INTERNATIONALE CONTROLESTANDAARD 330 DE DOOR DE AUDITOR UIT TE VOEREN WERKZAAMHEDEN IN FUNCTIE VAN ZIJN GEMAAKTE RISICO-INSCHATTING

De door de auditor uit te voeren werkzaamheden in functie van zijn gemaakte risico-inschatting

INTERNATIONALE CONTROLESTANDAARD 330

DE DOOR DE AUDITOR UIT TE VOEREN WERKZAAMHEDEN IN FUNCTIE VAN ZIJN GEMAAKTE RISICO-INSCHATTING INHOUDSOPGAVE ___________________________________________________________________________ Paragrafen Inleiding ..............................................................................................................................1-3 Algehele benadering............................................................................................................4-6 Controlewerkzaamheden gericht op het risico van een afwijking van materieel belang op beweringniveau.................................................................................7-65 De evaluatie van de verkregen controle-informatie naar het voldoende en geschikt zijn daarvan.......................................................................................................66-72 Documentatie ....................................................................................................................... 73 Ingangsdatum ...................................................................................................................... 74

Internationale Controlestandaard (International Standaard on Auditing, ISA) 330 “De door de auditor uit te voeren werkzaamheden in functie van zijn gemaakte risico-inschatting”, dient te worden gelezen in de context van het “Voorwoord tot de internationale standaarden voor kwaliteitsbeheersing, controle-, assurance-opdrachten en verwante diensten” waarin het toepassen en de autoriteit van de ISA’s worden bepaald.

330

NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 © Originele tekst: IFAC; vertaling: NIVRA-IBR

1/31


Inleiding

1.

Deze Internationale Controlestandaard (International Standard on Auditing, ISA)

heeft ten doel grondbeginselen en essentiële werkzaamheden vast te stellen en aanwijzingen te geven voor het bepalen van een algehele benadering en het opzetten en uitvoeren van verdere controlewerkzaamheden in functie van de inschatting van het risico van een afwijking van materieel belang op het niveau van de financiële overzichten of van de beweringen daarin, in het kader van een controle van financiële overzichten. De kennis die de auditor van de entiteit en haar omgeving, met inbegrip van de interne beheersing heeft, en de inschatting van het risico van een afwijking van materieel belang zijn beschreven in ISA 315 “Kennis van de entiteit en haar omgeving en het inschatten van het risico van een afwijking van materieel belang”.

2.

Hierna volgt een overzicht van de belangrijkste bepalingen van deze ISA: -

algehele benadering. Dit gedeelte vereist dat de auditor een algehele benadering uitwerkt om zich te richten op het risico van een afwijking van materieel belang in de financiële overzichten en geeft aanwijzingen ten aanzien van de aard van deze benadering;

-

controlewerkzaamheden naar aanleiding van risico’s van een afwijking van materieel belang op beweringniveau. Dit gedeelte vereist dat de auditor controlewerkzaamheden

opzet

en

uitvoert.

Hiertoe

behoren

ondermeer

controlewerkzaamheden gericht op het beoordelen van de effectieve werking van de beheersingsmaatregelen voor zover relevant en noodzakelijk, alsmede gegevensgerichte controles. De aard, tijdsfasering en omvang van deze beide soorten controlewerkzaamheden worden bepaald in functie van het ingeschatte risico van een afwijking van materieel belang op beweringniveau. In aanvulling daarop bevat dit gedeelte factoren die de auditor in aanmerking neemt bij het bepalen

van

de

aard,

tijdsfasering

en

omvang

van

dergelijke

controlewerkzaamheden; -

evaluatie van het voldoende en geschikt zijn van de verkregen controle-informatie. Dit gedeelte vereist dat de auditor evalueert of de risico-inschatting nog juist is en dat hij nagaat of voldoende en geschikte controle-informatie werd verkregen;

-

330

documentatie. Dit gedeelte bepaalt de documentatievereisten.


2/31


3.

Om het controlerisico tot een aanvaardbaar laag niveau terug te brengen, dient

de auditor een algehele benadering uit te werken gericht op de ingeschatte risico’s op het niveau van de financiële overzichten en dient hij verdere controlewerkzaamheden op te zetten en uit te voeren, waardoor wordt ingespeeld op de ingeschatte risico’s op beweringniveau. De algehele benadering en de aard, tijdsfasering en omvang van verdere controlewerkzaamheden zijn een kwestie van vakkundige oordeelsvorming door de auditor. In aanvulling op de vereisten van deze ISA, voldoet de auditor ook aan de vereisten en aanwijzingen van ISA 240 “De verantwoordelijkheid van de auditor om rekening te houden met fraude in het kader van een controle van de financiële overzichten” gericht op het ingeschatte risico van een afwijking van materieel belang als gevolg van fraude.

Algehele benadering

4.

De auditor dient een algehele benadering vast te stellen om zich te richten op het

risico van een afwijking van materieel belang in de financiële overzichten. Onderdelen van een dergelijke benadering kunnen zijn: het opdrachtteam er nadrukkelijk op wijzen dat professioneel kritisch moet worden gehandeld bij het verzamelen en evalueren van controleinformatie; het inschakelen van meer ervaren medewerkers of medewerkers met specifieke bekwaamheden of het gebruik maken van deskundigen(1), het intensiveren van het toezicht, of het bij de selectie van verdere controlemaatregelen inbouwen van een bijkomende mate van onvoorspelbaarheid. Daarnaast kan de auditor algemene aanpassingen doorvoeren ten aanzien van de aard, tijdsfasering of omvang van de controlewerkzaamheden, bijvoorbeeld door gegevensgerichte controles uit te voeren op de einddatum van de periode in plaats van op een tussentijdse datum.

5.

De inschatting van het risico van een afwijking van materieel belang op het niveau van

de financiële overzichten wordt beïnvloed door de kennis die de auditor heeft over de interne beheersingsomgeving. Een effectief ingerichte beheersingsomgeving kan ertoe leiden dat de auditor meer vertrouwen stelt in de interne beheersing en in de betrouwbaarheid van de binnen de entiteit gegenereerde controle-informatie en dat de auditor daarom bijvoorbeeld controlewerkzaamheden op een tussentijdse datum in plaats van aan het einde van de periode uitvoert. Indien de controleomgeving tekortkomingen vertoont, verricht de auditor gewoonlijk (1)

Het inschakelen van medewerkers bij de specifieke opdracht is een weerslag van de risico-inschatting door de auditor, welke is gebaseerd op zijn inzicht in de entiteit.

330


3/31


meer controlewerkzaamheden aan het einde van de periode in plaats van op een tussentijdse datum, probeert hij meer controle-informatie te verkrijgen uit gegevensgerichte controles, past hij de aard van de controlewerkzaamheden aan om overtuigender controle-informatie te verkrijgen of breidt hij het aantal locaties uit dat dient te worden gecontroleerd.

6.

Dergelijke overwegingen zijn daarom in belangrijke mate van invloed op de algehele

controle-aanpak van de auditor, bijvoorbeeld nadruk op gegevensgerichte controles (gegevensgerichte aanpak) of een aanpak waarbij zowel systeemgerichte als gegevensgerichte controles worden uitgevoerd (gecombineerde aanpak).

Controlewerkzaamheden gericht op het risico van een afwijking van materieel belang op beweringniveau 7.

De auditor dient verdere controlewerkzaamheden op te zetten en uit te voeren

waarvan de aard, tijdsfasering en omvang in functie staan van het ingeschatte risico van een afwijking van materieel belang op beweringniveau. Dit heeft ten doel een duidelijk verband

te

leggen

tussen

controlewerkzaamheden

en

de de

aard,

tijdsfasering

risico-inschatting.

en Bij

omvang het

van

opzetten

de

verdere

van

verdere

controlewerkzaamheden overweegt de auditor onder meer: -

de significantie van het risico;

-

de waarschijnlijkheid dat een afwijking van materieel belang zich voordoet;

-

de kenmerken van de desbetreffende transactiestroom, het rekeningsaldo of de in de financiële overzichten opgenomen toelichting;

-

de aard van de specifieke interne beheersingsmaatregelen van de entiteit, in het bijzonder of deze handmatig of geautomatiseerd zijn;

-

of hij verwacht dat hij controle-informatie verkrijgt om te kunnen vaststellen dat de interne beheersingsmaatregelen van de entiteit effectief zijn met betrekking tot het voorkomen, of het ontdekken en corrigeren van afwijkingen van materieel belang.

