De impact van XBRL op assurance Het interne beheersingsproces voor de financiële rapportage
drs. Jeroen Nekeman Frank Hakkennes MSc 28 maart, 2009 Vrije Universiteit Amsterdam Postdoctoraal EDP audit Begeleider aan de VU: J. Pasmooij RE RA RO Bedrijfscoach bij Deloitte: ir. F. Geertman RE CISA
Management samenvatting Volgens velen zal XBRL in de toekomst tot algemene standaard verheven worden op het gebied van het geautomatiseerd opslaan en verwerken van bedrijfsinformatie en het rapporteren hiervan. Ook de financiële jaarrekening kan zo met behulp van XBRL worden opgesteld. Uiteindelijk zal XBRL zelfs de traditionele papieren jaarrekening zoals we die nu kennen kunnen vervangen. Twee belangrijke vragen bij het gebruik van XBRL zijn: In hoeverre heeft de overgang naar XBRL invloed op het verkrijgen van assurance over de financiële verslaglegging? En in welke mate verandert de taak van de IT auditor hierdoor? In dit onderzoek staan deze vragen centraal. Aan de hand van een risicoanalyse hebben wij beschreven welke risico’s zich aandienen bij het rapporteren van financiële rapportages met behulp van XBRL. Uit literatuuronderzoek hebben wij opgemaakt dat er in hoofdlijnen vijf basiselementen aanwezig zijn ten aanzien van XBRL: •
Brondata
•
Taxonomie
•
XBRL Specificatie
•
Instance document
•
Style sheets
De brondata zijn de financiële gegevens over welke wordt gerapporteerd. De taxonomie bepaalt welke gegevens in de rapportage worden opgenomen en wat hun betekenis is. De XBRL specificaties geven de technische richtlijnen. Het instance document is het uiteindelijke informatiedocument dat de te rapporteren gegevens en metadata hierover bevat. Tot slot kan met behulp van een style sheet de voor de specifieke situatie relevante gegevens worden omgezet naar een voor mensen leesbare presentatievorm. Nadat wij voor elke van deze elementen de specifieke risico’s hebben bepaald, hebben we vervolgens een set controledoelstellingen en controleactiviteiten beschreven waarmee deze risico’s afgedekt kunnen worden. Deze analyse is onder andere gebaseerd op een aantal interviews welke wij hebben afgenomen met experts op het gebied van accounting, IT audit en consulting. Het resultaat vormt een normenkader dat in hoofdlijnen beschrijft welke activiteiten ondernomen dienen te worden om assurance te kunnen verlenen op het totstandkomingproces van een financiële rapportage in XBRL. XBRL voegt een aantal nieuwe stappen toe aan het rapportageproces. Hierbij hebben wij controleactiviteiten beschreven die specifiek zijn voor het XBRL proces. Hieruit concluderen wij dat in vergelijking met de traditionele vorm van rapporteren extra of aangepaste activiteiten naadzakelijk zijn voor het verkrijgen van assurance over het XBRL totstandkomingproces. Niet voor alle risico’s zal de expertise van de IT-auditor noodzakelijk zijn. Echter voor een groot deel van de beschreven activiteiten zal de IT auditor uitkomst kunnen bieden in het verlenen van zekerheid over de verschillende deelprocessen. Onze conclusie luidt dan ook dat er bij het geven van assurance over het XBRL rapportageproces een grotere rol voor de IT auditor is weggelegd, dan bij de traditionele vorm van rapporteren. Het door ons opgestelde controleraamwerk kan dienen als startpunt bij het uitvoeren van een audit naar het totstandkomingproces van een XBRL rapportage. Hierbij dient nog wel een vervolgstap te worden uitgevoerd, waarbij de beschreven controleactiviteiten vertaald dienen te worden naar een specifieke situatie. 1
Inhoudsopgave MANAGEMENT SAMENVATTING .....................................................................................................................1 INHOUDSOPGAVE............................................................................................................................................2 1 INTRODUCTIE................................................................................................................................................4 1.1 CONTEXT ......................................................................................................................................................... 4 1.2 PROBLEEMSTELLING ........................................................................................................................................... 4 1.2.1 Doelstelling ........................................................................................................................................... 4 1.2.2 Vraagstelling ......................................................................................................................................... 5 1.2.3 Deelvragen ............................................................................................................................................ 5 1.3 KADER ............................................................................................................................................................. 5 1.4 ONDERZOEKSMETHODE EN AANPAK ...................................................................................................................... 5 1.5 OPZET VAN HET ONDERZOEK ................................................................................................................................ 6 2 XBRL..............................................................................................................................................................7 2.1 OPKOMST VAN XBRL......................................................................................................................................... 7 2.1.1 Ontwikkelingen in de informatiebehoefte ............................................................................................ 7 2.1.2 Verschillen XBRL met traditionele wijze van rapporteren ..................................................................... 8 2.1.3 Kanttekening bij de opkomst van XBRL................................................................................................. 8 2.2 KENMERKEN XBRL ............................................................................................................................................ 9 2.2.1 Data ...................................................................................................................................................... 9 2.2.2 XBRL Specificaties................................................................................................................................ 10 2.2.3 Taxonomie........................................................................................................................................... 10 2.2.4 Instance document.............................................................................................................................. 11 2.2.5 Style sheet ........................................................................................................................................... 12 2.2.6 Samenhang elementen ....................................................................................................................... 12 3 SCENARIO’S GEBRUIK VAN XBRL .................................................................................................................15 3.1 TRADITIONELE VERSLAGGEVING .......................................................................................................................... 15 3.2 XBRL RAPPORTAGE GEBASEERD OP TRADITIONELE VERSLAGGEVING ........................................................................... 15 3.3 VERSLAGGEVING IN XBRL EN TRADITIONELE VERSLAGGEVING ................................................................................... 16 3.4 VERSLAGGEVING IN XBRL ZONDER PRESENTATIE.................................................................................................... 16 3.5 VERSLAGGEVING IN XBRL MET PRESENTATIE......................................................................................................... 17 3.6 SELECTIE SCENARIO .......................................................................................................................................... 18 4 RISICO’S ......................................................................................................................................................19 4.1 DATA ............................................................................................................................................................ 19
2
4.2 XBRL SPECIFICATIES ........................................................................................................................................ 20 4.3 TAXONOMIE ................................................................................................................................................... 20 4.4 INSTANCE DOCUMENT ...................................................................................................................................... 21 4.5 STYLE SHEET ................................................................................................................................................... 22 4.6 CONCLUSIE ..................................................................................................................................................... 22 5 CONTROLEAANPAK .....................................................................................................................................23 5.1 CONTROLEDOELSTELLINGEN............................................................................................................................... 23 5.2 CONTROLE ACTIVITEITEN ................................................................................................................................... 24 5.2.1 Juiste brongegevens............................................................................................................................ 24 5.2.2 Integriteit gegevens ............................................................................................................................ 25 5.2.3 XBRL specificaties................................................................................................................................ 26 5.2.4 Vereiste elementen en informatie....................................................................................................... 27 5.2.5 Vertrouwelijkheid................................................................................................................................ 28 5.2.6 Beschikbaarheid .................................................................................................................................. 28 5.3 GEVOLGEN TOEPASSING XBRL OP DE IT AUDIT ...................................................................................................... 28 5.3.1 Uit te voeren werkzaamheden IT auditor............................................................................................ 28 5.3.2 Vorm en mate van assurance............................................................................................................. 29 5.3.3 Vervolgstappen ................................................................................................................................... 30 6 CONCLUSIE..................................................................................................................................................31 BRONVERMELDING........................................................................................................................................33 BIJLAGE A: XBRL TAXONOMIE JAARREKENING UNILEVER 2004......................................................................35 BIJLAGE B: XBRL INSTANCE DOCUMENT JAARREKENING UNILEVER 2004 ......................................................36 BIJLAGE C: INTERVIEWS .................................................................................................................................39 BIJLAGE D: RISICO’S .......................................................................................................................................47 BIJLAGE E: NORMENKADER............................................................................................................................48
3
1 Introductie 1.1 Context Veel organisaties zouden in de huidige tijd financiële gegevens toegankelijk willen maken voor externe partijen via het Internet (Efrim Boritz and No, 2005). XBRL (Extensible Business Reporting Language) is in het leven geroepen om volgens een gestandaardiseerde wijze te werk te gaan. Heitmann en Öhling (2005) geven de volgende definitie van XBRL: XBRL is a general-purpose language for constructing and presenting documents with accepted formats and rules. It uses metadata for explaining layout and logical structure of the content, and allows for any user to extend the language for special purposes. Volgens velen zal XBRL in de toekomst tot algemene standaard verheven worden op het gebied van het geautomatiseerd opslaan en verwerken van bedrijfsinformatie en het rapporteren hiervan. XBRL kan bijvoorbeeld ingezet worden bij het voorbereiden, delen en analyseren van financiële rapportages. De financiële informatie zoals jaarrekeningen en prognoses kunnen op het Internet worden geplaatst. Bovendien zal het gebruik van XBRL zich niet beperken tot het Internet maar zal XBRL ook gebruikt worden voor overdracht van financiële gegevens tussen verschillende organisaties. Een belangrijke vraag die hierbij gesteld kan worden is hoe om te gaan met de integriteit, beschikbaarheid en vertrouwelijkheid van deze informatie en de totstandkoming hiervan.
1.2 Probleemstelling 1.2.1 Doelstelling Sinds de invoering van XBRL zijn er in de wetenschappelijke literatuur diverse onderzoeken geweest naar de invloed die XBRL zal hebben op de financiële audit (Heitmann and Öhling, 2005; CICA, 2002). Deze onderzoeken beperken zich over het algemeen tot de verandering die XBRL met zich meebrengt ten aanzien van de werkzaamheden van de accountant. De impact die XBRL kan of zal hebben op de werkzaamheden van de IT auditor is tot op heden nauwelijks onderzocht. Het is mogelijk dat door de invoering van XBRL, deze werkzaamheden in meer of mindere mate aangepast moeten worden om bijvoorbeeld voor een financiële audit ten behoeve van de jaarrekening voldoende zekerheid te kunnen geven.
4
1.2.2 Vraagstelling De bovenstaande probleemstelling leidt in samenwerking met Deloitte Enterprise Risk Services (ERS) tot de volgende onderzoeksvraag: Wat is de impact van XBRL op IT-audit en assurance?
1.2.3 Deelvragen Om het kader van het onderzoek verder af te bakenen en een heldere opbouw van de genoemde vraagstelling te kunnen uitwerken, zal het antwoord op de probleemstelling worden geformuleerd met behulp van een drietal deelvragen. 1. Wat zijn de relevante ontwikkelingen op het gebied van XBRL ? 2. Welke gevolgen heeft de toepassing van XBRL op het geven van assurance? 3. Veranderen de werkzaamheden van de IT-auditor door de toepassing van XBRL?
1.3 Kader Het doel van het onderzoek is inzicht verkrijgen in de impact die XBRL heeft op het uitvoeren van een IT-audit. Dit onderzoek richt zich enkel op de ondersteuning van de uitvoering van de financiële jaarrekeningcontrole. Mogelijke andere vormen van auditing, zoals proces audits, privacy audit en reglementaire audits (bijv. SOX, SAS, BASEL) vallen buiten het kader van dit onderzoek.
1.4 Onderzoeksmethode en aanpak Om bovenstaande probleemstelling en deelvragen te kunnen beantwoorden is eerst een literatuurstudie uitgevoerd. Deze literatuurstudie is in het bijzonder gericht op de eigenschappen en mogelijkheden van XBRL, en de impact die XBRL heeft op de werkzaamheden van de IT auditor in relatie tot de jaarrekeningcontrole. Vervolgens zijn aan de hand van deze literatuurstudie en interviews met vakdeskundigen, scenario’s opgesteld die beschrijven in welke vorm XBRL ingezet kan worden. Een van deze scenario’s is voor het vervolg van het onderzoek als uitgangspunt genomen en verder geanalyseerd. Daarnaast zijn interviews afgenomen met vakdeskundigen die op verschillende wijzen betrokken zijn bij het gebruik van XBRL en/of het verlenen van assurance in het kader van de jaarrekeningcontrole. Zo is er gesproken met consultants welke XBRL implementaties begeleiden, accountants en IT auditors die verantwoordelijk zijn voor het uitvoeren van de jaarrekeningcontrole. Deze groep bevat zowel personen die een uitvoerende rol hebben als personen die een verantwoordelijke of management rol bekleden Deze interviews zijn gebruikt om tot een risicoanalyse te komen en om inzicht te verkrijgen over de rol van de IT auditor.
5
1.5 Opzet van het onderzoek De uitwerking van dit onderzoek bevat de volgende hoofdstukken: 1 Introductie 2 XBRL 3 Scenario’s gebruik van XBRL 4 Risico’s 5 Controleaanpak 6 Conclusie Hoofdstuk 1 bevat de inleiding van dit onderzoek en beschrijft de context, probleemstelling, onderzoeksvraag en deelvragen, het kaderen de gehanteerde methodiek. Hoofdstuk 2 beschrijft de basis kenmerken en eigenschappen van XBRL. Hierbij wordt zowel ingegaan op een de functionele aspecten van het gebruik van XBRL als de technische kenmerken. Hoofdstuk 3 geeft daarna een beschrijving van de verschillende scenario’s waarin XBRL gebruikt kan worden voor het beschikbaar stellen van financiële gegevens. Op basis van een van deze scenario’s wordt vervolgens in hoofdstuk vier een risico analyse beschreven voor de verschillende elementen van XBRL die zijn beschreven in hoofdstuk 2. Aan de hand van de risico’s beschreven in hoofdstuk 4, wordt in hoofdstuk 5 een mogelijke controleaanpak gegeven om deze risico’s te beheersen. Hierdoor wordt inzichtelijk welke risico’s anders zullen zijn bij het gebruik van XBRL als dit wordt vergeleken met de traditionele aanpak van het rapporteren van financiële gegevens. Dit zal resulteren in een controleraamwerk waarin op hoog niveau risico’s bij de totstandkoming van een XBRL rapportage zijn gekoppeld aan controledoelstellingen. Het raamwerk is erop gericht inzicht te geven op de risico’s en controledoelstellingen zoals van toepassing op het totstandkomingproces van een XBRL rapportage. Het kan voor een auditor fungeren als startpunt voor het opstellen van een controleplan. Hiertoe dient in het raamwerk per controleactiviteit nog een vervolg stap te worden uitgevoerd waarbij voor een specifieke situatie beschreven wordt hoe kan worden vastgesteld dat aan de opgenomen norm wordt voldaan. Tenslotte bevat hoofdstuk 6 een conclusie waarin de belangrijkste bevindingen uit dit onderzoek worden samengevat en mogelijke onderwerpen worden aangedragen voor vervolgonderzoek.
