De wetgever heeft bepaald dat organisaties een jaarrekening op moeten stellen en dat een accountant deze moet controleren. Nieuwe ontwikkelingen doen afvragen of deze jaarrekening nog overeenkomt met de bedoeling, waarmee de wetgever deze wettelijke verplichting heeft ingevoerd. In dit onderzoek benoem ik de ontwikkelingen en de kansen die hieruit voortvloeien voor accountants en IT-auditors.
Afstudeerscriptie geschreven ter afronding van de IT audit opleiding aan de Vrije Universiteit Amsterdam
De wettelijke accountants controle Vooruit naar het oorspronkelijke doel Arnold Westgeest MSc. Maart 2013
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Voorwoord Zowel tijdens mijn opleiding als gedurende mijn werkervaring heb ik het accountants- en IT auditberoep leren kennen als twee uitdagende vakgebieden. De hoeveelheid kennis die ik tot me heb gekregen en nog dagelijks tot me krijg, maakt dat ik deze beroepen met passie uitvoer. Ik ben vooral werkzaam op het terrein van de wettelijke accountantscontrole. Schandalen, regeldruk en druk op auditfees overschaduwen deze wettelijke accountantscontrole. Deze ontwikkelingen hebben mij gebracht tot het onderwerp van dit onderzoek. Waar andere bedrijven innoveren als de marges onder druk staan, zijn accountants bij wet gebonden aan het controleren van de jaarrekening. Echter, er zijn veel ontwikkelingen die doen afvragen of deze jaarrekening nog past binnen de huidige tijdsgeest. Met dit onderzoek hoop ik bij te dragen aan de innovatie en ontwikkeling van het auditberoep, zowel voor de accountant als voor de IT-auditors. Ik ben mijn scriptiebegeleider, Paul Harmzen RA/RE, bijzonder dankbaar voor zijn ondersteuning. Onze gedeelde passie voor de innovatie en ontwikkeling van het auditberoep bracht ons tot leerzame en interessante discussies. Daarnaast ben ik de personen dankbaar die bereid waren mee te werken aan mijn onderzoek. Zij hebben mij allen voorzien van bijzonder waardevolle informatie. Ook het enthousiasme waarmee zij hebben meegewerkt aan mijn onderzoek, motiveerde mij enorm. Ook dank ik mijn ouders, mijn broer, mijn zus, mijn zwager en mijn kleine neefje voor de steun die zij mij hebben gegeven bij het afronden van mijn onderzoek. Ten slotte dank ik mijn collega’s voor hun hulp en ondersteuning om dit onderzoek tot een mooi rapport af te ronden. Ik heb dit rapport op persoonlijke titel geschreven. Voor zover uitspraken een mening impliceren, dan is dit uitsluitend mijn eigen mening.
Arnold Westgeest MSc. Zoetermeer, maart 2013
1
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Inhoud Voorwoord .............................................................................................................................................. 1 Samenvatting........................................................................................................................................... 4 Inleiding: De opzet van het onderzoek.................................................................................................... 5 Aanleiding ............................................................................................................................................ 5 Vraagstelling ........................................................................................................................................ 6 Onderzoekaanpak ............................................................................................................................... 6 Hoofdstukindeling ............................................................................................................................... 7 Relevantie voor het IT audit vakgebied ............................................................................................... 8 1. De oorspronkelijk bedoelde functionaliteit van wettelijke controle .................................................. 9 1.1 De ontwikkeling van de externe informatieverschaffing: de jaarrekening ................................... 9 1.2 De ontwikkeling van het auditberoep ......................................................................................... 11 1.3 De oorspronkelijk bedoelde functionaliteit van de wettelijke controleplicht ............................ 12 2. De verschillenanalyse tussen ISA 100 – 999 en ISAE 3000 - 3699 ..................................................... 13 2.1 Verschillenanalyse aan de hand van het object van onderzoek ................................................. 13 2.2 Verschillenanalyse aan de hand van de thema’s ........................................................................ 14 2.3 Verschillenanalyse aan de hand van de paragrafen in ISAE 3000 ............................................... 15 2.4 Verschillenanalyse aan de hand van de ontbrekende onderwerpen in ISAE 3000 ..................... 16 2.5 Samenvatting: verschillenanalyse ISA 100 – 999 versus ISAE 3000 - 3699 ................................. 19 3. De oorspronkelijk bedoelde functionaliteit versus de verschillen tussen de ISA sets ...................... 20 3.1 Het auditobject ............................................................................................................................ 20 3.2 Specifieke auditobjecten en afbakening ..................................................................................... 24 3.3 Voorschriften en specifieke aandachtgebieden .......................................................................... 25 3.4 Rapportage .................................................................................................................................. 27 4. Het praktijkonderzoek ....................................................................................................................... 30 4.1 De jaarrekening ........................................................................................................................... 30 4.2 Accountantscontrole op de jaarrekening .................................................................................... 31 4.3 De bedrijfsbrede audit................................................................................................................. 32 4.4 Toepassing van controlestandaarden ......................................................................................... 33 4.5 Risicomanagement ...................................................................................................................... 33 4.6 Conclusie ..................................................................................................................................... 35 5. Weging onderzoeksresultaten en conclusies .................................................................................... 36 5.1 De jaarrekening ........................................................................................................................... 36 2
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
5.2 Accountantscontrole op de jaarrekening .................................................................................... 37 5.3 De bedrijfsbrede audit................................................................................................................. 38 5.4 Toepassing van controlestandaarden ......................................................................................... 39 5.5 Risicomanagement ...................................................................................................................... 40 5.6 Eindconclusie ............................................................................................................................... 42 6. De rol van de IT-auditor..................................................................................................................... 43 Persoonlijke reflectie ............................................................................................................................. 45 Literatuurlijst ......................................................................................................................................... 46 Terminologie ......................................................................................................................................... 48 Bijlage I: Gehanteerde checklist bij de interviews ................................................................................ 49 Bijlage II: Verslagen geïnterviewden praktijkonderzoek ....................................................................... 52 Verslag interview met “de commissaris” (5 december 2012)........................................................... 53 Verslag interview met “de accountant” (21 december 2012) .......................................................... 56 Verslag interview met “de bankier” (4 januari 2013)........................................................................ 59 Verslag interview met “de ondernemer” (9 januari 2013) ............................................................... 62 Bijlage III: verslagen geïnterviewde experts .......................................................................................... 65 Verslag interview met “expert 1” (23 januari 2013) ......................................................................... 66 Verslag interview met “expert 2” (25 februari 2013)........................................................................ 69
3
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Samenvatting DOEL VAN HET ONDERZOEK In het kader van de wettelijke controleplicht, controleert een accountant de jaarrekeningen van organisaties volgens ISA 100 tot en met 999. In dit onderzoek vergelijk ik de informatie- en zekerheidsverstrekking rondom deze set van controlestandaarden met die rondom een andere set van controlestandaarden: ISAE 3000 tot en met 3699. Het doel van mijn onderzoek is vaststellen in hoeverre de informatie- en zekerheidsverstrekking rondom ISA 100 – 999 in de huidige tijdsgeest nog overeenkomen met de oorspronkelijke bedoeling van de wettelijke controleplicht en of/waar die rondom ISAE 3000 – 3699 dit mogelijk meer doen. Samenvattend, is de huidige jaarrekeningcontrole toereikend? Aanvullend heb ik op basis van de conclusies beschreven hoe de IT-auditor bij kan dragen aan verbeteringen.
WERKWIJZE Allereerst heb ik vanuit de literatuur beschreven wat de oorspronkelijke bedoeling is, waarmee de wettelijke controleplicht is ingevoerd. Vervolgens heb ik de twee sets van ISA’s vergeleken en de verschillen en overeenkomsten tussen beide vastgesteld. Hierop volgend heb ik aan de hand van literatuuronderzoek vastgesteld hoe de verschillen tussen deze ISA’s zich verhouden tot de oorspronkelijke doelstelling van de wettelijke controleplicht. Hieruit heb ik zes onderzoekstellingen geformuleerd, aan de hand waarvan ik het praktijkonderzoek heb verricht. Voor het praktijkonderzoek heb ik aan vier personen de onderzoekstellingen voorgelegd: een ondernemer, een commissaris, een accountant en een bankier. Om de uitkomsten van dit praktijkonderzoek te wegen en te vertalen naar de rol van de IT-auditor, heb ik aanvullend twee interviews gehouden; één met een expert op het gebied van risicomanagement en één met een expert op het gebied van accountantscontrole. CONCLUSIE
De wetgever heeft de wettelijke controleplicht ingevoerd met het doel alle (toekomstige) participanten in een organisatie te voorzien van informatie en zekerheid, op basis waarvan zij kunnen beslissen hun participatie voort te zetten. Deze doelstelling afgezet tegen de verschillen tussen ISA 100 – 999 en ISAE 3000 – 3699, levert op dat in de huidige tijdsgeest de informatie- en zekerheidsverstrekking rondom ISA 100 – 999 niet meer toereikend zijn. (Toekomstige) participanten hebben behoefte aan toekomstgerichte, niet-financiële informatie, waarover de auditor geen zekerheid kan verstrekken via ISA 100 – 999. De auditor kan dit wel via ISAE 3000 – 3699. Binnen de huidige wettelijke accountantscontrole speelt de IT-auditor een rol die ondergeschikt is aan die van de accountant. Als het gaat om het verstrekken van zekerheid over deze toekomstgerichte, niet-financiële informatie, kan de IT-auditor hierin een meer zelfstandige rol vervullen.
4
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Inleiding: De opzet van het onderzoek
Aanleiding Middelgrote en grote organisaties zijn bij wet verplicht hun jaarrekening te laten controleren. Accountants verrichten deze controles volgens de internationale controlestandaarden (ISA) 100 tot en met 999. ISA 100 - 999 bevatten voorschriften voor de controle van historische financiële informatie. Met andere woorden: zij schrijven voor hoe de auditor een controle op een jaarrekening of andere financiële verslaglegging moet verrichten.
Echter, de jaarrekening lijkt in de huidige tijd zijn relevantie te verliezen. Steeds vaker hoor ik vanuit mijn werk- en studieomgeving dat gebruikers informatie wensen die gericht is op de toekomst in plaats van op het verleden. De gebruiker (bijvoorbeeld een bank) vraagt zich af of de organisatie “in control” is. (Ik formuleer dit “in control” zijn als: het in continuïteit behalen van de doelstellingen van de organisatie) Ook wordt de jaarrekening op termijn vervangen door de XBRL-rapportagestandaarden.
De opdracht tot controle van historische financiële informatie geeft in de basis geen zekerheid over het “in control” zijn van de organisatie: het controleobject is de jaarrekening en deze geeft voornamelijk informatie over het verleden. De jaarrekening geeft tot op zekere hoogte een beeld over het “in control” zijn van een organisatie. Echter, als een proces onvoldoende is ingericht kan de accountant met compenserende, gegevensgerichte controlemaatregelen alsnog tot een goedkeurende accountantsverklaring komen.
De informatie- en zekerheidsverstrekking rondom ISAE 3000 - 3699 spelen mogelijk beter in op de behoefte van de beoogde gebruikers. Deze ISA’s hebben betrekking op controle van niet-financiële, toekomstgerichte informatie. Hieronder vallen onder andere de inrichting (en werking) van processen in relatie tot beheersdoelstellingen.
Daarom heb ik onderzoek verricht naar de oorspronkelijke bedoeling van de wetgever met de invoering van de wettelijk verplichte accountantscontrole. Aan de hand hiervan beschrijf ik welke set van ISA’s in de huidige tijdsgeest het beste aansluit bij deze oorspronkelijke bedoelingen.
Hiermee hangt ook de rol van de IT-auditor samen. Een IT-auditor is weliswaar niet in staat een financial audit uit te voeren, zoals beschreven in de standaarden 100 - 999. Echter, deze mag wel een procesaudit uitvoeren, zoals beschreven in de standaarden 3000 - 3699. In dit kader wil ik aanvullend onderzoeken wat de rol van een IT-auditor is binnen de wettelijke controle.
5
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Vraagstelling In het kader van het bovenstaande, luidt mijn onderzoeksvraag als volgt: “In hoeverre komen de informatie- en zekerheidsverstrekking rondom ISAE 3000 tot en met 3699 de oorspronkelijk bedoelde functionaliteit van de wettelijke controleplicht méér tegemoet dan die rondom ISA 100 tot en met 999 en wat betekent dit voor de IT-auditor?”
Deelvragen bij dit onderzoek: 1. Wat is de oorspronkelijk bedoelde functionaliteit van de wettelijke controleplicht? 2. Wat zijn de verschillen tussen de reikwijdte (aspecten, object en normen) van ISA 100 – 999 en ISAE 3000 - 3699? 3. Welke voor- en nadelen bieden de informatie- en zekerheidsverstrekking rondom ISA 100 – 999 versus ISAE 3000-3699 ten opzichte van de oorspronkelijk bedoelde functionaliteit? 4. Wat vullen informatie- en zekerheidsverstrekking in het kader van ISAE 3000 - 3699 aan op de huidige accountantscontrole in het licht van de oorspronkelijk bedoelde functionaliteit? 5. Wat betekent dit voor de rol van de IT-auditor binnen wettelijke controleopdrachten?
Onderzoekaanpak Om tot beantwoording van de onderzoeksvragen te komen, heb ik de volgende werkzaamheden verricht:
Het doen van literatuuronderzoek naar de oorspronkelijk bedoelde functionaliteit van de wettelijk verplichte accountantscontrole;
Het doen van deskresearch naar de inhoud van ISA 100 – 999 en ISAE 3000 – 3699;
Het inventariseren en analyseren van vóór- en nadelen van informatie- en zekerheidsverstrekking rondom ISA 100 – 999 versus ISAE 3000 – 3699 ten opzichte van de oorspronkelijk bedoelde functionaliteit van de wettelijk verplichte accountantscontrole;
Het formuleren van onderzoekstellingen aan de hand van het bovengenoemde;
Het toetsen van de onderzoekstellingen en formuleren van eindconclusies hierover aan de hand van interviews en expertinterviews.
Dit onderzoek betreft een beschrijvend onderzoek; De doelstelling van het onderzoek is een brede beschrijving geven van alle overwegingen die ten grondslag liggen aan de beantwoording van de onderzoeksvraag. Interviews met open vragen heb ik hierbij overwogen als de best toepasbare vorm voor het doen van praktijkonderzoek. Ik heb de te bespreken onderwerpen in de interviews bepaald op basis van onderzoekstellingen, welke ik heb gevormd gedurende het literatuuronderzoek. De conclusies bij deze onderzoekstellingen zijn relatief, zoals eerder gesteld. Ik heb de argumenten van de geïnterviewden “gewogen” aan de hand van twee interviews met experts.
6
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
De interviews zijn gehouden bij een beoogd gebruiker (bankier), een uitvoerder van wettelijke accountantscontroles (een accountant), een commissaris en een ondernemer. Dit zodat alle betrokken partijen bij een wettelijke accountantscontrole zijn vertegenwoordigd.
Ik ben met mijn onderzoek begonnen in augustus 2012 en heb deze in maart 2013 afgerond.
Grafisch weergegeven, ziet mijn onderzoek er als volgt uit: Oorspronkelijke bedoeling van de wettelijke controleplicht
Verschillen tussen ISA 100 - 999 en ISAE 3000 - 3699
Onderzoekstellingen
Praktijkonderzoek
Weging bevindingen praktijkonderzoek, conclusies onderzoekstellingen en conclusie onderzoeksvraag
Conclusie gevolgen voor de rol van de IT auditor
Hoofdstukindeling De hoofdstukindeling is als volgt:
Samenvatting
Inleiding: beschrijving van de aanpak van het onderzoek
Hoofdstuk 1: beschrijving van de literatuurstudie naar de oorspronkelijk bedoelde functionaliteit van de wettelijk verplichte accountantscontrole (deelvraag 1)
Hoofdstuk 2: beschrijving van ISA 100 – 999 en ISAE 3000 – 3699 (deelvraag 2)
Hoofdstuk 3: beschouwing van ISA 100 – 999 en ISAE 3000 – 3699 versus de oorspronkelijk bedoelde functionaliteit, resulterende in de onderzoekstellingen (deelvraag 3)
Hoofdstuk 4: uitkomsten van de interviews en tussenconclusies voor de onderzoekstellingen (deelvraag 4)
Hoofdstuk 5: weging van de uitkomsten in hoofdstuk 4 aan de hand van expertinterviews, eindconclusies voor de onderzoekstellingen en een eindconclusie voor het gehele onderzoek (deelvraag 4 en de hoofdvraag)
Hoofdstuk 6: vertaling van de uitkomsten van het onderzoek naar de rol van de IT-auditor (deelvraag 5)
7
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Relevantie voor het IT audit vakgebied Dit onderzoek gaat over de wettelijke accountantscontrole, een onderwerp dat vooral betrekking heeft op accountants. Echter, de IT-auditor is ook betrokken bij deze wettelijke controle. Binnen de huidige context ondersteunt de IT-auditor de accountant bij het uitvoeren van wettelijke accountantscontroles. De rol van de IT-auditor is daarom van ondergeschikt belang ten opzichte van die van de accountant.
Dit onderzoek draagt het volgende bij aan het IT audit vakgebied: 1. Dit onderzoek geeft inzicht in de bijdrage die de IT-auditor levert en kan leveren voor de wettelijke controleplicht; 2. Dit onderzoek geeft inzicht in de kansen voor de IT-auditor, vooral als het gaat om het vervullen van een maatschappelijke taak en een zelfstandige rol hierin; 3. Dit onderzoek geeft inzicht in de werkterreinen, waarin de IT-auditor zich moet bekwamen om zijn/haar bijdrage te leveren en om op de kansen in te spelen.
8
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
1. De oorspronkelijk bedoelde functionaliteit van wettelijke controle In dit hoofdstuk staat beantwoording van de eerste deelvraag centraal: wat is de oorspronkelijk bedoelde functionaliteit van de wettelijke controleplicht? Om deze vraag te beantwoorden, heb ik de historie en ontstaanswijze van deze wettelijke controleplicht uiteengezet.
Deze historie en ontstaanswijze vallen uiteen in twee aspecten; Het eerste aspect betreft de ontwikkeling van het soort informatie, waarover de accountant een wettelijke controle uitvoert: de jaarrekening. Waarom moet de accountant over deze informatie een controle uitvoeren? Het tweede aspect betreft de ontwikkeling van het auditberoep en de invoering van de wettelijke controleplicht. Met andere woorden: waarom is controle op de jaarrekening wettelijk verankerd?
1.1 De ontwikkeling van de externe informatieverschaffing: de jaarrekening De ontwikkeling van de informatiebehoefte door “participanten” van een organisatie, beschrijft Knechel (2001, pag. 10) als volgt:
1800 – 1920: behoefte naar informatie over “stewardship” (rentmeesterschap)
1920 – 1990: (aanvullende) behoefte naar informatie over winstgevendheid
1990 – heden: (aanvullende) behoefte naar informatie over risico’s en beheersing
Het object van de controle in het kader van de wettelijke controleplicht, betreft uitsluitend de jaarrekening. Dit externe verantwoordingsstuk geeft inzicht in de financiële prestaties van een organisatie. Er zijn diverse standaarden die voorschrijven hoe deze financiële prestaties weergegeven moeten worden (de zogenaamde “Generally Accepted Accounting Principles” (GAAP)). (Knechel, 2001, pag. 2) Om inzicht te krijgen in de informatie die deze jaarrekening biedt, afgestemd op de vraag vanuit de externe omgeving, heb ik onderstaand de totstandkoming van dit informatiestuk beschreven.
Deze standaarden zijn gebaseerd op het stelsel van dubbel boekhouden. Het oudst gedrukte boek over deze “boekhouding” stamt uit 1494: “Summa de Arithmetica, Geometrica Proportioni e Proportionalita” van de Italiaanse Franciscaner monnik Luca Pacioli. Italiaanse handelshuizen bepaalden in die periode het economisch beeld. (Epe en Koetzier, 2002, pag. 28)
In 1602 is de Verenigde Oostindische Compangnie (VOC) opgericht. Dit betrof de eerste onderneming, gefinancierd door het aantrekken van beleggers. (Epe en Koetzier, 2002, pag. 28) Families vormden tot die tijd de ondernemingen. Na het overlijden van een ouder, gebruikten nabestaanden de boekhouding om te bepalen welk bedrag moest worden uitgekeerd. Het winstbegrip was toen niet relevant.