De aard van de controlewerkzaamheden is van het grootste belang bij het bepalen van de wijze waarop wordt ingespeeld op ingeschatte risico’s.

330


4/31


8.

De inschatting door de auditor van de onderkende risico’s op beweringniveau vormt

de basis voor het bepalen van de juiste controle-aanpak voor de opzet en uitvoering van verdere controlewerkzaamheden. In sommige gevallen kan de auditor besluiten dat het noodzakelijk is om systeemgerichte controles uit te voeren om effectief te kunnen inspelen op het ingeschatte risico van een afwijking van materieel belang ten opzichte van een bepaalde bewering. In andere gevallen kan de auditor besluiten dat alleen gegevensgerichte controles in aanmerking komen voor bepaalde beweringen, zodat de auditor bij de desbetreffende risicoinschatting geen rekening houdt met de gevolgen van de interne beheersingsmaatregelen. Dit kan het geval zijn indien de werkzaamheden van de auditor met betrekking tot risicoinschatting geen effectieve interne beheersingsmaatregelen met betrekking tot die bewering heeft onderkend of indien het uitvoeren van werkzaamheden met betrekking tot de effectiviteit van de interne beheersingsmaatregelen ondoelmatig zou zijn. De auditor moet er echter van overtuigd zijn dat het uitvoeren voor de desbetreffende bewering van gegevensgerichte controles op zich effectief genoeg is om het risico van een afwijking van materieel belang terug te brengen tot een aanvaardbaar laag niveau. In veel gevallen kan de auditor vaststellen dat een gecombineerde aanpak, bestaande uit zowel werkzaamheden gericht op de effectieve werking van interne beheersingsmaatregelen als gegevensgerichte controles, een effectieve aanpak is. Ongeacht de gekozen aanpak zet de auditor gegevensgerichte controles op en voert hij deze uit voor elke van materieel belang zijnde transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting, volgens de vereisten opgenomen in paragraaf 49.

9.

Bij kleine entiteiten treft de auditor mogelijk niet veel interne beheersingsactiviteiten

aan. Daarom is het waarschijnlijk dat de verdere controlewerkzaamheden van de auditor dan vooral zullen bestaan uit gegevensgerichte controles. In dergelijke gevallen beoordeelt de auditor, in aanvulling op wat in paragraaf 8 is vermeld, of bij afwezigheid van interne beheersingsmaatregelen voldoende en geschikte controle-informatie kan worden verkregen.

330


5/31


Het overwegen van controlewerkzaamheden

de

aard,

tijdsfasering

en

omvang

van

de

verdere

Aard

10.

De aard van de verdere controlewerkzaamheden verwijst naar het doel daarvan

(systeem- of gegevensgerichte controles) en het soort van controlemiddel, zoals inspectie, waarneming, het inwinnen van inlichtingen, het verzoek tot externe bevestiging, de rekenkundige controle, het opnieuw uitvoeren van procedures of cijferanalyse. Sommige controlewerkzaamheden lenen zich beter voor het onderbouwen van bepaalde beweringen dan andere. Zo kunnen met betrekking tot de opbrengsten systeemgerichte controles het beste gericht zijn op het ingeschatte risico van een afwijking inzake de bewering “volledigheid” daar waar gegevensgerichte controles meer gericht kunnen zijn op het ingeschatte risico van een afwijking inzake de bewering “het plaatsvinden”.

11.

De auditor bepaalt de uit te voeren controlewerkzaamheden op basis van zijn risico-

inschatting. Hoe hoger de auditor het risico inschat, des te hoger de graad van betrouwbaarheid en relevantie van de controle-informatie moet zijn die uit gegevensgerichte controles wordt verkregen. Dit kan invloed hebben op zowel het soort van uit te voeren controlewerkzaamheden als de combinatie daarvan. Zo bijvoorbeeld kan de auditor de volledigheid van de contractbepalingen door een derde laten bevestigen na eerst zelf het document te hebben ingezien.

12.

Bij het bepalen van de uit te voeren controlewerkzaamheden overweegt de auditor de

redenen die hebben geleid tot de risico-inschatting van een afwijking van materieel belang op beweringniveau voor elke transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting. Hierbij wordt zowel aandacht geschonken aan de bijzondere kenmerken van elke transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting (d.w.z. het inherent risico) als nagegaan in hoeverre ten aanzien van het door de auditor ingeschatte risico rekening is gehouden met de interne beheersingsmaatregelen van de entiteit (d.w.z. het intern beheersingsrisico). Als de auditor bijvoorbeeld inschat dat er een lager risico op een afwijking van materieel belang kan bestaan vanwege de kenmerken van een bepaalde transactiestroom, zonder de daarop gerichte interne beheersingsmaatregelen in aanmerking te nemen, kan hij besluiten dat cijferanalyse

330


6/31


voldoende en geschikte controle-informatie kan opleveren. Als de auditor daarentegen verwacht dat er een lager risico op een afwijking van materieel belang bestaat omdat de entiteit effectieve interne beheersingsmaatregelen heeft en hij van plan is gegevensgerichte controles

op

te

zetten

uitgaande

van

de

effectieve

werking

van

die

interne

beheersingsmaatregelen, voert hij systeemgerichte controles uit om controle-informatie over de effectiviteit van de werking daarvan te verkrijgen. Dit kan bijvoorbeeld het geval zijn bij een transactiestroom met redelijk gelijksoortige, niet gecompliceerde kenmerken die routinematig wordt verwerkt en intern wordt beheerst door het informatiesysteem van de entiteit.

13.

Het is noodzakelijk dat de auditor controle-informatie verkrijgt over de absolute

juistheid en de volledigheid van de informatie die door het informatiesysteem van de entiteit worden opgeleverd indien deze informatie wordt gebruikt bij het uitvoeren van controlewerkzaamheden.

Als

de

auditor

bijvoorbeeld

voor

het

uitvoeren

van

controlewerkzaamheden, zoals gegevensgerichte cijferanalyse of systeemgerichte controles, gebruik maakt van niet-financiële informatie of begrotingsgegevens die door het informatiesysteem van de entiteit zijn opgeleverd, verkrijgt hij controle-informatie betreffende de absolute juistheid en volledigheid van dergelijke informatie. Zie ISA 500, “Controle-informatie”, paragraaf 11 voor verdere aanwijzingen.

Tijdsfasering

14.

De tijdsfasering heeft betrekking op het moment waarop de controlewerkzaamheden

worden uitgevoerd, of de periode of datum waarop de controle-informatie betrekking heeft.

15.

De auditor kan systeem- of gegevensgerichte controles uitvoeren op een tussentijdse

datum of aan het einde van de periode. Hoe groter het risico van een afwijking van materieel belang, des te des te groter de waarschijnlijkheid dat de auditor besluit dat het effectiever is gegevensgerichte controles uit te voeren op of rond de einddatum van de periode, eerder dan op een daaraan voorafgaande datum, of om controlewerkzaamheden onaangekondigd of op onverwachte momenten uit te voeren (bijvoorbeeld door controlewerkzaamheden uit te voeren op specifiek uitgekozen locaties zonder deze werkzaamheden aan te kondigen). Anderzijds kunnen controlewerkzaamheden die voorafgaandelijk aan het einde van de periode worden uitgevoerd een hulpmiddel voor de auditor zijn om belangrijke zaken in een vroeg 330


7/31


stadium van de controle te onderkennen waarna hij deze met behulp van de leiding van de entiteit kan oplossen of een effectieve controle-aanpak voor dergelijke zaken kan opzetten. Als de auditor systeem- of gegevensgerichte controles voorafgaandelijk aan het einde van de periode uitvoert, beoordeelt hij welke aanvullende controle-informatie met betrekking tot het resterende deel van de periode moet worden verkregen (zie de paragrafen 37-38 en 56-61).

16.