6
2 XBRL 2.1 Opkomst van XBRL 2.1.1 Ontwikkelingen in de informatiebehoefte De afgelopen tien jaren heeft het gebruik van Internet een enorme ontwikkeling door gemaakt. Hierdoor zijn in verschillende bedrijfstakken de verwachtingen ten aanzien van informatie sterk veranderd (Ward Hanson; 2000). Er wordt verwacht dat informatie digitaal beschikbaar is. Maar ook ten aanzien van de verwerking van informatie zijn de wensen van gebruikers toegenomen. Informatie dient steeds sneller voor gebruikers beschikbaar te zijn. Veel organisaties hebben daarom hun bedrijfsprocessen zodanig aangepast dat de informatieverwerkende processen zo veel mogelijk digitaal verlopen waardoor de omzetsnelheid van de informatie toeneemt. Ook ten aanzien van financiële informatie zijn gedurende de afgelopen periode de wensen en eisen van organisaties sterk veranderd. Dit is mede het gevolg van toenemende eisen ten aanzien van financiële informatievoorziening in het kader van “Corporate governance”, externe verslaglegging, toezicht en (Europese) harmonisatie (Hoekstra, D.J. en Snijders, P. 2008). Ook in Nederland wordt specifiek gewerkt aan de harmonisatie van taxonomieën om het proces van samenstellen en uitwisselen van informatie te vereenvoudigen (Pasmooij, 2009). Tegenwoordig stellen de meeste organisaties de financiële jaarverslagen en bedrijfsinformatie digitaal beschikbaar via het Internet (Boritz, J.E. en No, W.G., 2007). Deze wijzigingen maken het mogelijk om aan een deel van de verandering van de wensen van betrokken partijen, zoals inzichtelijkheid, kostenreductie en mogelijkheden voor toegang tot de financiële informatie, tegemoet te komen. Tegelijkertijd is voor de beschikbaarstelling van informatie in digitale vorm vaak veel handwerk noodzakelijk (het zogenaamde rekeyen). Dit brengt voor de organisatie geen kosten reductie met zich mee. Tevens ontstaat bij het handmatig opstellen van financiële overzichten, waarbij veel “copy en paste" activiteiten worden uitgevoerd, een verhoogde kans op fouten. Hierdoor neemt de noodzaak van een betere benutting van de mogelijkheden die de IT omgeving biedt verder toe. Er ontstaat een toenemende roep om een universele digitale methode waarbij financiële informatie rechtstreeks uit de financiële systemen getrokken kan worden. Deze noodzaak voor een digitale methode vormt de basis voor het ontstaan van XBRL. Momenteel zijn voor de standaardisatie van gegevens verschillende taxonomieën beschikbaar (zoals IFRS GP en US GAAP). Daarnaast zijn op nationaal niveau taxonomieën opgesteld die rekening houden met lokale wet- en regelgeving. Met ingang van 2009 heeft de SEC het gebruik van XBRL voor beursgenoteerde organisaties in de verenigde staten verplicht gesteld. In andere landen bestaat al langer de mogelijkheid om, al dan niet verplicht, financiële rapportages in XBRL te rapporteren aan overheid of toezichthouders. Ook in Nederland wordt specifiek gewerkt aan de harmonisatie van taxonomieën om het proces van samenstellen en uitwisselen van informatie te vereenvoudigen (Pasmooij, 2009).
7
2.1.2 Verschillen XBRL met traditionele wijze van rapporteren Jaarlijks wordt door veel ondernemingen een verslag gemaakt van de financiële cijfers, wat in de vorm van een jaarverslag wordt gepresenteerd aan de belanghebbenden. Deze wijze van rapporteren wordt al jaren gebruikt waardoor ondernemingen, overheidsinstanties en andere belanghebbenden precies weten wat ze hier aan hebben. Belanghebbenden hechten steeds minder waarde aan het uitgegeven jaarverslag. Hier liggen verschillende redenen aan ten grondslag. Ten eerste is het totstandkomingproces erg omvangrijk. Vaak is het jaarverslag pas enkele maanden na afsluiting van het boekjaar beschikbaar. Ten tweede heeft het verslag een standaard vorm waardoor het niet altijd aansluit op de informatiebehoefte van de verschillende belanghebbenden. Verder richt het jaarverslag zich voornamelijk op de financiële gegevens waarbij een veelheid aan accounting en rapportage principes gebruikt wordt. (Nivra, 2007). Door de opkomst van het gebruik van het Internet is globalisering een feit. Mede hierdoor verandert de informatiebehoefte. Mensen raken er steeds meer aan gewend dat informatie digitaal beschikbaar is op het moment dat zij hieraan behoefte hebben. Google heeft hier handig op ingespeeld door een effectieve methode te ontwikkelen voor het indexeren van Internet sites waardoor gebruikers snel en makkelijk toegang kunnen krijgen tot informatie. Deze ontwikkelingen hebben ook de verwachtingen ten aanzien van financiële informatie van gebruikers veranderd. Dit heeft geleid tot de ontwikkeling van XBRL. XBRL maakt het mogelijk de eerder beschreven tekortkomingen van de traditionele manier van rapporteren te overwinnen. Zo zijn financiële rapportages beschikbaar met een druk op de knop en kunnen gebruikers de informatie opvragen die zij willen zien.. Dit houdt in dat overzichten niet alleen jaarlijks maar op ieder gewenst moment kunnen worden verkregen. De rapportages kunnen in meerdere vormen, zoals PDF, HTML of XML, worden aangeleverd. Daarnaast zorgt het gebruik van een taxonomie voor een harmonisatie van rapportage standaarden, waardoor vergelijking en integratie met andere standaarden eenvoudiger wordt. Ook kunnen de gegevens die nu op ieder moment beschikbaar zijn worden ingezet om bedrijfsdoelstellingen weer te geven en tijdige bijsturing te geven wanneer nodig (Nivra, 2007).
2.1.3 Kanttekening bij de opkomst van XBRL Voordat XBRL succesvol kan worden doorgevoerd in de Nederlandse economie zullen eerst de voordelen hiervan bij ondernemingen en overheid duidelijk moeten zijn. Momenteel zijn er bij verschillende partijen behoorlijk sceptische gedachten over de invoering Momenteel staan verschillende partijen sceptisch tegenover het gebruik van XBRL. Onder andere doordat er veel onduidelijkheid is over de vraag hoe gegevens in XBRL moeten worden aangeleverd. Ondernemingen zouden XBRL wel willen implementeren maar weten door een gebrek aan handleiding “Hoe implementeer ik XBRL” niet hoe (Accountancy nieuws, 2008). In het vervolg van dit onderzoek geven wij een overzicht van mogelijke scenario’s voor het gebruik van XBRL. Door een aanname te maken van de best mogelijke toepasbaarheid stellen wij vervolgens, door het uitvoeren van een risicoanalyse, een normenkader op dat de gebruiker van XBRL als startpunt kan gebruiken voor de implementatie van XBRL. In de politiek blijkt dat er eveneens geen overeenstemming is over het gebruik van XBRL. Dit leidt er toe dat over de (verplichte) invoering van XBRL nog geen besluiten zijn genomen in Nederland. Er ontstaat met name discussie over de noodzaak van assurance bij verantwoording van financiële cijfers in elektronische vorm en de 8
wijze waarop die kan worden gegeven. Uit de bijeenkomst georganiseerd door het Nivra van 8 januari 2009 blijkt dat er discussie is aangaande de verantwoording van financiële cijfers in elektronische vorm. (Accounts.nl, 2009). Momenteel is er nog weinig knowhow en software beschikbaar over het gebruik van XBRL. Hierdoor zullen de kosten van een implementatie voorlopig erg prijzig zijn. De verwachting is dat wanneer XBRL meer geïmplementeerd zal worden deze kosten zullen dalen. Verder blijkt dat het schrijven van een goed XBRL programma nog zo makkelijk niet is. Door de eenvoudige technische principes van XBRL denken veel ondernemingen zelf wel iets te kunnen schrijven. Maar de materie blijkt daarvoor toch te complex. Ook is er nog steeds geen duidelijkheid over welke informatie er nu moet worden doorgegeven tussen de verschillende partijen. Een oorzaak voor de onduidelijkheid over de informatie-uitwisseling is de moeilijkheid in te schatten in welke mate Assurance noodzakelijk is bij het gebruik van XBRL (Vanderhaegen, 2006).
2.2 Kenmerken XBRL Dit hoofdstuk beschrijft de kenmerken en generieke concepten van XBRL. Zoals beschreven in sectie 2.1, wordt XBRL gebruikt voor het digitaal uitwisselen van financiële informatie. XBRL is gebaseerd op XML technieken, waarbij een onderscheid wordt gemaakt tussen de daadwerkelijke gegevens en de presentatie van deze gegevens, ook wel metadata genoemd. De betekenis van gegevens wordt hierbij als ‘tag’ gekoppeld aan dit gegeven. Dit is te vergelijken met het bekende HTML, waarbij met behulp van tags wordt aangegeven op welke wijze gegevens weergegeven dienen te worden. Een simpel voorbeeld van HTML is bijvoorbeeld:
HTML voorbeeld Voorbeeld code 2-1: HTML voorbeeld
In dit voorbeeld is de tekst ‘HTML voorbeeld’ het gegeven. Door middel van de tag ‘
’ wordt aangegeven dat dit gegeven onderstreept weergegeven dient te worden. XBRL werkt op eenzelfde manier, waarbij gegevens worden gecommuniceerd en doormiddel van tags wordt aangegeven wat de context en betekenis van deze gegevens is. Hiertoe kent XBRL een vijftal elementen welke in dit hoofdstuk zullen worden beschreven: data, XBRL specificaties, taxonomie, instance document en style sheet (Trites, 2006, Boritz, 2007). Bij de uitwerking van deze elementen wordt gerefereerd naar het volgende voorbeeld uit de XBRL jaarrekening van Unilever van 2004 (jaarverslag.info, 2004). 18581000000 Voorbeeld code 2-2: XBRL voorbeeld
2.2.1 Data Het primaire doel van het gebruik van XBRL is het op een standaard wijze aanbieden en communiceren van (financiële) gegevens. Bijvoorbeeld in het kader van rapportage van de jaarrekening. Hoewel gesteld kan worden dat deze gegevens strikt genomen geen onderdeel van het XBRL mechanisme zelf vormen, nemen zij een belangrijke plaats in bij het principe van XBRL. Deze gegevens kunnen verschillende soorten informatie
9
bevatten die een organisatie beschikbaar wil stellen. Dit kan onder andere gegevens voor de jaarrekening, belasting of statistische gegevens betreffen, zoals beschreven in sectie 2.1. In “Voorbeeld code 2-2: XBRL voorbeeld” is het gegeven dat wordt gecommuniceerd ‘18581000000’.
2.2.2 XBRL Specificaties Naast enerzijds de gegevens die met XBRL beschikbaar worden gesteld, is er anderzijds het mechanisme waarmee dit gebeurd. Een van de basis elementen hiervan zijn de XBRL specificaties. Deze specificaties geven een beschrijving van de werking van XBRL en haar technische kader. Het beschrijft in detail de syntax welke gebruikt dient te worden voor de verschillende onderdelen die hieronder verder worden besproken. De huidige versie van de XBRL specificaties is versie 2.1, welke in december 2003 is uitgegeven door de XBRL Specifications Working Group. In 2005 is hier een errata aan toegevoegd welke verdere aanpassingen en aanvullingen hierop beschrijft. Deze huidige versie is beschikbaar op http://www.xbrl.org/Specifications/.
2.2.3 Taxonomie Met behulp van een taxonomie wordt beschreven welke data elementen in een XBRL document gebruikt kunnen worden. Hierbij worden verschillende taxonomieën gebruikt voor verschillende types van financiële rapportages. Een taxonomie beschrijft de verschillende data-elementen welke gebruikt kunnen worden, en welke relaties deze onderling hebben. Daarmee beschrijft de taxonomie de metadata of de definities van de gegevens beschreven in sectie Data 2.2.1. De taxonomie zelf bevat geen data zoals financiële gegevens of toelichtingen. Gezien het open-source format van XBRL kan iedereen zelf een taxonomie beschrijven en toepassen. Het is hierbij echter van groot belang dat de instantie die de gegevens via XBRL beschikbaar stelt, dezelfde taxonomie hanteert als de ontvangende partijen, om er zo voor te zorgen dat gegevens op dezelfde manier geclassificeerd en geïnterpreteerd worden. Er zijn een aantal gangbare taxonomieën goedgekeurd door XBRL International. De twee meest gebruikte hiervan zijn die voor IFRS en US GAAP. Omdat de EU sinds 1 januari 2005 bedrijven onder haar jurisdictie verplicht heeft gesteld te rapporteren volgends de IFRS (International Financial Reporting Standards) richtlijnen, zal deze taxonomie binnen Europa een zeer belangrijke rol innemen bij het gebruik van XBRL (Pols, 2006). Het voornaamste doel van de IFRS Taxonomy Working Group is een taxonomie beschikbaar te stellen die de meest gangbare elementen bevat, die in de praktijk worden toegepast bij de rapportage van de financiële jaarrekening. Het resultaat is de IFRS-GP taxonomie, die gebruikt kan worden bij het beschikbaar stellen van XBRL rapportages voor commerciële organisaties. Hierbij biedt de taxonomie de middelen voor organisaties om hun financiële positie jaarlijks of per kwartaal inzichtelijk te maken voor de aandeelhouders en andere belanghebbenden.
10
Voorbeelden van elementen die onderdeel uitmaken van de IFRS-GP taxonomie zijn weergegeven in Voorbeeld code 2-3 <element id="ifrs-gp_ReceiptsFromCustomers" name="ReceiptsFromCustomers" type="xbrli:monetaryItemType" substitutionGroup="xbrli:item" xbrli:periodType="duration" xbrli:balance="debit" nillable="true" /> <element id="ifrs-gp_FinancialRiskManagementObjectives" name="FinancialRiskManagementObjectives" type="xbrli:stringItemType" substitutionGroup="xbrli:item" xbrli:periodType="duration" nillable="true" /> Voorbeeld code 2-3: Voorbeeld elementen IFRS-GP Taxonomie
Naast het gebruik van een enkele taxonomie, zoals IFRS-GP, is het ook mogelijk deze taxonomie aan te vullen met aanvullingen voor specifieke elementen voor bijvoorbeeld een specifieke industrie, of plaatselijke wetgeving. Een voorbeeld van een dergelijke aanvulling is het Nederlands Taxonomie Project (NTP) (Bal, 2008; PCAOB, 2005). Figuur 2-1 toont hoe een combinatie van gangbare taxonomieën en aanvullingen een taxonomie kan vormen voor een specifieke organisatie.
Figuur 2-1: Samenstelling taxonomie
Voor de totstandkoming van de jaarrekening in XBRL van Unilever in 2004 (zie Voorbeeld code 2-2) is de taxonomie gebruikt die is opgenomen in bijlage A. Uit deze taxonomie is op te maken dat de IFRS-GP taxonomie ten grondslag ligt aan de door Unilever gebruikte specifieke taxonomie.