9
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Bij de oprichting van de VOC veranderde dit: periodiek rapporteerde de organisatie winst aan beleggers voor hun ver- en aankoopbeslissingen en voor bepaling van dividenduitkeringen. (Epe en Koetzier, 2002, pag. 29)
De VOC betrof in die tijd een uitzondering op de regel: nog steeds dreven families de ondernemingen. Met de industriële revolutie, eind negentiende eeuw, kwam hierin verandering. In sterk toenemende mate ontstonden ondernemingen die werden gefinancierd met vermogen van derden. Hiermee nam de behoefte naar winstrapportage toe, naast rapportage over alleen het vermogen van ondernemingen. (Epe en Koetzier, 2002, pag. 29) Ook met de introductie van de belasting op winst (“corporate income tax”) in de Verenigde Staten in 1909, ontstond de toenemende behoefte om over winst te rapporteren. (Scott, 2003, pag. 2)
Winstgevendheid werd een variabele bij de voorspelling van de waarde van aandelen. (Knechel, 2001, pag. 9) Winst werd boekhoudkundig bepaald op basis van werkelijke (ook wel: historische) kosten en opbrengsten. Na de eerste wereldoorlog werd Duitsland geconfronteerd met hyperinflatie. Deze hyperinflatie leidde ertoe dat de voorspelling van de waarde van aandelen niet kon worden ontleend aan de in het verleden gerapporteerde winsten. Dit was aanleiding om de winstberekening op basis van historische kosten te verrijken: er werden methoden ontwikkeld om de winst te bepalen op basis van “fair value”, ook wel actuele waarde genoemd. (Epe en Koetzier, 2002, pag. 29) Bij deze methode werd de winst niet alleen bepaald door de werkelijke kosten af te trekken van de werkelijke opbrengsten, maar ook door te bepalen wat de werkelijke waarde van bezittingen en schulden was.
Tot 1990 is deze verslaggeving aangenomen als een goede grondslag om de waarde van ondernemingen te bepalen. Vanaf 1990 is er echter behoefte ontstaan aan meer toekomstgerichte informatie, zowel op de lange als de korte termijn. De “stakeholders” van de organisaties zijn niet meer alleen geïnteresseerd in de prestaties die de organisaties hebben geleverd, maar ook in de toekomstige rentabiliteit van deze organisaties. Concreet vertaalt dit zich naar de behoefte aan informatie over risico’s en de mate waarin de organisaties in staat zijn deze risico’s te beheersen. (Knechel, 2001, pag. 10) In de
De “stakeholders” wensen niet alleen inzicht in de historische prestaties van de organisatie, maar ook in de toekomstige rentabiliteit. Zij hebben daarom behoefte aan informatie over risico’s en de mate waarin de organisaties deze beheersen.
jaarrekening is in deze informatiebehoefte voorzien door deze aan te vullen met, onder andere, het directieverslag en de “in control statement”. Overigens zijn deze zeker niet voor iedere onderneming onderdeel van de (te publiceren) jaarrekening. Het al dan niet opnemen van deze informatie hangt samen met de omvang van de organisatie en de vraag of deze organisatie beursgenoteerd is.
10
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
1.2 De ontwikkeling van het auditberoep “Stakeholders” van organisaties hebben informatie nodig om te besluiten hun (toekomstige) participatie in de organisaties geheel of gedeeltelijk te continueren. Vanuit de wens naar zekerheid over deze informatie is het auditberoep ontstaan.
De ontwikkeling van het auditberoep, zoals wij dat nu kennen, start rond 1800. Welvaart van de Europese landen was in handen van enkele grote familiebedrijven die door de kolonialisering veelal internationaal opereerden. Door deze internationalisering en de grootte van deze organisaties, verrichtte het lokale management de dagelijkse bedrijfsvoering. Het auditberoep is hier ontstaan, vanuit de behoefte van de eigenaren van deze organisaties naar betrouwbare informatie over het “rentmeesterschap” van het lokale management. (Knechel, 2001, pag. 9)
In de tweede helft van de negentiende eeuw trokken ondernemingen vermogen voor uitbreiding vooral extern aan. Scheiding tussen leiding en eigendom van deze organisaties leidde tot vraag naar zekerheid over door de leiding gerapporteerde prestaties.
De vorm van het aangetrokken vermogen drukte een stempel op het verschil tussen de Amerikaanse en Europese benadering van de financial audit. Ondernemingen in Amerika trokken vooral vreemd vermogen (leningen, obligaties) aan om groei te bewerkstelligen. De verstrekkers van deze financieringen zijn geen eigenaren van de organisatie. De vergoeding voor deze financiers bestaat uit rente over de lening voor een bepaalde tijdsperiode. Deze financiers willen vooral weten of de schuldenaar voldoende onderpand biedt om terugbetaling van de lening te garanderen. In Europa financierden ondernemingen zich vooral met eigen vermogen (aandelen). De interesse van deze financiers (aandeelhouders) is vooral gericht op de volledigheid van (potentiële) dividenduitkeringen. Het is om deze reden dat de auditbehoefte in Amerika vooral is gericht op de juiste weergave van het vermogen, daar waar in Europa de auditbehoefte vooral is gericht op de volledigheid hiervan. (Westra en Mooijekind, 1996, pag. 17) De belangrijkste “boost” voor het auditberoep in Nederland komt voort uit de Pincoffs-affaire in 1879. Reder Lodewijk Pincoffs had het vermogen van de Afrikaanse Handelsvereniging 10 miljoen gulden te hoog gepresenteerd aan de externe vermogensverschaffers om te verhullen dat de prestaties in de regio van de Afrikaanse westkust slecht waren. De ondergang van de Afrikaanse Handelsvereniging heeft ertoe geleid dat het geld van de vermogensverschaffers in rook is opgegaan, omdat zij waren misleid. Dit heeft ertoe geleid dat vermogensverschaffers als eis voor vermogensverschaffing stelden dat de cijfers werden gecontroleerd door een onafhankelijke commissie. (Westra en Mooijekind, 1996, pag. 16)
11
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Aan het einde van de negentiende eeuw werd de winstbelasting ingevoerd. Met invoering van deze winstbelasting, nam het belang van de jaarrekening voor de belastinginspecteur toe. (Epe en Koetzier, 2002, pag. 29)
Na de tweede wereldoorlog groeide het besef dat een onderneming niet alleen bestaat ten behoeve van de eigenaren, maar dat deze een maatschappelijke functie heeft als onderdeel van een goed functionerende economie. De “Wet op de ondernemingsraden” (WOR) is een voorbeeld van een wet, ontstaan uit de visie dat een onderneming een maatschappelijke functie heeft. Ook de ingevoerde publicatieplicht in 1971 is ervoor bedoeld dat belanghebbende derden de financiële cijfers van een onderneming in kunnen zien. (Epe en Koetzier, 2001, pag. 30) Het is in deze tijd dat controle op de jaarrekening van (middelgrote en grote) ondernemingen wettelijk verplicht wordt gesteld.
Na de tweede wereldoorlog groeide het besef dat een onderneming niet alleen bestaat ten behoeve van de eigenaren, maar dat deze een maatschappelijke functie heeft als onderdeel van een goed functionerende economie.
Dat de “stakeholders” inzicht moeten hebben in de financiële prestaties van ondernemingen, hangt samen met de informatie die zij nodig hebben om te besluiten hun participatie in een onderneming geheel of gedeeltelijk te continueren. Deze participatie kan bijvoorbeeld bestaan uit het leveren van arbeid (personeel), het leveren van goederen of diensten (leveranciers) of het gedogen van de
onderneming (toezichthouders/wetgevers). (Westra en Mooijekind, 1996, pag. 19)
1.3 De oorspronkelijk bedoelde functionaliteit van de wettelijke controleplicht In de vorige paragrafen beschrijf ik hoe zowel de inhoud van de externe informatieverschaffing als de functie van het auditberoep vanuit historisch perspectief zijn ontstaan.
Op basis van het bovenstaande concludeer en stel ik voor mijn verdere onderzoek de oorspronkelijk bedoelde functionaliteit van de wettelijke controleplicht als: Het verstrekken van zekerheid over informatie die voor alle participantengroeperingen toereikend en relevant is voor besluitvorming ten aanzien van (gedeeltelijke) continuering van participatie in de onderneming.
Als relevante informatie voor participatiebereidheid heeft de wetgever gekozen voor de jaarrekening. Dit document geeft de participanten historisch en toekomstgericht inzicht in de winstgevendheid en de continuïteit van de onderneming, hetgeen de wetgever heeft overwogen als relevante informatie voor participatiebereidheid.
12
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
2. De verschillenanalyse tussen ISA 100 – 999 en ISAE 3000 - 3699 In het vorige hoofdstuk heb ik uiteengezet hoe de externe informatieverschaffing van een organisatie en de audit hierop zijn ontstaan. Ook heb ik geconcludeerd dat de wettelijke controleplicht is ingevoerd met de bedoeling zekerheid te verschaffen aan alle participanten(groeperingen) van de organisatie. Deze zekerheid heeft betrekking op informatie die toereikend en relevant is voor de bereidheid tot participatie in de onderneming door de participanten.
Het doel van dit hoofdstuk is het in kaart brengen van de verschillen tussen ISA 100 tot en met 999 en ISAE 3000 tot en met 3699. Binnen de wettelijke accountantscontrole, verstrekt de accountant zekerheid over de betrouwbaarheid van de jaarrekening door een controle te verrichten volgens ISA 100 - 999. Deze richtlijnen heb ik in dit hoofdstuk vergeleken met ISAE 3000 - 3699, richtlijnen die niet (verplicht) toegepast worden in een wettelijke accountantscontrole.
Het onderstaande heb ik beschreven aan de hand van de volgende documenten, verkregen via de website van de International Federation of Accountants (IFAC) (via http://www.ifac.org, geraadpleegd op 12 augustus 2012):
“Handbook of International Quality Control, Auditing Review, Other Assurance,and Related Services Pronouncements”, International Auditing and Assurance Standards Board (IAASB), 2012 edition, Volume I
“Handbook of International Quality Control, Auditing Review, Other Assurance,and Related Services Pronouncements”, International Auditing and Assurance Standards Board (IAASB), 2012 edition, Volume II
2.1 Verschillenanalyse aan de hand van het object van onderzoek Het controleobject in het kader van ISA 100 – 999 betreft historische financiële informatie. Voor ISAE 3000 – 3699 betreft dit toekomstgerichte en/of niet-financiële informatie.
Het verschil tussen beide sets van richtlijnen blijkt uit het Stramien voor assuranceopdrachten en aan assurance verwante opdrachten. (Eimers en Verkruijsse, 2006, pag. 603) Volgens dit stramien vallen beide sets van ISA’s onder de paraplu van assurance opdrachten. ISA 100 - 999 vallen hierbij onder de Controle en beoordeling van historische financiële informatie (1) en ISAE 3000 - 3699 onder Assurance opdrachten anders dan (1).
Met andere woorden: ISA 100 - 999 hebben betrekking op de controle op historische financiële informatie, ISAE 3000 - 3699 op controle op toekomstgerichte en/of niet-financiële informatie.
13
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Alle ISA’s hebben betrekking op assurance opdrachten: ”Een assurance-opdracht omvat alle opdrachten waarbij een accountant een conclusie formuleert om het vertrouwen van beoogde gebruikers te versterken.” (Eimers en Verkuijsse,
ISA 100 – 999 beschrijven de controle op historische financiële informatie, ISAE 3000 – 3699 die op toekomstgerichte en/of nietfinanciële informatie.
2006, pag. 604) De controle van een jaarrekening valt onder ISA 100 - 999, maar deze set van ISA’s heeft betrekking op meer soorten opdrachten dan alleen controle van een jaarrekening. (Eimers en Verkruijsse, 2006, pag. 604)
Concluderend en vooruitlopend op de analyse in het volgende hoofdstuk, valt allereerst op dat het doel van de wettelijke controleplicht is gericht op informatieverschaffing voor voortzetting van of toekomstige participatie in een organisatie, terwijl de toegepaste richtlijnen betrekking hebben op controle van historische informatie, beperkt tot financiële informatie.
2.2 Verschillenanalyse aan de hand van de thema’s ISA 100 – 999 bevatten meer thema’s dan ISAE 3000 – 3699. De beschreven specifieke onderwerpen bevestigen het verschil in audit object tussen de sets, zoals in de vorige paragraaf geconcludeerd. Hierbij valt op dat de set aan mogelijke audit objecten onder ISAE 3000 - 3699 meer variatie kent. De specifieke onderwerpen van ISA 100 - 999 kennen een nauwere verbintenis als het gaat om de informatiebron: de jaarrekening.
Allereerst valt op dat de beschrijving van ISA 100 - 999 langer is dan die van ISAE 3000 - 3699: in volume I start de beschrijving van ISA 100 - 999 op pagina 72 en deze eindigt op pagina 809, in totaal 738 pagina’s. De beschrijving van ISAE 3000 - 3699 start in volume II op pagina 87 en eindigt op pagina 165, in totaal 79 pagina’s. De beschrijving van ISAE 3000 tot en met 3699 is ongeveer 10% van die van ISA 100 tot en met 999. Deze aantallen pagina’s zijn overigens exclusief de appendices.
Er zijn een aantal richtlijnen binnen ISAE 3000 - 3699 in aantocht: zij zijn beschreven, maar nog niet effectief. Deze staan in de bundel van volume II op de pagina’s 186 tot en met 312.
14
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Aan de hand van de hoofdstukindeling, heb ik onderstaand de thema’s in beide sets beschreven: Thema’s ISA 100 tot en met 999: 1. Algemene uitgangspunten en verantwoordelijkheden (ISA 200 t/m 299) 2. Risico-inschatting en omgang met vastgestelde risico’s (ISA 300 t/m 499) 3. Audit bewijsmateriaal (ISA 500 t/m 599) 4. Gebruik maken van werk van derden (ISA 600 t/m 699) 5. Audit conclusie en rapportage (ISA 700 t/m 799) 6. Specifieke onderwerpen (ISA 800 t/m 899) a. De audit van financiële verantwoordingen volgens een GAAP b. De audit van een specifiek element van een financiële verantwoording c.
De audit van een samenvatting van een financiële verantwoording
Thema’s ISAE 3000 tot en met 3699: 1. Richtlijnen van toepassing op alle assurance opdrachten, gericht op toekomstgerichte en/of niet-financiële informatie (ISAE 3000 t/m 3399) 2. Specifieke onderwerpen (ISAE 3400 t/m 3699): a. Het onderzoek naar prospectieve, financiële informatie (ISAE 3400) b. Het onderzoek naar een rapportage over interne beheersing bij serviceorganisaties (ISAE 3402) 3. Nog niet effectieve richtlijnen, betreffende specifieke onderwerpen: a. Het onderzoek naar rapportage over uitstoot van broeikasgassen (ISAE 3410) b. Het onderzoek naar pro forma financiële informatie bij prospectussen (ISAE 3420)
2.3 Verschillenanalyse aan de hand van de paragrafen in ISAE 3000 In de vorige paragraaf heb ik vastgesteld dat ISA 100 – 999 een aantal thema’s beschrijft die in ISAE 3000 – 3699 niet voorkomen. Echter, ISAE 3000 beschrijft een aantal van deze thema’s in haar paragrafen. ISAE 3000 nader bezien, levert op dat de in ISA 100 - 999 aangehaalde onderwerpen (in aparte ISA’s) in de volgende paragrafen van ISAE 3000 zijn beschreven:
Algemene uitgangspunten en verantwoordelijkheden: paragraaf 6 t/m 9 en 42 t/m 44
Risico-inschatting en omgang met vastgestelde risico’s: paragraaf 12 t/m 25
Audit bewijsmateriaal: paragraaf 33 t/m 41
Gebruik maken van werk van derden: paragraaf 26 t/m 32
Audit conclusie en rapportage: paragraaf 45 t/m 56
15
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Een aantal onderwerpen, die in ISA 100 tot en met 999 worden aangehaald, komen in ISAE 3000 niet aan bod. Dit betreffen:
ISA 240: Verantwoordelijkheid van de auditor ten aanzien van fraude
ISA 250: Overwegingen ten aanzien van naleving van wet- en regelgeving
ISA 260/265: Communicatie met de met governance belaste organen, in het bijzonder over gesignaleerde tekortkomingen in de interne beheersing
ISA 550/570: Respectievelijk: verbonden partijen en “going concern”
2.4 Verschillenanalyse aan de hand van de ontbrekende onderwerpen in ISAE 3000 Voor deze verschillenanalyse ben ik ingegaan op een aantal specifieke onderwerpen die worden aangehaald in ISA 100 - 999, maar niet of minder in ISAE 3000 - 3699.
RISICO-INSCHATTING ISA 300 - 499 gaan expliciet in op risico-inschatting voor de controledoelstellingen en het controleobject door de auditor. Paragraaf 11 tot en met 24 van ISA 315 beschrijven richtlijnen die de auditor voorschrijven:
Kennis te nemen van “the entity and its environment”, oftwel van de externe omgeving van de organisatie (business, wet- en regelgeving, concurrenten etc.), de wijze waarop de organisatie hierop inspeelt en de governance structuur van de organisatie;
Kennis te nemen van de interne beheersomgeving van de organisatie, bestaande uit de control environment, risk assessment process, information system(s), control activities en monitoring of controls. In feite betreffen dit de componenten van een interne beheersomgeving volgens het COSO framework.
ISA 315 beschrijft uitvoerig hoe de auditor een risicoanalyse moet verrichten, gericht op de gehele bedrijfsvoering. Daarentegen beschrijft ISAE 3000 beknopt dat de auditor een risicoanalyse moet verrichten, alleen gericht op het controleobject.
ISAE 3000 beschrijft in de paragrafen 15 tot en met 17 dat de auditor voldoende kennis moet verkrijgen over het subject matter (onderwerp) van de audit, op zodanig wijze dat hij/zij de risico’s adequaat kan inschatten. Het verschil in deze benaderingen van risicoanalyse en het hiervoor verkrijgen van kennis over de omgeving maakt duidelijk dat ISA 100 - 999 ingaan op de complete bedrijfsvoering, terwijl ISAE 3000 - 3699 ingaan op alleen
dat deel van de organisatie dat van belang is voor het betreffende onderwerp van de audit.
FRAUDE EN WET- EN REGELGEVING ISAE 3000 - 3699 beschrijven fraude en wet- en regelgeving niet zo expliciet als ISA 240 en 250. ISA 240 en 250 samengevat, komt het erop neer dat de auditor moet evalueren in hoeverre fraude en het
16
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
niet naleven van wet- en regelgeving kunnen leiden tot materiële onjuistheden in de financiële verantwoording. Dit kan worden bezien als een regulier onderdeel van de risico-inschatting die de accountant moet maken, maar beide onderwerpen zijn expliciet benoemd in een aparte ISA. De auditor moet in het kader van ISAE 3000 ook een inschatting te maken van de risico’s. Het is evident dat de auditor hierin ook de risico’s meeneemt, voortvloeiende uit fraude en/of het nietnaleven van wet- en regelgeving, uiteraard voor zover relevant hiervoor. Dit wordt in de details van de betreffende paragrafen ook aangehaald, maar niet zo expliciet als in ISA 240 en ISA 250.
COMMUNICATIE MET DE MET GOVERNANCE BELASTE ORGANEN, IN HET BIJZONDER OVER GESIGNALEERDE TEKORTKOMINGEN IN DE INTERNE BEHEERSING
ISA 260 en 265 beschrijven richtlijnen over communicatie met de organisatie wat betreft geconstateerde leemten in de interne beheersing en bevindingen gedurende de audit. De accountant rapporteert hierover alleen (verplicht) aan de met governance belaste organen en het management. Aan externe partijen rapporteert de accountant hierover niet, zelfs niet aan de eigenaren (lees: aandeelhouders) indien zij geen onderdeel
ISA 260 en 265 schrijven de auditor voor dat deze geconstateerde leemten in de interne beheersing verplicht, maar alleen rapporteert aan de met governance belaste organen en het management.
uitmaken van het management of de met governance belaste organen.
VERBONDEN PARTIJEN EN “GOING CONCERN” ISA 550 over verbonden partijen komt in hoofdlijnen neer op richtlijnen voor de auditor voor het onderkennen van risico’s ten aanzien van verbonden partijen. Ook de omgang met audit evidence, verkregen van deze verbonden partijen, wordt beschreven. Relevant voor dit onderzoek is dat ook deze ISA duidelijk maakt dat de set van ISA 100 - 999 betrekking hebben op de gehele bedrijfsvoering van de (complete) organisatie, daar waar ISAE 3000 - 3699 alleen op een specifiek onderdeel/ onderwerp ingaan. ISA 570 over “going concern” heeft betrekking op de werkzaamheden die de auditor moet verrichten om vast te stellen dat de continuïteit van de organisatie niet wordt bedreigd. Hieronder valt dat de accountant hiermee bij zijn risicoanalyse (ISA 315) rekening houdt. Ook beschrijft de richtlijn dat sommige GAAP’s voorschrijven een andere waarderingswijze hanteren, indien de continuïteit van de organisatie wordt bedreigd. Verder mag de auditor zich hierbij niet beperken tot de gereviewde periode: Ook moet hij/zij in de periode na afloop van de verslaggevingsperiode vaststellen dat risico’s op discontinuïteit zich niet hebben geëffectueerd. Ten slotte schrijft de ISA ook communicatie met de met governance belaste organen/ het management voor.