De auditor neemt bij de overweging van het moment waarop controlewerkzaamheden

zullen worden uitgevoerd, onder meer de volgende aspecten in aanmerking: -

de beheersingsomgeving;

-

het tijdstip waarop belangrijke gegevens beschikbaar zijn (elektronische bestanden kunnen bijvoorbeeld later worden overschreven of te observeren procedures vinden slechts op bepaalde momenten plaats);

-

de aard van het risico (bijvoorbeeld: als er een risico bestaat dat de omzet door de creatie na de einddatum van de periode van fictieve verkoopovereenkomsten te hoog wordt voorgesteld om aan winstverwachtingen te voldoen, kan de auditor het noodzakelijk achten om de op de einddatum van de periode beschikbare contracten te bestuderen);

-

17.

de periode of datum waarop de controle-informatie betrekking heeft.

Sommige controlewerkzaamheden kunnen alleen op of na de einddatum van de

periode worden uitgevoerd, zoals het aansluiten van de financiële overzichten met de administratie en het controleren van de wijzigingen die zijn aangebracht tijdens het opstellen van de financiële overzichten. Als het risico bestaat dat de entiteit onjuiste verkoopovereenkomsten is aangegaan of transacties op de einddatum van de periode niet heeft beëindigd, voert de auditor werkzaamheden uit die op dit specifieke risico zijn gericht. Zo onderzoekt de auditor bijvoorbeeld in het algemeen de transacties rond de einddatum van de periode, in het geval dat deze transacties afzonderlijk van materieel belang zijn of als een afwijking in de periode-afgrenzing tot een afwijking van materieel belang zou kunnen leiden.

330


8/31


Omvang

18.

"Omvang" omvat het aantal keren dat een bepaalde controlehandeling moet worden

uitgevoerd, bijvoorbeeld de steekproefomvang of het aantal waarnemingen van een interne beheersingsactiviteit. De omvang van controlewerkzaamheden wordt bepaald door het oordeel van de auditor nadat hij het materieel belang, het ingeschatte risico en de mate van te verkrijgen assurance heeft afgewogen. Met name breidt de auditor de omvang van de controlewerkzaamheden gewoonlijk uit naarmate het risico van een afwijking van materieel belang toeneemt. Uitbreiding van het aantal handelingen bij controlewerkzaamheden is echter alleen effectief als de controlewerkzaamheden zelf relevant zijn voor het specifieke risico; daarom is de aard van de controlewerkzaamheid het belangrijkste punt van overweging.

19.

Het gebruik van auditsoftwaretoepassingen kan meer uitgebreide toetsen van

elektronische transacties en grootboekbestanden mogelijk maken. Dergelijke technieken kunnen worden gebruikt om transacties uit belangrijke elektronische bestanden te selecteren, om transacties met bepaalde kenmerken te selecteren of om de gehele populatie te toetsen in plaats van een selectie daaruit.

20.

Gewoonlijk kunnen op basis van steekproefonderzoek aanvaardbare conclusies

worden getrokken. Indien echter een te kleine steekproef wordt getrokken uit de populatie, de gekozen steekproefmethodiek niet geschikt is om het specifieke controledoel te bereiken of indien afwijkende bevindingen niet goed worden opgevolgd, bestaat er een onaanvaardbaar risico dat de conclusie die de auditor trekt op basis van de steekproef anders is dan de conclusie die hij zou trekken indien hij dezelfde controlewerkzaamheden voor de totale populatie zou uitvoeren. ISA 530 “Steekproeven bij controles en andere selectiemethoden gericht op toetsing” bevat aanwijzingen voor het gebruiken van de steekproefselectie.

21.

Deze ISA behandelt het gebruik van een combinatie van verschillende

controlewerkzaamheden als een aspect van de aard van de werkzaamheden zoals hiervoor is beschreven. De auditor beoordeelt echter of de omvang bij toepassing van een combinatie van verschillende controlewerkzaamheden juist is.

330


9/31


Systeemgerichte controles

22.

Het is vereist dat de auditor systeemgerichte controles uitvoert indien zijn risico-

inschatting mede omvat een verwachting ten aanzien van de effectieve werking van interne beheersingsmaatregelen of indien het uitvoeren van uitsluitend gegevensgerichte controles geen voldoende en geschikte controle-informatie op beweringniveau oplevert.

23.

Indien de inschatting door de auditor van het risico van een afwijking van

materieel belang op beweringniveau mede is gebaseerd op de verwachting dat de interne beheersingsmaatregelen effectief werken, dient de auditor systeemgerichte controles uit te voeren om voldoende en geschikte controle-informatie te verkrijgen met betrekking tot de effectieve werking van de interne beheersingsmaatregelen op relevante tijdstippen gedurende de periode waarop de controle betrekking heeft. Zie de paragrafen 39-44 hieronder met betrekking tot het gebruikmaken van controle-informatie met betrekking tot de effectieve werking van de interne beheersingsmaatregelen gedurende vorige controles.

24.

De inschatting door de auditor van het risico van een afwijking van materieel belang

op beweringniveau kan mede een verwachting met betrekking tot de effectieve werking van de interne beheersingsmaatregelen inhouden, in welk geval de auditor systeemgerichte controles uitvoert om controle-informatie te verkrijgen over de effectieve werking daarvan. Toetsen van de effectieve werking van interne beheersingsmaatregelen worden alleen uitgevoerd ten aanzien van die interne beheersingsmaatregelen waarvan de auditor heeft vastgesteld dat deze zodanig zijn opgezet dat ze een afwijking van materieel belang in een bewering kunnen voorkomen, of ontdekken en corrigeren. De paragrafen 104-106 van ISA 315 behandelen het onderkennen van interne beheersingsmaatregelen die mogelijk een afwijking van materieel belang in een transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting kunnen voorkomen of ontdekken en corrigeren.

25.

Indien de auditor in overeenstemming met paragraaf 115 van ISA 315 heeft

bepaald dat het niet mogelijk of niet praktisch haalbaar is het risico van een afwijking van materieel belang op beweringniveau tot een aanvaardbaar laag niveau terug te brengen met behulp van uitsluitend de controle-informatie die uit gegevensgerichte controles is verkregen, dient de auditor de relevante interne beheersingsmaatregelen te toetsen om controle-informatie te verkrijgen over de effectieve werking daarvan. Het is 330


10/31


bijvoorbeeld mogelijk, dat de auditor niet de mogelijkheid kan hebben om effectieve gegevensgerichte controles op te zetten waarmee op beweringniveau voldoende en geschikte controle-informatie kan worden verkregen, in het geval dat de entiteit met een geautomatiseerde systeem werkt en van de transacties geen documentatie wordt vervaardigd of bewaard, anders dan via het geautomatiseerde systeem.

26.

Het toetsen van de effectieve werking van interne beheersingsmaatregelen is anders

dan het verkrijgen van controle-informatie inzake de implementatie van interne beheersingsmaatregelen. Bij het verkrijgen van controle-informatie over de implementatie door het uitvoeren van werkzaamheden met betrekking tot risico-inschatting, stelt de auditor vast dat de relevante interne beheersingsmaatregelen bestaan en dat deze in gebruik zijn bij de entiteit. Tijdens het toetsen van de effectieve werking van interne beheersingsmaatregelen verkrijgt de auditor controle-informatie ten aanzien van de effectieve werking van de interne beheersingsmaatregelen. Dit omvat het verkrijgen van controle-informatie over de wijze van toepassing van de interne beheersingsmaatregelen op relevante tijdstippen gedurende de periode waarop de controle betrekking heeft, de consistentie van de toepassing daarvan en de vraag door wie of met welke middelen deze zijn uitgevoerd. Indien gedurende de periode waarop de controle betrekking heeft, interne beheersingsmaatregelen in gebruik waren, die onderling sterk van elkaar verschilden, onderzoekt de auditor deze afzonderlijk. De auditor kan bepalen dat het doelmatig is het toetsen van de effectieve werking van de interne beheersingsmaatregelen tegelijkertijd uit te voeren met het beoordelen van de opzet en het verkrijgen van controle-informatie over de implementatie daarvan.

27.