2.2.4 Instance document Het daadwerkelijke document dat beschikbaar wordt gesteld met behulp van XBRL is het instance document. In dit document komen taxonomie en data samen. Het bevat de gegevens welke beschikbaar worden gesteld en de 11
bijbehorende metadata, getagd volgens de gekozen taxonomie. De tags geven de juiste betekenis en context van het gegeven zoals hierboven beschreven. Welke tags gebruikt kunnen worden is gedefinieerd in de gehanteerde taxonomie. Nadat het instance document is opgezet, kan dit op elke denkbare wijze beschikbaar worden gesteld aan belanghebbenden. Bijvoorbeeld door deze op het Internet te publiceren. Als voorbeeld is in bijlage B het instance document opgenomen van de XBRL jaarrekening van Unilever van 2004. Het Voorbeeld code 2-2 is een klein gedeelte van dit instance document. Hierbij geeft “” de metadata voor het gegeven “18581000000”. Deze metadata beschrijft in dit geval dat uit de IFRS-GP taxonomie verwezen wordt naar een ‘IntangibleAssetsNet’ gegeven, wat staat voor de netto waarde van de immateriële vaste activa. Als context is beschreven dat dit gegeven refereert aan het boekjaar 2004, 0 decimalen heeft en een waarde in Euro’s representeert.
2.2.5 Style sheet Nadat het instance document met gegevens en metadata beschikbaar is gesteld, kunnen de belanghebbenden dit document gebruiken om de financiële gegevens van een organisatie te bekijken. Het instance document zelf is door de grote hoeveelheid metadata niet erg leesbaar voor de gebruiker. Zie bijvoorbeeld bijlage B voor een instance document van een jaarrekening in XBRL. Om er voor te zorgen dat de gegevens ook voor de gebruikers makkelijk te interpreteren zijn, dient een vertaalslag gemaakt te worden van het instance document naar een makkelijk leesbare versie. Dit kan gedaan worden met zogenaamde style sheets. Een style sheet kan aan de hand van de gehanteerde taxonomie de tags die in het instance document staan interpreteren en deze zo op de juiste wijzen presenteren. Het resultaat is een voor gebruikers makkelijk te interpreteren document, bijvoorbeeld in pdf, Word of Excel vorm, of beschikbaar gesteld via een Internet pagina. Bovendien maakt het gebruik van style sheets het mogelijk specifieke data-elementen uit het geheel te selecteren en te presenteren. Hierdoor is het mogelijk verschillende presentaties op te stellen, gebaseerd op één instance document, waarbij elke presentatie een uitwerking geeft die voor een specifieke doelgroep van belang is.
2.2.6 Samenhang elementen De elementen beschreven in de voorgaande secties geven organisaties de mogelijkheid financiële informatie digitaal beschikbaar te stellen en geeft gebruikers van XBRL de mogelijkheid die informatie in te zien die voor hen relevant is.
12
Figuur 2-2: Elementen XBRL
13
De samenhang tussen de verschillende elementen is te zien in Figuur 2-2 waarbij de positie van elk element schematisch is weergegeven. Het proces van het tot stand komen van een op XBRL gebaseerde rapportage begint met de financiële gegevens van de organisatie (1). Aan de hand van de gehanteerde taxonomie (3) worden deze gegevens voorzien van een tag die de betekenis en context van het gegeven(de data) beschrijft. Het resultaat is het instance document (4), welke alle gegevens bevat met daaraan hun metadata gekoppeld. Dit instance document wordt beschikbaar gesteld aan de belanghebbenden, bijvoorbeeld via Internet. Vervolgens kan het instance document met een style sheet (5) worden ingelezen en geïnterpreteerd. Het style sheet zorgt ervoor dat die gegevens die interessant zijn voor de belanghebbenden op een duidelijke manier worden gepresenteerd (6). Tenslotte bepalen de XBRL specificaties (2) hoe de taxonomie, het instance document en de style sheets vorm moeten worden gegeven, en welke (technische) richtlijnen hierbij gehanteerd dienen te worden.
14
3 Scenario’s gebruik van XBRL In hoofdstuk 2 zijn de basiselementen uiteengezet welke noodzakelijk zijn voor het rapporteren van (financiële) gegevens met behulp van XBRL. In de praktijk blijkt dat er nog geen eenduidige methodiek wordt gehanteerd voor het gebruik van XBRL. In diverse publicaties (AWG, 2006; Boritz, 2007; Bal, 2008) wordt uiteengezet op welke manieren XBRL gebruikt kan worden voor het beschikbaar stellen van rapportages. In dit hoofdstuk worden de belangrijkste scenario’s hiervoor beschreven. Hierbij is steeds verwezen naar de basiselementen van XBRL zoals beschreven in hoofdstuk 2.
3.1 Traditionele verslaggeving Het eerste scenario beschrijft de traditionele methode van rapporteren doormiddel van een papieren rapportage zoals de jaarrekening van een organisatie. Feitelijk is hierbij geen sprake van het gebruik van XBRL. Deze vorm van rapporteren is de huidige standaard en vormt het uitgangspunt voor elke organisatie die XBRL zal (gaan) gebruiken. In dit traditionele scenario worden de te rapporteren gegevens verzamelt en wordt hiervan een rapportage opgesteld in papieren vorm. Deze rapportage wordt vervolgens verstrekt aan de belanghebbenden of beschikbaar gesteld via bijvoorbeeld het Internet. Uit deze rapportage kunnen detail presentaties afgeleid worden door de gebruikers,
dit valt buiten de verantwoordelijkheid van de organisatie. Zie voor een
schematische weergave van dit scenario figuur 3-1.
(2) Rapportage (1) Gegevens
(3) Presentatie
Figuur 3-1: Traditionele verslaggeving
3.2 XBRL rapportage gebaseerd op traditionele verslaggeving Bij de ingebruikname van XBRL kunnen organisaties er voor kiezen om de traditionele manier van rapporteren niet volledig te laten vervangen, maar deze twee vormen naast elkaar te gebruiken. In hoofdlijnen zijn hiervoor twee manieren: XBRL rapportages opstellen op basis van de rapportages die volgen uit de traditionele methode, of de twee methodes onafhankelijk van elkaar toepassen (zie scenario 3). Voor beide scenario’s geldt dat de traditionele vorm van rapporteren ongewijzigd wordt voortgezet zoals beschreven in sectie 3.1. In dit scenario vormen de papieren rapportages de basis voor de rapportages in XBRL vorm, zie figuur 3-2. De gegevens uit de traditionele rapportages (2) worden getagd aan de hand van de gehanteerde taxonomie (3) en opgenomen in het instance document (4). Vervolgens wordt dit document beschikbaar gesteld aan de belanghebbende en kan dit document met behulp van een style sheet (5) worden geconverteerd naar een voor mensen leesbare presentatie (6b). Belanghebbenden hebben in dit scenario de mogelijkheid de rapportages gepresenteerd te krijgen op basis van de traditionele rapportage (6a), of op basis van het XBRL instance document (6b). Denk hierbij bijvoorbeeld aan een aandeelhouder welke graag de volledige jaarrekening wil inzien. Daarnaast kan de belastingdienst specifieke gegevens inzien uit XBRL met behulp van een specifiek style sheet 15
Figuur 3-2: XBRL rapportage gebaseerd op traditionele verslaggeving
3.3 Verslaggeving in XBRL en traditionele verslaggeving Evenals in het voorgaande scenario, wordt XBRL in dit scenario gebruikt naast de traditionele methode. De traditionele methode wordt onveranderd toegepast zoals beschreven in sectie 3.1.Onafhankelijk van deze rapportage wordt een XBRL rapport opgesteld. Het verschil met het voorgaande scenario is dat de gegevens die worden opgenomen in het instance document niet zijn gebaseerd op de papieren rapportage, maar op de (financiële) data uit de organisatie en haar verschillende informatiesystemen. Evenals in het vorige scenario kan de organisatie haar gegevens met behulp van beide methodes beschikbaar stellen.
Figuur 3-3: Verslaggeving in XBRL en traditionele verslaggeving
3.4 Verslaggeving in XBRL zonder presentatie In dit vierde scenario wordt de traditionele methode van verslaggeving volledig vervangen door XBRL. Hierbij worden de rapportages beschikbaar gesteld zoals beschreven in hoofdstuk 2. De gegevens van de organisatie, bijvoorbeeld uit de informatiesystemen, worden aan de hand van de gehanteerde taxonomie opgenomen in het instance document. Dit document wordt vervolgens beschikbaar gesteld aan de belanghebbenden, bijvoorbeeld via het Internet. De belanghebbenden kunnen met behulp van een style sheet de specifieke elementen laten presenteren in bijvoorbeeld een tekst of spreadsheet bestand. In dit scenario ligt de interpretatie van het instance document bij de belanghebbenden in plaats van de organisatie. Een andere mogelijkheid van dit scenario is dat 16
het instance document bij de belanghebbenden direct digitaal kan worden ingelezen door haar informatiesystemen. Hierdoor kan een automatische koppeling tot stand komen zonder dat hier nog interventie door mensen bij noodzakelijk is. Zie figuur 3-4 voor een schematische weergave van dit scenario.
Figuur 3-4: Verslaggeving in XBRL zonder presentatie
3.5 Verslaggeving in XBRL met presentatie Het laatste scenario vormt een variant op scenario’s 2,3 en 4, waarbij enkel het moment van overdracht van de gegevens anders is. In de voorgaande scenario’s is beschreven dat de organisatie het instance document beschikbaar stelt aan de belangstellende. Laatstgenoemde kunnen hier vervolgens de voor hen relevante gegevens uit extraheren met behulp van een style sheet. Dit style sheet kan bijvoorbeeld door de organisatie beschikbaar zijn gesteld, maar kan ook van een derde partij komen. Indien de organisatie dit extractieproces in eigen beheer wil houden, kan zij er ook voor kiezen om het instance document niet direct te delen, maar hier eerst zelf een of meerdere presentaties voor te creëren. Deze presentaties kunnen vervolgens beschikbaar worden gesteld aan de belanghebbenden. In figuur 3-5 wordt dit schematisch weergegeven. Het gedeelte tussen de stippellijnen refereert aan scenario 3. Niet weergegeven is de uitgangssituatie van scenario 2, deze volgt exact dezelfde opzet.
Figuur 3-5: Verslaggeving in XBRL met presentatie
17
3.6 Selectie scenario De verschillende scenario’s zoals in de eerdere secties van hoofdstuk drie beschrijven verschillen in brondata, te gebruiken middelen en uit te voeren activiteiten en zullen daardoor verschillende risico’s kennen. Deze risico’s zullen in hoofdstuk 4 worden beschreven. In het kader van assurance betekent dit ook dat maatregelen om deze risico’s te mitigeren kunnen verschillen per scenario. In dit onderzoek wordt een van de bovenstaande scenario’s verder uitgewerkt. In een recente publicatie van het Securities and Exchange Comission (SEC, 2008) wordt aangegeven dat steeds meer organisaties naast de traditionele papieren publicaties informatie digitaal beschikbaar stellen. Ook een publicatie van de Assurance Working Group van XBRL International geeft ditzelfde beeld (Trites, 2006). Een volledige overgang naar XBRL waarbij de traditionele rapportages vervallen wordt echter op de korte termijn nog niet verwacht. In lijn met de genoemde publicaties wordt verwacht dat het gebruik van XBRL stapsgewijs zal worden ingevoerd, waarbij XBRL rapportages eerst naast bestaande traditionele rapportages beschikbaar worden gesteld. Dit komt overeen met scenario’s 2 of 3 zoals in secties 3.2 en 3.3 beschreven. Zoals in hoofdstuk 2.1 beschreven werd zal de grootste meerwaarde van het gebruik van XBRL ontstaan als deze rechtstreeks wordt aangesloten op de informatiesystemen van de organisatie. Het vervolg van dit onderzoek richt zich op scenario 3. In dit scenario worden XBRL rapportages naast de traditionele rapportages opgesteld, waarbij de brongegevens rechtstreeks uit de informatiesystemen van de organisatie komen.
18
4 Risico’s Om de impact van het gebruik van XBRL op de werkzaamheden van de IT auditor te kunnen bepalen is het noodzakelijk eerst vast te stellen welke risico’s er zijn bij het gebruik van XBRL in het kader van een (financiële) rapportage. Aan het totstandkomingproces zijn een aantal risico’s verbonden die een auditor in acht zou moeten nemen bij het geven van assurance over dit proces. In dit hoofdstuk worden deze risico’s in kaart gebracht aan de hand van de elementen beschreven in hoofdstuk twee. Hierbij worden de geïdentificeerde risico’s per XBRL element besproken. Om de volledigheid van deze risico’s te toetsen en de relevantie hiervan vast te stellen zijn diverse interviews afgenomen. Allereerst met mensen die ervaring hebben met het gebruik van XBRL. Vervolgens met mensen die naar verwachting in de toekomst te maken zullen gaan krijgen met XBRL, zoals IT auditors en accountants. De geïnterviewde personen hebben verschillende achtergronden en werkgebieden en zullen zo op verschillende wijzen met XBRL in aanraking komen. Zo is er gesproken met personen met een accountancy achtergrond, een consultancy achtergrond en een IT achtergrond. Door de verschillende achtergronden van de geïnterviewden worden de risico’s van het XBRL totstandkomingproces vanuit verschillende perspectieven bekeken. Twee van de geïnterviewden beschikken over zowel een accountancy (RA) als IT audit (RE) achtergrond. Een overzicht van alle geïnterviewde personen is opgenomen in bijlage C.
4.1 Data Gegevens gebruikt voor het samenstellen van een jaarrekening kunnen uit verschillende bronnen komen. Dit kunnen verschillende systemen zijn waaruit XBRL de data verzameld door bijvoorbeeld een script te gebruiken. Het kan ook mogelijk zijn dat gegevens worden gebruikt die niet in een informatiesysteem zijn vastgelegd maar die bijvoorbeeld hardcopy zijn opgeslagen. In dit geval dienen deze gegevens eerst gedigitaliseerd te worden, wat over het algemeen een handmatige activiteit is. Bij deze handmatige acties bestaat het risico dat er fouten worden gemaakt waardoor de juistheid of volledigheid van gegevens onvoldoende gewaarborgd is. Daarnaast kan het voorkomen dat de gegevens, welke wel in de verschillende informatiesystemen beschikbaar zijn, niet direct gebruikt kunnen worden voor rapportage in XBRL. Deze gegevens dienen eerst geconverteerd of verrijkt te worden, alvorens ze gebruikt kunnen worden voor XBRL rapportages. Evenals het eerste risico bestaat bij deze extra conversiestap de kans op fouten, waardoor het risico bestaat dat informatie onjuist of onvolledig wordt geconverteerd. Hierdoor is er bij gebruik van XBRL ook een risico dat niet alle relevante data wordt opgenomen in het uiteindelijke instance document. Een aandachtspunt dat hierbij aansluit is het onderzoeksgebied van de IT auditor. Deze zal voor de jaarrekeningcontrole assurance afgeven over de interne controlemaatregelen voor de diverse systemen die relevante (financiële) gegevens verwerken en/of opslaan. Een voorbeeld is een business warehouse applicatie die buiten de scope van de audit valt. Indien deze applicatie echter wordt gebruikt voor de genoemde conversie naar door XBRL bruikbare gegevens, zal over dit systeem/proces ook assurance verleend moeten worden. Gebeurd dit niet, dan bestaat het risico dat de resultaten van de conversie niet juist of onvolledig zijn.