17
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
RODE DRAAD ONTBREKENDE ONDERWERPEN IN ISAE 3000 Bovenstaand heb ik beschreven welke onderwerpen niet aan de orde komen in ISAE 3000 tot en met 3699. In essentie, maakt dit het volgende duidelijk over het verschil tussen beide ISA sets: Afbakening: ISA 100 – 999 geven blijk zich toe te spitsen op de gehele organisatie, daar waar ISAE 3000 – 3699 zich toespitsen op een specifiek onderdeel en specifiek onderwerp. Dit blijkt onder andere uit ISA 315. De risicoanalyse volgens deze ISA is duidelijk toegespitst op de omgeving van de organisatie en op de interne beheersing van de organisatie als geheel. In ISAE 3000 wordt de risicoanalyse slechts beperkt tot het onderwerp van de audit. Ook ISA 550 over verbonden partijen maakt duidelijk dat de auditor in dit kader de organisatie als geheel moet overwegen. In ISAE 3000 wordt hierover geen melding gemaakt.
Rapportage: Beide sets leiden tot rapportage in de vorm van een oordeel. Opvallend is dat volgens ISA 260 en ISA 265 ook communicatie over bevindingen plaatsvindt met het management en de met governance belaste organen van de organisatie. Andere (externe) partijen worden niet in deze communicatie betrokken. Dit geldt ook voor de eigenaren, voor zover zij niet zijn belast met governance of geen onderdeel zijn van het management. Ook andere ISA’s onder de set 100 – 999 refereren aan deze communicatie. ISA 265 beschrijft zelfs de specifieke communicatie op deze wijze over het functioneren van de interne beheersing. ISAE 3000 kent dit niet. Communicatie vindt in de basis plaats via het oordeel en de bijbehorende verantwoording. Specifieke aandachtsgebieden: Binnen het kader van een bedrijfsbrede audit (ISA 100 – 999) moet de auditor aandacht besteden aan risico’s uit hoofde van fraude, het niet naleven van wet- en regelgeving en de continuïteit van de organisatie. Dit maken de ISA’s 240, 250 en 570 duidelijk.
18
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
2.5 Samenvatting: verschillenanalyse ISA 100 – 999 versus ISAE 3000 - 3699 Bovenstaand heb ik vanuit verschillende perspectieven beschreven hoe ISA 100 - 999 en ISAE 3000 3699 van elkaar verschillen. Onderstaand in schematische vorm een samenvatting van deze verschillenanalyse:
Aspect
ISA 100 - 999
ISAE 3000 – 3699
Auditobject
Historische financiële informatie
Toekomstgerichte en/of nietfinanciële informatie
Specifieke auditobjecten
Beperkt tot afgeleiden van
Relatief veel variatie
(specifieke onderwerpen)
financiële verantwoording
Afbakening
Gehele bedrijfsvoering
Specifiek onderwerp
Voorschriften
Gedetailleerd in aparte ISA’s
In hoofdlijnen in paragrafen van ISAE 3000
Specifieke aandachtsgebieden
Rapportage
Fraude
Wet- en regelgeving
“Going concern”
Geen
Deze set schrijft voor dat de
Deze set schrijft geen
auditor zijn/haar bevindingen
rapportageverplichtingen voor,
(alleen) rapporteert aan de met
anders dan alleen de
governance belaste organen
oordeelsvorming van de auditor.
en/of het management. Dit naast de te verstrekken verklaring van de auditor.
19
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
3. De oorspronkelijk bedoelde functionaliteit versus de verschillen tussen de ISA sets In het eerste hoofdstuk heb ik geconcludeerd dat het doel van de wettelijke controleplicht kan worden beschreven als informatie- en zekerheidsverstrekking aan (toekomstige) participanten van de organisatie aan de hand waarvan zij kunnen besluiten hun participatie te continueren of in de toekomst te participeren in de organisatie. In het tweede hoofdstuk heb ik (de verschillen tussen) ISA 100 – 999 en ISAE 3000 – 3699 geanalyseerd.
Aan de hand van deze beschrijvingen, heb ik in dit hoofdstuk een analyse verricht ter beantwoording van de derde onderzoeksvraag: welke voor- en nadelen bieden de informatie- en zekerheidsverstrekking rondom de sets van ISA’s ten opzichte van de oorspronkelijk bedoelde functionaliteit van de wettelijke accountantscontrole. Dit bezien vanuit ontwikkelingen in de huidige tijdsgeest.
3.1 Het auditobject Het auditobject in het kader van de wettelijke controleplicht betreft de jaarrekening. Het object in het kader van ISA 100 – 999 is breder gedefinieerd: historische financiële informatie. Dit object staat in contrast met het auditobject volgens ISAE 3000 – 3699: de toekomstgerichte en/of niet-financiële informatie. Ter formulering van de onderzoekstelling(en), heb ik verdere analyse van het auditobject opgesplitst in twee perspectieven: 1. Het auditobject waar het maatschappelijk verkeer naar vraagt; 2. De actualiteit van het huidige auditobject: de jaarrekening.
AUDITVRAAG VANUIT HET MAATSCHAPPELIJK VERKEER Alleen historische financiële informatie geeft (toekomstige) participanten onvoldoende informatie. In toenemende mate vraagt het maatschappelijk verkeer, maar ook de investeerder om (en geven organisaties) informatie over maatschappelijke onderwerpen en beleid. Financiële maatstaven alleen zijn niet voldoende om de toekomstige financiële prestaties van de organisatie te voorspellen.
In deze paragraaf concludeer ik vanuit de literatuur de volgende stelling: Onderzoekstelling [1]: Historische financiële informatie alleen dient het maatschappelijk verkeer niet meer als informatie voor toekomstige (voortzetting van) participatie in organisaties.
20
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Recentelijk heeft het IFAC in haar rapport “A definition of the public intrest” (2012) beschreven welke criteria bepalen of acties, besluiten en beleidsmaatregelen van een organisatie in het belang zijn van het maatschappelijk verkeer. Deze criteria betreffen:
Kosten versus baten: wegen de (maatschappelijke) voordelen op tegen de (maatschappelijke) kosten
Procedure: is de actie, het besluit of de beleidsmaatregelen genomen met inachtneming van de kwaliteitscriteria transparantie, maatschappelijke verantwoordelijkheid, onafhankelijkheid etc.
Het IFAC stelt dat de verantwoordelijkheid van de accountant raakvlakken heeft met alle aspecten van de samenleving. Daarom moet de accountant afwegen of acties, besluiten en beleidsmaatregelen aan deze criteria moeten worden getoetst.
Eimers (2008, pag. 1) stelt dat organisaties op andere wijze dan via de jaarrekening verantwoording afleggen aan de maatschappij, bijvoorbeeld via een maatschappelijk verslag. Concreter benoemt Eimers (2008, pag. 6) een aantal voorbeelden van verantwoordingen aan participanten, anders dan via de jaarrekening. Onder andere noemt hij:
De “in-control” statement ten behoeve van de aandeelhouder
Een tax control framework voor de belastingdienst, in het kader van horizontaal toezicht
Registratieverplichting voor chemische stoffen (REACH)
Verantwoording van energiebedrijven aan de toezichthouder over het aantal storingen
Verantwoording over CO2-emmissie
Zowel het maatschappelijk verkeer als investeerders vragen om verantwoording over maatschappelijke thema’s en beleid.
Bovenstaande voorbeelden noemen het “maatschappelijk verkeer” als de informatie behoevende. Terugkomend op de aandeelhouder, noemt het IFAC in haar rapport “Investor demand for environmental, social and governance disclosures” een viertal argumenten als bewijs
voor de toenemende interesse van aandeelhouders in dergelijke informatie: “ESG disclosures are increasingly used by investors to understand an organization’s key ESG factors and how they impact overall performance over a longer time horizon. This is evidenced by four factors: •
The number of investors signing the United Nations’ Principles for Responsible Investment;
•
The increasing number of shareholder proposals comprising environmental, social, or governance resolutions;
•
Surveys of investors that indicate an increasing number believe that ESG integration into the investment process maximizes beneficiaries’ long-term interest, and that good
21
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
governance and sustainability practices contribute to the creation of long-term shareholder value; and •
Research that shows how investors incorporating ESG information and analysis in their investment processes can outperform their peers.” (IFAC, 2012, pag. 3)
Aan de hand van het bovenstaande blijkt dat er niet alleen vanuit de maatschappij als geheel, maar ook vanuit de individuele investeerders steeds meer behoefte bestaat aan verantwoording over de maatschappelijke bijdrage van een organisatie. Deze conclusies zijn vrij recent ten tijde van dit onderzoek.
Mollema (2008, pag. 16) neemt nog een tweetal andere verschuivingen in het auditobject waar als het gaat om verwanten aan de financial auditor. Als gevolg van de corporate governance regelgeving richt de interne audit zich in toenemende mate op risicomanagement, waarmee hij concludeert dat de interne audit in toenemende mate een managementaudit is. Corporate governance regelgeving heeft er ook toe geleid dat de IT audit zich in toenemende mate heeft toegespitst op het auditobject “IT-governance”. Voor zowel de operationele als de IT-auditors percipieert hij dat deze hun toegevoegde waarde hebben bewezen, omdat hun audits niet vanuit wet- en regelgeving rugdekking krijgen. (Mollema, 2008, pag. 10)
Eerder heeft Wiersma (2003) in een beperkt onderzoek geconcludeerd dat niet-financiële maatstaven goede voorspellers zijn voor de toekomstige financiële waarde. De voordelen van niet-financiële maatstaven zijn onder andere: “In de management accounting literatuur worden veel voordelen van niet-financiële maatstaven besproken. Zo zouden niet-financiële maatstaven: •
meer inzicht geven in redenen waarom verschillen tussen de planning en uitkomsten ontstaan;
•
het beter mogelijk maken om te volgen of de strategie van de onderneming op een juiste manier wordt ingevoerd;
•
Niet-financiële maatstaven zijn goede voorspellers voor toekomstige financiële waarde.
meer nadruk leggen op de langetermijnaspecten van de uitvoer van plannen (Kaplan en Norton, 1992); en
•
minder goed manipuleerbaar zijn (Fisher, 1992).” (Wiersma, 2003, pag. 438)
Overigens is de toegevoegde waarde van niet-financiële maatstaven incrementeel op die van financiële maatstaven. Met andere woorden: niet alleen de niet-financiële maatstaven, maar deze in samenhang met financiële maatstaven geven een beter toekomst voorspellend karakter dan alleen de financiële maatstaven. (Wiersma, 2003, pag. 443)
22
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
ACTUALITEIT VAN HET AUDITOBJECT Bovenstaand is de geschiktheid van het auditobject (historische financiële informatie) uiteengezet vanuit de vraagzijde. In een aantal andere onderzoeken wordt vanuit een ander perspectief gerefereerd aan de geschiktheid van dit object. Door de omvang en complexiteit van datastromen, krijgt de accountant bij alleen gegevensgerichte controle onvoldoende zekerheid over de betrouwbaarheid van de verantwoorde waarden. Daarom moet de accountant de procedures van totstandkoming van deze informatie beoordelen. Bovendien is er in het kader van XBRL geen sprake meer van een eindproduct in de vorm van een jaarrekening. De nadruk komt hiermee te liggen op datastromen die uitmonden in de XBRL verantwoordingen.
In deze paragraaf concludeer ik vanuit de literatuur de volgende stelling: Onderzoekstelling [2]: Bij een toename van de complexiteit en de omvang van datastromen en de snelheid en continuïteit waarmee wordt gerapporteerd, volstaat de output van het informatiesysteem (lees: historische financiële informatie) alleen niet meer als geschikt auditobject om een redelijke mate van zekerheid te verkrijgen.
Een ontwikkeling die in vrijwel alle wetenschappelijke teksten naar voren komt, betreft de invoering van eXtensible Business Reporting Language (XBRL), ook wel aangeduid als Standard Business Reporting (SBR). Eimers (2008, pag. 7) stelt hierover: “Verwacht wordt dat de nieuwe ontwikkelingen op het gebied van XBRL leiden tot radicale veranderingen naar de vraag om accountantsdiensten [Verkruijsse, 2008]. Aan de ene kant zal er een daling merkbaar zijn in compliancewerkzaamheden, zoals het samenstellen van jaarrekeningen en belastingaangiften, aan de andere kant zal er vraag zijn naar het verschaffen van zekerheid bij transacties die in XBRL worden gerapporteerd.”
Daar waar de organisatie nu nog een jaarrekening opstelt, een belastingaangifte indient, de jaarrekening deponeert bij de Kamer van Koophandel en statistieken doorgeeft aan het CBS, worden deze straks allen gebaseerd op dezelfde “bak” met data. (Eimers, 2008, pag. 5) Mollema (2008, pag. 15) stelt zelfs dat “de jaarrekening als relevant document passé is” als gevolg van de invoering van XBRL.
Mollema (2008, pag. 11) stelt ook dat de kwaliteit van opgeleverde informatie afhankelijk is van de voortbrengingsactiviteiten hiervan, zoals bijvoorbeeld de informatiesystemen en de organisatorische inrichting. Echter, het accountantsberoep spitst zich teveel toe op toepassing van waarderingsgrondslagen en datagerichte controle, in plaats van op analytische controle. (Mollema, 2008, pag. 8) Voor mijn onderzoek wil ik ingaan op de stelling dat de jaarrekening als auditobject te veel de focus legt op het controleren van het eindproduct (de eindcijfers) en te weinig op de totstandkoming van deze cijfers.
23
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Mollema (2008, pag. 14) stelt een verandering van auditobject voor: “(…) de financiële gegevens, Gegevensgerichte controle is bij omvangrijke en complexe datastromen niet effectief en efficiënt. Daarom moet deze worden vervangen door een analytische controle op de organisatie, de procedures en de IT systemen.
zoals deze uitmonden in de jaarrekening.”. Daarbij stelt hij dat een synthetische controle leidt tot het moeten reconstrueren van de gehele boekhouding. Als alternatief moet de accountant mathematische steekproeven op datastromen verrichten.
Beide acht hij te complex en/of omvangrijk voor het kunnen doen van een effectieve en efficiënte audit. De oplossing betreft een analytische controle op de organisatie, de procedures en de IT systemen die de informatie tot stand doen komen.
3.2 Specifieke auditobjecten en afbakening In deze paragraaf concludeer ik vanuit de literatuur de volgende stelling: Onderzoekstelling [3]: Een bedrijfsbrede auditor mag zich bij de risico-inschatting niet beperken tot alleen de financiële risico’s, maar moet alle aan de bedrijfsvoering gerelateerde risico’s inschatten. Voor specifieke thema’s moet hij deelaudits laten verrichten door specialistische auditors. Het ACCA heeft met haar onderzoek “Association of Chartered Certified Accountants” (ACCA) (2012) onderzocht hoe accountants en het maatschappelijk verkeer (“the public”) aankijken tegen de rol van de accountant. In dit onderzoek is vastgesteld dat 76% van de onderzochte personen die deel uitmaken van het maatschappelijk verkeer vóór de stelling zijn dat de accountant waarde toevoegt aan “running of business”. (ACCA, 2012, pag. 6) Verder sluit 63% van deze personen zich aan in de stelling dat de accountant een sleutelfiguur is in het zich ethisch opstellen van organisaties naar de stakeholders. (ACCA, 2012, pag. 7)
Ook Eimers (2008, pag. 16) stelt in het kader van de kredietcrisis de maatschappelijke rol van de accountants. Hij stelt dat accountants inzicht hebben in de “micro-economie” van een onderneming en toezichthouders op macroniveau de gehele keten overzien. Beiden hebben een stukje van de puzzel. Toegevoegde waarde voor de economie moet voortkomen uit het bundelen van de krachten
Accountants hebben inzicht in de “micro-economie”, toezichthouders in de “macro-economie”. Beiden hebben daarom een stukje van de puzzel.
van toezichthouders en accountants, zo stelt hij. Hieruit maak ik op dat accountants de totale bedrijfsvoering van een organisatie moeten overzien om een bijdrage aan de economie en maatschappij te kunnen leveren.
24
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Mollema (2008, pag. 23) concludeert dat er verschillende soorten auditors nodig zijn. Een basisauditor moet de audit leiden. Een basisauditor:
…verzamelt audit evidence voor te verstrekken assurance
…beschikt over grote bedrijfskennis
…is risico-georiënteerd
…heeft een redelijke IT-kennis
Deze basisauditor moet van specialistische auditors gebruik maken om assurance te verschaffen over specifieke thema’s. Dit vertalende naar de ISA’s, concludeer ik dat ISA 100 – Een basisauditor moet de gehele bedrijfsaudit overzien. Specialistische “sub-audits” moet hij/zij uit laten voeren door specialistische auditors.
999 handvaten bieden voor de basisauditor, terwijl ISAE 3000 – 3699 handvaten bieden voor de specifieke auditors. Met name ISA 315 over risico-inschatting komt aan de door Mollema gedefinieerde kenmerken van een basisauditor tegemoet.
Ook bieden ISA 500 – 599 en ISA 600 – 699 handvaten voor het verzamelen van audit evidence en het gebruik maken van het werk van derden door de basisauditor. (lees: de basisauditor die gebruik maakt van het werk van specialistische auditors)
Eimers (2008, pag. 11) stelt overigens dat er meer standaarden voor specifieke onderwerpen nodig zijn binnen ISAE 3000 – 3699. Onderwerpen die hij in zijn publicatie noemt, betreffen bijvoorbeeld het verschaffen van zekerheid bij een tax control framework of bij een verantwoording over CO2emmissie.
3.3 Voorschriften en specifieke aandachtgebieden In deze paragraaf concludeer ik vanuit de literatuur de volgende stelling: Onderzoekstelling [4]: Controlestandaarden moeten de auditor(s) voorzien van begrijpelijke handvaten om een audit uit te voeren. Toepassing van deze controlestandaarden dient “principle based” te zijn: vanuit zijn/haar vakkundige oordeelsvorming en de risico-inschatting moet de auditor de vrijheid krijgen om te bepalen welke standaarden moeten worden toegepast, alsmede in welke mate dit dient te geschieden. ISA 100 – 999 werken een aantal thema’s uit in aparte ISA’s. ISA 3000 raakt deze thema’s slechts beperkt in haar paragrafen. Verder komen een aantal thema’s van ISA 100 – 999 niet voor in ISA 3000 – 3699: fraude, wet- en regelgeving en “going concern”.
Voordat ik begon aan de opleiding tot IT-auditor, heb ik een opleiding gevolgd in accountancy. Gedurende deze opleiding (de nodige jaren), heb ik de indruk opgedaan dat de richtlijnen over fraude,
25
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
wet- en regelgeving en “going concern” zijn voortgekomen uit antwoorden op schandalen. Schandalen leidden ertoe dat de participanten hun participatiebereidheid op verkeerde of onvolledige informatie baseerden, waaruit de vraag naar de accountant voortvloeide zijn/haar controle hierop aan te passen. Zonder verdere wetenschappelijke bewijsvoering (deze blijkt ook al uit de in het eerste hoofdstuk beschreven historie) wil ik daarom stellen dat deze specifieke aandachtgebieden binnen de doelstelling van de wettelijke controle gewenst zijn.
Mollema (2008, pag. 8) concludeert dat meer voorschriften wel meer gewicht geven aan het beroep, maar dat zij niet aan de effectiviteit bijdragen. Voor zijn argumentatie refereert hij naar invoering van strenge boekhoudregels in Amerika die schandalen niet konden voorkomen. Verder stelt hij dat schandalen worden opgevolgd door het aanscherpen van voorschriften, maar dat echt onderzoek naar de effectiviteit hiervan uitblijft.
