de accountant bij minder gestructureerde informatie. Maar voor mij blijft het fundament: Kennis over de organisatie, over de beheersing van processen en over de details. Het audit risk-model legt voor mij dat fundament.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Jan Thijs Drupsteen is hoofd Vaktechniek bij de NBA en secretaris van het Adviescollege voor Beroepsreglementering. Hij schrijft op persoonlijke titel.

5 reacties

Hein Kloosterman

Met het Bayesiaans in vullen van het audit risk model wordt expliciet gemaakt waarvoor de accountant zijn hand in het vuur durft te steken. Hij stelt namelijk, en dan expliciet, dat volgens hem de maximale fout in de populatie beneden een voor hem kritische grens blijft.
Om die kritische grens te valideren (falsifiëren) is het mogelijk om de stekproef die hoort bij die inschatting alsnog te controleren. Het subjectieve oordeel van de accountant kan daarmee worden geobjectiveerd.
Om met Popper te spreken: een theorie moet zo vorm worden gegeven dat die falsifieerbaar is. Niet alles hoeft altijd gefalsifieerd te worden. Maar de theoretische jongens zouden dat toch eindelijk eens een keer moeten doen.

Frans Kersten

Slim geschreven bijdrage. De titel wekt de indruk dat het Audit risk model centraal staat. De beschrijving is echter zodanig dat de 'klassieke' audit aanpak gevolgd wordt.
Hiermee worden de discussies van bij de introductie van het model vermeden. Deze discussies ontstonden door het model als formule weer te geven (AR = IHR * ICR * DCR * CAR en eventuele verdere opdelingen). Det model in deze vorm is statistisch niet verantwoord.

Volgens mij was met inzet van het Bayensiaanse model aantoonbaar wanneer een 'systeemgerichte aanpak' voordeliger was dan een volledig gegevensgerichte aanpak (tijd van verzamelen relevante voorinformatie versus tijd van besparing aantal gegevensgerichte controles). Wellicht dat Hein (of Paul Batenburg) hier meer over kan zeggen.

Hein Kloosterman

Tot en met de drie stappen ben ik het met de schrijver eens. Niet geheel met de toelichtingen. En zeker niet met het idee fixe dat met data-analyse (altijd) de totale populatie kan worden onderzocht. Voor de fixe van dit idee verwijs ik naar de columns van de Stuurgroep Statistical Auditing.

Het begrijpen van de organisatie is geen controle, maar het vervullen van een randvoorwaarde om te kunnen controleren. Dat is een verschil. Wel leidt dat begrijpen naar een begin van verwachting omtrent de interne-beheersingsmaatregelen die de onderneming toepast.
Het audit risk model leidt niet tot meer controleren als je minder begrijpt van de organisatie. Het audit risk model (en dat is alleen met de Bayesiaanse variant te valideren) aggregeert de informatie die bij de verschillende fasen, dus ook bij het voldoende aan een randvoorwaarde zoals het understanden van de business, naar boven borrelt.

Het testen van de maatregelen van Interne Beheersing (met hoofdletters; alleen omdat het belangrijk is) moet inhouden het zorgen voor een positieve uitkomst omtrent de onvervangbare interne beheersing! Uit dit deel van de controle (zie column 60 van de Stuurgroep) kan positieve voorinformatie komen. Dat moet wel betekenen dat het onvervangbare deel van de IB in continuïteit goed moet zijn geweest!
De opmerking over data-analytics snap ik oprecht niet.

Voor wat het gegevensgericht controleren, de substantive tests (daar waar er echt naar de Soll-posities moet worden gezocht) is het niet fraai om 'niet voldoende betrouwbare processen' te noemen. Immers de onvervangbare interne controle moest er zijn en er moest evidence voor zijn dat die heeft gewerkt. En daardoor is het mogelijk dat er informatie is die een reductie van de hoeveelheid gegevens gerichte controle rechtvaardigt.

Dan tot slot: het gaat bij de controle van de jaarrekening en het audit risk model (de Bayesiaanse variant, dat dan weer wel) er niet om dat er geen materiële fouten in de de jaarrekening zitten, maar het gaat het erom dat als het beloop van de fouten in de jaarrekening de omvang van de materialiteit heeft, dan de accountant dat met een heel kleine kans (audit risk) niet zal ontdekken.


Jan Thijs Drupsteen

Hoi Joris,
Bedankt voor je compliment.

Met betrekking tot de effectiviteit van het ARM, het zou inderdaad goed zijn als dat gevalideerd kon worden.

Ik heb best ideeën hoe dat gedaan moet worden en zou dat ook best willen doen. Het grote probleem is het vinden van tijd. Maar ik hou goede hoop.

Groet
Jan Thijs.

P.s. je verschrijving in mijn naam vond ik grappig. Ik zit bij de IAASB in Lima, vandaar.

Joris Joppe

De logica van het audit-risk model kan volgens mij niemand weerspreken. Getuige ook de louter groene duimpjes. Zeker niet als het zo duidelijk uitgelegd wordt als hier. Dank daarvoor Jan Thuis.
De vraag is echter of we het ook al eens getoetst hebben op effectiviteit. Ik weet, er wordt genoeg getoetst in het land van accountants maar meestal richt zich dat op de vaststelling of het audit-risk model is gevolgd. Of dit model effectief was, wordt niet getoetst. Laat staan of dit de beste manier was om te voldoen aan de wens tot zekerheid bij een financiële verantwoording. Als je het mij vraagt een mooie uitdaging voor de hoogleraren (hoeven van mij in deze casus niet onafhankelijk te zijn...)

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.

Relevantie Datum