19
Tot slot dient de data welke als input gebruikt wordt voor de XBRL rapportage beschikbaar te zijn wanneer de organisatie deze rapportage wil genereren. Indien deze informatie (systemen) niet beschikbaar is kan de conversie naar het XBRL instance document niet to stand komen. Dit brengt het risico met zich mee dat de uiteindelijke presentatie niet tijdig beschikbaar kan worden gesteld.
4.2 XBRL Specificaties Zoals in paragraaf 2.2.2 besproken is geeft de XBRL specificatie de richtlijnen waaraan de verschillende elementen, zoals taxonomie en instance document, moeten voldoen. Feitelijk bepaald de specificatie daarmee de werking van XBRL. Het is essentieel dat een juiste versie van de specificatie wordt gebruikt. Momenteel is XBRL international de partij die duidelijkheid zal moeten geven over de specificatie die gebruikt dient te worden voor het opstellen van jaarrekeningen met behulp van XBRL, en stelt deze dan ook beschikbaar op haar website. XBRL software gebruikt door organisaties en intermediairs dient conform deze richtlijnen te werken. Het niet gebruiken van XBRL volgens deze richtlijnen leidt tot het risico dat XBRL rapportages op een onjuiste manier worden opgesteld, beschikbaar gesteld of verkeerd worden uitgelezen en geïnterpreteerd. Naast het verkeerd gebruiken van XBRL, bestaat ook het risico dat voor de verschillende elementen een verschillende versie van de specificaties wordt gebruikt. Het kan bijvoorbeeld voorkomen dat de taxonomie is opgesteld conform specificatie versie X, maar het instance document volgens versie Y. Dit kan er toe leiden dat deze elementen niet goed op elkaar zijn afgestemd, verkeerd opgebouwd zijn, of dat gegevens niet of verkeerd zijn geïnterpreteerd.
4.3 Taxonomie Taxonomieën worden gebruikt, zoals in paragraaf 2.2.3 is beschreven, om informatie en context over gegevens vast te leggen. Er zijn een aantal standaard taxonomieën beschikbaar. Daarnaast zijn taxonomieën ontwikkeld specifiek voor een bepaald, land, sector of onderneming. Het succes van XBRL hangt voor een groot deel samen met het gebruik van de juiste taxonomieën en een kwalitatief hoogstaande inrichting daarvan. Aan het gebruik van taxonomieën zijn een aantal risico’s verbonden. Ten eerste moet zekerheid verkregen worden over het gebruik van de juiste taxonomie. Criteria hiervoor zijn onder andere het doel van de rapportage (jaarrekening, fiscaal, statistisch, etc.), de te hanteren wetgeving en richtlijnen en industrie of sector en specifieke wensen van de onderneming zelf. Indien een onjuiste taxonomie wordt gehanteerd bestaat het risico dat niet alle relevante gegevens worden opgenomen in de rapportage, dat de waarden van posten over- of onder gewaardeerd worden gerapporteerd of gegevens onjuist worden gerapporteerd. Vanuit dit oogpunt dient ook rekening gehouden te worden met de mogelijkheid verschillende taxonomieën te hanteren en uit te breiden met extensies (zie sectie 2.2.3). Doorgaans voorziet een standaard taxonomie niet in de rapportage behoeften van ondernemingen. XBRL maakt gebruik van open source principes. Hierdoor kunnen ondernemingen zelfstandig aanvullende taxonomieën ontwikkelen. In het bijzonder wanneer ondernemingen zelfstandig aanvullingen op standaard taxonomieën ontwikkelen en gebruiken, bestaat het risico dat deze onvolledig zijn, of juist te veel gegevens bevatten.
20
Naast de juistheid van de te hanteren taxonomie, dient de organisatie die rapporteert en de gebruikers die deze informatie ontvangen en interpreteren, over dezelfde taxonomie te beschikken. Is dit niet het geval, dan bestaat het risico dat de ontvangende partijen gegevens verkeerd interpreteren, omdat zij een andere en onjuiste taxonomie gebruiken en daarmee de gegevens verkeerd interpreteren. Niet alleen dienen de organisatie en de ontvangende partijen de data met dezelfde taxonomie te interpreteren, deze taxonomie dient ook van dezelfde versie te zijn. Indien de organisatie rapporteert op basis van taxonomie versie X, en de ontvangers interpreteren deze met versie Y, bestaat het risico dat interpretatiefouten worden gemaakt en informatie zo onvolledig of onjuist wordt geïnterpreteerd.
4.4 Instance document Voordat het instance document opgesteld kan worden, dient er eerst een mapping plaats te vinden tussen de in de taxonomie gedefinieerde data elementen, en de gegevens uit de bron systemen welke deze data bevatten. Indien deze mapping niet goed wordt uitgevoerd, bestaat het risico dat verkeerde informatie wordt opgehaald om de verschillende data elementen in het instance document te vullen. John Turner geeft in zijn artikel “Assusrance Considerations for Interactive Data” het volgende voorbeeld: een blik totmaten dat als label aardappels mee krijgt. Hieruit blijkt welke gevolgen het verkeerd taggen van data kan hebben. Deze (verkeerde of onvolledige) gegevens worden opgenomen in het instance document en daarmee (foutief) gerapporteerd. Een ander aandachtsgebied bij het verkrijgen van de benodigde gegevens uit de bron systemen, is dat informatie over de juiste periode wordt gebruikt. Wordt bijvoorbeeld over een boekjaar gerapporteerd, dan dient alle relevante informatie voor dat boekjaar meegenomen te worden, en niet de informatie over het voorgaande boekjaar (J. Turner, 2007). Naast het invoeren van verkeerde data, bestaat ook het risico dat verkeerde metadata wordt opgenomen in het instance document. Dit kan gebeuren als de data elementen gedefinieerd in de taxonomie niet op de juiste wijze worden overgenomen. Het risico bestaat dat tags onjuist of niet worden gebruikt, terwijl zij voor de rapportage noodzakelijk zijn. Als bijvoorbeeld een noodzakelijke tag voor valuta wordt weggelaten en verschillende valuta voor verschillende gegevens worden gebruikt, kan niet meer worden herleid welke cijfers in welke valuta worden gerapporteerd. Naast gegevens en meta data kunnen er ook opmerkingen worden opgenomen in het instance document, bijvoorbeeld als verklarende tekst. Het gebruik van commentaar brengt echter twee risico’s met zich mee. Allereerst kan het zijn dat bepaalde begeleidende teksten enkel voor intern gebruik bedoeld zijn. Indien deze niet worden verwijderd voor publicatie, bestaat het risico dat derden kennis van de inhoud vernemen. Het tweede risico geldt andersom, wanneer teksten ter verklaring van gegevens gebruikt worden, maar de ontvanger de rapportage zonder deze informatie ontvangt. Als het instance document eenmaal is opgesteld en de juiste gegevens bevat, is het zaak dat deze niet meer kunnen worden aangepast door ongeautoriseerde personen. Kan dit wel, dan bestaat het risico dat gegevens bewust of onbewust worden aangepast, waardoor de juistheid en volledigheid van de inhoud van het instance document in het geding komt.
21
Na het opstellen, dient het instance document beschikbaar te worden gesteld aan de belanghebbende partij(en). Hierbij dienen enkel deze partijen toegang tot de rapportage te hebben. Hebben derden ook toegang, dan bestaat het risico dat ongeautoriseerde personen toegang hebben tot gevoelige informatie. Ook wanneer derden geen directe toegang tot de rapportages hebben bestaat het risico dat zij ongeautoriseerd kennis van de rapportage kunnen nemen, bijvoorbeeld door de communicatie op te vangen of door een zogenaamde ‘man-in-the-middle attack’. Indien het document via het Internet beschikbaar wordt gesteld, is het ook noodzakelijk dat dit tijdig beschikbaar is en opgevraagd kan worden. Indien dit niet het geval is, bestaat het risico dat belanghebbenden niet op tijd de door hen benodigde informatie ontvangen.
4.5 Style sheet Wanneer het instance document is opgesteld kan dit met behulp van style sheets worden uitgelezen om hier een presentatie van te geven. Bijvoorbeeld in een spreadsheet of tekstbestand. Zie ook sectie 2.2.5. Om de gerapporteerde gegevens op de juiste manier te interpreteren is het noodzakelijk dat zowel de organisatie die de gegevens beschikbaar stelt als de ontvangende partij dezelfde context aan de gegevens geeft. Hierbij bestaat het risico dat het beschikbaar gestelde instance document met een andere taxonomie is opgesteld dan is gebruikt voor de style sheet. Hierdoor kan het voorkomen dat aan gegevens een verkeerde interpretatie wordt gegeven, omdat een verkeerde betekenis aan een tag wordt gegeven. Tevens kan het gebeuren dat het instance document tags bevat die niet terugkomen in de style sheet, terwijl de gegevens voor de rapportage wel relevant zijn. Ook als zowel de rapporterende als ontvangende partij dezelfde taxonomie gebruikt bestaat er het risico dat het instance sheet niet juist wordt ingelezen en/of geïnterpreteerd. Leesfouten kunnen optreden in de gebruikte software, data-elementen kunnen worden overgeslagen of foutief worden weergegeven. Tevens bestaat bij het converteren van het instance document naar een presentatievorm het risico dat gegevens aan de presentatie worden toegevoegd die niet in het instance document zijn opgenomen. Het risico bestaat dat deze verrijking niet strookt met de gegevens zoals gepubliceerd door de rapporterende organisatie.
4.6 Conclusie Zoals in dit hoofdstuk beschreven, brengt rapportage met behulp van XBRL een aantal risico’s met zich mee welke specifiek van toepassing zijn voor XBRL. Op hoofdlijnen zijn deze risico’s gelijk aan die bij een traditionele rapportage in papieren vorm, namelijk schending van de integriteit en vertrouwelijkheid van de te publiceren gegevens. Deze risico’s manifesteren zich bij de verschillende XBRL elementen of processen, welke in het traditionele scenario niet aanwezig zijn. Hieruit kunnen wij concluderen dat het gebruik van XBRL nieuwe risico’s met zich mee brengt welke afgedekt dienen te worden alvorens assurance gegeven kan worden over de integriteit en vertrouwelijkheid van het totstandkomingproces van de XBRL rapportage. In hoofdstuk 5 gaan wij verder in op de normen die getoetst kunnen worden om deze risico’s te beperken en in hoeverre de expertise van de IT auditor kan bijdragen of noodzakelijk is voor de beoordeling van deze normen. Een overzicht van de geïdentificeerde risico’s is gegeven in bijlage D. 22
5 Controleaanpak In hoofdstuk 5 wordt ingegaan op de rol van de IT auditor bij het verkrijgen van Assurance over het XBRL totstandkomingproces. Om deze rol te bepalen wordt in paragraaf 5.1 ingegaan op de controle doelstellingen, die noodzakelijk zijn om de risico’s van toepassing op het totstandkomingproces van een XBRL rapportage af te dekken. Het totaal vormt een normenkader dat als uitgangspunt gebruikt kan worden om assurance te verkrijgen over het totstandkomingproces van een rapportage in XBRL. In paragraaf 5.2 wordt ingegaan op de specifieke activiteiten die uitgevoerd dienen te worden voor elke doelstelling om assurance over het totstandkomingproces van de XBRL rapportage te kunnen verlenen. Als aanvulling hierop zullen we in sectie 5.3 aangeven in hoeverre wij verwachten dat deze activiteiten wel of niet behoren tot het expertisegebied van de IT auditor. Een volledig overzicht hiervan is gegeven in bijlage E. Het controle raamwerk kan worden gezien als een startpunt voor een werkprogramma dat daadwerkelijk in de praktijk gebruikt kan worden om assurance te verlenen, hiervoor zal nog een extra stap genomen moeten worden. Namelijk het in detail beschrijven van de controles en de specifieke activiteiten om deze te toetsen.
5.1 Controledoelstellingen De verschillende specifieke risico’s voor het gebruik van XBRL, beschreven in hoofdstuk 4, zijn opgesteld aan de hand van de verschillende elementen die gebruikt worden bij het opstellen van een rapportage in XBRL. Om tot een controleaanpak te komen, worden eerst verschillende controledoelstellingen opgesteld om deze risico’s af te dekken. In hoofdstuk 4 zijn verschillende risico’s beschreven die dezelfde strekking hebben, maar op een verschillend XBRL element van toepassing zijn. De doelstellingen zijn op een hoger niveau gedefinieerd zodat deze betrekking hebben op de verschillende type risico’s en eenvoudig te beschrijven zijn. In paragraaf 5.2 worden deze controledoelstellingen vervolgens toegepast op de verschillende elementen van het XBRL proces omdat wel specifieke controleactiviteiten noodzakelijk zijn per element. De eerste doelstelling die afgeleid kan worden uit de beschreven risico’s is dat de gegevens die worden gebruikt voor de XBRL rapportage afgeleid zijn van de juiste brongegevens. De gebruikte gegevens dienen de gevraagde informatie te bevatten en volledig te zijn en bijvoorbeeld ook van toepassing te zijn op de juiste periode. Deze doelstelling heeft betrekking op risico’s, 4.1, 4.2, 5.2 en 5.4. De tweede doelstelling stelt dat binnen het volledige proces de gebruikte data overeen moet komen met de gebruikte brongegevens. Met andere woorden, de gegevens welke worden gebruikt bij de verschillende stappen in het proces dienen te allen tijde overeen te komen met de gegevens uit de bronsystemen en dienen in de verschillende stappen niet aangepast te worden of een andere betekenis te krijgen. Ook na publicatie dienen de gepresenteerde gegevens niet aangepast te kunnen worden. Deze doelstelling heeft betrekking op risico’s 1.1, 1.2, 1.3, 1.4, 4.6 en 5.3. De derde doelstelling die uit de beschreven risico’s afgeleid kan worden, is dat het gehele totstandkomingproces van de XBRL rapportage dient te voldoen aan de gehanteerde XBRL specificaties. Dit om bijvoorbeeld interpretatiefouten te voorkomen. Deze doelstelling heeft betrekking op risico’s 2.1 en 2.2.
23
De vierde doelstelling die onderscheiden kan worden is dat naast de juistheid van de gegevens, en de gehanteerde specificaties, de XBRL rapportage ook moet voldoen aan alle gestelde randvoorwaarden. Zo dient de rapportage alle relevante en verplichte gegevens te bevatten, in de gevraagde vorm. Hieronder valt bijvoorbeeld het rapporteren over alle vereiste elementen in het kader van wet en regelgeving. Deze doelstelling heeft betrekking op risico’s 3.1, 3.2, 3.3, 4.3, 4.4, 4.5 en 5.1. De vijfde doelstelling die onderzocht is, zijn de gepresenteerde gegevens, die enkel voor bevoegde personen beschikbaar dienen te zijn. Dit betreft niet alleen de uiteindelijke presentatie, maar ook de verschillende deelproducten die worden opgesteld of gebruikt bij de totstandkoming. Deze doelstelling heeft betrekking op risico 4.7. De zesde doelstelling stelt dat de presentatie tijdig beschikbaar dient te zijn, wanneer opgevraagd door belanghebbenden. Deze doelstelling heeft betrekking op risico 4.8. Samenvattend zijn bovenstaande doelstelling beschreven in tabel 5-1. Nr.