Ook Eimers (2008, vanaf pag. 9) beschrijft de invloed van wet- en regelgeving. Hij stelt overigens dat invoering van de Sarbanes Oxley-wet in 2002 aanvankelijk een sterk “rules based” karakter had, maar dat deze later is bijgesteld naar een “principle based” karakter, met een meer top down benadering, een meer risk based inslag en meer ruimte voor professional judgement. (Eimers, 2008, pag. 9/10) Ook verwijst hij naar de Europese en Nederlandse ontwikkelingen op gebied van wet- en regelgeving, onder andere de Achtste EU-Richtlijn en invoering van de Wet Toezicht Accountantsorganisaties (WTA) met als toezichthouder de Autoriteit Financiële Markten (AFM). Eimers (2008, pag. 10) stelt ook dat de ISA’s als controlestandaarden het meest geschikt zijn. Dit omdat deze standaarden tot stand zijn gekomen met de betrokkenheid van vertegenwoordigers uit het maatschappelijk verkeer. Ook stelt hij dat de format van de standaarden leiden tot het begrijpelijker worden van deze standaarden. Ten slotte stelt hij dat de standaarden nog steeds te beperkt antwoord geven op de snel veranderende omgeving van accountants. (Eimers, 2008, pag. 11)
Als het gaat om gebieden, waar volgens Eimers nog nader onderzoek naar moet worden verricht, dan noemt hij onder andere:
Het effect van veranderingen in de controlestandaarden (Eimers, 2008, pag. 21)
Het effect van regulering op de kwaliteit van auditdiensten (Eimers, 2008, pag. 23)
Vanuit de bovenstaande onderbouwing kan niet meer worden geconcludeerd, dan dat effect van de (mate van detaillering van) voorschriften nader onderzoek vergt dat de omvang van mijn onderzoek te buiten gaat. Voor het praktijkonderzoek wil ik op basis van het bovenstaande wel de genoemde onderzoekstelling toetsen.
26
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
3.4 Rapportage In deze paragraaf concludeer ik vanuit de literatuur de volgende stelling: Onderzoekstelling [5]: Het is wenselijk dat de bedrijfsbrede auditor een uitspraak doet over het risicomanagement van de organisatie of, bij afwezigheid hiervan, de beheersing van risico’s door de organisatie.
In de bovengenoemde onderzoekstelling is voorzien dat de accountant een uitspraak doet over het risicomanagement van een organisatie. Mocht dit, gezien de beperkte omvang van een organisatie bijvoorbeeld, niet mogelijk zijn, dan ondervangt de auditor dit middels “direct reporting” in zijn/haar auditrapport.
Eimers en Verkruijsse (2006, pag. 604) stellen dat er volgens het Stramien twee soorten assuranceopdrachten voor rapportage zijn: “assertion-based” en “direct reporting”. Bij een assertion-based opdracht heeft de verantwoordelijke partij het object van onderzoek zelf geëvalueerd of getoetst en is informatie over het object gegeven in de vorm van een uitspraak door de verantwoordelijke partij. Bij direct reporting evalueert of toetst de auditor zelf het object. De informatie over het object wordt dan opgenomen in het assurance-rapport van de auditor. Als voorbeeld van een assertion-based opdracht stellen Eimers en Verkruijsse de “in control” statement van het bestuur van een organisatie. Als voorbeeld voor direct reporting stellen zij een omzetverklaring. De accountantsverklaring bij de jaarrekening stellen zij als tussenvorm. (Eimers en Verkruijsse, 2006, pag. 605) Immers, de rapporterende organisatie doet geen uitspraak over de getrouwheid van de gepresenteerde cijfers, hetgeen pleit dat dit een direct reporting opdracht is. Echter, impliciet blijkt deze uitspraak uit het feit dat de verantwoordelijke de jaarrekening volgens de statutaire bepalingen heeft opgesteld, hetgeen pleit voor een assertion-based opdracht.
Concluderend, verschaft de accountant alleen zekerheid over datgene dat in de jaarrekening staat vermeld of eventueel aanvullend staat vermeld in de accountantsverklaring. Aangezien de accountantsverklaring een tussenvorm van bovengenoemde rapportagewijzen betreft, zonder aanvullende informatie over het object in de verklaring zelf, geeft deze daarom alleen zekerheid over gegevens in de jaarrekening. Dit auditobject is overwogen in een eerdere paragraaf. Dat de accountant apart over bevindingen rapporteert aan de met governance belaste organen, zoals voorgeschreven in ISA 260 en ISA 265, is hierbij niet relevant. Immers, de accountant verschaft geen zekerheid hierover in zijn/haar verklaring.
Het International Auditing and Assurance Standards Board (IAASB) heeft in juni 2012 in haar rapport “Improving the Auditor’s Report” aanbevelingen gedaan over het verduidelijken van de accountantsverklaringen. Enkele suggesties voor aanvullingen op de huidige accountantsverklaring, betreffen (IAASB, 2012, pag. 6):
27
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Het opnemen van aanvullende toelichting in de accountantsverklaring voor aspecten die de auditor van belang acht om onder de aandacht te brengen bij de gebruikers of die voor het begrip nadere toelichting vergen;
Meer informatie over de “going concern”;
Informatie over materiële inconsistenties tussen de jaarrekening en andere informatie die de auditor tot zich heeft gekregen;
Een prominente plaats voor het oordeel van de accountant en andere organisatie specifieke informatie;
Overige informatie die transparantie en het uiteenzetten van verantwoordelijkheden van de accountant en management bevorderen.
In het krantenartikel “De accountant kan zijn problemen met de samenleving niet alleen oplossen”, geplubliceerd op 14 september 2012 in Het Financieele Dagblad (FD), geven Michel Kee en Vincent De accountant moet niet de risico’s beoordelen, maar de kwaliteit van het risicomanagement en de internal audit afdeling.
Moolenaar, hoofd van de interne auditafdeling van TNT Express respectievelijk Ahold hun mening over deze voorstellen van het IAASB. Zij uiten hierin onder meer hun kritiek op de uitspraak die de accountant in de verklaring moet doen over levensvatbaarheid van de organisatie. Zij
pleiten ervoor dat de accountant niet in staat is een dergelijke overweging alleen te maken: de accountant moet hiervoor gebruik maken van de internal audit afdeling. Hier zit volgens hen de kennis over de organisatie. Wat hen betreft, kan de accountant wel het risicomanagement en de kwaliteit van de internal audit afdeling beoordelen. Zoals zij stellen: niet de output, maar het proces controleren.
Ook Mollema (2008, pag. 18) pleit hiervoor. Hij pleit voor integratie van internal, external en IT auditing. Volgens Mollema helpt dit om de verschillen tussen cijfergerichte en analytische oriëntatie weg te nemen. Dit omdat het risicomanagement en de interne audit zijn gericht op (het beheersen van) bedrijfsrisico’s en daarmee op de kwaliteit van de interne beheersing.
Het bovenstaande pleit ervoor dat de accountant in zijn/haar verklaring een oordeel moet geven over het risicomanagement van de organisatie. Echter, de vraag is of een dergelijk oordeel al wordt gegeven met invoering van de “in control” statement, welke (alleen) beursgenoteerde bedrijven moeten opnemen in hun jaarverslag.
De Groot en Koolstra (2006, pag. 392) beschrijven de best practise II.1.4 uit de Nederlandse code Corporate Governance (“Code Tabaksblat”): “Deze best practice luidt: ‘In het jaarverslag verklaart het Bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het Bestuur rapporteert in het jaarverslag over de werking van de interne risicobeheersings- en controlesystemen in het boekjaar. Het Bestuur geeft daarbij tevens aan welke eventuele significante
28
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat een en ander met de audit commissie van de raad van commissarissen is besproken.’ (Commissie Corporate Governance, 2003).” Hieruit valt op te maken dat een “in control” statement informatie verschaft over het risicomanagement binnen de organisatie. Overigens noemen De Groot en Koolstra ook een aantal bezwaren tegen deze “in control” statement. (De Groot en Koolstra, 2006, pag. 394) Een aantal van deze bezwaren zijn: 1. Organisaties bevinden zich nog in een groeifase op dit vlak en risicomanagement is nog niet volledig ontwikkeld. Dit maakt het doen van een uitspraak over de werking van het risicomanagement complex; 2. Er wordt geen referentiekader gegeven voor inrichting van risicomanagement en risicomanagement wordt breed gedefinieerd. COSO wordt wel genoemd, maar concrete guidance ontbreekt; 3. Er is meer behoefte aan het uitwerken van het begrip “tekortkoming”. Hoe dienen deze gerapporteerd en geëvalueerd te worden? En wanneer is de tekortkoming significant of materieel?
In tegenstelling tot de Amerikaanse Sarbanes Oxly-wet, hoeft de accountant volgens de Nederlandse code Corporate Governance (NCG) (nog) geen oordeel te vellen bij de “in control” statement. (Emanuels et al, 2004, pag. 351) Daarentegen heeft de “in control” statement volgens de Sarbanes Oxly-wet alleen betrekking op de interne beheersing voor wat betreft “financial reporting”. De NCG gaat hierin verder: het management dient een oordeel te vellen over de gehele interne beheersing.
Beide codes, zowel Sarbanes Oxly als NCG, zijn van toepassing op beursgenoteerde organisaties. Deze organisaties hebben vaak de omvang om risicomanagement in te kunnen voeren.
Echter, bovenstaand is ook beschreven dat zij nog in een groeifase verkeren als het gaat om een goede invoering van risicomanagement. Als dit voor dergelijke ondernemingen geldt, dan is het nog maar de vraag wat dit betekent voor kleinere organisaties.
29
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
4. Het praktijkonderzoek In het voorgaande hoofdstuk heb ik vijf onderzoekstellingen geformuleerd. In dit hoofdstuk heb ik beschreven of deze onderzoekstellingen vanuit de praktijk worden onderschreven. Hiertoe heb ik vier personen geïnterviewd: een ondernemer, een commissaris, een bankier en een accountant. De bij deze interviews gehanteerde checklist en de verslagen van deze interviews zijn in de eerste en tweede bijlage van dit rapport opgenomen. De geïnterviewden hebben ingestemd met de inhoud van hun verslag.
Behalve de accountant, hebben de geïnterviewden geen kennis van controlestandaarden en/of inhoudelijke inrichting van de accountantscontrole. Daarom zijn de onderzoekstellingen in de gehanteerde checklist vertaald naar stellingen die herkenbaar zijn voor alle geïnterviewden.
4.1 De jaarrekening De eerste onderzoekstelling luidt als volgt: Onderzoekstelling [1]: Historische financiële informatie alleen dient het maatschappelijk verkeer niet meer als informatie voor toekomstige (voortzetting van) participatie in organisaties.
De resultaten uit de interviews bekrachtigen deze onderzoekstelling. Organisaties leggen met de (financiële) jaarrekening alleen maar verantwoording af over het verleden. Participanten hebben met name behoefte aan informatie over het beleid dat de organisatie hanteert of wil gaan hanteren, want deze informatie geeft een prospectief karakter aan de historische financiële informatie.
Zowel de bankier als de accountant stellen externe verantwoording over beleid afhankelijk van de rol en het belang die de organisatie heeft voor de maatschappij. De commissaris stelt dat organisaties erbij gebaat zijn zich te verantwoorden over beleid: dit neemt de beperking van een alleen-financiële focus weg en dwingt organisaties tot het maken van diepteinvesteringen en daarmee duurzame waarde creatie. Daarnaast zijn investeerders bij deze informatie gebaat, omdat zij dan geen analisten meer nodig hebben om de financiële informatie te interpreteren.
De ondernemer stelt dat verantwoording over maatschappelijk en sociaal beleid zelfs de winstgevendheid toe kan laten nemen. En direct voorbeeld is de daling van energiekosten door energiebesparend beleid. Verantwoorden over maatschappelijk en sociaal beleid kan er ook toe leiden dat de organisatie meer medewerking krijgt van externe partijen, zoals een gemeente. Met het verantwoorden over maatschappelijk beleid kan de gemeente de maatschappelijk toegevoegde waarde van de organisatie beter inschatten.
30
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
De accountant merkt hierbij op dat participanten niet gebaat zijn bij een grote hoeveelheid informatie: dit maakt de jaarrekeningen onleesbaar en daarmee geen informatie meer. De bankier stelt dat organisaties ook niet altijd zijn gebaat bij verantwoording over beleid, vanuit concurrentieoogpunt.
De commissaris stelt dat verantwoording over beleid één ding is, maar dat organisaties dit ook na moeten leven. In het verlengde merkt de ondernemer op dat verantwoording over beleid geen verplichting zou moeten zijn: ondernemers zouden gemotiveerd moeten zijn tot het uitvoeren van het beleid dat zij verantwoorden. Het verplicht stellen van verantwoording hierover zou alleen maar leiden tot een grotere kloof tussen verantwoorden en daadwerkelijk handelen.
4.2 Accountantscontrole op de jaarrekening De tweede onderzoekstelling luidt als volgt: Onderzoekstelling [2]: Bij een toename van de complexiteit en de omvang van datastromen en de snelheid en continuïteit waarmee wordt gerapporteerd, volstaat de output van het informatiesysteem (lees: historische financiële informatie) alleen niet meer als geschikt auditobject om een redelijke mate van zekerheid te verkrijgen.
De resultaten uit de interviews bekrachtigen deze stelling ten dele, maar ontkrachten deze ook gedeeltelijk. Alle geïnterviewden stellen dat de interne beheersing object van onderzoek moet zijn voor een accountant, maar de commissaris, de accountant en de bankier zien zeker nog een grote functie in controle op de output van het informatiesysteem op zich. Zo stelt de commissaris dat jaarlijkse controle op balansposten de participanten zekerheid geeft dat financiële gegevens periodiek worden geschoond van subjectiviteiten. De accountant haalde de statutaire functie van de jaarrekening aan, waarbij de jaarrekening als basis dient om decharge te verlenen aan het management. De bankier stelde zelfs het grote nadeel van continue verantwoording: participanten hebben behoefte aan inzicht in de trend en tussentijdse informatie kan onterecht onzekerheid creëren over deze trend.
Wel sluiten allen zich erbij aan dat er zekerheid gewenst is over de kwaliteit van de processen die de informatie tot stand doen komen. De accountant merkt hierbij op dat de verklaring bij de jaarrekening hier weinig inzicht over verschaft en dat hierover aanvullende certificering kan worden afgegeven. De ondernemer spreekt dit tegen: Certificering leidt tot een focus op de beheersingsmaatregelen die kunnen worden vastgesteld, maar behalve procedures zijn er ook de “zachte”, organisatorische factoren. Deze zijn niet altijd vast te stellen, maar zijn voor een analytische benadering wel van belang. De gebruiker moet er met een accountantsverklaring bij de jaarrekening op kunnen vertrouwen dat de accountant deze impliciet heeft beoordeelt.
De bankier stelt aanvullend dat het functioneren van de interne beheersing de verantwoordelijkheid is van het management van de organisatie. Interne beheersing dient onderdeel te zijn van de
31
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
accountantscontrole (en daar moet de gebruiker op kunnen vertrouwen), maar bevindingen hoeven niet noodzakelijk extern te worden verantwoord. De ondernemer sluit aan bij deze stelling.
Of de organisatie de interne beheersing op orde heeft blijkt vanzelf uit de trend in de financiële cijfers, de mate waarin de begrotingen worden gehaald etc. De commissaris merkt in dit kader op dat controle op de output van het informatiesysteem gedeeltelijk motiveert tot het betrouwbaar tussentijds rapporteren. Organisaties zijn er immers niet bij gebaat plotselinge afwijkingen te rapporteren na controle van de jaarrekening.
4.3 De bedrijfsbrede audit De derde onderzoekstelling luidt als volgt: Onderzoekstelling [3]: Een bedrijfsbrede auditor mag zich bij de risico-inschatting niet beperken tot alleen de financiële risico’s, maar moet alle aan de bedrijfsvoering gerelateerde risico’s inschatten. Voor specifieke thema’s moet hij deelaudits laten verrichten door specialistische auditors.
De resultaten uit het onderzoek bekrachtigen deze stelling ten dele, maar onkrachten deze ook gedeeltelijk. De accountant moet bedrijfsbreed de risico’s inschatten, maar wel met het oog op het goed vast kunnen stellen van financiële risico’s. Verder zijn alle geïnterviewden, behalve de ondernemer, het erover eens dat de accountant moet handelen in het belang van de maatschappij en niet in het belang van de ondernemer. De accountant moet machtsverhoudingen onderkennen die de maatschappij kunnen schaden. De meningen zijn sterk verdeeld als het gaat om certificering van méér dan alleen historische financiële informatie.
De commissaris is er voorstander van dat de accountant ook de niet-financiële informatie certificeert. De ondernemer is niet voor, maar heeft hier geen moeite mee. De bankier en accountant stellen dat de accountantsverklaring zich moet beperken tot historische financiële informatie. De bankier en accountant stellen dat de accountant bedrijfsbreed de risico’s in moet schatten, maar wel met het oog op het goed kunnen vaststellen van de financiële risico’s. Ook de commissaris stelt dat financiële risico’s slechts de symptomen zijn van een ziekte in de bedrijfsvoering, waarmee hij een verband legt tussen het inschatten van bedrijfsrisico’s en financiële risico’s. Zowel de commissaris als de bankier stellen in dit kader ook dat de accountant zich vooral moet richten op het vaststellen van schadelijke machtsverhoudingen.
De ondernemer stelt dat de accountant bedrijf breed moet controleren, maar wel met het oog op de toegevoegde waarde in de vorm van kennis voor de ondernemer. Op basis hiervan kan de onderneming beter presteren en daarom ook meer waarde toevoegen binnen de macro-economie.
32
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Alle andere geïnterviewden stellen dat de controle van de accountant ondergeschikt zou moeten zijn aan het maatschappelijk verkeer en niet aan de ondernemer. De bankier merkt hierbij wel op dat hij de aankomende verplichting tot roulatie van accountant schadelijk vindt: aan de ene kant wordt afstand tussen accountant en gecontroleerde gerealiseerd, maar aan de andere kant gaat er veel kennis verloren.
4.4 Toepassing van controlestandaarden De vierde onderzoekstelling luidt als volgt: Onderzoekstelling [4]: Controlestandaarden moeten de auditor(s) voorzien van begrijpelijke handvaten om een audit uit te voeren. Toepassing van deze controlestandaarden dient “principle based” te zijn: vanuit zijn/haar vakkundige oordeelsvorming en de risico-inschatting moet de auditor de vrijheid krijgen om te bepalen welke standaarden moeten worden toegepast, alsmede in welke mate dit dient te geschieden.
De resultaten uit het onderzoek bekrachtigen deze stelling. Regels behoren tot slechts één van de middelen om gedrag te sturen. Echter leidt veel detaillering en/of “rules based” nalevingscontrole niet noodzakelijk tot het gewenste gedrag.
De ondernemer en accountant stellen dat de schandalen afgelopen jaren zijn ontstaan door mensen met verkeerde intenties, niet door een gebrek aan regels. De commissaris ziet een gat tussen “intrinsieke” kwaliteit en kwaliteit vanuit regelgeving: regels maken kwaliteit niet intrinsiek en mensen met foute intenties ontwijken de regels nog steeds via het zoeken naar mazen. De bankier en de ondernemer stellen dat gedetailleerde regels ook leiden tot meer onduidelijkheid en onoverzichtelijkheid. Dit beperkt innovatie, aldus de bankier.
4.5 Risicomanagement De vijfde onderzoekstelling luidt als volgt: Onderzoekstelling [5]: Het is wenselijk dat de bedrijfsbrede auditor een uitspraak doet over het risicomanagement van de organisatie of, bij afwezigheid hiervan, de beheersing van risico’s door de organisatie.
De resultaten uit het onderzoek ontkrachten deze stelling. De accountant zou bij zijn/haar controle zelf de (niet alleen financiële) risico’s in moeten schatten boven het beoordelen van het risicomanagement. Bovendien beheerst een organisatie haar risico’s beter door bedrijfsprestaties en ontwikkelingen adequaat te monitoren dan door een geformaliseerd risicomanagement proces.
33
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
De accountant heeft ervaren dat organisaties die hun bedrijfsprestaties slecht monitoren vatbaarder zijn voor risico’s dan bedrijven die wel adequaat monitoren. De ondernemer stelt aanvullend dat er een leerproces voor nodig is om aan de hand van monitoring ook de risico’s te beheersen. Een leerproces kan effectief worden gerealiseerd vanuit informaliteit. Geformaliseerd risicomanagement kan daarentegen dermate veel focus op risico’s leggen dat dit het ondernemerschap uiteindelijk in de weg staat. De commissaris stelt dat participanten liever worden geïnformeerd over de risico’s zelf dan over de werking van het risicomanagement. Dit geeft een prospectieve kijk op historische financiële cijfers. De bankier stelt daar tegenover dat het de verantwoordelijkheid van de participanten zelf is om zich te verdiepen in de risico’s. Echter, zowel de bankier als de commissaris stellen dat informatie en certificering over risicomanagement niet overbodig is: dit informeert participanten wel. De informatiewaarde is echter ondergeschikt aan het belang van risico-inschatting door de accountant en, aldus de commissaris, informatie over risico’s in de jaarrekening.