Hoewel sommige werkzaamheden met betrekking tot het inschatten van risico’s die de

auditor uitvoert om de opzet van de interne beheersingsmaatregelen te beoordelen en om vast te stellen dat deze zijn geïmplementeerd, niet specifiek zijn opgezet als systeemgerichte controles, kunnen deze toch controle-informatie opleveren met betrekking tot de effectieve werking van de interne beheersingsmaatregelen en kunnen deze daarom toch als systeemgerichte controles worden gebruikt. Zo kan de auditor bijvoorbeeld om inlichtingen verzocht hebben over de wijze waarop de leiding gebruik maakt van begrotingen, de vergelijking door de leiding van de begrote en gerealiseerde lasten per maand hebben waargenomen en de verslagen van het onderzoek naar de verschillen tussen de begrote en de gerealiseerde bedragen hebben onderzocht. Deze controlewerkzaamheden verschaffen informatie met betrekking tot de opzet van de begrotingsprocedures van de entiteit en de 330


11/31


vraag of deze zijn ingevoerd en kunnen ook controle-informatie opleveren over de effectiviteit van de werking van de beleidsmaatregelen inzake begroting bij het voorkomen of ontdekken van afwijkingen van materieel belang in de rubricering van lasten. Onder dergelijke omstandigheden beoordeelt de auditor of de controle-informatie die deze controlewerkzaamheden hebben opgeleverd voldoende is.

Aard van de systeemgerichte controles

28.

De auditor voert controlewerkzaamheden uit om zekerheid te verkrijgen over de

effectieve werking van de interne beheersingsmaatregelen. Hoe groter de verwachte mate van zekerheid is, des te meer streeft hij er naar betrouwbare controle-informatie te verkrijgen. In gevallen waarin de auditor een controle-aanpak kiest die in hoofdzaak bestaat uit systeemgerichte controles, in het bijzonder betreffende die risico’s waarvoor het niet mogelijk of vanuit praktisch oogpunt haalbaar is voldoende en geschikte controle-informatie te verkrijgen door middel van gegevensgerichte controles alleen, voert de auditor gewoonlijk systeemgerichte controles uit om meer zekerheid te verkrijgen aangaande de effectieve werking van de interne beheersingsmaatregelen.

29.

De

auditor

dient

naast

het

inwinnen

van

inlichtingen

ook

andere

controlewerkzaamheden uit te voeren om de effectieve werking van de interne beheersingsmaatregelen te toetsen. Hoewel het toetsen van de effectieve werking van de interne beheersingsmaatregelen afwijkt van het verkrijgen van kennis van de opzet en de implementatie van deze maatregelen, omvat het toetsen van de effectieve werking gewoonlijk hetzelfde soort controlewerkzaamheden als bij het beoordelen van de opzet en de implementatie van de interne beheersingsmaatregelen en kan dit mede omvatten het door de auditor opnieuw uitvoeren van de interne controlewerkzaamheden. Aangezien het inwinnen van inlichtingen alleen niet voldoende is, past de auditor een combinatie van controlewerkzaamheden toe om voldoende en geschikte controle-informatie over de effectieve werking van de interne beheersingsmaatregelen te verkrijgen. De interne beheersingsmaatregelen welke worden getoetst met behulp van het inwinnen van inlichtingen in combinatie met inspectie of het opnieuw uitvoeren geven gewoonlijk meer zekerheid dan de interne beheersingsmaatregelen waarvoor de controle-informatie uitsluitend bestaat uit het inwinnen van inlichtingen en waarneming. Zo kan een auditor bijvoorbeeld vragen om inlichtingen inzake de procedures van de entiteit voor het openen van post en het verwerken 330


12/31


van kasontvangsten en deze procedures waarnemen, om de effectieve werking van de interne beheersingsmaatregelen met betrekking tot de kasontvangsten te toetsen. Omdat een waarneming alleen iets zegt over de situatie op dat moment, vult de auditor deze gewoonlijk aan met het inwinnen van inlichtingen bij werknemers van de entiteit en kan hij ook inzage hebben in de documentatie over de werking van de interne beheersingsmaatregelen op andere tijdstippen in de periode waarop de controle betrekking heeftom voldoende en geschikte controle-informatie te verkrijgen.

30.

De aard van een bepaalde interne beheersingsmaatregel heeft invloed op de

controlewerkzaamheden die vereist zijn om controle-informatie te verkrijgen over de effectieve werking van deze maatregelen gedurende de periode waarop de controle betrekking heeft. Voor sommige maatregelen blijkt de effectieve werking uit documentatie. In dergelijke omstandigheden kan de auditor besluiten de documentatie te verifiëren om controleinformatie over de effectieve werking te verkrijgen. Voor andere maatregelen is er evenwel mogelijk geen documentatie aanwezig of is deze niet relevant. Zo is het mogelijk dat er voor sommige onderdelen van de interne beheersingsomgeving geen documentatie over de werking beschikbaar is, zoals voor het toekennen van bevoegdheid en verantwoordelijkheid, of voor sommige controleactiviteiten zoals geïnformatiseerde controleactiviteiten. In dergelijke omstandigheden kan controle-informatie over de effectieve werking worden verkregen door een samenstel van het inwinnen van inlichtingen en andere controlemaatregelen, zoals waarneming of het gebruik van auditsoftwaretoepassingen.

31.

De auditor overweegt bij de opzet van de systeemgerichte controles of het

noodzakelijk is dat hij controle-informatie verkrijgt over de effectieve werking van zowel interne beheersingsmaatregelen die rechtstreeks verband houden met de beweringen, als met andere indirecte interne beheersingsmaatregelen waarvan de eerstgenoemde maatregelen afhankelijk zijn. Zo kan de auditor bijvoorbeeld het door een gebruiker doornemen van een uitzonderingsverslag betreffende verkopen op krediet boven een toegekende kredietlimiet beschouwen als een directe beheersingsmaatregel met betrekking tot een bewering. In dergelijke gevallen zal de auditor het door de gebruiker doornemen van het verslag op effectiviteit beoordelen, alsmede de beheersingsmaatregelen gericht op de absolute juistheid van de in het verslag opgenomen gegevens (bijvoorbeeld de algehele beheersingsmaatregelen binnen het geautomatiseerde systeem).

330


13/31


32.

Bij geautomatiseerde application controls kan, als gevolg van de inherente

consistentie

bij

geautomatiseerde

gegevensverwerking,

controle-informatie over de

implementatie van de interne beheersingsmaatregelen in combinatie met controle-informatie over de effectieve werking van de geautomatiseerde general controls van de entiteit (in het bijzonder de beheersingsmaatregelen betreffende wijzigingen binnen de geautomatiseerde systemen) belangrijke controle-informatie verschaffen met betrekking tot de effectieve werking gedurende de relevante periode.

33.

Om in te spelen op zijn risico-inschatting kan de auditor een systeemgerichte controle

opzetten gericht op het gelijktijdig uitvoeren van een detailcontrole voor dezelfde transactie. Systeemgerichte controles hebben ten doel te beoordelen of een interne beheersingsmaatregel effectief heeft gewerkt. Detailcontroles hebben ten doel om afwijkingen van materieel belang op beweringniveau te ontdekken. Hoewel deze doelstellingen verschillen, kunnen beide tegelijkertijd worden bereikt door het uitvoeren van een systeemgerichte controle en een detailcontrole voor dezelfde transactie, ook wel bekend als de “dual-purpose test”. Zo kan de auditor bijvoorbeeld een factuur onderzoeken om na te gaan of deze is goedgekeurd en om gegevensgerichte controle-informatie over de transactie te verkrijgen. De auditor bepaalt zorgvuldig hoe dergelijke toetsen moeten worden opgezet en beoordeeld om beide doelstellingen te bereiken.

34.

Het feit dat een gegevensgerichte controle niet tot de ontdekking van afwijkingen leidt

levert geen controle-informatie over de effectieve werking van de getoetste interne beheersingsmaatregelen met betrekking tot de bewering. Afwijkingen die tijdens het uitvoeren van gegevensgerichte controles worden ontdekt door de auditor worden echter wel betrokken bij het beoordelen van de effectieve werking van de daarmee verbandhoudende beheersingsmaatregelen. Een afwijking van materieel belang die door de werkzaamheden van de auditor wordt ontdekt en die niet door de entiteit zelf was onderkend, wijst gewoonlijk op een van materieel belang zijnde tekortkoming in de interne beheersing, die onder de aandacht wordt gebracht van de leiding van de entiteit en van het toezichthoudend orgaan.