Doelstelling
I
De juiste brongegevens worden gebruikt voor de rapportage.
II
Alle gebruikte en gerapporteerde gegevens komen overeen met de brongegevens.
III
Alle XBRL elementen dienen conform de gehanteerde XBRL specificaties opgezet te zijn.
IV
De rapportage bevat alle vereiste elementen en informatie.
V
De rapportage en deelproducten zijn alleen toegankelijk voor geautoriseerde personen.
VI
De presentatie is tijdig beschikbaar. Tabel 5-1: normen
5.2 Controle activiteiten In deze paragraaf wordt ingegaan op de specifieke activiteiten voor elke doelstelling die uitgevoerd dienen te worden om assurance over het totstandkomingsproces van de XBRL rapportage te kunnen verlenen. Hierbij maken wij steeds de link met de geïdentificeerde risico’s uit hoofdstuk 4, en het XBRL element waar deze activiteit op van toepassing is. Een overzicht van alle activiteiten en de genoemde relaties is gegeven in bijlage E.
5.2.1 Juiste brongegevens Om aan de eerste doelstelling, “De juiste brongegevens worden gebruikt voor de rapportage.”, te voldoen kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben betrekking op risico’s 4.1, 4.2, 5.2 en 5.4 en zijn daarmee van toepassing op het instance document en de style sheet. Instance Document Zoals in hoofdstuk 2 en 4 beschreven, wordt bij het opstellen van de mapping vastgesteld welke brongegevens relateren aan de opgevraagde elementen gedefinieerd in de gekozen taxonomie. Om dan ook vast te kunnen 24
stellen of de juiste gegevens worden gebruikt dient de mapping beoordeeld te worden op juistheid en volledigheid. De volgende twee controle activiteiten worden hierbij omschreven: �
Stel vast dat de mapping tussen de data-elementen in de taxonomie naar de juiste brondata verwijst.
�
Stel vast dat de mapping tussen de data-elementen en de taxonomie alle gedefinieerde data-elementen omvat.
Naast het opvragen van de juiste brongegevens, is het ook noodzakelijk dat de brongegevens over de voor de rapportage van toepassing zijnde periode opgevraagd wordt. Ook hier geldt zowel een criteria voor juistheid, als ook volledigheid. �
Stel vast dat bij het ophalen van de brondata enkel gegevens uit de juiste periode worden opgehaald.
�
Stel vast dat bij het ophalen van de brondata alle relevante gegevens uit de juiste periode worden opgehaald.
Style Sheet Nadat het instance document is opgesteld, dient ook vastgesteld te worden dat de gegevens die uiteindelijk gepresenteerd worden de juiste zijn. Omdat de presentatie met behulp van het style sheet een specifieke interpretatie van het instance document geeft, moet ook hier worden gecontroleerd of de juiste gegevens uiteindelijk worden gepresenteerd. Hierbij dient de style sheet gegevens juist en volledig weer te geven, en geen extra gegevens weer te geven die niet van de gevalideerde brongegevens afstammen. Een opmerking die hierbij geplaatst dient te worden, is dat in een scenario waarbij de organisatie enkel het instance document beschikbaar stelt en geen style sheet, de opzet en het gebruik van deze style sheet niet onder haar beheer valt. Het zal in dergelijke situaties dan ook niet altijd mogelijk of gewenst zijn om deze ‘externe’ style sheets mee te nemen in het assurance traject. Indien de rapporterende organisatie wel zekerheid wilt krijgen over de gehanteerde style sheet, verdient het dan ook aanbeveling om zelf een style sheet op te stellen en deze met het instance document te publiceren. De gerelateerde controle activiteiten zijn: �
Stel vast dat het style sheet alle relevante gegevens opneemt in de presentatie.
�
Stel vast dat het style sheet geen gegevens toevoegt die niet zijn opgenomen in het instance document.
5.2.2 Integriteit gegevens Om de tweede doelstelling, “Alle gebruikte en gerapporteerde gegevens komen overeen met de brongegevens.”, af te dekken kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben betrekking op risico’s 1.1, 1.2, 1.3, 1.4, 4.6 en 5.3 en zijn daarmee van toepassing op de data, het instance document en het style sheet. Data Met de controleactiviteiten beschreven in sectie 5.2.1 kan worden vastgesteld dat de juiste brongegevens worden gebruikt voor de XBRL rapportage. Hierna worden deze gegevens opgenomen en bewerkt in het 25
totstandkomingsproces van de XBRL rapportage, en dienen bij de verschillende deelprocessen niet af te wijken van de originele waarde en betekenis. Allereerst dient er dan ook vastgesteld te worden dat de gegevens die worden gebruikt onveranderd worden opgenomen in het XBRL proces. Hiertoe kunnen de volgende controle activiteiten worden uitgevoerd. �
Stel vast of alle benodigde gegevens (uit de mapping) beschikbaar zijn in het juiste format voor de gebruikte XBRL software.
�
Stel vast dat alle dataconversies benodigd voor in invoer juist en volledig zijn uitgevoerd.
�
Stel vast dat alle interfaces die gebruikt worden door de XBRL software juist en volledig werken.
�
Stel vast of bij de reguliere IT-audit voor de general computer controls zekerheid is verkregen over de juiste werking van de systemen welke gegevens voor de XBRL rapportage opslaan, bewerken of verrijken.
Instance Document Nadat de gegevens zijn opgenomen in het totstandkomingproces, wordt hiervan het instance document opgesteld. Het instance document dient de verschillende gegevens gelijk aan de brongegevens te bevatten, zonder afwijkingen in waarde of betekenis. �
Stel vast dat gegevens opgenomen in het instance document een onveranderde weergave geven van de gegevens uit de bronsystemen.
�
Stel vast dat ongeautoriseerde personen het instance document niet kunnen aanpassen.
�
Stel vast dat het instance document niet meer kan worden aangepast na publicatie.
Style Sheet Tenslotte geeft het style sheet een interpretatie op het instance document, waarbij ook het risico bestaat dat gegevens worden toegevoegd, gewijzigd of verwijderd. �
Stel vast dat de gegevens uit het instance document onveranderd worden opgenomen door het style sheet.
5.2.3 XBRL specificaties Om de derde doelstelling, “Alle XBRL elementen dienen conform de gehanteerde XBRL specificaties opgezet te zijn.”, af te dekken kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben betrekking op risico’s 2.1 en 2.2 en zijn daarmee van toepassing op de XBRL specificaties. XBRL Specificaties Zoals beschreven in sectie 4.1.2 is het noodzakelijk dat alle XBRL elementen zijn opgezet volgens een eenduidige XBRL specificatie. Om dit te toetsen kunnen de volgende controle activiteiten worden uitgevoerd. �
Stel vast dat de aanwezige XBRL elementen en software zijn opgesteld conform de door de organisatie gekozen specificaties. 26
�
Stel vast dat alle aanwezige XBRL elementen en software zijn opgesteld conform dezelfde versie van de gekozen XBRL specificaties.
5.2.4 Vereiste elementen en informatie Om de vierde doelstelling, “De rapportage bevat alle vereiste elementen en informatie.”, af te dekken kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben betrekking op risico’s 3.1, 3.2, 3.3, 4.3, 4.4, 4.5 en 5.1 en zijn daarmee van toepassing op de taxonomie, instance document en style sheet. Taxonomie Welke informatie uiteindelijk in een XBRL rapportage wordt opgenomen, hangt af van de gekozen taxonomie. Deze bepaald welke data elementen en bijbehorende metadata er opgenomen dienen te worden. Om vast te stellen of de juiste taxonomie is gehanteerd, kunnen de volgende controle activiteiten worden uitgevoerd. �
Stel vast dat de organisatie de juiste taxonomie heeft gekozen, conform het doel van de rapportage.
�
Stel vast dat de organisatie de juiste extensies gebruikt als aanvulling op de taxonomie conform het doel van de rapportage.
�
Stel vast dat voor alle deelprocessen dezelfde taxonomie (inclusief extensies) wordt gebruikt.
�
Stel vast dat voor alle deelprocessen dezelfde versie van de gekozen taxonomie en extensies wordt gebruikt.
Instance Document Nadat is vastgesteld dat de juiste taxonomie is gehanteerd, dient vastgesteld te worden of het instance document ook conform deze taxonomie is opgesteld. Hiertoe kunnen de volgende controle activiteiten worden uitgevoerd. �
Stel vast dat het instance document geen objecten bevat die niet zijn gedefinieerd in de gehanteerde taxonomie.
�
Stel vast dat de in het instance document opgenomen tags zijn opgenomen volgens de taxonomie.
�
Stel vast dat het instance document geen comments bevat die niet opgenomen dienen te worden in het instance document.
Style Sheet Ten slotte dient ook de uiteindelijke presentatie gebaseerd te zijn op de context zoals opgegeven in de taxonomie. Een opmerking die hierbij geplaatst dient te worden is dat wanneer het instance document beschikbaar wordt gesteld, zoals in het onderzoek gekozen scenario, derde partijen hier een eigen style sheet op los kunnen laten. Alhoewel de rapporterende organisatie geen of beperkt invloed heeft op deze ‘externe’ style sheets, dienen de volgende controle activiteiten uitgevoerd te worden om er zorg voor te dragen dat externe partijen hun style sheets op de juiste taxonomie kunnen baseren. �
Stel vast dat naast het instance document de gebruikte taxonomie beschikbaar is gesteld.
�
Stel vast dat eenduidig kan worden herleid welke taxonomie en versie er is gebruikt. 27
5.2.5 Vertrouwelijkheid Om de vijfde doelstelling, “De rapportage en deelproducten zijn alleen toegankelijk voor geautoriseerde personen.”, af te dekken kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben betrekking op risico 4.7 en zijn daarmee van toepassing op het, instance document. De argumenten voor vertrouwelijkheid ten aanzien van het instance document zouden ook van toepassing kunnen zijn op de taxonomie of style sheets als deze ook door de organisatie beschikbaar worden gesteld. Deze elementen bevatten geen feitelijke financiële gegevens.
Instance Document Vertrouwelijkheid is geen aspect dat wordt ondersteund door de XBRL standaard. Daarom dienen hier extra maatregelen voor genomen te worden buiten de XBRL elementen om. Deze zouden getoetst kunnen worden aan de hand van diverse “best practices” die beschikbaar zijn. In grote lijnen zouden hiervoor de volgende controle activiteiten kunnen worden uitgevoerd. �
Stel vast dat onbevoegden geen toegang hebben tot het (gepubliceerde) instance document.
�
Stel vast dat communicatie van het instance document gebeurd via beveiligde methoden.
5.2.6 Beschikbaarheid De laatste doelstelling, “De presentatie is tijdig beschikbaar.”, sluit aan bij risico 4.8. Ook dit is feitelijk geen onderdeel van de XBRL standaard. Als een organisatie succesvol gebruik wil maken van XBRL, dan dienen de opgestelde rapportages wel tijdig beschikbaar gesteld te worden. Hiertoe dient de volgende controle uitgevoerd te worden, welke aansluit bij het instance document. Indien ook de taxonomie en style sheets door de organisatie beschikbaar worden gesteld, zal hiervoor hetzelfde criteria gelden. Instance Document �
Stel vast dat het instance document beschikbaar is voor de belanghebbenden na publicatie.
5.3 Gevolgen toepassing XBRL op de IT audit In deze paragraaf wordt een beschouwing gegeven van de rol die een IT auditor kan spelen bij het totstandkomingproces van een XBRL rapportage. Hierbij wordt allereerst ingegaan op de normen die zullen moeten worden beoordeeld door de IT auditor. Daarnaast zal de relevantie van het beschreven normenkader onderbouwd worden.
5.3.1 Uit te voeren werkzaamheden IT auditor Om de impact op de werkzaamheden van de IT auditor bij het gebruik van XBRL te kunnen bepalen is het van belang de verschillende elementen in ogenschouw te nemen die een rol spelen in het totstandkomingproces van een XBRL document: data, XBRL specificatie, taxonomie, instance document en style sheet. Deze onderdelen 28
en hun relatie zijn in eerdere hoofdstukken 2 en 3 uitvoerig beschreven. In hoofdstuk 4 werd per element aangegeven welke risico’s aanwezig zijn, die kunnen leiden tot een onbetrouwbare financiële rapportage. Volgens de geïnterviewde IT auditors en accountants (zie bijlage C) zal de IT auditor een aanvullende rol gaan spelen bij de beoordeling van het proces van totstandkoming van het XBRL document. Hierbij zal hij aan de hand van de in sectie 1 beschreven controledoelstellingen moeten vaststellen of de organisatie voldoende maatregelen heeft geïmplementeerd om de integriteit en beschikbaarheid van de gebruikte taxonomieën, instance documenten en style sheets te waarborgen. De te toetsen normen hebben met betrekking tot autorisatieen wijzigingsbeheer een grote gelijkenis met de algemene IT normen. Een deel van de normen zal eenvoudig gecontroleerd kunnen worden door concept rapportages te verglijken met de vereisten zoals deze zijn gesteld door wetgevers en overige instanties (J. Turner, 2007). De geïnterviewden geven echter aan dat de mapping van de data in de bronsystemen met de gebruikte taxonomie door de accountant beoordeeld zal moeten worden alsmede het juist toepassen van opmerkingen bij de financiële rapportages aangezien de accountant eindverantwoordelijke is in het controleproces. Daarbij zal de accountant een oordeel moeten geven in hoeverre de jaarrekening (XBRL rapportage) een getrouw beeld geeft van het resultaat en het vermogen van de onderneming. Daarnaast is uit interviews met ervaren IT auditors gebleken dat zij verwachten dat een rol voor hen is weggelegd bij het beoordelen van de beheersingsmaatregelen die ervoor zorgen dat de XBRL rapportages op een integere en exclusieve wijze aankomen bij de ontvangende partijen. Dit is niet zo zeer een onderdeel van het totstandkomingproces van de rapportage zelf, maar heeft betrekking op de vervolgstap, namelijk het beschikbaar stellen van de opgestelde rapportages. Op basis van de risicoanalyse zoals beschreven in hoofdstuk 4 en de beschreven activiteiten in hoofdstuk 5.2, dan kan worden geconcludeerd dat niet voor alle risico’s de expertise van de IT-auditor noodzakelijk is. Voor een groot deel van de beschreven activiteiten zal de IT auditor uitkomst kunnen bieden in het verlenen van zekerheid over de verschillende deelprocessen. In Bijlage E hebben we per controleactiviteit aangegeven of hierbij een rol voor de IT auditor is weggelegd. In het algemeen kan gesteld worden dat de IT auditor zich zal richten op controlemaatregelen die vastliggen in de applicatie, zoals de beoordeling van de juiste periode waarover gerapporteerd wordt en het autorisatiebeheer van de verschillende producten in het XBRL totstandkomingproces (taxonomie, instance document en style sheets) en op gegevensgerichte data-analyse. Controlemaatregelen waarbij specifieke kennis noodzakelijk is over wet en regelgeving rond financiële rapportages zullen door de accountant beoordeeld moeten worden, aangezien hier de kennis en expertise van de IT auditor te kort zal schieten. Een goed voorbeeld van zo’n situatie is het mappen van de data in de systemen aan de gebruikte taxonomie, waarbij een accountant zal moeten vaststellen dat dit juist is gedaan.