Kortom, de resultaten uit het literatuuronderzoek en die uit de interviews spreken elkaar tegen. Joost van Buuren en Niels van Nieuw Amerongen (2011, pag. 516) stellen de mate waarin een accountant zich moet verdiepen in bedrijfsrisico’s/ het risicomanagement moet beoordelen in relatie met de omvang en complexiteit van de organisatie. Voor een kleine, niet-complexe organisatie kan de accountant de historisch financiële cijfers “recht-toe-recht-aan” controleren. Hij/zij hoeft zich niet noodzakelijk te verdiepen in bedrijfsrisico’s, laat staan risicomanagement. Naarmate de omvang en complexiteit van de organisatie toenemen, kan de accountant zijn werkzaamheden niet goed verrichten zonder zich te verdiepen in bedrijfsrisico’s of zelfs zonder het risicomanagement van de organisatie zelf te controleren. (Van Buuren en Van Nieuw Amerongen, 2011, pag. 516)
Dit kan de tegenstelling tussen de literatuur en praktijk verklaren: in de literatuur wordt uitgegaan van grote, complexe organisaties, daar waar geïnterviewden refereren aan een context van minder omvangrijke en minder complexe organisaties. Ook spreekt het bovenstaande gedeeltelijk tegen dat de accountant altijd bedrijfsrisico’s moet inschatten om de financiële risico’s goed te onderkennen.
34
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
4.6 Conclusie De geïnterviewden zijn het erover eens dat informatie over beleid een prospectief karakter geeft aan historische financiële informatie. Zij zijn het er ook over eens dat risicoanalyse voor een accountantscontrole vanuit een bedrijfsbrede visie plaats moet vinden, zij het om de financiële risico’s volledig te kunnen inschatten. Ook vinden zij dat detaillering van regels en het afdwingen van strikte naleving de kwaliteit van de werkzaamheden niet bevordert.
Daarentegen zien zij maar beperkt toegevoegde waarde in controle op de bedrijfsvoering en certificering van bedrijfsprocessen, waaronder de historische financiële informatie tot stand komt. De grootste tegenstelling die voortvloeit uit het onderzoek is dat risicomanagement object van audit moet zijn in de accountantscontrole.
Met name dit laatste geeft aanleiding tot nader onderzoek om de afwijkingen goed te verklaren. Hiertoe heb ik aanvullend op dit onderzoek twee experts geïnterviewd. De uitkomsten hiervan heb ik weergegeven in het volgende hoofdstuk, waar ik ook de eindconclusies over de onderzoekstellingen heb geformuleerd.
35
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
5. Weging onderzoeksresultaten en conclusies Het vorige hoofdstuk geeft weer hoe geïnterviewden van de “praktijkvloer” reageren op de onderzoekstellingen: de “meting” in het onderzoek. In dit hoofdstuk weeg ik deze meting, trek ik hieruit conclusies en beschrijf ik de rol van de IT-auditor hierin. Om de resultaten uit het vorige hoofdstuk te wegen, heb ik twee experts gevraagd hun visie en interpretatie te geven op de onderzoeksresultaten. In de derde bijlage heb ik de interviewverslagen van deze experts opgenomen. Ik beschouw deze personen als experts, omdat: 1. Zij vanuit hun opleiding, werk en betrokkenheid in breder verband veel ervaring, kennis en kunde hebben van risicomanagement respectievelijk accountancy; 2. Zij ook vanuit hun werk hebben ervaren hoe het is om deze vakgebieden te implementeren in de praktijk.
5.1 De jaarrekening Oordeel accountant/
Oordeel experts
Eindoordeel
+
+
commissaris/ ondernemer/ bankier
+ WEGING ONDERZOEKSRESULTATEN
Beide experts sluiten zich erbij aan dat gebruikers toekomstgerichte en/of niet-financiële informatie nodig hebben, aanvullend op de historische financiële informatie. Dat historische financiële informatie alleen het maatschappelijke verkeer niet meer voorziet in voldoende informatie, staat hiermee vast.
Als het gaat om de vorm en eisen hieraan, stelt expert 1 dat er richtlijnen moeten zijn over de minimale hoeveelheid en inhoud die bedrijven moeten geven. Dit zodat participanten organisaties kunnen vergelijken. Expert 2 stelt ook dat hiervoor meer richtlijnen nodig zijn en ziet dit als een onderdeel van de “evolutie” die momenteel gaande is. Op dit moment is de discussie over “integrated reporting” actueel.
CONCLUSIE De informatie- en zekerheidsverstrekking rondom ISAE 3000 – 3699 komen de oorspronkelijke bedoeling van de wettelijke controle tegemoet, aanvullend op die rondom ISA 100 – 999. Immers, voor hun participatiebereidheid hebben (toekomstige) participanten aanvullend informatie en zekerheid over toekomstgerichte en/of niet-financiële informatie nodig op die over historisch financiële informatie.
36
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
ROL IT-AUDITOR IT-auditors zijn zelfstandig bevoegd een audit uit te voeren op informatieverstrekking binnen de reikwijdte van ISAE 3000 – 3699. Expert 2 stelde in dit kader dat voor sommige typen organisaties security van IT systemen en privacy maatschappelijke issues zijn, waarover (toekomstige) participanten willen worden geïnformeerd. IT-auditors verstrekken zekerheid over dergelijke informatie.
5.2 Accountantscontrole op de jaarrekening Oordeel accountant/
Oordeel experts
Eindoordeel
+/-
+/-
commissaris/ ondernemer/ bankier
+/WEGING ONDERZOEKSRESULTATEN
De geïnterviewden sloten zich gedeeltelijk aan met de tweede onderzoekstelling: alleen controle op totstandkoming van informatie achtten zij niet voldoende. Expert 1 merkte hierbij op dat een auditor zich met controle op een proces “in de luren kan laten leggen” en dat daarom controle op het eindresultaat van belang is. Expert 2 merkte op dat de gebruikers zekerheid willen over de informatie die zij krijgen aangeboden, de historische financiële cijfers. Dat de auditor ter verkrijging van deze zekerheid steunt op totstandkoming van deze informatie, hangt samen met de controletechniek van de auditor. Dit staat los van het object, waarover de auditor zekerheid verstrekt. Ook sluit expert 2 niet uit dat gedurende de “evolutie” gebruikers informatie willen over interne beheersing.
CONCLUSIE De interviews maken duidelijk dat participanten de nadruk leggen op zekerheid over de output van een informatiesysteem en niet op het proces van totstandkoming. Expert 1 en de commissaris stellen zelfs dat zekerheidsverstrekking rondom interne beheersing is omgeven door subjectiviteiten. In de zin van informatie- en zekerheidsverstrekking over interne beheersing naar (toekomstige) participanten is de toegevoegde waarde van informatie- en zekerheidsverstrekking rondom ISAE 3000 – 3699 daarom beperkt.
Interne beheersing is wel een issue om tot zekerheidsverstrekking over de informatie zelf te komen en staat ook als zodanig beschreven in ISA 100 – 999. Voor zover de auditor een audit op de interne
37
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
beheersing uitbesteed aan een andere auditor, kunnen ISAE 3000 – 3699 een uitkomst bieden in de communicatie hierover.
ROL IT-AUDITOR Gedurende alle interviews is duidelijk geworden dat geautomatiseerde informatiesystemen een grote rol spelen in de interne beheersing. Zoals bovenstaand beschreven, is de belangstelling van participanten in zekerheidsstelling over de processen van totstandkoming van informatie beperkt. Echter, accountants besteden audits op interne beheersing uit aan IT-auditors als het gaat om geautomatiseerde informatiesystemen. ISAE 3000 – 3699 bieden een uitkomst voor de IT-auditor om binnen de wettelijke audit zekerheid over de totstandkoming van informatie te verstrekken aan de accountant.
5.3 De bedrijfsbrede audit Oordeel accountant/
Oordeel experts
Eindoordeel
+
+
commissaris/ ondernemer/ bankier
+/WEGING ONDERZOEKSRESULTATEN
De geïnterviewden stelden dat de accountant de risico’s bedrijf breed moet inschatten, maar wel om de financiële risico’s in te schatten. Aanvullend haalden de commissaris en de bankier aan dat de accountant ook de risico’s voor de maatschappij moet inschatten, voor zover deze niet in de andere risico’s tot uitdrukking kwamen. Beide experts sluiten zich hierbij aan. Expert 2 stelde dat alle bedrijfsmatige risico’s uiteindelijk leiden tot een financieel risico. Concluderend stel ik hieruit dat bedrijf brede en financiële risico-inschatting inherent zijn aan elkaar.
CONCLUSIE De risico-inschatting in ISA 100 – 999 beperkt zich tot de financiële risico’s. De gedachtegang achter de bijbehorende onderzoekstelling was, dat met informatie- en zekerheidsverstrekking rondom ISAE 3000 – 3699 de gebruikers ook zekerheid krijgen over niet-financiële risico’s. Echter, uit de interviews blijkt dat alle niet-financiële risico’s uiteindelijk leiden tot een financieel risico. Daarom impliceren informatie- en zekerheidsverstrekking rondom ISA 100 – 999 een bedrijf brede risicoanalyse. Voor inschatting van sommige, niet direct financiële risico’s die wel kunnen uitmonden in financiële risico’s, kan de accountant een deel van de audit uitbesteden. De uitbestede audit betreft dat een audit in het kader van ISAE 3000 – 3699.
38
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Kortom, informatie- en zekerheidsverstrekking rondom ISA 100 – 999 voorzien in voldoende “bedrijfsbreedte” als het gaat om risico-inschatting. Net als bij de voorgaande conclusie, kan de accountant een deel van de risico-inschatting uitbesteden via een ISAE 3000 – 3699 audit.
ROL IT-AUDITOR Net als bij de vorige conclusie, geldt ook in dit kader dat de accountant een risico kan zien in de IT omgeving, welke zijn neerslag kan hebben op de betrouwbaarheid van de financiële cijfers of het “ongoing concern”. De accountant kan de IT-auditor in dit kader vragen een audit te verrichten in het kader van ISAE 3000 – 3699.
5.4 Toepassing van controlestandaarden Oordeel accountant/
Oordeel experts
Eindoordeel
+/-
+
commissaris/ ondernemer/ bankier
+ WEGING ONDERZOEKSRESULTATEN
Alle geïnterviewden spraken hun voorkeur uit voor een principle based audit. Expert 2 stelde hierop aanvullend dat een uiterste niet goed is: er moet een zekere balans zijn tussen principle en rules based. Principle based toepassing kan leiden tot misbruik, enige rules based inslag moet dit beperken.
CONCLUSIE De mate van detaillering van ISA 100 – 999 is veel groter dan die van ISAE 3000 – 3699. Echter, uit de vorige conclusies blijkt ook dat de werkingskring van ISA 100 – 999 veelomvattender is dan die van ISAE 3000 – 3699. (ISA 100 – 999 heeft betrekking op de gehele bedrijfsvoering, ISAE 3000 – 3699 op een deelaspect) Vanwege deze complicatie is het zeer moeilijk een conclusie te vormen in hoeverre ISAE 3000 – 3699 de oorspronkelijke bedoeling van de wettelijke controle meer tegemoet komen dan ISA 100 – 999. Om hierover tot een conclusie te komen, moet de hoeveelheid detaillering in de set worden afgewogen tegen de werkingskring. Wel concludeer ik dat een overwegend principle based inslag, aangevuld met een zekere mate van een rules based inslag, de oorspronkelijke bedoeling van de wettelijke controle het meest dienstbaar is.
ROL IT-AUDITOR Deze conclusie heeft geen specifieke implicaties voor de rol van de IT-auditor.
39
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
5.5 Risicomanagement Oordeel accountant/
Oordeel experts
Eindoordeel
+
+/-
commissaris/ ondernemer/ bankier
WEGING ONDERZOEKSRESULTATEN
In het vorige hoofdstuk gaven de geïnterviewden aan geen toegevoegde waarde te zien in risicomanagement. Wel willen zij informatie/ zekerheid over de risico’s zelf. (Zie ook de eerste onderzoekstelling) Expert 1 sprak deze uitkomsten tegen. Hij stelt dat een formele toets op risicomanagement niet het doel moet zijn. Echter, in complexe situaties is de accountant niet in staat zelf de risico’s in te schatten. Als voorbeeld stelde hij een bank met derivaten: de risico’s van deze derivaten zijn complex en het vergt veel betrokkenheid bij de organisatie en kennis van de business om deze risico’s in te kunnen schatten. Hiermee vult risicomanagement een “gat” tussen de verantwoorde financiële werkelijkheid (waarde van de derivaten in de jaarrekening) en de werkelijk economische waarde. Buitenom dat, kwamen recente schandalen vooral voort uit slecht risicomanagement.
Expert 2 stelde dat het aan de gebruikers zelf is om te bepalen of zij zekerheid willen over de werking van het risicomanagement. Echter is aan een goedkeurende accountantsverklaring wel verbonden dat een organisatie op een goede manier omgaat met de risico’s. Indien de accountant van mening is dat de organisaties risico’s loopt als gevolg van slecht risicomanagement, dan krijgt hij/zij hier vanaf 2014 ruimte voor om dit te vermelden in de verklaring.
Indien de accountant tot de conclusie komt dat risicomanagement slecht werkt, dan stellen beide experts dat hij/zij hieraan gevolg moet geven middels het soort accountantsverklaring. Immers, een slechte beheersing van risico’s kan tot gevolg hebben dat het gat tussen de verantwoorde financiële waarde en de werkelijke economische waarde niet zichtbaar is. Hiermee kan de gebruiker van de historisch financiële informatie deze informatie verkeerd interpreteren.
Concluderend, stel ik dat voor de externe verantwoording een formele toets op risicomanagement niet noodzakelijk een vereiste is voor (toekomstige) participanten. Informatie en zekerheid over de risico’s zelf is wel gewenst. Daarom moet een accountant gebruik maken van (de uitkomsten van) het risicomanagement door de organisatie zelf, om: 1. De risico’s voor zijn/haar controle vast te stellen; 2. Vast te stellen dat alle risico’s zijn verantwoord naar (toekomstige) participanten die het gat vullen tussen de verantwoorde financiële waarde en de werkelijk economische waarde.
40
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Hierbij moet de accountant zich vooral richten op de materiële werking en de uitkomsten van het risicomanagement en niet op toetsing van risicomanagement als formele procedure.
CONCLUSIE (Toekomstige) participanten hebben behoefte naar informatie over risico’s. Dit om het “gat” te vullen tussen de verantwoorde financiële waarde en de werkelijk economische waarde. De auditor verstrekt zekerheid bij deze informatie volgens ISAE 3000 – 3699, niet volgens ISA 100 - 999. De verklaring van de auditor moet een afspiegeling zijn voor de werking van het risicomanagement, indien dit significant is voor betrouwbare verantwoording over risico’s: als het risicomanagement van onvervangbaar belang is voor betrouwbare verantwoording over risico’s, dan moet de auditor zijn/haar verklaring aanpassen bij niet goed werkend risicomanagement.
ROL IT-AUDITOR Refererende aan de casus Diginotar, concludeer ik dat IT risicobeheersing van significant belang kan zijn voor bepaling van het gat tussen de verantwoorde financiële werkelijkheid en de werkelijke economische waarde. (Diginotar is failliet gegaan als gevolg van een hack) Op basis hiervan concludeer ik dat verantwoording over IT risico’s gewenst is door (toekomstige) participanten. Conform de bovenstaande conclusie, is het aan de IT-auditor te beoordelen in hoeverre hij/zij voor controle hierop moet steunen op risicomanagement.
Het voorgaande heeft betrekking op de te verstrekken zekerheid over door de organisatie verantwoorde IT risico’s. ISA 315 is een hulpmiddel om te bepalen óf IT risico’s kunnen leiden tot een gat tussen verantwoorde en werkelijke waarde. (Lees: of de organisatie IT risico’s moet verantwoorden naar (toekomstige) participanten) Alle geïnterviewden stellen dat de accountant (in het bijzonder in complexe IT omgevingen) niet voldoende kennis heeft om de IT risico’s in te schatten. De IT-auditor moet de accountant daarom hierbij ondersteunen.
41
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
5.6 Eindconclusie De onderzoeksvraag luidt: “In hoeverre komen de informatie- en zekerheidsverstrekking rondom ISAE 3000 tot en met 3699 de oorspronkelijk bedoelde functionaliteit van de wettelijke controleplicht méér tegemoet dan die rondom ISA 100 tot en met 999 en wat betekent dit voor de IT-auditor?” Concluderend aan de hand van de uitkomsten van de onderzoekstellingen, komen de informatie- en zekerheidsverstrekking rondom ISA 100 – 999 de oorspronkelijke doelstelling van de wettelijke controle niet meer toereikend tegemoet. (Toekomstige) participanten hebben behoefte aan toekomstgerichte, niet-financiële informatie, zoals beleid en risico’s. ISA 100 – 999 geven geen voorschriften voor het verstrekken van zekerheid bij deze informatie. ISAE 3000 – 3699 doen dit wel. Overigens hebben (toekomstige) participanten nog steeds behoefte aan historische financiële informatie: zij hebben de toekomstgerichte, niet-financiële informatie aanvullend hierop nodig om de historische financiële informatie in een goed perspectief te kunnen plaatsen. (Toekomstige) participanten hebben hiervoor vooral behoefte aan informatie over risico’s om het gat tussen de verantwoorde financiële waarde en de werkelijke economische waarde in te kunnen schatten. Dit betreft toekomstgerichte, niet-financiële informatie, waarbij de auditor zekerheid verstrekt via ISAE 3000 – 3699. Voor zover betrouwbare verantwoording over deze risico’s onvervangbaar afhankelijk is van de werking van risicomanagement, moet de auditor de werking van het risicomanagement toetsen. Indien het risicomanagement onvoldoende werkt en er geen vervangbare controle mogelijk is op de betrouwbaarheid van verantwoorde risico’s, dan moet de auditor zijn/haar verklaring hierop aanpassen. Echter, gebruikers hechten niet expliciet waarde aan een uitspraak over de werking van risicomanagement. Samenvattend, om de oorspronkelijke doelstelling van de wettelijke controle méér tegemoet te komen, moeten de informatie- en zekerheidsverstrekking rondom ISA 100 – 999 worden aangevuld met die rondom ISAE 3000 – 3699. Deze conclusie vertaald in grafische vorm, ziet er als volgt uit:
Verantwoording nu
Aanvullende verantwoording gewenst
•Historische financiële informatie •Balans, resultatenrekening en kasstroomoverzicht •Weergave van de huidige situatie •Steunen op: interne beheersing •Audit: ISA 100 - 999
•Toekomstgerichte, niet-financiële informatie •Governance, risk and compliance •Geeft een prospectief karakter aan de weergave van de huidige situatie •Steunen op: risicomanagement •Audit: ISAE 3000 - 3699
42
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
6. De rol van de IT-auditor Op basis van de eindconclusie uit het voorgaande hoofdstuk, liggen er kansen voor de IT-auditor. Dit als het gaat om zekerheidsverstrekking over bijvoorbeeld IT beleid, IT risico’s of IT compliance. Dit is nieuw ten opzichte van de huidige werkzaamheden van de IT-auditor in het kader van een wettelijke controle.
CONCLUSIES UIT HET VOORGAANDE HOOFDSTUK De uitkomsten uit het vorige hoofdstuk samengevat, ziet de rol van een IT-auditor er als volgt uit: 1. De IT-auditor ondersteunt de accountant bij het maken van een risico-inschatting in het kader van ISA 315. Dit houdt in dat de IT-auditor op basis van zijn/haar kennis inschat welke risico’s voor het geautomatiseerde informatiesysteem kunnen leiden tot onbetrouwbare informatie in de verantwoording; 2. Voor zover IT van significant belang is voor de “business” van de organisatie en daarmee een hiaat kan vormen tussen verantwoorde financiële waarde en werkelijke economische waarde, ondersteunt de IT-auditor de accountant door de materiële werking en de uitkomsten van het IT risicomanagement te beoordelen. Dit wederom in het kader van ISA 315. Het is aan de accountant in te schatten in hoeverre IT een dergelijk hiaat kan doen ontstaan; 3. De IT-auditor verricht “sub-audits” die de accountant ondersteunen bij het komen tot zijn/haar accountantsverklaring. Dit heeft betrekking op de werking van de interne beheersing in het kader van betrouwbare informatieverwerking of in het kader van significante risico’s, gesignaleerd in het kader van ISA 315. (Zie punt 1 en 2); 4. Voor zover de organisatie toekomstgerichte en/of niet-financiële informatie verantwoord (of dit zou moeten doen), verschaft de IT-auditor hierbij zekerheid via een ISAE 3000 – 3699 audit. Denk hierbij bijvoorbeeld aan IT beleid of een verantwoording in het kader van ISAE 3402 (serviceorganisaties).