Tijdsfasering van systeemgerichte controles

35.

De tijdsfasering van systeemgerichte controles is afhankelijk van de doelstelling van

de auditor en is bepalend voor de periode waarin de auditor kan steunen op de interne 330


14/31


beheersingsmaatregelen. Indien de auditor de maatregelen op een bepaald moment toetst, verkrijgt hij alleen controle-informatie dat deze maatregelen op dat moment effectief werkten. Indien hij echter de maatregelen gedurende een bepaalde periode toetst, verkrijgt hij controleinformatie over de effectieve werking van deze maatregelen gedurende die periode.

36.

Controle-informatie die alleen betrekking heeft op een bepaald moment kan voldoende

zijn voor het door de auditor beoogde doel, bijvoorbeeld bij het toetsen van de interne beheersingsmaatregelen betreffende de voorraadopname op de einddatum van de periode. Indien de auditor echter controle-informatie wenst te verkrijgen over de effectieve werking van een beheersingsmaatregel gedurende een periode, is controle-informatie over een bepaald moment onvoldoende en vult de auditor deze controles aan met andere systeemgerichte controles, die controle-informatie kunnen verschaffen dat de interne beheersingsmaatregel op relevante momenten tijdens de periode waarop de controle betrekking heeft, effectief heeft gewerkt. Deze andere controles kunnen bestaan uit het toetsen van de wijze waarop de entiteit de beheersingsmaatregelen opvolgt.

37.

Indien de auditor controle-informatie over de effectieve werking van interne

beheersingsmaatregelen verkrijgt tijdens een interim-periode, dient hij te bepalen welke aanvullende controle-informatie voor het resterende deel van de periode moet worden verkregen. Bij de bepaling daarvan beoordeelt de auditor de significantie van het ingeschatte risico van een afwijking van materieel belang op beweringniveau, welke maatregelen tijdens de interim-controle zijn getoetst, de mate waarin controle-informatie over de effectieve werking van die maatregelen is verkregen, de duur van het resterende deel van de periode, de mate waarin de auditor verdere gegevensgerichte controles wil beperken door te steunen op de interne beheersingsmaatregelen, en de beheersingsomgeving. De auditor verkrijgt controleinformatie over de aard en omvang van alle significante wijzigingen in de interne beheersing, met inbegrip van wijzigingen in het informatiesysteem, de processen en de personele bezetting die zijn opgetreden na afloop van de interim-periode.

38. het

Aanvullende controle-informatie kan bijvoorbeeld worden verkregen door ook over resterende

deel

van

de

periode

de

effectieve

werking

van

de

interne

beheersingsmaatregelen te toetsen of door te toetsen hoe de entiteit de interne beheersingsmaatregelen opvolgt.

330


15/31


39.

Indien de auditor van plan is de in vorige controles verkregen controle-

informatie over de effectieve werking van interne beheersingsmaatregelen te gebruiken, dient hij controle-informatie te verkrijgen over het feit of wijzigingen in die interne beheersingsmaatregelen hebben plaatsgevonden na afloop van de vorige controle. De auditor dient controle-informatie te verkrijgen over de vraag of dergelijke wijzigingen hebben plaatsgevonden door het inwinnen van inlichtingen in combinatie met waarneming of inspectie om de kennis over deze maatregelen te bevestigen. In paragraaf 23 van ISA 500 wordt gesteld dat de auditor controlewerkzaamheden uitvoert om vast te stellen dat de controle-informatie die in vorige perioden is verkregen nog steeds relevant is, indien hij van plan is deze controle-informatie in de lopende controleperiode te gebruiken. Zo kan de auditor bijvoorbeeld tijdens een vorige controle hebben vastgesteld dat een geautomatiseerde controle naar behoren werkte. De auditor verkrijgt vervolgens controleinformatie om vast te stellen of er in de geautomatiseerde interne beheersingsmaatregel wijzigingen zijn aangebracht die van invloed zijn op de doorlopende effectieve werking, bijvoorbeeld door navraag te doen bij de leiding van de entiteit en logboeken te inspecteren om vast te stellen welke interne beheersingsmaatregelen werden gewijzigd. Een beoordeling van de controle-informatie over deze wijzigingen kan leiden tot een toe- of afname van de in de huidige periode te verkrijgen controle-informatie over de effectieve werking van de maatregelen.

40.

Indien de auditor van plan is te steunen op interne beheersingsmaatregelen die

zijn gewijzigd sinds het moment waarop deze voor het laatst zijn getoetst, dient hij de effectieve werking van deze maatregelen in de lopende controleperiode te toetsen. Wijzigingen kunnen de relevantie vanv de in voorgaande perioden verkregen controleinformatie aantasten zodat hierop niet langer kan worden gesteund. Zo hebben bijvoorbeeld wijzigingen in een systeem die een entiteit in staat stellen een nieuw verslag uit het systeem te doen verkrijgen waarschijnlijk geen invloed op de relevantie van de in een vorige periode verkregen controle-informatie; een wijziging waardoor gegevens op een andere manier moeten worden gegroepeerd of berekend, heeft echter hierop wel invloed.

41.

Indien de auditor van plan is te steunen op interne beheersingsmaatregelen die

niet zijn gewijzigd sinds het moment waarop deze voor het laatst zijn getoetst, dient hij de effectieve werking van deze maatregelen ten minste in elke derde controle te toetsen. 330


16/31


Zoals vermeld in de paragrafen 40 en 44, kan de auditor niet steunen op controle-informatie over de effectieve werking van interne beheersingsmaatregelen welke in vorige controles is verkregen indien deze maatregelen zijn gewijzigd sinds deze voor het laatst zijn getoetst of indien deze maatregelen een significant risico beperken. De beslissing van de auditor om voor andere interne beheersingsmaatregelen al of niet te steunen op de controle-informatie die in vorige controles is verkregen is een kwestie van vakkundige oordeelsvorming. Ook de tijd die verloopt tussen het opnieuw toetsen van dergelijke maatregelen is een kwestie van vakkundige oordeelsvorming, maar mag niet langer zijn dan twee jaar.

42.

De auditor neemt het volgende in aanmerking bij zijn overwegingen of hij kan steunen

op controle-informatie over de effectieve werking van interne beheersingsmaatregelen uit vorige controles en zo ja, hoe lang de periode mag zijn die verloopt tot het moment dat de maatregelen opnieuw moeten worden getoetst: -

de effectiviteit van andere elementen van de interne beheersing, waaronder begrepen de interne beheersingsomgeving, de opvolging door de entiteit van de beheersingsmaatregelen en het proces van risico-inschatting van de entiteit;

-

de risico’s die voortkomen uit de kenmerken van de maatregel, waaronder de vraag of deze geautomatiseerd of handmatig zijn (zie ISA 315, paragrafen 57-63, voor een behandeling van specifieke risico’s voortkomend uit handmatige of geautomatiseerde elementen van beheersingsmaatregelen);

-

de

effectiviteit

van

de

algemene

beheersingsmaatregelen

binnen

het

geautomatiseerde systeem; -

de effectiviteit van de interne beheersingsmaatregel en het gebruik daarvan door de entiteit, met inbegrip van de aard en omvang van deviaties in de toepassing van de maatregel die gebleken zijn uit het toetsen van de effectieve werking in vorige controles;

-

de vraag of gezien gewijzigde omstandigheden, het achterwege blijven van wijzigingen in een bepaalde beheersingsmaatregel een risico vormt;

-

het risico van een afwijking van materieel belang en de mate waarin wordt gesteund op de interne beheersingsmaatregel.