5.3.2 Vorm en mate van assurance Om vast te stellen in welke mate assurance over het XBRL proces noodzakelijk is, dient allereerst de vraag beantwoord te worden met welk doel XBRL gebruikt gaat worden. Ook is van belang welke verschillende partijen een rol zullen spelen in het gebruik van XBRL, omdat dit de wijze en snelheid van invoering van XBRL zal bepalen, alsmede de mate van assurance over de XBRL rapportage die noodzakelijk is. Net als bij de traditionele wijze van rapporteren zal ook bij een XBRL rapportage enige vorm van zekerheid over de 29
betrouwbaarheid van de rapportage gegeven moeten worden. Wetgeving ten aanzien van financiële rapportages zal een grote rol spelen bij de inrichting en het gebruik van XBRL (KVK, 2009). Wanneer XBRL rapportages gebruikt zullen gaan worden is een redelijke mate van assurance noodzakelijk. Hoe deze assurance zal moeten worden ingericht is momenteel nog onduidelijk. Doordat in de wetgeving nu is vastgelegd dat (middel) grote entiteiten een jaarrekening dienen te deponeren bij het handelsregister van de Kamer van Koophandel, voorzien van een accountantsverklaring, is momenteel de jaarrekening het object van audit. De mate waarin assurance over het proces noodzakelijk is zal afhankelijk zijn van het scenario dat gekozen zal worden voor het publiceren van de financiële gegevens. Uit de gehouden interviews is op te maken dat de beroepsgroep van accountants verwacht dat voorlopig de jaarrekening in de huidige vorm zal blijven bestaan. Al dan niet met een XBRL rapportage als aanvulling. Deze gedachte is gebaseerd op het feit dat belanghebbenden momenteel niet vragen om assurance bij financiële rapportages in XBRL. Zolang de wetgeving niet vereist dat organisaties hun financiële rapportage aanleveren in XBRL en zolang onduidelijkheid bestaat waarover assurance verleend zal moeten worden zal dit ook niet snel veranderen denken zij. Hierdoor zal voorlopig een verklaring gegeven moeten worden ten aanzien van de betrouwbaarheid van financiële rapportages bij de jaarrekening. Als gevolg hiervan stellen de geïnterviewden zich voor dat in zolang de papieren jaarrekening wordt opgesteld en gecontroleerd door de accountant enige vorm van assurance over het XBRL document kan worden verkregen door op eenvoudige wijze de inhoud van het XBRL instance document te vergelijken met die van de traditionele jaarrekening. Echter, gezien de mogelijkheden van XBRL tot het gebruik van meerdere style sheets is ons inziens verder onderzoek noodzakelijk om deze stelling te valideren.
5.3.3 Vervolgstappen Het opgestelde raamwerk (bijlage E) is erop gericht zicht te geven op de risico’s en controledoelstellingen zoals van toepassing op het totstandkomingproces van een XBRL rapportage. Het kan voor een auditor fungeren als startpunt voor het opstellen van een werkprogramma. Hiertoe dient in het raamwerk per controleactiviteit nog een vervolg stap te worden uitgevoerd, waarbij voor een specifieke situatie beschreven wordt hoe kan worden vastgesteld dat aan de opgenomen norm kan worden voldaan. Daarnaast is het momenteel onduidelijk welke XBRL software pakketten gebruikt zullen worden. Wanneer hierover meer beslissingen zijn genomen zal er ook aandacht moeten komen voor het valideren van deze pakketten. Tot slot zal de toekomst moeten uitwijzen welk scenario uiteindelijk gebruikt zal gaan worden. Gemaakte keuzes in de verschijningsvorm van XBRL zullen consequenties hebben voor de controle aanpak noodzakelijk voor het afgeven van Assurance over een XBRL rapportage. Om vast te stellen welke consequenties dat zijn is verder onderzoek noodzakelijk.
30
6 Conclusie Aangenomen wordt dat XBRL in de toekomst tot algemene standaard verheven zal worden op het gebied van het geautomatiseerd opslaan en verwerken van bedrijfsinformatie en het rapporteren hiervan. Ook de financiële jaarrekening kan zo met behulp van XBRL worden opgesteld. Dit onderzoek heeft zich gericht zich op de vraag in hoeverre deze ontwikkeling impact zal hebben op het verkrijgen van assurance in het kader van de jaarrekeningcontrole en de hiervoor benodigde werkzaamheden van de IT-auditor. De onderzoeksvraag die hierin centraal staat is dan ook “Wat is de impact van XBRL op IT-audit en assurance?”. Om deze onderzoeksvraag te kunnen beantwoorden werden eerst de drie in hoofdstuk 1 gestelde deelvragen beantwoord. Wat zijn de relevante ontwikkelingen op het gebied van XBRL? De afgelopen jaren zijn de wensen en eisen ten aanzien van financiële informatie sterk veranderd, wat heeft geleid tot de invoer van XBRL. XBRL vormt hierbij een standaard die er voor dient te zorgen dat informatie tijdig, digitaal en in verschillende gewenste vormen beschikbaar kan worden gesteld. XBRL geeft daarbij de mogelijkheid eenzelfde set aan informatie op meerdere manieren te interpreteren, zodat één set aan informatie aan verschillende informatiebehoeften kan voldoen. Daarnaast kan het gebruik van deze standaard zorgen voor een harmonisatie van rapportagestandaarden, waardoor vergelijking en integratie met andere rapportages eenvoudiger wordt. Momenteel zijn voor de standaardisatie van gegevens verschillende taxonomieën beschikbaar (zoals IFRS GP en US GAAP). Daarnaast zijn op nationaal niveau taxonomieën opgesteld die rekening houden met lokale wetgeving. Met ingang van 2009 heeft de SEC het gebruik van XBRL voor beursgenoteerde organisaties in de verenigde staten verplicht gesteld. In andere landen bestaat al langer de mogelijkheid om, al dan niet verplicht, financiële rapportages in XBRL te rapporteren aan overheid of toezichthouders. Ook in Nederland wordt specifiek gewerkt aan de harmonisatie van taxonomieën om het proces van samenstellen en uitwisselen van informatie te vereenvoudigen. Om een rapportage in XBRL op te kunnen stellen zijn een vijftal elementen nodig, zoals beschreven in hoofdstuk 2. De brondata zijn de financiële gegevens over welke wordt gerapporteerd. De taxonomie bepaalt welke gegevens in de rapportage worden opgenomen en wat hun betekenis is. De XBRL specificaties geven de technische richtlijnen. Het instance document is het uiteindelijke informatiedocument dat de te rapporteren gegevens en metadata hierover bevat. Tot slot kan met behulp van een style sheet de voor de specifieke situatie relevante gegevens worden omgezet naar een voor gebruikers leesbare presentatievorm. Welke gevolgen heeft de toepassing van XBRL op het geven van assurance? Om te bepalen in hoeverre de toepassing van XBRL gevolgen heeft voor IT-auditing wordt in hoofdstuk 4 een risicoanalyse beschreven waarin de risico’s die specifiek van toepassing zijn bij het opstellen van rapportages met behulp van XBRL worden genoemd. Hierbij wordt de conclusie getrokken dat hoewel de risico categorieën ongeveer gelijk zijn aan die bij het totstandkomingproces van een traditionele papieren rapportage, het gebruik van XBRL specifieke risico’s met zich mee brengt t.a.v. de vijf beschreven elementen. Om deze specifieke risico’s te kunnen afdekken worden een zestal generieke normen opgesteld welke afgedekt dienen te worden om assurance te kunnen verkrijgen over het totstandkomingproces van de XBRL rapportage. Om deze normen vervolgens te kunnen toetsen is een set van controle activiteiten opgesteld welke gezamenlijk de risico’s, 31
beschreven in hoofdstuk 4, afdekken. Samengevoegd vormt dit een opzet voor een normenkader om assurance te kunnen verlenen over de totstandkoming van de XBRL rapportage. Aangezien XBRL een aantal nieuwe stappen toevoegt aan het rapportageproces en de beschreven controleactiviteiten specifiek van toepassing zijn voor XBRL, wordt geconcludeerd dat in vergelijking met de traditionele vorm van rapporteren extra of aangepaste activiteiten nodig zijn voor het verkrijgen van assurance. Veranderen de werkzaamheden van de IT-auditor door de toepassing van XBRL? In hoeverre de nieuw geïdentificeerde risico’s en controle activiteiten daadwerkelijk de rol van de IT auditor zullen beïnvloeden, zal af hangen van het gekozen scenario. In het scenario dat als basis is gebruikt voor ons onderzoek, zie hoofdstuk 3, wordt naast de rapportage met behulp van XBRL ook de traditionele papieren jaarrekening gepubliceerd. De resultaten van de in dit onderzoek uitgevoerde risicoanalyse gaan uit van een op zichzelf staande totstandkoming van de XBRL rapportage. Indien echter ook een papieren jaarrekening beschikbaar is, en over deze al assurance is verleend, is het denkbaar dat met een relatief simpele vergelijking van de resultaten kan worden geconstateerd dat de jaarrekening in XBRL juist is. Uit een aantal interviews afgenomen met IT auditors, accountants en consultants blijkt dan ook dat de indruk bestaat dat een uitvoerige beoordeling op de specifieke risico’s niet noodzakelijk is. Gezien de mogelijkheden van XBRL tot het gebruik van meerdere style sheets, is verder onderzoek noodzakelijk om deze stelling te kunnen valideren. Indien wordt uitgegaan van de risicoanalyse zoals beschreven in hoofdstuk 4 en de beschreven controlemaatregelen in hoofdstuk 5, dan kan worden geconcludeerd dat niet voor alle risico’s de expertise van de IT-auditor noodzakelijk is. Voor een groot deel van de beschreven activiteiten zal de IT auditor uitkomst kunnen bieden in het verlenen van zekerheid over de verschillende deelprocessen. De conclusie luidt dat er bij het geven van assurance over het XBRL rapportageproces een grotere rol voor de IT auditor is weggelegd, dan bij de traditionele vorm van rapporteren. Wat is de impact van XBRL op IT-audit en assurance? Door het beantwoorden van bovenstaande drie deelvragen wordt tot de conclusie gekomen dat het gebruik van XBRL in het gekozen scenario extra risico’s met zich meebrengt ten aanzien van het rapporteren van financiële rapportages zoals de jaarrekening. Om deze extra risico’s af te kunnen dekken zijn er een verzameling normen en controle activiteiten opgesteld, met welke assurance kan worden gegeven over het totstandkomingproces van een XBRL rapportage. Een deel van deze activiteiten kan door de accountant worden opgepakt. Voor het merendeel zal de expertise van de IT auditor noodzakelijk zijn. Er kan worden geconcludeerd dat de rol van de IT auditor groter zal worden bij het verlenen van assurance over het totstandkomingproces van een XBRL rapportage. Een kanttekening die hierbij gemaakt dient te worden, is dat dit onderzoek is opgezet vanuit een risicoanalyse op het XBRL proces. Een andere mogelijkheid die de geïnterviewde experts aangeven dient zich aan wanneer naast de XBRL rapportage ook een traditionele rapportage wordt opgesteld en wordt goedgekeurd door de accountant. In een dergelijk scenario zou het mogelijk kunnen zijn om het XBRL instance document te vergelijken met de traditionele jaarrekening. In hoeverre hier volledige assurance mee gegeven kan worden dient nog vastgesteld te worden. Zo wordt de laatste stap van het XBRL proces, namelijk het extraheren van een presentatievorm uit het instance document, niet direct meegenomen in de genoemde resultaatvergelijking. Dit is een interessant onderwerp voor eventuele vervolgstudies. 32
Bronvermelding Accountancy nieuws, XBRL komt maar niet van de grond, Accountancy nieuws, 25 januari 2008. Bal, S. (2008) XBRL and audit - Understanding the implications of XBRL on the risk-oriented audit approach, Auditing & Assurance, NIVRA-Nyenrode. Boritz, J.E. en No, W.G. (2007) Auditing an XBRL Instance Document: The Case of United Technologies Corporation, School of Accountancy and Centre for Information Systems Assurance, University of Waterloo. Boritz, J.E. en No, W.G. (2005), Security in XML-based financial reporting services on the Internet, School of Accountancy, University of Waterloo. Hoekstra D.J. en snijders P. (2008), XBRL taxonomieën voor beginners en doeners, stichting XBRL Nederland Handson, W. (2000), Principles of Internet marketing, South-Western College Publishing Heitmann, S. and Öhling, A. (2005), Audit of the future – an analysis of the impact of XBRL on audit and assurance. School of business, Economics and Law, Goteborg University, Sweden. Nivra (2007), XBRL, de stand van zaken, koninklijk Nivra, Amsterdam Pasmooij (2009), Waar zijn de analisten in het debat over invulling van het jaarverslag van de toekomst??, koninklijk Nivra, Amsterdam Pols, E. (2006) Impact of XBRL on IT audit, Informatics and Economics, Erasmus University Rotterdam. Public Company Accounting Oversight Board (PCABO) (2005), Staf questions and answers – Attest engagagements regarding XBRL financial information furnished under the XBRL voluntary financial reporting program on the edgar system, Public Company Accounting Oversight Board (PCABO), Washington, DC, USA. Securities and Exchange Commission (SEC) (2008) Interactive Data to Improve Financial Reporting, Washington, USA. Trites, Gerald (2006) INTERACTIVE DATA: THE IMPACT ON ASSURANCE - NEW CHALLENGES FOR THE AUDIT PROFESSION, XBRL Canada, Assurance Working Group of XBRL International. Trites, H.D. (CICA) (2002), AUDIT & CONTROL, IMPLICATIONS OF XBRL, The Canadian Institute of Chartered Accountants Toronto, Canada. Turner, J. (2007), Assurcance considerations for interactive data, Corefiling Van der Haegen (2006), Internetverslaglegging met behulp van XBRL
33
Web sites: Jaarverslag.info (2004) Jaarverslag Unilever, http://jaarverslag.info/annualreports/unilever. Accountant .nl (2009), http://www.accountant.nl/Accountant/weblogs/Wildschut/Bijeenkomst+over+ XBRL+en+assurance+boeie. KVK, (2009), http://kvk.nl/deponeren
34
Bijlage A: XBRL taxonomie jaarrekening Unilever 2004 <schema xmlns="http://www.w3.org/2001/XMLSchema" xmlns:xbrli="http://www.xbrl.org/2003/instance" xmlns:link="http://www.xbrl.org/2003/linkbase" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:ifrs-gp="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15" xmlns:ifrs-gp-rol="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/roles" xmlns:samp="http://www.iqinfo.com/xbrl/taxonomy" targetNamespace="http://www.iqinfo.com/xbrl/taxonomy" elementFormDefault="qualified" attributeFormDefault="unqualified"> !-- calculatie -->
35
Bijlage B: XBRL instance document jaarrekening Unilever 2004 - - <xbrli:xbrl xmlns:ifrs-gp="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15" xmlns:iso4217="http://www.xbrl.org/2003/iso4217" xmlns:xbrli="http://www.xbrl.org/2003/instance" xmlns:xbrll="http://www.xbrl.org/2003/linkbase" xmlns:xlink="http://www.w3.org/1999/xlink"> <xbrll:schemaRef xlink:arcrole="http://www.w3.org/1999/xlink/properties/linkbase" xlink:href="http://jaarverslag.info/annualreports/unilever/$File/UNILEVER_IQInfo_taxonomy.xsd" xlink:type="simple" /> - 18581000000 6557000000 29000000 56000000 1814000000 220000000 693000000 703000000 28653000000 4174000000 4707000000 1597000000 1748000000 12226000000 40879000000 7434000000 7794000000 728000000 15956000000 8466000000 898000000 5860000000 1794000000 17682000000 33638000000 6802000000 439000000 7241000000 40879000000 6181000000 17018000000 33000000 54000000 698000000 625000000 2148000000 279000000 27036000000 3756000000 4131000000
36
1013000000 1590000000 10490000000 37526000000 7324000000 365000000 7689000000 6893000000 1397000000 6079000000 1364000000 16450000000 5155000000 718000000 7514000000 13387000000 29837000000 37526000000 4927000000 4410000000 693000000 625000000 15900000000 12048000000 5860000000 6079000000 8458000000 8231000000 1597000000 1013000000 898000000 1364000000 1814000000 2603000000 3756000000 4410000000 2148000000 3345000000 4927000000 4174000000 39108000000 34795000000 4313000000 39000000 2000000 54000000 571000000 4313000000
37
60000000 3777000000 836000000 2941000000 2755000000 186000000 2.83 2.72 29000000 33000000 2522000000 2115000000 15900000000 664000000 717000000 12048000000 41000000 1558000000 577000000 - - <xbrli:context id="BJ2004"> - <xbrli:entity> <xbrli:identifier scheme="www.iqinfo.com/xbrl">UNILEVER - <xbrli:period> <xbrli:instant>2004-01-01 - <xbrli:context id="EJ2004"> - <xbrli:entity> <xbrli:identifier scheme="www.iqinfo.com/xbrl">UNILEVER - <xbrli:period> <xbrli:instant>2004-12-31 - <xbrli:context id="J2004"> - <xbrli:entity> <xbrli:identifier scheme="www.iqinfo.com/xbrl">UNILEVER - <xbrli:period> <xbrli:startDate>2004-01-01 <xbrli:endDate>2004-12-31 - <xbrli:unit id="EUR"> <xbrli:measure>iso4217:EUR
38
Bijlage C: Interviews Dave van den Ende – lid van International Steering Committee van XBRL international - Director Deloitte Consulting Datum interview: 23 februari 2009 Doel interview: Inzicht verkrijgen in de risico’s gerelateerd aan het XBRL totstandkomingproces. Aanpak: Door middel van literatuurstudie is een set van risico’s met betrekking tot het totstandkomingproces van een XBRL rapportage opgesteld. In een open gesprek met Dave van den Ende, specialist op het gebied van XBRL implementatie trajecten, is getoetst in hoeverre deze risico’s relevant en volledig zijn. Welke stappen worden doorlopen bij de totstandkoming van een XBRL rapportage en waar zitten de voornaamste risico’s wanneer het gaat om een integere en exclusieve XBRL rapportage? Data Zoals uit de literatuur reeds blijkt zijn er verschillende stappen die doorlopen moeten worden voordat een XBRL rapportage kan worden opgeleverd. Op de stappen zoals gedefinieerd heeft Dave inhoudelijk geen opmerkingen of aanvullingen. Wel wil hij erop wijzen dat niet alle informatie uit geautomatiseerde omgevingen afkomstig hoeft te zijn. Waardoor er een risico ontstaat dat informatie onjuist wordt ingevuld (het zogenaamde re-keyen).