Vanuit mijn praktijk weet ik dat de eerste drie punten niet nieuw zijn. Het vierde punt is wel nieuw en hangt direct samen met de eindconclusie van dit onderzoek. Om de oorspronkelijke doelstelling van de wettelijke controle méér tegemoet te komen, moet de ITauditor daarom zekerheid gaan verschaffen bij toekomstgerichte, niet-financiële informatieverantwoording over IT. Denk hierbij bijvoorbeeld aan zekerheid over IT beleid, IT risico’s of IT compliance. Zoals de beoordeling van de opzet/werking van de interne beheersing van belang is om de betrouwbaarheid van de verantwoording te controleren, is de beoordeling van de opzet/werking van het risicomanagement van belang om de betrouwbaarheid van verantwoorde risico’s te controleren.
43
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Om deze reden moet de IT-auditor ook de inrichting en werking van het IT risicomanagement beoordelen. Indien het IT risicomanagement onvoldoende werkt en de IT-auditor de betrouwbaarheid van verantwoorde risico’s niet op een vervangbare wijze kan vaststellen, moet hij/zij de verklaring hierop aanpassen.
KANSEN VOOR DE IT-AUDITOR In de voorgaande paragraaf concludeer ik dat er twee ontwikkelingen zijn die invloed hebben op de rol van de IT-auditor: 1. Oordeelsvorming over door een organisatie verantwoord IT governance, risk and compliance (GRC); 2. Controle op IT risicomanagement, ter ondersteuning van de audit op het bovenstaande. Met zijn/haar oordeelsvorming over IT governance, risk and compliance is de IT-auditor (zelfstandig) eindverantwoordelijke voor de zekerheidsverstrekking over deze informatie. In tegenstelling tot deze rol, is de IT-auditor nu nog ondergeschikt aan de accountant, die eindverantwoordelijk is voor de zekerheidsverstrekking over de jaarrekening. In feite is de IT-auditor in de huidige situatie afhankelijk van de accountant. De bovengenoemde ontwikkelingen kunnen deze afhankelijkheid wegnemen. In de nieuwe situatie kan de IT-auditor op hetzelfde niveau als de accountant staan en is hij/zij zelfstandig bevoegd zekerheid te verstrekken bij dat deel van de GRC-verantwoording, dat zijn/haar vakgebied raakt. Grafisch weergegeven, ziet deze verandering er als volgt uit: HUIDIGE SITUATIE
TOEKOMSTIGE SITUATIE (?)
Jaarrekening
Jaarrekening
Governance, risk and compliance
Interne beheersing
Interne beheersing
Risicomanagement
Accountant
Accountant
IT-auditor
IT-auditor
Accountant
IT-auditor
Overige auditors
Zoals expert 2 aangaf, bepaalt de “evolutie” of en in welke verhouding de hierboven weergegeven ontwikkeling gaat plaatsvinden. Het is denkbaar dat naast de jaarrekening, organisaties een aparte GRC-verantwoording opstellen en dat (onder andere) de IT-auditor hierbij zelfstandig een oordeel afgeeft, zonder tussenkomst van een accountant. Immers, de accountant geeft een oordeel bij de jaarrekening. In tegenstelling tot de huidige rol binnen de jaarrekeningcontrole, is de IT-auditor met een eigen oordeelsvorming zichtbaarder voor de gebruikers van de verantwoording. Hierdoor positioneren ITauditors zich onafhankelijker van de accountant.
44
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Persoonlijke reflectie De conclusies uit mijn onderzoek maken duidelijk dat binnen de accountancy ontwikkelingen ophanden zijn. Expert 2 refereerde aan een “evolutie” in de accountancy en ik concludeer hieruit ook ontwikkelingen voor de IT-auditor. Het is aan de accountant, de IT-auditor en andere auditors om deze ontwikkelingen positief aan te wenden als kansen en te werken aan innovatie van het (gezamenlijke) auditberoep. Echter, er is ook nader onderzoek nodig om invulling te geven aan de ontwikkelingen. Gedurende mijn onderzoek belichtte ik de volgende onderwerpen, die nader onderzoek behoeven: 1. De behoefte naar richtlijnen voor het rapporteren over govenance, risk and compliance (pag. 36); 2. De complexiteiten in het beoordelen en controleren van de kwaliteit van risicomanagement (pag. 29); 3. De onbekendheid van de invloed die regulering heeft op het auditberoep (pag. 26). Deze lijst van onderwerpen is niet limitatief. Ik heb dit onderzoek ervaren als bijzonder leerzaam. Met name het ontkrachten van de onderzoekstellingen door de geïnterviewden dwong me tot het doen van nader onderzoek en het daarmee beter doorgronden van ontwikkelingen. Met dit onderzoek hoop ik een bijdrage te hebben geleverd aan de ontwikkeling en innovatie van het auditberoep. Ook hoop ik dat accountants, IT-auditors en andere auditors hun kansen benutten en het auditberoep weer verheffen tot dynamisch en gewaardeerd beroep.
45
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Literatuurlijst Literatuur ten behoeve van het eerste hoofdstuk
e
Epe, P. en Koetzier, W., “Jaarverslaggeving”, 3 druk, 2002, Wolters-Noordhoff, Groningen/Houten Knechel, R.W., “Auditing, Assurance & Risk”, 2001, South-Western College Publishing. Scott, W.R., “Financial Accounting Theory”, 3e druk, 2003, Prentice Hall, Toronto e
Westra, B.A.J. en Mooijekind, M.J.Th., “Compendium van de Accountantscontrole: Deel 1”, 3 druk, 1999, Pentagan Publishing, Ede
Literatuur ten behoeve van het tweede hoofdstuk
Eimers, P. en Verkruijsse, H., “Het ‘Stramien voor assuranceopdrachten’: Een opmaat voor de toekomst”, Maandblad voor Accountancy en Bedrijfseconomie (MAB), december 2006, pag. 602 t/m 610 International Auditing and Assurance Standards Board (IAASB), “Handbook of International Quality Control, Auditing Review, Other Assurance,and Related Services Pronouncements”, 2012 edition, Volume I, geraadpleegd via http://www.ifac.org op 2 september 2012 International Auditing and Assurance Standards Board (IAASB), “Handbook of International Quality Control, Auditing Review, Other Assurance,and Related Services Pronouncements”, 2012 edition, Volume II, geraadpleegd via http://www.ifac.org op 2 september 2012
Literatuur ten behoeve van het derde hoofdstuk
Association of Chartered Certified Accountants (ACCA), “Closing the value gap: Understanding the accountancy profession in the 21st century”, augustus 2012 Eimers, P., “De betekenis van de accountant in een dynamische wereld: wat hetzelfde blijft en wat veranderd”, Rede in verkorte vorm uitgesproken bij aanvaarding van het ambt hoogleraar Auditing aan de faculteit der Economische Wetenschappen en Bedrijfskunde van de Vrije Universiteit Amsterdam op 14 november 2008
46
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Eimers, P. en Verkruijsse, H., “Het ‘Stramien voor assuranceopdrachten’: Een opmaat voor de toekomst”, Maandblad voor Accountancy en Bedrijfseconomie (MAB), december 2006, pag. 602 t/m 610 Emanuels, J., Van Leeuwen, O. en Wallage, Ph., “Internal control volgens Sarbanes Oxly: Overzicht en betekenis”, Maandblad voor Accountancy en Bedrijfseconomie (MAB), juli/augustus 2004, pag. 348 t/m 355 De Groot, J. en Koolstra, B., “De ‘in-control’ good practice van de Commissie Frijns lost slechts een deel van de puzzel op”, Maandblad voor Accountancy en Bedrijfseconomie (MAB), juli/augustus 2006, pag. 392 t/m 400 International Auditing and Assurance Standards Board (IAASB), “Improving the auditor’s report”, juni 2012 International Federation of Accountants (IFAC), “Investor demand for environmental, social and governance disclosures”, februari 2012 International Federation of Accountants (IFAC), “IFAC policy position 5: A definition of the public interest”, juni 2012 Kee, M. en Moolenaar, V., “De accountant kan zijn problemen met de samenleving niet alleen oplossen”, artikel gepubliceerd in Het Financieele Dagblad (FD) op 14 september 2012 Mollema, K.Y., “Akoepedie voor auditors?”, Afscheidsrede uitgesproken op 18 januari 2008 in de Oxfordzaal van de Erasmus Universiteit Wiersma, E., “Zijn niet-financiële maatstaven betere voorspellers voor toekomstige financiële prestaties dan huidige financiële maatstaven?”, Maandblad voor Accountancy en Bedrijfseconomie (MAB), oktober 2003, pag. 438 t/m 444
Literatuur ten behoeve van het vierde hoofdstuk
Van Buuren, J. en Van Nieuw Amerongen, N., “Business Risk Auditing in de 21e eeuw, uniform toepasbaar?!”, Maandblad voor Accountancy en Bedrijfseconomie (MAB), oktober 2011, pag. 512 t/m 520
47
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Terminologie ISA De International Standards on Auditing, de internationaal erkende controlestandaarden voor historische financiële informatie. Deze standaarden worden uitgevaardigd door het International Federation of Accountants (IFAC).
ISAE De International Standards on Assurance Engagements, de internationaal erkende controlestandaarden voor toekomstgerichte en/of niet-financiële informatie. Ook deze standaarden worden uitgevaardigd door het International Federation of Accountants (IFAC).
PARTICIPANTEN/STAKEHOLDERS/BEOOGDE GEBRUIKERS Met deze termen duidt ik de gebruikers aan van de verstrekte informatie door organisaties/ de verstrekte zekerheid door accountants. Dit kunnen investeerders zijn, maar ook andere belanghebbenden in organisaties. Binnen de accountancy worden deze gebruikers ook wel aangeduid als het “maatschappelijk verkeer”.
RISICOMANAGEMENT De activiteiten die een organisatie verricht om haar risico’s te identificeren, analyseren en beheersen.
48
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Bijlage I: Gehanteerde checklist bij de interviews
Checklist interview
(totaal 50 minuten)
Accountantscontrole op de jaarrekening is bij wet verplicht voor middelgrote en grote organisaties. Echter, de jaarrekening lijkt in de huidige tijd zijn relevantie te verliezen. De door de gebruiker gewenste informatie is bijvoorbeeld steeds vaker gericht op de toekomst dan op het verleden. De gebruiker, lees bijvoorbeeld een bank, vraagt zich af of de organisatie wel “in control” is. Ook lijkt de jaarrekening op termijn te worden vervangen door de bijna continue, geautomatiseerde informatieverstrekking aan banken, belastingdienst etc. In dit kader wil ik onderzoek doen naar de oorspronkelijke bedoeling van de wetgever met de invoering van de wettelijk verplichte accountantscontrole in relatie tot de ontwikkelingen in de huidige tijdsgeest. Hiermee hangt ook de rol van de IT-auditor samen. Immers, de bedrijfsvoering van én informatieverstrekking door organisaties is steeds afhankelijker van IT. In kernvragen kan mijn onderzoek als volgt worden samengevat: 1. Wat is het doel van de jaarrekening en wettelijke accountantscontrole? 2. Dienen de jaarrekening en de huidige wettelijke accountantscontrole dit doel nog steeds? 3. Welke rol speelt IT hierin? Gedurende het interview, zou ik graag de volgende onderwerpen met u bespreken: Algemene informatie geïnterviewde (5 minuten)
Te bespreken:
Huidige functie; Opleiding; (Werk)ervaringen; Overige relevante achtergrond
Dient de jaarrekening nog het doel, waarvoor deze in het verleden is ingevoerd? (10 minuten)
Discussiestellingen: Het is in het belang van organisaties dat zij niet alleen verantwoording afleggen aan investeerders, maar ook aan de maatschappij; De maatschappij wenst verantwoording over de kosten en baten die de organisatie maakt ten behoeve van de maatschappij, maar wenst ook transparantie over de wijze hoe organisatiebeleid tot stand komt en hoe maatschappelijke issues hierin worden overwogen; Naast het extern afleggen van verantwoording via de jaarrekening, wensen organisaties steeds vaker verantwoording af te leggen over maatschappelijke, sociale en beleidsaspecten; Investeerders vragen in toenemende mate om informatie over maatschappelijke, sociale en beleidsaspecten; Investeerders vragen in toenemende mate om niet-financiële informatie; Niet-financiële informatie heeft toegevoegde waarde als het gaat om het voorspellen van de (toekomstige) waarde van een organisatie. Nu organisaties de mogelijkheid hebben om vrijwel continue verantwoording af (kunnen) leggen, heeft een controle van de accountant op de jaarrekening nog nut? (5 minuten)
Discussiestellingen: Door het geautomatiseerd en continue kunnen verstrekken van (financiële) informatie door organisaties vervaagt het nut van de jaarrekening; De accountantscontrole op de jaarrekening geeft geen zekerheid over de betrouwbaarheid 49
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
van de informatie die tussentijds en/of continue wordt gerapporteerd; In plaats van controle op de informatie zelf (de jaarrekening), zou de accountant controle moeten verrichten op de kwaliteit van de processen die de informatie tot stand doen komen.
Is de accountant met zijn/haar controle op de jaarrekening dienstbaar aan de ondernemer? En draagt controle op de jaarrekening bij aan het functioneren van de (macro-)economie? (10 minuten) Discussiestellingen:
De accountant dient met de accountantscontrole dienstbaar te zijn aan de organisatie/ ondernemer; Om dienstbaar te zijn aan de organisatie, moet de accountant beschikken over bedrijfsbrede kennis; Met bedrijfsbrede kennis van de gecontroleerde, draagt de accountant vanuit een microeconomie ook mee aan het functioneren van de macro-economie; De accountant zou zich niet alleen moeten richten op de betrouwbaarheid van de jaarrekening, maar op het functioneren van een organisatie als geheel.
Leidt gedetailleerde regelgeving vanuit de overheid en toezichthouders ertoe dat de accountant een controle verricht die kwalitatief beter is en beter aansluit met de oorspronkelijke bedoeling van de wettelijke accountantscontrole? (5 minuten) Discussiestellingen:
De wetgeving die de afgelopen tijd is opgelegd aan accountants is een antwoord op de schandalen die zich hebben voorgedaan en is de maatschappij daarmee dienstbaar; Veel regels leiden er echter niet toe dat schandalen kunnen worden voorkomen; Regels die worden opgelegd aan de accountant, zouden “principle based” door de accountant moeten worden toegepast: zij faciliteren de accountant in standaard werkmethoden, maar de accountant bepaalt zelf aan de hand van een risicoafweging welke regels hij/zij dient toe te passen.
In het kader van afstemming van de accountantscontrole op de oorspronkelijke bedoeling, dient een accountant uitspraak te doen over de wijze waarop de organisatie risico’s beheerst? (10 minuten) Discussiestellingen:
De huidige accountantsverklaring beantwoordt niet (meer) de vraag van de gebruikers hiervan; De gebruikers willen informatie over de risico’s die de organisatie loopt en de wijze waarop de organisatie deze beheerst; De accountant heeft een kennisachterstand op de organisatie: de organisatie is zelf beter in staat te bepalen welke risico’s de organisatie loopt; De accountant kan geen uitspraak doen over het voortbestaan van de organisatie; De accountant kan wel uitspraak doen over de wijze waarop de organisatie omgaat met risico’s die het voortbestaan van de organisatie of de organisatie anderzijds kunnen bedreigen; Het proces van identificeren en beheersen van risico’s heeft nog weinig formele vorm binnen organisaties.
50
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Kan een accountant een goede controle verrichten, waarin IT beperkt aan de orde komt? (5 minuten) Discussiestellingen:
De bedrijfsvoering en strategie van organisaties is steeds meer afhankelijk van IT; De betrouwbaarheid van informatiesystemen is steeds meer afhankelijk van IT; De accountant kan risico’s voor een organisatie niet inschatten zonder specifieke kennis van IT.
51
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Bijlage II: Verslagen geïnterviewden praktijkonderzoek
52
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Verslag interview met “de commissaris” (5 december 2012) Alle belanghebbenden in organisaties hebben behoefte aan meer dan alleen historische financiële informatie. Rapportage over beleid en risico’s geeft de historisch financiële informatie een prospectief karakter. De huidige jaarrekening is in een te strak en star financieel keurslijf gegoten. Accountants moeten de historische financiële cijfers blijven controleren, maar belanghebbenden wensen ook zekerheid over de processen die in continuïteit de betrouwbaarheid van informatie waarborgen. Wat betreft zekerheid over bedrijfsrisico’s, moeten accountants zich in branches specialiseren boven het verstrekken van zekerheid over risicomanagement. Organisaties zijn steeds afhankelijker van IT en de IT beïnvloedt zowel het beleid als de kwaliteit van de informatievoorziening. Daarom kan een accountant de risico’s voor een organisatie niet inschatten zonder hulp van een IT-auditor.
ACHTERGROND COMMISSARIS De commissaris is op universitair niveau afgestudeerd in bedrijfskunde, specifiek in de richting van verandermanagement. Voor zijn afstuderen heeft hij externe en interne communicatie van organisaties onderzocht. Gedurende zijn loopbaan, heeft hij diverse trainingen en cursussen gevolgd.
Na afronding van zijn studie is hij werkzaam geweest als Hoofd Personeel & Organisatie (P&O) bij een tweetal organisaties, beide gespecialiseerd in de bouw en verkoop van vrachtwagen carrosserieën en “special trailers”. Daarna heeft hij gewerkt als P&O consultant bij een accountantsorganisatie. Samen met zijn compagnon, heeft hij sinds negen jaar een eigen P&O adviesbureau. Vanuit dit bureau was hij toezichthouder bij een middelgrote, ontwikkelde bouwonderneming. Daarnaast is hij op dit moment commissaris bij een vleeswarenproducent. Ten slotte is hij ook partner in een recent opgerichte organisatie, waar vanuit hij en zijn partners adviseren over crisis- en verandermanagement.
Van huis uit is de commissaris opgegroeid in een ondernemersgezin. Hij is ook actief met diverse bestuursfuncties in privésfeer.
DE JAARREKENING (Toekomstige) participanten zijn met alleen historische financiële informatie onvoldoende geïnformeerd. Participanten willen ook over kwalitatieve aspecten (beleid, risico’s etc.) en nietfinanciële prestatie-indicatoren worden geïnformeerd. Alleen historische financiële informatie leidt tot een korte termijnfocus, waarbij risico’s op de lange termijn worden genegeerd.
Organisaties moeten zich verantwoorden aan de maatschappij en niet alleen aan investeerders. Als zij zich alleen aan investeerders verantwoorden, dan neemt de korte termijn en alleen financiële focus toe en de intentie tot het doen van “diepte-investeringen” af. Dit omdat investeerders alleen focussen op korte termijn en financiële prestaties.
53
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Familiebedrijven zijn om deze reden succesvoller; zij zijn niet gedwongen tot het verantwoorden aan investeerders. Hierdoor zijn zij eerder geneigd tot diepte-investeringen die de organisatie op de lange termijn ten goede komen.
De maatschappelijke gebruikers van de jaarrekening willen informatie over het beleid van de organisatie en over cijfers die beleidsrealisatie weerspiegelen. Ook investeerders willen deze informatie. Zij hoeven dan geen analisten meer in te schakelen om “achter de cijfers te kijken”. De niet-financiële en kwalitatieve informatie ondersteunt daarmee de financiële cijfers. Zij vinden deze informatie echter niet in de jaarrekening: de jaarrekening is in een te strak en star (financieel) keurslijf gegoten om deze informatie te geven. Als organisaties zich maatschappelijk verantwoorden over hun beleid, dan geldt wel de regel: “practise what you preach”. Het bestuur moet het beleid uitdragen, de toezichthouders moeten dit beleid toetsen en de accountant moet de naleving van dit beleid controleren.
ACCOUNTANTSCONTROLE OP DE JAARREKENING Accountants moeten zeker nog de historische financiële informatie te controleren, maar als onderdeel van een breder auditobject. Controle op output van het informatiesysteem geeft participanten zekerheid dat subjectieve elementen in tussentijdse standen zijn geminimaliseerd.
Stel bijvoorbeeld een post als onderhanden werk in de bouw voor: investeerders willen weten of de hoogte van deze significante post betrouwbaar is. Immers kunnen bestuurders de hoogte van deze post sturen, ondanks de procedures. De accountant moet bovenal zowel de uitkomst als het proces van totstandkoming controleren. De totstandkoming geeft een beeld over de continue betrouwbaarheid van verantwoordingen en bedrijfsvoering, de controle op de output sluit subjectiviteit hierin uit. Managers willen geen plotselinge afwijkingen rapporteren in de jaarcijfers (en afgeleide doelen), dus controle op de jaarcijfers zelf heeft ook invloed op de betrouwbaarheid van tussentijdse cijfers.