In het algemeen geldt dat hoe groter het risico van een afwijking van materieel belang is, of hoe meer wordt gesteund op de interne beheersingsmaatregelen, des te korter naar alle waarschijnlijkheid de periode zal zijn die ligt tussen de momenten waarop de maatregelen 330


17/31


worden getoetst. Factoren die gewoonlijk deze periode verkorten, of die ertoe leiden dat in het geheel niet wordt gesteund op de in vorige controles verkregen controle-informatie, zijn onder meer: -

een zwakke beheersingsomgeving;

-

een zwakke opvolging van de beheersingsmaatregelen;

-

een belangrijk handmatig element in de relevante beheersingsmaatregelen;

-

wijzigingen in de personele bezetting die een significante invloed hebben op de werking van de maatregelen;

-

veranderende

omstandigheden

die

wijzigingen

in

de

interne

beheersingsmaatregelen noodzakelijk maken; -

43.

zwakke general controls binnen het geautomatiseerd systeem.

Indien de auditor besluit dat hij voor een aantal interne beheersingsmaatregelen

kan steunen op de in vorige controles verkregen controle-informatie, dient hij elke controleperiode de effectieve werking van enkele van deze maatregelen te toetsen. Deze vereiste beoogt te voorkomen dat de auditor de benadering van paragraaf 41 gaat toepassen op alle maatregelen waarop hij wil steunen, maar deze allemaal in één enkele controleperiode toetst op effectieve werking zonder enige maatregel in de twee volgende controleperioden te toetsen. Naast controle-informatie over de effectieve werking van de getoetste maatregelen levert dergelijk toetsing ook zijdelings controle-informatie op betreffende de effectieve werking van de beheersingsomgeving en draagt daardoor bij aan de besluitvorming over de mogelijkheid al of niet te steunen op de in vorige controles verkregen controle-informatie. Daarom besluit de auditor, wanneer hij in overeenstemming met de paragrafen 39-42 heeft vastgesteld dat hij voor een aantal beheersingsmaatregelen kan steunen op in vorige controles verkregen controle-informatie, elke controleperiode een toereikend gedeelte van de interne beheersingsmaatregelen uit de populatie te toetsen op effectieve werking, waarbij iedere maatregel ten minste elke derde controleperiode wordt getoetst.

44.

Indien de auditor in overeenstemming met paragraaf 108 van ISA 315 heeft

besloten dat een ingeschat risico van een afwijking van materieel belang op beweringniveau een significant risico is en de auditor van plan is te steunen op de effectieve werking van interne beheersingsmaatregelen die ten doel hebben dat belangrijke risico te beperken, dient hij uit systeemgerichte controles in de lopende periode controle-informatie te verkrijgen over de effectieve werking van die 330


18/31


maatregelen. Hoe groter het risico van een afwijking van materieel belang is, des te meer controle-informatie over de effectieve werking moet de auditor verkrijgen. Dientengevolge steunt de auditor niet op de tijdens vorige controles verkregen controle-informatie met betrekking tot significante risico’s, hoewel hij bij de opzet van systeemgerichte controles die ten doel hebben deze risico’s te beperken, vaak wel tijdens de vorige controles verkregen informatie betrekt. Daarvoor in de plaats verzamelt hij controle-informatie over de effectieve werking van interne beheersingsmaatregelen met betrekking tot dergelijke risico’s in de lopende periode.

De omvang van de systeemgerichte controles

45.

De auditor zet zodanige systeemgerichte controles op dat voldoende en geschikte

controle-informatie wordt verkregen over de effectieve werking van de interne beheersingsmaatregelen gedurende de gehele periode dat daarop wordt gesteund. Bij het bepalen van de omvang van deze systeemgerichte controles kan hij onder meer het volgende in aanmerking nemen: -

de frequentie waarmee de entiteit de interne beheersingsmaatregelen gedurende de periode heeft uitgevoerd;

-

de tijdsduur tijdens de controleperiode waarin de auditor op de effectieve werking van de interne beheersingsmaatregelen steunt;

-

de relevantie en de betrouwbaarheid van de controle-informatie die moet worden verkregen om aan te tonen dat de interne beheersingsmaatregelen afwijkingen van materieel belang op beweringniveau voorkomen, of ontdekken of corrigeren;

-

de mate waarin controle-informatie wordt verkregen uit andere gegevensgerichte controles die invloed hebben op de bewering;

-

de mate waarin de auditor bij het inschatten van risico’s wil steunen op de effectieve werking van de interne beheersingsmaatregelen (en daarmee de gegevensgerichte controles wil beperken, rekening houdend met het steunen op deze interne beheersingsmaatregelen);

-

46.

de verwachte afwijkingen bij het uitvoeren van de interne beheersingsmaatregelen.

Hoe meer de auditor bij de risico-inschatting steunt op de effectieve werking van

interne beheersingsmaatregelen, des te groter is de omvang van de systeemgerichte controles. Daarnaast vergroot de auditor de omvang van de systeemgerichte controles in functie van de 330


19/31


stijging van het percentage van verwachte deviaties bij het uitvoeren van de maatregelen . De auditor overweegt echter of het percentage van verwachte deviaties een aanwijzing is dat de beheersingsmaatregel niet voldoende is om het risico van een afwijking van materieel belang op beweringniveau terug te brengen tot het niveau dat met de risico-inschatting door de auditor overeenkomt. Indien het percentage van verwachte deviaties te groot is, kan de auditor besluiten dat het uitvoeren van systeemgerichte controles voor een bepaalde bewering mogelijk niet effectief zal zijn.

47.

Vanwege de inherente consistentie van geautomatiseerde gegevensverwerking kan de

auditor wellicht afzien van het vergroten van de omvang van systeemgerichte controles betreffende

geautomatiseerde

beheersingsmaatregelen.

Een

geautomatiseerde

beheersingsmaatregel werkt consistent tenzij in het programma (met inbegrip van tabellen, bestanden of andere permanente gegevens die door het programma worden gebruikt) wijzigingen zijn aangebracht. Nadat de auditor heeft vastgesteld dat de geautomatiseerde beheersingsmaatregel naar behoren werkt (hetgeen kan plaatsvinden op het moment dat deze beheersingsmaatregel voor het eerst is geïmplementeerd, of op elk ander moment), voorziet hij welke werkzaamheden moeten worden uitgevoerd om vast te stellen dat de beheersingsmaatregel effectief blijft werken. Dergelijke toetsen kunnen mede inhouden het vaststellen dat geen wijzigingen in het programma zijn aangebracht buiten de wijzigingsprocedure om, dat de geautoriseerde versie van het programma is gebruikt voor het verwerken van transacties en dat andere relevante interne beheersingsmaatregelen effectief zijn. Tot dergelijke werkzaamheden kan ook behoren het vaststellen dat geen wijzigingen in de programma’s zijn aangebracht, bijvoorbeeld bij gebruik door een entiteit van toepassingen uit een softwarepakket zonder dat wijzigingen worden aangebracht of onderhoud wordt uitgevoerd. Zo kan de auditor bijvoorbeeld de registratie van de automatiseringsbeveiliging beoordelen om controle-informatie te verkrijgen dat gedurende de periode geen ongeautoriseerde toegang heeft plaatsgevonden.

Gegevensgerichte controles

48.

Gegevensgerichte controles worden uitgevoerd om afwijkingen van materieel belang

op beweringniveau te ontdekken en omvatten detailcontroles van transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen, alsmede gegevensgerichte cijferanalyse. De auditor neemt gegevensgerichte controles op in de 330


20/31


planning en voert deze uit om te kunnen inspelen op de inschatting van het risico van een afwijking van materieel belang.

49.

Ongeacht de inschatting van het risico van een afwijking van materieel belang

dient de auditor gegevensgerichte controles op te zetten en uit te voeren voor elke transactiestroom, rekeningsaldo en in de financiële overzichten opgenomen toelichting die van materieel belang zijn. Deze vereiste vindt haar oorsprong in het feit dat de risicoinschatting door de auditor een eigen beoordeling inhoudt en niet voldoende nauwkeurig kan zijn om alle risico’s van een afwijking van materieel belang te onderkennen. Voorts is de interne beheersing onderhevig aan inherente beperkingen, zoals mogelijke beïnvloeding door de leiding van de entiteit. Bijgevolg zal de auditor, al is hij van oordeel dat het risico van een afwijking van materieel belang tot een aanvaardbaar laag niveau kan worden teruggebracht door uitsluitend systeemgerichte controles uit te voeren voor een bepaalde bewering betreffende een transactiestroom, rekeningsaldo en in de financiële overzichten opgenomen toelichting (zie paragraaf 8), altijd gegevensgerichte controles uitvoeren voor elke transactiestroom, elk rekeningsaldo en elke toelichting die van materieel belang zijn.