Specificatie Momenteel is XBRL specificatie 2.1 de meest recente specificatie. Daarnaast zijn er aanvullingen op de XBRL specificatie in ontwikkeling, bijvoorbeeld de formula specificatie en de versioning specificatie. Een organisatie die XBRL wil gaan gebruiken zal zich bewust moeten zijn van de specificaties waarop de te gebruiken taxonomie is gebaseerd. Taxonomie Met behulp van een taxonomie wordt beschreven welke data elementen in een XBRL document gebruikt kunnen worden. Een taxonomie beschrijft de verschillende data-elementen welke gebruikt kunnen worden, en welke relaties deze onderling hebben. Daarmee beschrijft de taxonomie de metadata of de definities van de gegevens. De taxonomie zelf bevat geen data zoals financiële gegevens of toelichtingen. Gezien het open-source karakter van XBRL kan iedereen zelf een taxonomie beschrijven en toepassen. Het is van groot belang dat de instantie die de gegevens via XBRL beschikbaar stelt, dezelfde taxonomie hanteert als de ontvangende partijen, om er zo voor te zorgen dat gegevens op dezelfde manier geclassificeerd en geïnterpreteerd worden.
39
Er zijn een aantal gangbare taxonomieën goedgekeurd door XBRL International. De twee meest gebruikte hiervan zijn die voor IFRS en US GAAP. Naast het gebruik van een enkele taxonomie, zoals IFRS-GP, is het ook mogelijk deze taxonomie aan te vullen met aanvullingen voor specifieke elementen. Tijdens het interview zijn de volgende risico’s bij het gebruik van taxonomieën besproken: Ten eerste moet zekerheid verkregen worden over het gebruik van de juiste taxonomie. Criteria hiervoor zijn onder andere het doel van de rapportage (jaarrekening, fiscaal, statistisch, etc.), de te hanteren wetgeving en richtlijnen en industrie of sector en specifieke wensen van de onderneming zelf. Indien een onjuiste taxonomie wordt gehanteerd bestaat het risico dat niet alle relevante gegevens worden opgenomen in de rapportage, dat de waarden van posten over- of onder gewaardeerd worden gerapporteerd of gegevens onjuist worden gerapporteerd. Een standaard taxonomie voorziet niet altijd in de rapportage behoeften van ondernemingen. XBRL maakt gebruik van open source principes. Hierdoor kunnen ondernemingen zelfstandig aanvullende taxonomieën ontwikkelen. In het bijzonder wanneer ondernemingen zelfstandig aanvullingen op standaard taxonomieën ontwikkelen en gebruiken, bestaat het risico dat deze onvolledig zijn, of juist te veel gegevens bevatten. Naast de juistheid van de te hanteren taxonomie, dient de organisatie die rapporteert en de gebruikers die deze informatie ontvangen en interpreteren, over dezelfde taxonomie te beschikken. Is dit niet het geval, dan bestaat het risico dat de ontvangende partijen gegevens verkeerd interpreteren, omdat zij een andere en onjuiste taxonomie gebruiken en daarmee de gegevens verkeerd interpreteren. Niet alleen dienen de organisatie en de ontvangende partijen de data met dezelfde taxonomie te interpreteren, deze taxonomie dient ook van dezelfde versie te zijn. Instance document Het daadwerkelijke document dat beschikbaar wordt gesteld met behulp van XBRL is het instance document. In dit document komen taxonomie en data samen. Het bevat de gegevens welke beschikbaar worden gesteld en de bijbehorende metadata, getagd volgens de gekozen taxonomie. De tags geven de juiste betekenis en context van het gegeven zoals hierboven beschreven. Welke tags gebruikt kunnen worden is gedefinieerd in de gehanteerde taxonomie. Nadat het instance document is opgezet, kan dit op elke denkbare wijze beschikbaar worden gesteld aan belanghebbenden. Bijvoorbeeld door deze op het Internet te publiceren. Tijdens het interview zijn de volgende risico’s ten aanzien van instance documenten besproken: Voordat het instance document opgesteld kan worden, dient er eerst een mapping plaats te vinden tussen de in de taxonomie gedefinieerde data elementen, en de gegevens uit de bron systemen welke deze data bevatten. Indien deze mapping niet goed wordt uitgevoerd, bestaat het risico dat verkeerde informatie wordt opgehaald om de verschillende data elementen in het instance document te vullen. Een ander aandachtsgebied bij het verkrijgen van de benodigde gegevens uit de bron systemen, is dat informatie over de juiste periode wordt gebruikt. Naast het invoeren van verkeerde data, bestaat ook het risico dat verkeerde metadata wordt opgenomen in het instance document. Dit kan gebeuren als de data elementen gedefinieerd in de taxonomie niet op de juiste wijze worden overgenomen. Het risico bestaat dat tags onjuist of niet worden gebruikt, terwijl zij voor de rapportage noodzakelijk zijn. Naast gegevens en meta data kunnen er ook opmerkingen worden opgenomen in 40
het instance document, bijvoorbeeld als verklarende tekst. Het gebruik van commentaar brengt echter twee risico’s met zich mee. Allereerst kan het zijn dat bepaalde begeleidende teksten enkel voor intern gebruik bedoeld zijn. Indien deze niet worden verwijderd voor publicatie, bestaat het risico dat derden kennis van de inhoud vernemen. Het tweede risico geldt andersom, wanneer teksten ter verklaring van gegevens gebruikt worden, maar de ontvanger de rapportage zonder deze informatie ontvangt. Als het instance document eenmaal is opgesteld en de juiste gegevens bevat, is het zaak dat deze niet meer kunnen worden aangepast door ongeautoriseerde personen. Kan dit wel, dan bestaat het risico dat gegevens bewust of onbewust worden aangepast, waardoor de juistheid en volledigheid van de inhoud van het instance document in het geding komt. Na het opstellen, dient het instance document beschikbaar te worden gesteld aan de belanghebbende partij(en). Hierbij dienen enkel deze partijen toegang tot de rapportage te hebben. Hebben derden ook toegang, dan bestaat het risico dat ongeautoriseerde personen toegang hebben tot gevoelige informatie. Ook wanneer derden geen directe toegang tot de rapportages hebben bestaat het risico dat zij ongeautoriseerd kennis van de rapportage kunnen nemen, bijvoorbeeld door de communicatie op te vangen of door een zogenaamde ‘man-in-the-middle attack’. Indien het document via het Internet beschikbaar wordt gesteld, is het ook noodzakelijk dat dit tijdig beschikbaar is en opgevraagd kan worden. Indien dit niet het geval is, bestaat het risico dat belanghebbenden niet op tijd de door hen benodigde informatie ontvangen.
41
Stylesheet Een style sheet kan aan de hand van de gehanteerde taxonomie de tags die in het instance document staan interpreteren en deze zo op de juiste wijzen presenteren. Het gebruik van style sheets maakt het mogelijk specifieke data-elementen uit het geheel te selecteren en te presenteren. Tijdens het interview zijn de volgende risico’s ten aanzien van het gebruik van style sheets besproken: Om de gerapporteerde gegevens op de juiste manier te interpreteren is het noodzakelijk dat zowel de organisatie die de gegevens beschikbaar stelt als de ontvangende partij dezelfde context aan de gegevens geeft. Hierbij bestaat het risico dat het beschikbaar gestelde instance document met een andere taxonomie is opgesteld dan is gebruikt voor de style sheet. Hierdoor kan het voorkomen dat aan gegevens een verkeerde interpretatie wordt gegeven, omdat een verkeerde betekenis aan een tag wordt gegeven. Tevens kan het gebeuren dat het instance document tags bevat die niet terugkomen in de style sheet, terwijl de gegevens voor de rapportage wel relevant zijn. Ook als zowel de rapporterende als ontvangende partij dezelfde taxonomie gebruikt bestaat er het risico dat het instance sheet niet juist wordt ingelezen en/of geïnterpreteerd. Leesfouten kunnen optreden in de gebruikte software, data-elementen kunnen worden overgeslagen of foutief worden weergegeven. Tevens bestaat bij het converteren van het instance document naar een presentatievorm het risico dat gegevens aan de presentatie worden toegevoegd die niet in het instance document zijn opgenomen. Het risico bestaat dat deze verrijking niet strookt met de gegevens zoals gepubliceerd door de rapporterende organisatie.
42
Michael van de Meulen RA RE – Senior manager ERS Deloitte Robert Boon RA RE – Director ERS Deloitte Datum interview: 10 maart 2009 Jeffrey Hinnen – Manager Deloitte accountants Datum interview: 13 maart 2009
Doel interview: Het doel van het interview is inzicht verkrijgen in de meningen van ervaren RA en RE personen met betrekking tot XBRL en de impact daarvan op de werkzaamheden van de IT auditor. Aanpak: Om de impact op de werkzaamheden van de IT auditor bij het gebruik van XBRL te kunnen bepalen is het van belang een aantal verschillende onderdelen in ogenschouw te nemen die een rol kunnen spelen in het totstandkomingproces van een XBRL document. Allereerst moet de vraag beantwoord worden met welk doel XBRL gebruikt zal gaan worden. Daarnaast dient het belang van de verschillende betrokken partijen hierbij te worden beschouwd. Net als bij de traditionele wijze van rapporteren zal ook bij een XBRL rapportage enige vorm van zekerheid over de betrouwbaarheid van de rapportage gegeven moeten worden waarbij de aanwezige wetgeving ten aanzien van financiële rapportages een grote rol kan spelen (kvk, 2009). Om zekerheid te kunnen bieden rond de betrouwbaarheid van financiële rapportages dient inzicht te worden verkregen in mogelijke risico’s tijdens het totstandkomingproces die kunnen leiden tot onbetrouwbare rapportages. Ten slotte is ingegaan op de rol die de accountant en IT-auditor spelen in dit proces. 1) Doel van XBRL Uit de literatuur blijkt dat XBRL als doel heeft de elektronische uitwisseling en directe verwerking van gegevens mogelijk te maken. Organisaties kunnen door gebruik te maken van verschillende taxonomieën XBRL rapportage voor verschillende doeleinden creëren. Verder maakt XBRL het mogelijk met een hogere frequentie rapportages op te leveren, waardoor beter op business targets aangestuurd kan worden. Uit de verschillende interviews wordt opgemaakt dat de efficiency winst, die XBRL pretendeert te bewerkstelligen voor vergelijkbaarheid, beperkt zal zijn. Met name doordat de grotere organisaties beschikken over systemen waaruit op eenvoudige wijze eenvoudig financiële rapportage kunnen worden uitgedraaid. De huidige rapportage zijn al volgens wettelijke verplichte grondslagen opgesteld (bijv volgens IFRS of US GAAP). Hierdoor zijn rapportages reeds eenvoudig te vergelijken met andere organisaties die rapporteren volgens dezelfde grondslag. XBRL zal hierbij weinig toegevoegde waarde leveren.