DE BEDRIJFSBREDE AUDIT De auditor moet een bedrijfsbrede risicoanalyse uitvoeren die zowel is gericht op risico’s voor investeerders als op risico’s voor de maatschappij. Financiële risico’s alleen zijn slechts de symptomen die voortvloeien uit een ziekte in de bedrijfsvoering.
De maatschappelijke participanten zijn vooral gebaat bij zekerheid over niet-financiële aspecten. De auditor ondersteunt deze participanten en de (macro-)economie vooral door machtposities te onderkennen die de maatschappij schaden. Hij/zij moet machtposities periodiek toetsen en ook kunnen ingrijpen, bijvoorbeeld via een toezichthouder. De auditor mag met zijn/haar audit de onderneming dus slechts gedeeltelijk ondersteunen. Hij/zij moet voldoende afstand van de onderneming houden om de kritische houding te waarborgen.
54
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
TOEPASSING VAN CONTROLESTANDAARDEN De auditor moet de ruimte hebben om regels “principle based” toe te passen. Regels alleen als beheersmaatregel leidt tot een focus op het zoeken naar ruimte in de regels en niet tot intrinsieke kwaliteit.
Toezichthouders hebben de regels de afgelopen jaren flink aangescherpt en accountantsorganisaties zijn hierdoor gedwongen om groter te worden. De toezichthouders proberen kwaliteit met regels maakbaar te maken, maar dit maakt de kwaliteit niet intrinsiek. Auditors zijn gefocust op het naleven van de regels en niet op de kwaliteit van hun werkzaamheden. De toezichthouders kunnen regels beter toepassen vanuit de doelstelling van de regels, de redelijkheidstoetst. Dit geeft de auditor de ruimte om zelf af te wegen op welke aspecten hij/zij zich moet focussen en dit leidt tot effectiever toezicht, waarin de vraag of er daadwerkelijk kwaliteit is geleverd centraal staat.
RISICOMANAGEMENT De participanten zijn gebaat bij een auditor die gespecialiseerd is in de branche van de organisatie en vanuit die invalshoek risico’s kan inschatten. Dit boven een auditor die alleen het risicomanagement van de organisatie zelf beoordeelt.
Participanten hebben vooral behoefte aan informatie over randaspecten, zoals bijvoorbeeld het gekozen beleid van de organisatie en de risico’s die een organisatie loopt. Dit geeft een prospectief karakter aan de historische financiële cijfers. De auditor kan zekerheid verschaffen bij het risicomanagement van de organisatie, maar dit alleen informeert participanten te weinig om hen een prospectieve kijk op de cijfers te bieden. Een auditor die steunt op alleen kennis vanuit de organisatie zelf is onvoldoende: hij/zij moet zelf ook de risico’s voor de organisatie in kunnen schatten op basis van kennis van de branche.
ONDERSTEUNING VAN DE IT-AUDITOR Organisaties zijn steeds afhankelijker geworden van IT. De auditor is voor het inschatten van risico’s in de informatievoorziening en bedrijfsvoering van een IT-auditor afhankelijk. IT beïnvloedt immers zowel het beleid van de organisatie als de kwaliteit van de informatievoorziening.
55
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Verslag interview met “de accountant” (21 december 2012) Of organisaties zich breder dan alleen historisch financieel moeten verantwoorden en wat zij aanvullend moeten verantwoorden, is afhankelijk van het aantal belanghebbenden in en de functie van de organisatie. Accountants moeten de historische financiële informatie blijven controleren, maar het accent van de controle moet verschuiven naar de interne beheersing, inclusief bijbehorende certificering. Organisaties kunnen risicomanagement (geformaliseerd) toepassen, maar dit is geen noodzakelijkheid. Een betrouwbaar managementinformatiesysteem en adequate prestatiemonitoring leiden vanzelf tot risicobeheersing. De accountant moet zich daarom primair hierop richten en de risico’s vervolgens inschatten in samenspraak met de directie. De IT-auditor kan vooral bijdragen als het gaat om het inschatten van risico’s voor complexe managementinformatiesystemen.
ACHTERGROND ACCOUNTANT De accountant heeft allereerst de HEAO opleiding bedrijfseconomie en daarna de post-initiële opleiding tot registeraccountant afgerond. Gedurende zijn werkervaring heeft hij deze kennis aangevuld met interne cursussen. Zijn allereerste werkervaring heeft hij opgedaan in het samenstellen en controleren van jaarrekeningen, dit voor organisaties in de range van klein tot groot. Na drie jaar is hij volledig overgestapt op het controleren van jaarrekeningen voor grote organisaties. Al gedurende de eerste werkervaring, maar vooral hierna heeft hij zich toegelegd op het verrichten van transactieonderzoeken, zoals due dilligence onderzoeken. Na vijf tot zes jaar een tussenstop op deze werkzaamheden te hebben gemaakt en als financieel directeur werkzaam te zijn geweest, heeft hij voor verschillende accountantsorganisaties gewerkt en is hij nog steeds volledig werkzaam op het terrein van herstructurerings- en transactieonderzoeken. Binnen privésferen is hij penningmeester geweest van een vereniging die op grote schaal hardloop-, fiets- en wandeltochten organiseert. Hij is ondertussen geen penningmeester meer, maar nog wel betrokken bij het financieel beheer van deze vereniging.
DE JAARREKENING In hoeverre de organisatie haar participanten voldoende informeert met alleen historische financiële informatie, is afhankelijk van het aantal belanghebbenden en de maatschappelijke functie van de organisatie. Participanten zijn niet altijd gebaat bij een brede verantwoording: dit kan leiden tot een te grote hoeveelheid aan informatie die niet meer leesbaar is. Neem bijvoorbeeld Shell en Phillips: deze organisaties hebben een grote hoeveelheid belanghebbenden en daarmee een belangrijke maatschappelijke functie. Zij moeten zich niet alleen historisch financieel verantwoorden, maar moeten zich ook verantwoorden over andere aspecten. Welke aspecten dit moeten zijn is afhankelijk van de organisatie. Zo licht de nadruk bij Phillips
56
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
bijvoorbeeld op innovatie en bij Shell bijvoorbeeld op milieu. Daarnaast hebben beide organisaties een maatschappelijke functie als het gaat om werkgelegenheid. Kwalitatieve informatie (beleid etc.) blijkt al uit het bestuurs- en directieverslag, welke al in het jaarrapport te vinden zijn. Aanvullend kunnen deze organisaties zich verantwoorden aan de hand van maatstaven die doelstellingen in het beleid meetbaar maken. Organisaties kunnen zich hier overigens vaker dan één keer per jaar over verantwoorden, afhankelijk van het maatschappelijk belang dat zij dienen.
ACCOUNTANTSCONTROLE OP DE JAARREKENING De accountant dient de wijze van totstandkoming van informatie te controleren en participanten zullen certificering hiervan waarderen. Echter sluit dit niet uit dat de accountant de gepresenteerde cijfers zelf niet hoeft te controleren: deze hebben vooral een statutair doel en zekerheid over de gepresenteerde standen is gewenst. Het bestuur legt met een jaarlijkse frequentie verantwoording af aan toezichthouders en eigenaren, dit vooral op basis van de financiële positie per einde van het boekjaar. Op basis hiervan verlenen eigenaren decharge aan het bestuur voor het over die periode gevoerde beleid. Vanuit deze verantwoordingsfunctie blijven de eigenaren (lees: aandeelhouders) behoefte hebben aan zekerheid over de cijfers, waarvoor zij het bestuur decharge verlenen. Aanvullend hierop dient de organisatie jaarlijks een fiscale winstaangifte in te dienen, wederom op basis van de financiële stand per een gegeven datum. Participanten willen echter wel zekerheid over de totstandkoming van de informatie, zodat zij ook enige zekerheid hebben over tussentijds verstrekte cijfers. Participanten verwachten zelfs dat de accountant hierover zekerheid verstrekt met zijn/haar verklaring, terwijl de feitelijke certificering hiervoor in de verklaring ontbreekt. Aanvullende certificering op de huidige verklaring over de inrichting van processen is daarom zeker gewenst. Participanten wensen deze zekerheid niet alleen met het oog op betrouwbaarheid van tussentijdse informatie, maar ook vanuit zekerheid over beheersing op gebied van maatschappelijke, nietfinanciële issues. Participanten zullen meer belang hechten aan de zekerheid over de interne beheersing dan aan zekerheid over de cijfers. Daarom dient de accountant de jaarrekening zelf meer als bijproduct te gaan beschouwen en meer te focussen op de interne beheersing.
DE BEDRIJFSBREDE AUDIT De auditor kan geen goede (financiële) risicoanalyse verrichten, zonder te kijken naar de risico’s in de bedrijfsvoering. Of het maatschappelijk verkeer mag verwachten dat beheersing van deze risico’s onder de certificering van de auditor valt is een andere discussie. Financiële risico’s zijn afgeleide van juridische risico’s en risico’s in de bedrijfsvoering als geheel. De auditor moet deze risico’s daarom wel inschatten om de financiële risico’s te overzien. Vanuit deze gedachte verricht de auditor dus al een bedrijfsbrede audit, maar relateert risico’s aan de financiële gevolgen.
57
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
De auditor verricht de controle ook voor het maatschappelijke verkeer en niet ter ondersteuning van de bedrijfsvoering. Dit om zijn/haar onafhankelijkheid en onpartijdigheid te waarborgen. Of de auditor daarom ook uitspraak moet doen over de kwaliteit van bedrijfsvoering is discutabel.
TOEPASSING VAN CONTROLESTANDAARDEN Auditors met verkeerde intenties hebben de schandalen doen ontstaan, niet een gebrek aan regels. Meer gedetailleerde regelgeving leidt tot meer “vinkwerk”, maar staat niet in verband met een betere jaarrekening. Auditors moeten regels daarom principle based en op basis van professional judgement toepassen. Auditors met andere dan bedoelde belangen hebben de schandalen veroorzaakt. Dit is daarom persoonsgebonden en niet op te lossen door gedetailleerde regelgeving. Zij kunnen de checklists immers nog steeds verkeerd invullen.
RISICOMANAGEMENT Organisaties zijn niet noodzakelijk gebaat bij geformaliseerd risicomanagement. Eerder moet de auditor met de directie in overleg treden om vast te stellen welke risico’s de organisatie loopt. Ook zou hij/zij moeten beoordelen of de organisatie beschikt over een goed managementinformatiesysteem en op basis hiervan adequaat monitort. Praktijkervaring leert dat (kleine en middelgrote) organisaties op gebied van risicobeheersing primair falen door een onvoldoende betrouwbaar en relevant managementinformatiesysteem en onvoldoende monitoring op bedrijfsprestaties. Vanuit deze ervaring hebben participanten daarom meer baat bij certificering over interne beheersing dan over specifiek risicomanagement.
ONDERSTEUNING VAN DE IT-AUDITOR Eerder is gesteld dat een betrouwbaar managementinformatiesysteem belangrijker is dan risicomanagement en dat certificering over interne beheersing gewenst is. De accountant moet een ITauditor inschakelen, afhankelijk van de mate waarin het managementinformatiesysteem wordt gefaciliteerd vanuit een complexe IT omgeving. Indien de IT omgeving van een managementinformatiesysteem niet complex is, kan de accountant de risico’s hiervan zelf inschatten. Dit zal veelal het geval zijn bij kleinere organisaties. Naarmate de complexiteit toeneemt, is ondersteuning van een IT-auditor gewenst. Dit zeker met het oog op certificering van interne beheersing.
58
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Verslag interview met “de bankier” (4 januari 2013) Belanghebbenden hebben met de jaarrekening alleen een startpunt: prospectief hebben zij meer behoefte aan informatie over beleid etc. Grote en publieke organisaties hebben er soms belang bij deze informatie in de jaarrekening op te nemen, maar het is verdedigbaar dat (vooral kleinere) organisaties (delen van) beleid niet openbaar maken vanuit concurrentieoogpunt. Dat accountants de betrouwbaarheid van interne beheersing controleren is zeker van belang, maar het is de vraag of zij (en de organisatie zelf) hierover extern moeten rapporteren. Het is de verantwoordelijkheid van het management de organisatie te beheersen. Of zij dit doen, blijkt voldoende uit de trend in financiële cijfers, het behalen van prognoses etc. Belanghebbenden kunnen gebaat zijn bij tussentijdse (continue) verantwoording door organisaties, maar continue verantwoording kan ook onterecht onrust veroorzaken. Immers, tussentijdse informatie geeft geen inzicht in een trend. Belanghebbenden zijn daarom vooral gebaat bij zekerheid over de jaarrekening. Accountants moeten beschikken over bedrijfsbrede kennis om risico’s voor de controle goed in te kunnen schatten. Ook gebruikers van de jaarrekening moeten zich (zelf) bewust zijn van risico’s. Externe verantwoording over risicomanagement kan aanvullend iets bijdragen, maar is op zichzelf niet zaligmakend.
ACHTERGROND BANKIER De bankier is afgestudeerd in Nederlands Privaatrecht en heeft in het kader van zijn afstudeerscriptie onderzoek verricht naar de aansprakelijkheid bij misbruik van creditcards. Daarnaast heeft hij zeven NIBE-cursussen gevolgd, gericht op zakelijke kredietverlening, en heeft hij de opleiding Master Management & Organization aan de TIAS Business School afgerond.
Na vervulling van de militaire dienstplicht is hij werkzaam geweest voor een Nederlandse bank als kredietadviseur en kredietinspecteur. In deze periode is hij ook werkzaam geweest op de afdeling bijzonder beheer. Hierna heeft hij gewerkt bij een van oorsprong Duitse bank, ook als kredietadviseur. In 1997 is hij in dienst getreden bij een bank, gespecialiseerd in de publieke sector, als kredietspecialist en heeft hij de afdeling Financiële Analyse voor Bedrijven en Instellingen (mede) opgericht. Sinds deze tijd is hij hoofd geweest van diverse afdelingen en op dit moment is hij Business Manager Commercie (plaatsvervanger van Directeur Public Finance). Binnen deze bank heeft hij zich gespecialiseerd in (vastgoed voor) gezondheidszorg en onderwijs.
Naast deze werkervaring, heeft hij ook diverse nevenfuncties, zoals lid van een werkgroep voor de gezondheidszorg, lid van een adviesredactieraad voor een maandblad voor de zorgsector, lid van een Raad van Toezicht bij een stichting en intern vertrouwenspersoon.
59
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
DE JAARREKENING De jaarrekening is slechts een startpunt als het gaat om relevantie bij een kredietaanvraag: deze loopt altijd minimaal een half tot maximaal anderhalf jaar achter op het moment van kredietaanvraag. Zakelijke voorwaarden, zoals bijvoorbeeld beleid, bieden meer prospectieve informatie. Publieke organisaties en ook grote private organisaties hebben belang bij externe verantwoording over hun beleid, maar kleine organisaties hebben dit niet. Vanuit concurrentieoogpunt is het ook begrijpelijk en verdedigbaar dat grote organisaties niet ieder detail over hun beleid willen verantwoorden.
Organisaties gaan vaak financieringen aan voor dertig jaar. De jaarrekening geeft met haar terugblik op afgelopen jaren geen voorspelling voor de komende dertig jaar. Financiers kunnen de financiële cijfers wel als startpunt gebruiken: waar staat de organisatie, hebben zij in het verleden hun doelstellingen gehaald etc.? Financiers stellen daarom niet alleen financiële, maar ook zakelijke en structurele voorwaarden. Zakelijke voorwaarden hebben betrekking op beleid, maar bijvoorbeeld ook op interne sturing: hoe gaat een bestuurder van een ziekenhuis bijvoorbeeld om met artsen die de Eed van Hippocrates hebben afgelegd, waarin zij stellen dat het belang van patiënten vóór het financiële belang gaat.
ACCOUNTANTSCONTROLE OP DE JAARREKENING Zekerheid over tussentijdse informatie is geen noodzakelijkheid: tussentijdse informatie kan door fluctuaties tot onrust leiden, daar waar de jaarrekening meer in staat is tot het weergeven van een trend. De accountant dient zijn controle wel toe te spitsen op de interne beheersing, maar bevindingen hierbij zijn primair voor het management.
Financiers geven eerder voorkeur aan een kwalitatief goede controle op de jaarrekening die schandalen voorkomt. Periodieke informatie geeft financiers zeker een beeld, maar kan door fluctuaties ook leiden tot onrust. Financiers hebben behoefte aan geruststelling over de algemene trend. Interne beheersing draagt bij aan het beheersen van een trend, maar is primair de verantwoordelijkheid van management. Als het management de interne beheersing niet voldoende op orde heeft, blijkt dit vanzelf uit de trend in de jaarrekening. Dat de accountant de interne beheersing controleert en hierover rapporteert is wel van belang, maar vooral intern gericht naar het management. De gebruiker van de jaarrekening moet er wel op kunnen vertrouwen dat de accountant dit ook daadwerkelijk doet.
60
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
DE BEDRIJFSBREDE AUDIT De accountant moet ervaring in de bedrijfstak hebben om vanuit een bedrijfsmatige visie financiële risico’s in te schatten. Bedrijfsvoering zelf blijft echter de verantwoordelijkheid van het management en de accountant dient zich te beperken tot controle van de cijfers. Voor een goede controle is niet alleen kennis van de bedrijfstak, maar ook ervaring met en betrokkenheid bij de gecontroleerde van belang.
Deze betrokkenheid mag de controle echter niet schaden: de accountant moet het belang van gebruikers van zijn/haar verklaring blijven stellen voor dat van de organisatie. Immers, de accountant heeft met zijn controle ook het beoordelen van (ongewenste) krachtvelden ten doel. De voorgenomen driejaarlijkse roulatie is een bedreiging: zo raakt opgebouwde kennis over de klant en bedrijfstak verloren en kan de accountant vanuit bedrijfsmatig inzicht geen goede controle verrichten.
TOEPASSING VAN CONTROLESTANDAARDEN Regels zijn middelen om mensen bewust te maken van de gedragingen die van hen worden verwacht. Meer detaillering van regels en een strenge controle op naleving (zonder uitleg voor afwijking) leidt tot onzekerheid en beperking van innovatie. Uiteindelijk staat de gewenste houding centraal en een set van regels is slechts één van de middelen om deze houding te sturen.
RISICOMANAGEMENT Participanten in een organisatie kunnen er baat bij hebben om te weten of een organisatie adequaat risicomanagement naleeft, maar dit is zeker niet zaligmakend. Primair zijn zij zelf verantwoordelijk om de aan de organisatie verbonden risico’s te begrijpen. Ook voor de accountant geldt dat deze zelf op basis van bedrijfskennis een goede risicoafweging moet kunnen maken.
Organisaties kunnen zichzelf zeker helpen door zekerheid te laten verstrekken bij de werking van risicomanagement. Vergelijk dit bijvoorbeeld met een ISO-certificaat: ook dit geeft de participanten aanvullende zekerheid, maar is op zichzelf niet zaligmakend. Organisaties zouden het zelf moeten willen en financiers zouden dit optioneel kunnen vragen van organisaties als voorwaarde voor financiering.
ONDERSTEUNING VAN DE IT-AUDITOR IT is essentieel voor organisaties en organisaties worden steeds afhankelijker van IT. De accountant kan daarom bij de controle niet om IT heen. Een uitdaging voor organisaties, en dus ook voor accountants, is het omgaan met de afhankelijkheid van IT die is geoutsourcet naar een externe partij en het managen van de hoeveelheid energie, tijd en geld die nodig zijn om IT te implementeren en onderhouden.
61
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Verslag interview met “de ondernemer” (9 januari 2013) Ondernemers moeten zelf het belang inzien van verantwoording over beleid en maatschappelijke/ sociale onderwerpen. Zij kunnen hiermee geld verdienen. Echter zou verplichte verantwoording er alleen maar toe leiden dat degenen die niet gemotiveerd zijn dit beleid na te streven, zich wel als zodanig verantwoorden. De accountant moet zijn controle meer verrichten vanuit het gevoel wat er fout kan gaan binnen de onderneming. Certificering is hierbij niet noodzakelijk en ook niet wenselijk: dit leidt ertoe dat de accountant alleen datgene controleert wat is vast te stellen en daarmee alle “zachte”, organisatorische factoren overslaat. De accountantsverklaring moet ervoor staan dat de accountant deze zaken impliciet heeft meegenomen in zijn/haar controle. De jaarrekening is output van de bedrijfsvoering en voor een effectieve controle zou de accountant zich op deze bedrijfsvoering moeten richten. Het is in het belang van de macroeconomie dat de accountant deze bedrijfsvoering voor de ondernemer beoordeelt: hiermee wordt aan de organisatie kennis beschikbaar gesteld die leidt tot een beter presterende organisatie. Ook voor risicobeheersing geldt dat een formeel proces niet de enige voorwaarde is voor het effectief beheersen van risico’s. Risico’s beheersen draait om logisch nadenken en leren uit gebeurtenissen in het verleden. De accountant moet vaststellen dat de ondernemer dit doet boven het beoordelen van een formeel risicomanagement proces.