50.

De gegevensgerichte controles die de auditor uitvoert dienen de volgende

controlewerkzaamheden bij de afronding van de financiële overzichten te omvatten: -

het aansluiten of afstemmen van de financiële overzichten op de onderliggende administratie; en

-

het beoordelen van significante journaalposten en andere aanpassingen die tijdens het opstellen van de financiële overzichten zijn gemaakt.

De aard en omvang van de beoordeling door de auditor van de journaalposten en van de andere aanpassingen zijn afhankelijk van de aard en complexiteit van het financiële verslaggevingsproces van de entiteit alsmede van de daarmee samenhangende risico’s van een afwijking van materieel belang.

51.

Indien de auditor overeenkomstig paragraaf 108 van ISA 315 heeft vastgesteld

dat een ingeschat risico van een afwijking van materieel belang op beweringniveau significant is, dient hij gegevensgerichte controles uit te voeren die speciaal zijn gericht op dat risico. Indien de auditor bijvoorbeeld constateert dat de leiding van de entiteit onder druk staat om aan winstverwachtingen te voldoen, is er een risico dat de leiding de 330


21/31


verkoopopbrengsten te hoog voorstelt door ten onrechte reeds winst te verwerken inzake verkoopovereenkomsten met voorwaarden die slechts een latere winstverwerking toestaan, of door te factureren voorafgaand aan de verzending. In deze omstandigheden kan de auditor bijvoorbeeld externe bevestigingen vragen, niet alleen om de openstaande saldi te bevestigen, maar ook om de details van de verkoopovereenkomsten, met inbegrip van datum, mogelijkheden van retourneren en leveringsvoorwaarden te bevestigen. Daarnaast kan de auditor het nuttig achten om dergelijke externe bevestigingen aan te vullen met het inwinnen van inlichtingen bij personeelsleden binnen de entiteit die niet bij de financiële activiteiten zijn

betrokken,

met

betrekking

tot

wijzigingen

in

verkoopovereenkomsten

en

leveringsvoorwaarden.

52.

Indien de controleaanpak van significante risico’s uitsluitend gegevensgerichte

controles omvat, bestaan de controlewerkzaamheden die op juiste wijze gericht zijn op dergelijke significante risico’s slechts uit detailcontroles of een combinatie van detailcontroles en gegevensgerichte cijferanalyse. De auditor neemt de aanwijzingen in de paragrafen 53-64 in aanmerking bij het vaststellen van de aard, tijdsfasering en omvang van de gegevensgerichte controles met betrekking tot de significante risico’s. Om voldoende controle-informatie te verkrijgen worden de gegevensgerichte controles betreffende significante risico’s in het algemeen zodanig opgezet dat voldoende en geschikte controleinformatie met een hoog betrouwbaarheidsgehalte wordt verkregen.

Aard van de gegevensgerichte controles

53.

In het algemeen kan gegevensgerichte cijferanalyse beter worden gebruikt ten aanzien

van grote aantallen transacties die in de tijd min of meer voorspelbaar zijn. Detailcontroles zijn gewoonlijk beter geschikt voor het verkrijgen van controle-informatie over bepaalde beweringen omtrent bepaalde rekeningsaldi, waaronder begrepen het bestaan en de waardering daarvan. Soms kan de auditor besluiten dat het uitvoeren van gegevensgerichte cijferanalyse voldoende is om het risico van een afwijking van materieel belang tot een aanvaardbaar laag niveau terug te brengen. De auditor kan bijvoorbeeld besluiten dat het uitvoeren van cijferanalyse die uitsluitend gegevensgericht is inspeelt op het ingeschatte risico van een afwijking van materieel belang met betrekking tot een transactiestroom waarvoor de risico-inschatting door de auditor wordt onderbouwd door controle-informatie die is verkregen 330

door

het

uitvoeren

van

toetsen

inzake

de

effectieve


werking

van 22/31


beheersingsmaatregelen. In andere situaties kan de auditor besluiten dat enkel detailcontroles geschikt zijn of dat een combinatie van gegevensgerichte cijferanalyse en detailcontroles een beter middel is om in te spelen op de inschatting van de risico’s.

54.

De auditor zet detailcontroles op die op het ingeschatte risico betrekking hebben met

als doelstelling om voldoende en geschikte controle-informatie te verkrijgen om de geplande mate van zekerheid op beweringniveau te bereiken. Bij het opzetten van gegevensgerichte controles betreffende de beweringen inzake bestaan en het plaatsvinden selecteert de auditor uit posten die zijn begrepen in een in de financiële overzichten opgenomen bedrag en verkrijgt

de

van

relevante

controle-informatie.

Indien

de

auditor

echter

controlewerkzaamheden opzet ter onderbouwing van de bewering volledigheid, selecteert hij uit controle-informatie die erop wijst dat een post in het relevante in de financiële overzichten opgenomen bedrag moet zijn begrepen en gaat dan na of dit inderdaad het geval is. Zo kan de auditor bijvoorbeeld betalingen na de einddatum van de periode doornemen om te bepalen of er inkopen zijn weggelaten uit de crediteurenrekening.

55.

Bij het opzetten van gegevensgerichte cijferanalyse neemt de auditor onder meer de

volgende aspecten in overweging: -

de geschiktheid van het gebruikmaken van gegevensgerichte cijferanalyse in relatie tot de te onderzoeken beweringen;

-

de betrouwbaarheid van de – interne of externe - gegevens, op basis waarvan de verwachting met betrekking tot geregistreerde bedragen of ratio’s tot stand is gekomen;

-

de vraag of de verwachting voldoende nauwkeurig is om bij de gewenste mate van zekerheid een afwijking van materieel belang te onderkennen;

-

de omvang van een verschil tussen verwachte bedragen en verantwoorde bedragen dat nog aanvaardbaar is.

De auditor overweegt om de interne beheersingsmaatregelen, voorzover deze bestaan, te toetsen betreffende het opstellen door de entiteit van informatie waarvan de auditor gebruikt maakt bij het uitvoeren van cijferanalyse. In het geval dergelijke maatregelen effectief zijn, heeft de auditor een groter vertrouwen in de betrouwbaarheid van de informatie en derhalve in de uitkomsten van de cijferanalyse. Een alternatief is dat de auditor nagaat of in de huidige of voorgaande periode de informatie onderworpen is geweest aan controletoetsen. Bij het 330


23/31


bepalen van de controlewerkzaamheden die moeten worden uitgevoerd met betrekking tot de informatie waarop de verwachtingen van de gegevensgerichte cijferanalyse zijn gebaseerd neemt de auditor de aanwijzingen van paragraaf 11 van ISA 500 in acht.

Tijdsfasering van de gegevensgerichte controles

56.

Indien tussentijds gegevensgerichte controles worden uitgevoerd, dient de

auditor verdere gegevensgerichte controles of gegevensgerichte controles in combinatie met systeemgerichte controles uit te voeren om het resterende deel van de periode af te dekken, teneinde een redelijke grondslag te verkrijgen voor het uitbreiden van de getrokken conclusies die op de tussentijdse datum betrekking hebben naar het einde van de periode.

57.

In bepaalde omstandigheden kunnen gegevensgerichte controles tussentijds worden

uitgevoerd. Hierdoor neemt het risico toe dat afwijkingen die op de einddatum van de periode bestaan niet door de auditor worden ontdekt. Dit risico is groter naarmate het resterende deel van de periode langer is. Bij zijn overwegingen om gegevensgerichte controles gericht op een tussentijdse datum uit te voeren neemt de auditor factoren als de hierna volgende in overweging: -

de beheersingsomgeving en andere relevante beheersingsmaatregelen;

-

het op een later moment beschikbaar zijn van informatie die de auditor nodig heeft om zijn werkzaamheden te kunnen uitvoeren;

-

het doel van de gegevensgerichte controle;

-

het ingeschatte risico van een afwijking van materieel belang;

-

de aard van de transactiestroom of rekeningsaldo en de daarmee verband houdende beweringen;

-

de mate waarin de auditor in staat is juiste gegevensgerichte controles of gegevensgerichte controles in combinatie met systeemgerichte controles uit te voeren om het resterende deel van de periode af te dekken teneinde het risico van het niet ontdekken van afwijkingen die op de einddatum van de periode bestaan terug te brengen.