43
2) Belanghebbenden Uit de literatuur blijkt dat er verschillende partijen betrokken zijn bij de totstandkoming van een rapportage op basis van XBRL. Ten eerste is er de uitvragende partij (bijv. KVK, CBS of belastingdienst). Daarnaast is er de leverende partij (de klant). Tenslotte zijn er nog derde partijen die ondersteuning bieden tijdens het proces (bijv. consultants, accountants en IT auditors). De geïnterviewden zijn van mening dat als voorwaarde voor het succes van XBRL gesteld kan worden dat bij alle partijen een belang dient te zijn voor het gebruik ervan. Ondernemingen zijn verplicht jaarrekeningen te deponeren bij het Handelsregister van de Kamer van Koophandel. Hierbij dient de KVK deze jaarrekeningen beschikbaar te stellen voor het publiek. De vorm van de rapportages is hierbij voor de KVK niet van belang, zolang deze maar voldoen aan de normen zoals gesteld in de wet en RJ of IFRS. De geïnterviewden zijn van mening dat de efficiencyvoordelen bij het gebruik van XBRL in dit kader gering zullen zijn, waardoor ook de leverende partij weinig belang heeft bij een snelle invoering en verplichtstelling van XBRL. Doordat in de wetgeving is vastgelegd dat (middel) grote entiteiten een jaarrekening dienen te overleggen voorzien van een accountantsverklaring zal een organisatie nog steeds een jaarrekening moeten opstellen. Hierbij dient de accountant de jaarrekening te toetsen aan de norm (bijvoorbeeld IFRS) Hierbij geeft hij in de accountantsverklaring een oordeel over de getrouwheid van het vermogen en resultaat van de onderneming op basis van de norm. De geïnterviewden verwachten dat dit voorlopig zo zal blijven. Hierbij moet worden opgemerkt dat met name nieuwe toepassingen, zoals het gebruik van XBRL rapportages om bedrijfsprocessen aan te sturen, de toegevoegde waarde van XBRL zullen bepalen.
3) Assurance en rol van de accountant en IT- auditor Wanneer XBRL rapportages gebruikt zullen gaan worden zal de ontvangende partij (gebruiker) zekerheid willen hebben over de betrouwbaarheid van deze rapportage. Hiervoor is het noodzakelijk dat een zekere mate van assurance wordt verkregen over het totstandkomingproces van de rapportage ten aanzien van de betrouwbaarheid, tijdigheid en beschikbaarheid van deze rapportage. Hoe deze assurance zal moeten worden ingericht is momenteel nog onduidelijk. Doordat in de wetgeving nu is vastgelegd dat organisaties een jaarrekening dienen te publiceren is momenteel de jaarrekening het object van audit. Bij het totstandkomingproces van XBRL zien de geïnterviewden enkele risico’s die de betrouwbaarheid van deze rapportages kunnen ondermijnen, zoals het gebruik van een onjuiste taxonomie, verkeerde versie van een taxonomie, ongeautoriseerde wijzigingen op taxonomieën, instance documenten en style sheets. Daarom verwachten zij dat wanneer XBRL gebruikt zal gaan worden nog steeds een jaarrekening zal worden opgesteld naast het XBRL document. Uit de interviews blijkt dat hiervoor meerdere oorzaken zijn. Ten eerste wordt middels de jaarrekening ook verslag gedaan over een bepaalde periode zoals in de winst en verlies rekening en het kasstroomoverzicht. Voor de vergelijkbaarheid is het goed dat iedereen dan verslag doet over een vaste periode zoals een boekjaar. Ten tweede dient de jaarrekening zoals in de wet is beschreven, als bron voor de vaststelling van het resultaat over een jaar door de aandeelhouders (en de resultaatbestemming). De accountant zal, als eindverantwoordelijke in het controleproces, over deze jaarrekening zijn oordeel over de getrouwheid van het resultaat en vermogen geven waardoor het feitelijke object van audit niet gewijzigd zal worden. Wel zal 44
de IT auditor een aanvullende rol gaan spelen bij de beoordeling van het proces van totstandkoming van het XBRL document waarbij de integriteit en beschikbaarheid van de gebruikte taxonomieën, instance documenten en style sheets geborgd
moeten worden. Deze werkzaamheden dienen te worden uitgevoerd voordat dat
accountant begint aan zijn eindejaarscontrole.
45
Ard Niesen RE – Partner ERS Deloitte Paul Weel RE – Manager ERS Deloitte Datum interview: 10 maart 2009 Doel interview: De mening horen en begrijpen vanuit het gezichtspunt van een IT auditor. Hoe ziet hij de komst van XBRL, welke risico’s zijn er te onderkennen in het totstandkomingproces van de XBRL rapportage en welke rol gaat de IT auditor hierbij spelen. Uitkomst interview: Uit interview blijkt dat XBRL er waarschijnlijk binnen niet al te lange termijn zal gaan komen. Wel is het ondenkbaar dat hierbij de jaarrekening op korte termijn zal verdwijnen. Hiervoor zal een wijziging van de wet noodzakelijk zijn. Tot die tijd zal assurance gegeven moeten worden door een accountant over de jaarrekening. Wanneer deze jaarrekening gebaseerd is op het XBRL document zal de IT auditor zekerheid moeten geven over het proces van totstandkoming van de XBRL rapportage. Deze werkzaamheden die de IT auditor in dit kader zal uitvoeren zullen echter niet meer zijn dan een aanvulling op de controle die hij momenteel al uitvoert om vast te stellen of de gegevens verwerkende processen op orde zijn. Uit het interview is gebleken dat hierbij wel een aantal specifieke risico’s zullen moeten worden beheerst door de organisatie. Paul geeft aan dat onder meer van de gebruikte ETL scripts, die de data ophalen uit verschillende onderliggende systemen, zal moeten worden vastgesteld dat deze zorgen voor een volledige, juiste en tijdige aanlevering van de data. Daarnaast zijn er risico’s dat op te leveren documenten zoals de taxonomie, het instance document of style sheet in het proces onderweg bewust of onbewust foutief worden gewijzigd. Een IT auditor zal dus moeten vaststellen dat een organisatie deze risico’s op ongeautoriseerde aanpassingen onder controle heeft. Als aanvulling op de werkzaamheden die de IT auditor zal uitvoeren in het kader van de totstandkoming van de XBRL rapportage verwacht Ard dat de IT auditor met name gevraagd zal worden zekerheid te geven ten aanzien van de exclusiviteit en integriteit van de XBRL rapportage tijdens het verzenden van de rapportage (instance document, taxonomie en stylesheet) richting de ontvangende partij.
46
Bijlage D: Risico’s XBRL element
Nr.
Data
1.1 1.2
XBRL Specificaties Taxonomie
Style Sheet
Bij handmatige conversie van brondata worden gegevens onjuist of onvolledig ingevoerd. Brondata worden foutief ingelezen doordat deze in het verkeerde format wordt aangeboden.
1.3
De communicatie van informatiebron naar XBRL software brengt fouten met zich mee.
1.4
De systemen die gegevens opslaan, bewerken of verrijken schenden de integriteit van deze gegevens.
2.1
De specificaties zijn niet juist geïmplementeerd.
2.2
Een verkeer versie van de specificaties wordt gevolgd voor (een aantal) XBRL elementen.
3.1
Een verkeerde taxonomie en/of extensie hierop wordt gehanteerd.
3.2
4.1
Verschillende delen van het proces hanteren een andere taxonomie. Verschillende delen van het proces hanteren een andere versie van de gekozen taxonomie. De gehanteerde mapping verwijst naar verkeerde dataobjecten.
4.2
In het instance document worden gegevens uit een verkeerde periode opgenomen.
4.3
In het instance document wordt afgeweken van de taxonomie.
4.4
Het gebruik van comments leidt tot het publiceren van ongewenste gegevens.
4.5
Het gebruik van comments leidt tot het verkeerd interpreteren van gegevens.
4.6
Het instance document wordt (na publicatie) ongewenst gewijzigd.
4.7
Het instance document is toegankelijk voor onbevoegden.
4.8
Het instance document is niet tijdig beschikbaar.
5.1
De style sheet is gebaseerd op een verkeerde versie van de taxonomie.
5.2
De style sheet rapport niet over alle relevante gegevens.
5.3
De style sheet presenteert gegevens onjuist.
5.4
De style sheet presenteert gegevens welke niet door de publicerende organisatie zijn opgenomen.
3.3 Instance Document
Risico
Tabel D-1: Risico's XBRL
47
Bijlage E: Normenkader Nr.
Doelstelling
1.1
De juiste brongegevens Stel vast dat de mapping tussen de data-elementen in Nee worden gebruikt voor de de taxonomie naar de juiste brondata verwijst. rapportage.
Instance Document
4.1
De gehanteerde mapping verwijst naar verkeerde dataobjecten.
1.2
Stel vast dat de mapping tussen de data-elementen en Nee de taxonomie alle gedefinieerde data-elementen omvat. Stel vast dat bij het ophalen van de brondata enkel Ja gegevens uit de juiste periode worden opgehaald.
Instance Document
4.1
De gehanteerde mapping verwijst naar verkeerde dataobjecten.
Instance Document
4.2
In het instance document worden gegevens uit een verkeerde periode opgenomen.
Stel vast dat bij het ophalen van de brondata alle Ja relevante gegevens uit de juiste periode worden opgehaald. Stel vast dat het style sheet alle relevante gegevens Ja opneemt in de presentatie. Stel vast dat het style sheet geen gegevens toevoegt Ja die niet zijn opgenomen in het instance document.
Instance Document
4.2
Style Sheet
5.2
Style Sheet
5.4
Alle gebruikte en Stel vast of alle benodigde gegevens (uit de mapping) Ja gerapporteerde gegevens beschikbaar zijn in het juiste format voor de gebruikte komen overeen met de XBRL software. brongegevens. Stel vast dat alle dataconversies benodigd voor in Ja invoer juist en volledig zijn uitgevoerd.
Data
1.2
In het instance document worden gegevens uit een verkeerde periode opgenomen. De style sheet rapporteert niet over alle relevante gegevens. De style sheet presenteert gegevens welke niet door de publicerende organisatie zijn opgenomen. Brondata worden foutief ingelezen doordat deze in het verkeerde format wordt aangeboden.
Data
1.1
2.3
Stel vast dat alle interfaces die gebruikt worden door Ja de XBRL software juist en volledig werken.
Data
1.3
2.4
Stel vast of bij de reguliere IT-audit voor de general Ja computer controls zekerheid is verkregen over de juiste werking van de systemen welke gegevens voor de XBRL rapportage opslaan, bewerken of verrijken.
Data
1.4
1.3
1.4
1.5 1.6
2.1
2.2
Activiteit
IT XBRL element Risico Risico controle Nr.
48
Bij handmatige conversie van brondata worden gegevens onjuist of onvolledig ingevoerd. De communicatie van informatiebron naar XBRL software brengt fouten met zich mee. De systemen die gegevens opslaan, bewerken of verrijken schenden de integriteit van deze gegevens.
Nr.
Doelstelling
2.5
Stel vast dat gegevens opgenomen in het instance document een onveranderde weergave geven van de gegevens uit de bronsystemen. Stel vast dat ongeautoriseerde personen het instance document niet kunnen aanpassen. Stel vast dat het instance document niet meer kan worden aangepast na publicatie. Stel vast dat de gegevens uit het instance document onveranderd worden opgenomen door het style sheet. Alle XBRL elementen dienen Stel vast dat de aanwezige XBRL elementen en conform de gehanteerde software zijn opgesteld conform de door de XBRL specificaties opgezet te organisatie gekozen specificaties. zijn. Stel vast dat alle aanwezige XBRL elementen en software zijn opgesteld conform dezelfde versie van de gekozen XBRL specificaties.
2.6 2.7 2.8 3.1
3.2
4.1
4.2
4.3 4.4
4.5
4.6
De rapportage bevat vereiste elementen informatie.
Activiteit
IT XBRL element Risico Risico controle Nr. Ja
Instance Document
4.6
Het instance document wordt (na publicatie) ongewenst gewijzigd.
Ja
Instance Document Instance Document Style Sheet
4.6
Het instance document wordt (na publicatie) ongewenst gewijzigd. Het instance document wordt (na publicatie) ongewenst gewijzigd. De style sheet presenteert gegevens onjuist. De specificaties zijn niet juist geïmplementeerd.
Ja Ja
4.6 5.3
Ja
XBRL Specificaties
2.1
Ja
XBRL Specificaties
2.2
Een verkeer versie van de specificaties wordt gevolgd voor (een aantal) XBRL elementen.
alle Stel vast dat de organisatie de juiste taxonomie heeft Nee en gekozen, conform het doel van de rapportage.
Taxonomie
3.1
Een verkeerde taxonomie en/of extensie hierop wordt gehanteerd.
Stel vast dat de organisatie de juiste extensies gebruikt als aanvulling op de taxonomie conform het doel van de rapportage. Stel vast dat voor alle deelprocessen dezelfde taxonomie (inclusief extensies) wordt gebruikt. Stel vast dat voor alle deelprocessen dezelfde versie van de gekozen taxonomie en extensies wordt gebruikt. Stel vast dat het instance document geen objecten bevat die niet zijn gedefinieerd in de gehanteerde taxonomie. Stel vast dat de in het instance document opgenomen tags zijn opgenomen volgens de taxonomie.
Nee
Taxonomie
3.1
Een verkeerde taxonomie en/of extensie hierop wordt gehanteerd.
Ja
Taxonomie
3.2
Ja
Taxonomie
3.3
Ja
Instance Document
4.3
Verschillende delen van het proces hanteren een andere taxonomie. Verschillende delen van het proces hanteren een andere versie van de gekozen taxonomie. In het instance document wordt afgeweken van de taxonomie.
Ja
Instance Document
4.3
49
In het instance document wordt afgeweken van de taxonomie.
Nr.
Doelstelling
Activiteit
4.7
Stel vast dat het instance document geen comments Nee bevat die niet opgenomen dienen te worden in het instance document.
4.8
4.9 4.10 5.1
De rapportage deelproducten zijn toegankelijk geautoriseerde personen.
5.2 6.1
IT XBRL element Risico Risico controle Nr.
De presentatie beschikbaar.
is
Instance Document
4.4
Het gebruik van comments leidt tot het publiceren van ongewenste gegevens.
Nee
Instance Document
4.5
Ja
Style Sheet
5.1
Ja
Style Sheet
5.1
Ja
Instance Document
4.7
Het gebruik van comments leidt tot het verkeerd interpreteren van gegevens. De style sheet is gebaseerd op een verkeerde taxonomie. De style sheet is gebaseerd op een verkeerde taxonomie. Het instance document is toegankelijk voor onbevoegden.
Stel vast dat communicatie van het instance document Ja gebeurd via beveiligde methoden. tijdig Stel vast dat het instance document beschikbaar is Ja voor de belanghebbenden na publicatie.
Instance Document Instance Document
4.7
Stel vast dat het instance document geen comments bevat die niet opgenomen dienen te worden in het instance document. Stel vast dat naast het instance document de gebruikte taxonomie beschikbaar is gesteld. Stel vast dat eenduidig kan worden herleid welke taxonomie en versie er is gebruikt. en Stel vast dat onbevoegden geen toegang hebben tot alleen het (gepubliceerde) instance document. voor
Tabel E-1: Normenkader
50
4.8
Het instance document is toegankelijk voor onbevoegden. Het instance document is niet tijdig beschikbaar.