ACHTERGROND ONDERNEMER De ondernemer heeft na het afronden van de landbouwschool in de avonduren een tuinbouwopleiding gevolgd. Al gedurende en na afronding hiervan is hij begonnen met het opzetten van zijn onderneming. Zijn onderneming bestaat uit een drietal groen woonwarenhuizen, allen onderdeel van een franchiseketen. Hij stuurt deze warenhuizen samen aan met zijn twee zonen, die ondertussen het bedrijf van hun vader hebben overgenomen.
Naast deze onderneming, is de ondernemer ook actief voor de franchiseketen zelf. Hij heeft onder andere een aantal jaren in de Raad van Commissarissen gezeten en recent heeft hij een verandering doorgevoerd in de opzet van de inkooporganisatie. Ook heeft de ondernemer tien jaar in de Raad van Toezicht van een grote coöperatieve bank gezeten (zelfs een jaar voorzitter geweest) en is hij op dit moment nog actief in een lokale ondernemersorganisatie voor Maatschappelijk Verantwoord Ondernemen.
DE JAARREKENING Ondernemers moeten zelf willen verantwoorden over maatschappelijke, sociale en beleidsaspecten. Zij kunnen hier immers geld mee verdienen. Echter zou dit geen verplicht onderdeel van de jaarrekening moeten zijn: de verantwoording moet motiveren tot het daadwerkelijk naleven van dit beleid en verplichte verantwoording doet dit niet.
62
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Neem als voorbeeld maatschappelijk verantwoord ondernemen: energiebesparing is niet alleen beter voor het milieu, maar leidt ook tot minder energiekosten. Als ondernemers zich ook over hun maatschappelijk beleid verantwoorden, dan maakt dit het praten met externe partijen veel makkelijker. Als voorbeeld een gemeente, waarbij de ondernemer goedkeuring kan krijgen voor zijn/haar plannen door het benadrukken van de maatschappelijk toegevoegde waarde hiervan.
Het verantwoorden over beleid moet wel uit de motivatie van de ondernemer voortkomen om ook daadwerkelijk dit beleid na te streven. Het verplicht hierover moeten verantwoorden doet hieraan afbreuk.
ACCOUNTANTSCONTROLE OP DE JAARREKENING Los van de vraag of continue verantwoording nut heeft, worden cijfers in de jaarrekening ontleend aan een informatiesysteem. De accountant verricht veel werk om de betrouwbaarheid van deze cijfers vast te stellen en de eindconclusie is vaak dat de cijfers in de jaarrekening goed zijn. Aanbevelingen over processen van totstandkoming of bedrijfsvoering blijven hierbij uit. Geeft dit wel een goed gevoel over de controle?
Ondernemers vinden het prettig te weten of de bedrijfsvoering goed is en de jaarrekening is hiervan een afgeleide. Daarom moet de accountant zich meer toespitsen op controle van bedrijfsvoering, gerelateerd aan de totstandkoming van de jaarrekening. Dit overigens niet vanuit alleen procedureel oogpunt, maar ook analytisch gericht op de inrichting van de organisatie als geheel. Vaak wordt gerefereerd aan functiescheiding, maar wat als de interne aansturing juist is gericht op medewerkers met autonome afdelingsverantwoordelijkheid en aansturing plaatsvindt op basis van prestatiemonitoring?
De ondernemer is zelf verantwoordelijk voor interne aansturing en certificering over de interne procedures is daarom niet nodig. Certificering van interne procedures kost bovendien onevenredig veel geld. Kosten zijn niet erg, als de baten in de vorm van relevante bevindingen deze maar overstijgen. Certificering leidt echter tot teveel focus op alleen datgene dat kan worden vastgesteld, zonder oog voor “zachte” organisatorische factoren. Daarom staan de kosten niet in verhouding tot de baten.
DE BEDRIJFSBREDE AUDIT De adviserende rol van een accountant heeft toegevoegde waarde voor de macro-economie. Dit brengt de prestaties van de onderneming immers op een hoger niveau. De accountant zou hierbij ook bedrijfsbreed moeten kijken. Dat de accountant niet over diepgaande bedrijfsspecifieke kennis beschikt is logisch, maar de accountant zou wel iets over de “algemene” tak van sport moeten weten. (Bijvoorbeeld: retail)
63
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Al zou de accountant de kwaliteit van de bedrijfsvoering mee moeten nemen in zijn-haar verklaring, dan is dit niet bezwaarlijk. Dit kan weliswaar tot stevige discussies leiden. Zolang een discussie echter leidt tot betere bedrijfsvoering, dan is dit absoluut niet bezwaarlijk.
TOEPASSING VAN CONTROLESTANDAARDEN Gedetailleerde regelgeving voegt weinig toe en leidt tot onoverzichtelijkheid. Dit maakt naleving hiervan alleen maar moeilijker. De gedetailleerde regelgeving van de huidige tijd is het gevolg van mensen die zich onverantwoordelijk hebben gedragen en degenen die zich wel verantwoordelijk gedragen moeten hieronder leiden.
Regels zouden zo moeten zijn opgesteld dat als je naar eer en geweten handelt, je deze automatisch naleeft. Echter, met de huidige gedetailleerde regelgeving houdt iedereen elkaar aan het werk, terwijl deze gedetailleerde regels vaak een wassen neus zijn. Degenen die zich onverantwoordelijk gedragen komen hier nog steeds mee weg.
RISICOMANAGEMENT Organisaties hebben belang bij risicobeheersing, maar dit hoeft niet noodzakelijk in formele vorm plaats te vinden. Het is voor een accountant moeilijk alle risico´s in te schatten, maar de accountant kan vanuit de controle wel kennis nemen van gebeurtenissen die zich hebben voorgedaan en de wijze waarop de organisatie hiervan heeft geprobeerd te leren.
Het formeel proberen te beheersen van risico´s beperkt alleen maar ondernemerschap. Risicobeheersing draait simpelweg om logisch blijven nadenken en speciale vergadercycli hierover hoeven hieraan niets toe te voegen. Als voorbeeld een onderneming van drie broers: zij vergaderen nooit officieel, maar iedere ochtend ontbijten zij gezamenlijk op de zaak. Zij bespreken tegelijk zakelijke onderwerpen, waaronder gebeurtenissen en ontwikkelingen. Dit is een voorbeeld van informele, maar wel effectieve en efficiënte beheersing van risico’s.
ONDERSTEUNING VAN DE IT-AUDITOR De accountant moet zich richten op de bedrijfsvoering, waaronder de cijfers tot stand komen, van het begin tot einde van het bedrijfsproces. (Zoals eerder gesteld) In de huidige tijd maakt IT hierin een essentieel onderdeel uit en de accountant heeft niet voldoende kennis om hierover te kunnen oordelen. Daarom is de accountant afhankelijk van de IT-auditor.
64
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Bijlage III: verslagen geïnterviewde experts
65
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Verslag interview met “expert 1” (23 januari 2013) Organisaties geven met niet-financiële en/of toekomstgerichte informatie een prospectief karakter aan de historisch financiële cijfers. Ter bevordering van transparantie moeten organisaties daarom niet-financiële en toekomstgerichte informatie opnemen in hun jaarrekening. Gecontroleerden kunnen auditors makkelijker “in de luren leggen” als zij alleen totstandkoming van informatie controleren. Daarom ontkomt de auditor er niet aan om ook gegevensgericht te controleren op de output van een informatiesysteem. De auditor is niet in alle situaties in staat om adequaat de business risico’s in te schatten, zeker in het geval van complexe business. In complexe situaties kan de in de historisch financiële verantwoorde informatie sterk afwijken van de “economische” realiteit. Risicomanagement geeft de auditor inzicht in deze afwijking.
ACHTERGROND EXPERT 1 Op dit moment is expert 1 “Director Finance and Risk” in het bankwezen. In 1983 heeft hij zijn Master of Business Administration (MBA) behaald aan The University of Manchester. Aanvullend heeft hij in 2005 het Advanced Management Program gevolgd aan de IESE Business School (University of Navarra).
Na zijn opleiding tot MBA heeft hij onder andere gewerkt als controller, CFO en risk manager op verschillende vlakken. Deze functies vervulde hij voornamelijk in de financiële sector. Onder het bewind van expert 1 heeft zijn huidige werkgever ook een status verkregen in Advanced Measurement Approach, een methode om operational risk te kwantificeren.
DE JAARREKENING Expert 1 sluit zich aan bij de bevindingen uit het onderzoek: toekomstgerichte en/of niet-financiële informatie is nodig om de historisch financiële informatie een prospectief karakter te geven. Welke informatie organisaties aanvullend moeten verstrekken is afhankelijk van de situatie. Wel zou hieraan een zeker minimum gesteld moeten worden: transparantie betekent ook vergelijkbaarheid.
Het is begrijpelijk dat organisaties niet alle strategische besluiten prijs willen geven. Hier speelt timing van de berichtgeving een rol en is het begrijpelijk dat zij eerst de bankier in vertrouwen deze informatie verstrekken. Als het echter een besluit betreft die ‘van materieel belang’ is voor de stakeholders, moet de organisatie deze op enig moment wel kenbaar maken.
ACCOUNTANTSCONTROLE OP DE JAARREKENING Expert 1 sluit zich ook bij de stelling aan dat controle op de output van een informatiesysteem een belangrijke rol speelt, naast controle op de interne beheersing waaronder de informatie tot stand komt. De auditor kan zich met controle op procedures laten misleiden.
66
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Het is maar de vraag in hoeverre een volledig objectieve audit mogelijk is. De auditor heeft een kennisachterstand ten opzichte van de gecontroleerde, waardoor de gecontroleerde de auditor kan manipuleren. Daarnaast is de auditor ‘geconflicteerd’: de gecontroleerde betaalt de rekening. Omdat audit van processen met enige subjectiviteit is omgeven, geeft dit de gecontroleerde gelegenheid om de auditor onder druk te zetten.
DE BEDRIJFSBREDE AUDIT Expert 1 stelt dat de cijfers worden bepaald door de context. De auditor moet daarom breder kijken dan alleen financieel, maar wel vanuit de focus op de betrouwbaarheid van de cijfers en het ´ongoing concern´. Focus op alleen de cijfers is niet genoeg. Afhankelijk van het belang en de complexiteit moet de auditor ook risico´s overwegen op het gebied van maatschappelijke issues.
Vanuit de corporate governance codes moeten sommige organisaties voldoen aan risicomanagement. Uit voorzichtigheid en vanuit de ´going concern´ gedachte moet de auditor hierop een marginale toets uitvoeren.
TOEPASSING VAN CONTROLESTANDAARDEN Regels voorkomen schandalen niet, maar werken deze in de hand. Auditors moeten worden geprikkeld tot ´out-of-the-box’- denken en systematisch werken. Gedetailleerde regels en een strakke toetsing op naleving leidt alleen tot ‘tickboxing’.
Om deze reden moet de insteek van wet- en regelgeving risk en principle based zijn. Auditors moeten vanuit de principes vooral gefocust zijn op excessieve winsten in relatie tot de aard van de organisaties.
RISICOMANAGEMENT Expert 1 sluit zich niet aan bij de stelling dat de auditor zelf de risico’s in moet schatten. Wel sluit hij zich erbij aan dat formele toetsing niet het doel moet zijn: de auditor moet voor zijn/haar risicoinschatting gebruik maken van het risicomanagement door de organisatie. Risicomanagement is vooral bedoeld om het verschil tussen de verantwoorde financiële positie en de werkelijke economische positie te dichten.
Als voorbeeld een balans van een bank. Deze bevat veel posten, zoals bijvoorbeeld derivaten, waarvan de werkelijke waarde moeilijk is te bepalen. De auditor beschikt over onvoldoende kennis om de risico’s voor een dergelijke post in te schatten. Hiervoor moet hij/zij daarom steunen op het risicomanagement. Door risicomanagement kunnen verschillen tussen de verantwoorde waarde en economische waarde van een dergelijke post worden uitgelegd. De scheidslijn tussen verslaglegging en risicomanagement wordt daarom steeds kleiner.
67
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Recente schandalen komen voornamelijk voort uit slecht risicomanagement. Dit is daarom ook een reden dat auditors risicomanagement moet beoordelen.
Overigens geldt voor risicomanagement dat de auditor vooral de materiële werking moet overwegen. Formele toetsing van het risicomanagement is van ondergeschikt belang. Ook moet de auditor vooral gebruik maken van de uitkomsten van het risicomanagement. Aan de hand van het risicomanagement moet de auditor vaststellen dat de materiële risico’s zijn gemeld aan de lezers van de jaarrekening, zodat deze een oordeel kunnen vormen over het risicoprofiel van de organisatie.
Indien het risicomanagement onvoldoende werkt, dan moet de auditor zijn/haar verklaring hierop aanpassen. Dit kan ertoe leiden dat de auditor geen goedkeurende verklaring verstrekt.
Naarmate organisaties minder omvangrijk en minder complex zijn, kan de accountant zelf een goed beeld krijgen van de risico’s. Echter moet dit niet worden onderschat: een organisatie die exporteert heeft bijvoorbeeld al te maken met valutarisico’s en mogelijk derivaten om deze af te dekken.
ONDERSTEUNING VAN DE IT-AUDITOR IT is vaak de grootste achilleshiel van een organisatie. De accountant kan daarom geen audit verrichten zonder hulp van een IT-auditor.
Beheersing van de IT is vaak nog onvoldoende ontwikkeld binnen organisaties. Vaak wordt gedacht dat de risico’s ten aanzien van IT simpel en gemakkelijk zijn te overzien, maar dit is vaak niet zo. Accountantscontrole gaat over de betrouwbaarheid van data. Veel gegevens betekent dat de betrouwbaarheid moeilijk is vast te stellen. Hierbij heeft de accountant de IT-auditor nodig.
68
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
Verslag interview met “expert 2” (25 februari 2013) Incrementeel op de historisch financiële informatie, hebben gebruikers behoefte aan toekomstgerichte en/of niet-financiële informatie. Informatie over IT security en privacy kunnen hiervan onderdeel uitmaken. Over het algemeen geldt dat op dit gebied een evolutie gaande is. In 2014 komt de nieuwe accountantsverklaring, waarin de accountant commentaar op kan nemen, welke hij relevant acht voor gebruikers. Het object van de zekerheidsstelling blijft de informatie die aan de gebruikers wordt gepresenteerd. De accountant kan hiervoor gebruik maken van/ steunen op risicomanagement en procedures van totstandkoming van informatie, maar deze zijn tot nu toe op zichzelf geen auditobject. Uit de evolutie die gaande is moet nog maar blijken of gebruikers informatie en zekerheid willen hierover.
ACHTERGROND EXPERT 2 Expert 2 is partner bij een grote, internationale accountantsorganisatie. (Eén van de “big four” accountantsorganisaties) Daarnaast is hij professor op de universitaire accountancy opleiding. Hij heeft de opleiding tot registeraccountant gevolg en afgerond in 1986.
Naast zijn vele ervaring op accountantsgebied, is hij ook actief (geweest) op gebied van ontwikkeling van het vakgebied accountancy en ondernemingsbestuur. Een aantal rollen, die hij onder andere heeft vervuld: 1. Voorzitter van het comité controlestandaarden binnen het NIVRA 2. Lid van de commissie Peters in het kader van de Nederlandse Corporate Governance code 3. Voorzitter van het comité binnen de AFM, belast met het opstellen van een strategie voor landelijk toezicht op het accountantsberoep
Daarnaast is hij veel betrokken bij internationale ontwikkelingen op het gebied van accountancy, vanuit de IFAC.
DE JAARREKENING Expert 2 sluit zich aan bij de stelling dat er behoefte is aan toekomstgerichte en/of niet-financiële informatie in de jaarrekening. Wél als aanvulling op de bestaande historische financiële informatie. De IT-auditor kan hierin een rol spelen als het gaat om zekerheid over informatie die gaat over de privacy en security van data: dit zijn in toenemende mate maatschappelijke issues.
Er is sprake van een evolutie op dit gebied, maar geen revolutie. De jaarrekening in zijn huidige vorm geeft geen volledige informatie. Echter, er is nog geen standaard die voorschrijft welke informatie hieraan toegevoegd moet worden. Wel wordt er op dit moment veel discussie gevoerd over “integrated reporting”.
69
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
De IT-auditor kan een rol spelen als het gaat om zekerheidsverstrekking over IT systemen, gerelateerd aan maatschappelijk thema’s. Denk aan privacy en security.
ACCOUNTANTSCONTROLE OP DE JAARREKENING Als het gaat om het auditobject, dan zijn het de gebruikers die bepalen welk object dit moet zijn. Gebruikers willen weten of de informatie die zij tot zich krijgen betrouwbaar is. Kortom, zij willen een uitspraak over de data. Dit pleit voor een controle op de output van informatiesystemen. Echter, de auditor kan bij omvangrijke en complexe datastromen geen uitspraak over de output doen, zonder de totstandkoming hiervan te beoordelen. Bij beoordeling van deze totstandkoming kan de ITauditor zeker een rol spelen, omdat veel data tot stand komen via geautomatiseerde informatiesystemen.
De opdracht wordt en blijft echter bepaald door de eindgebruiker. Vooralsnog wil de eindgebruiker zekerheid over de cijfers die hem/haar worden aangeboden, de output van een informatiesysteem. Ook in het geval van SBR is er sprake van een evolutie en zullen de gebruikers moeten bepalen, waarover zij zekerheid willen.
DE BEDRIJFSBREDE AUDIT Op de lange termijn zijn alle risico’s financieel gerelateerd. Daarom kan de accountant geen goede financiële risicoanalyse maken zonder naar de bedrijfsrisico’s te kijken.
De accountant doet nu alleen nog een uitspraak over de betrouwbaarheid van de financiële cijfers en daarmee impliciet de financiële risico’s. Echter, er is een nieuwe controleverklaring op komst, waarin de accountant ook commentaar op kan nemen. (Auditor commentairy) Hierin kan de accountant issues kwijt, waarvan hij/zij van mening is dat deze onder de aandacht van gebruikers moet worden gebracht. Dit kunnen bedrijfsmatige risico’s zijn.
TOEPASSING VAN CONTROLESTANDAARDEN Zowel principle based als rules based benaderingen van regels zijn nodig, al heeft principle based de voorkeur. Beide moeten in de juiste balans worden toegepast, uitersten zullen niet werken.
Een experiment in een ziekenhuis heeft aangetoond dat er een grens is, waarbinnen protocollen werken. Naarmate er meer protocollen werden toegepast, namen fouten af. Echter, boven een bepaalde grens begonnen fouten weer toe te nemen. Dit pleit voor een mate van principle based toepassing.
Echter, principles kunnen ook worden misbruikt. Om dit misbruik te bestrijden, is een zeker niveau van rules based toepassing noodzakelijk.
70
Scriptie IT audit opleiding - De wettelijke accountantscontrole: vooruit naar het oorspronkelijke doel – Arnold Westgeest MSc.
RISICOMANAGEMENT In hoeverre de auditor risicomanagement moet beoordelen, is afhankelijk van de vraag van de gebruikers. Gebruikers stellen vaak dat zij risicomanagement de verantwoordelijkheid van het bestuur vinden, maar toch willen ze hierover iets weten. Echter willen gebruikers liever informatie over zekerheid dan over risico’s.
Ook zekerheid over risicomanagement is onderdeel van de eerder genoemde evolutie. Mogelijk dat er in de toekomst opdrachten komen om het risicomanagement te auditen. Risico’s moeten worden vermeld in het jaarverslag. Indien risico’s niet zijn gemeld in het jaarverslag, kan de accountant deze in de toekomst melden in de audit commentairy. Als significante risico’s in onvoldoende mate worden beheerst, dan moet de auditor hieraan gevolg geven in zijn/haar verklaring. Voor IT risicomanagement geldt dat hier nog weinig kennis over is. Risico’s moeten zich vaak eerst manifesteren, voordat men zich van de gevolgen voor organisaties bewust is.
ONDERSTEUNING VAN DE IT-AUDITOR Het is voor de accountant de uitdaging om voldoende kennis van IT te werven. IT is in een “black box” ontwikkeld. De uitdaging voor de accountant is de juiste vragen te stellen aan de IT-auditor, de uitdaging voor de IT-auditor is de bevindingen te vertalen naar risico’s voor de business. De IT-auditor heeft zeker een rol in de wettelijke controle, tenzij de accountant er zeker van is dat hij/zij voldoende kennis heeft van de IT systemen.
71