330


24/31


58.

Hoewel het niet strikt noodzakelijk is dat de auditor controle-informatie verkrijgt over

de effectieve werking van de interne beheersingsmaatregelen om een redelijke basis te hebben voor het uitbreiden naar het einde van de periode van de conclusies die op een tussentijdse datum betrekking hebben, overweegt hij of het uitsluitend uitvoeren van gegevensgerichte controles voor de tussenliggende periode wel voldoende is. Indien de auditor concludeert dat het uitvoeren van alleen gegevensgerichte controles niet voldoende is, voert hij systeemgerichte

controles

uit

met

betrekking

tot

de

belangrijke

interne

beheersingsmaatregelen of worden de gegevensgerichte controles op de einddatum van de periode uitgevoerd.

59.

In situaties waarin de auditor het risico van een afwijking van materieel belang als

gevolg van fraude heeft onderkend, kan hij als onderdeel van zijn controlemaatregelen om op dit risico in te spelen de tijdsfasering van de controlewerkzaamheden aanpassen. Zo kan de auditor bijvoorbeeld concluderen dat, in het licht van het risico van een opzettelijke afwijking of manipulatie, controlewerkzaamheden waarbij conclusies die op een tussentijdse datum betrekking hebben worden uitgebreid naar de einddatum van de periode niet effectief zullen zijn. Onder dergelijke omstandigheden kan de auditor concluderen dat gegevensgerichte maatregelen op of rond de einddatum van de periode moeten worden uitgevoerd om op een onderkend risico van een afwijking van materieel belang ten gevolge van fraude in te spelen (zie ISA 240).

60.

Gewoonlijk vergelijkt de auditor informatie betreffende de saldi op de einddatum van

de periode met de vergelijkbare informatie op het moment van de tussentijdse controle en sluit deze gegevens aan, om bedragen die ongebruikelijk lijken te onderkennen, onderzoekt deze bedragen en voert gegevensgerichte cijferanalyse of detailcontroles uit voor de tussenliggende periode. Indien de auditor gegevensgerichte cijferanalyse plant voor de tussenliggende periode, beoordeelt hij of de desbetreffende transactiestromen of rekeningsaldi redelijk voorspelbaar zijn voor wat betreft bedrag, relatief belang en samenstelling. De auditor beoordeelt of de procedures die de entiteit hanteert voor het analyseren en corrigeren van dergelijke transactiestromen of rekeningsaldi op tussentijdse momenten en voor het invoeren van goede afgrenzingsprocedures voldoende zijn. Bovendien beoordeelt de auditor of het informatieverwerkingssysteem inzake financiële verslaggeving informatie zal opleveren inzake de eindsaldi en de transacties in de tussenliggende periode die voldoende is om toe te 330


25/31


laten dat onderzoek wordt verricht naar: significante ongebruikelijke transacties of boekingen (met inbegrip van die op of rond de einddatum van de periode); andere oorzaken van significante schommelingen of verwachte schommelingen, die niet zijn opgetreden; en veranderingen in de samenstelling van de transactiestromen of de rekeningsaldi. De gegevensgerichte controles betreffende het resterende deel van de periode zijn er van afhankelijk of de auditor al dan niet systeemgerichte controles heeft uitgevoerd.

61.

Indien afwijkingen worden ontdekt in transactiestromen of rekeningsaldi op een

tussentijdse datum, past de auditor gewoonlijk de hiermee verband houdende risicoinschatting en de geplande aard, tijdsfasering of omvang van de gegevensgerichte controles voor het resterende deel van de periode aan voor wat betreft de werkzaamheden betreffende die transactiestromen of rekeningsaldi, of breidt hij deze werkzaamheden uit of herhaalt ze op de einddatum van de periode.

62.

Het

gebruik

van

controle-informatie

verkregen

door

het

uitvoeren

van

gegevensgerichte controles in een vorige controle is niet voldoende om op het risico van een afwijking van materieel belang in de lopende periode in te spelen. In de meeste gevallen vormt controle-informatie verkregen door het uitvoeren van gegevensgerichte controles in een vorige controle geen of nauwelijks controle-informatie voor de lopende periode. Om controleinformatie verkregen in een vorige controle, in de lopende periode te kunnen gebruiken als gegevensgerichte controle-informatie, moeten de controle-informatie en het daarop betrekking hebbende object van onderzoek niet substantieel zijn gewijzigd. Een voorbeeld van controleinformatie verkregen uit het uitvoeren van gegevensgerichte controles in een vorige controle die voor het lopende boekjaar nog van belang kan zijn, is een juridisch advies over een structuur van effectisering waarin in de lopende periode geen wijziging is opgetreden. Zoals in paragraaf 23 van ISA 500 is wordt voorgeschreven, voert de auditor, indien hij van plan is in een vorige controle door het uitvoeren van gegevensgerichte controles verkregen controleinformatie te gebruiken, controlewerkzaamheden uit in de lopende periode om vast te stellen dat de controle-informatie nog steeds relevant is.

Omvang van het uitvoeren van gegevensgerichte controles

63.

Hoe groter het risico van een afwijking van materieel belang is, des te omvangrijker

zijn de gegevensgerichte controles. Omdat de inschatting van het risico van een afwijking van 330


26/31


materieel belang rekening houdt met de interne beheersing, kan de omvang van de gegevensgerichte controles toenemen als gevolg van niet voldoening gevende resultaten die uit toetsen van de effectieve werking van de interne beheersingsmaatregelen voortvloeien. Het opvoeren van de omvang van de controlewerkzaamheden is echter alleen zinvol als deze werkzaamheden zelf relevant zijn voor het desbetreffende risico.

64.

Bij het opzetten van detailcontroles wordt over de omvang daarvan gewoonlijk

gedacht in termen van de steekproefomvang, welke wordt beïnvloed door het risico van een afwijking van materieel belang. De auditor overweegt echter ook andere mogelijkheden, zoals de vraag of het effectiever is andere selectieprocedures toe te passen, zoals het selecteren van grote of weinig voorkomende eenheden uit een populatie in plaats van het trekken van een representatieve steekproef of het stratificeren van de populatie in homogene subpopulaties om hieruit een steekproef te trekken. ISA 530 bevat aanwijzingen voor het gebruik van steekproeven en andere methodes om elementen te selecteren voor het toetsen. Bij het opzetten van gegevensgerichte cijferanalyse overweegt de auditor de omvang van het verschil met de verwachte bedragen dat zonder nader onderzoek te doen kan worden aanvaard. Deze overweging wordt hoofdzakelijk beïnvloed door het materieel belang en de consistentie met de gewenste mate van assurance. Bij het bepalen van dit bedrag wordt ook rekening gehouden met de mogelijkheid dat een combinatie van afwijkingen in het specifieke rekeningsaldo, de specifieke transactiestroom of in de financiële overzichten opgenomen toelichting een ontoelaatbare omvang kan bereiken. Bij het opzetten van gegevensgerichte cijferanalyse verhoogt de auditor de gewenste mate van assurance naarmate het risico van een afwijking van materieel belang toeneemt. ISA 520, “Cijferanalyse” bevat aanwijzingen voor het gebruik van cijferanalyse tijdens een controle.

Het adequaat zijn van presentatie en in de financiële overzichten opgenomen toelichting

65.

De auditor dient controlewerkzaamheden uit te voeren om te evalueren of de

presentatie van de financiële overzichten als geheel, met inbegrip van de daarop betrekking hebbende toelichtingen, in overeenstemming is met het van toepassing zijnde stelsel inzake financiële verslaggeving. De auditor beoordeelt of de afzonderlijke financiële overzichten op zodanige wijze gepresenteerd zijn dat de juiste rubricering en omschrijving van de financiële informatie wordt weergegeven. De presentatie van de financiële overzichten in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving 330


27/31


omvat mede een adequate toelichting in de financiële overzichten van zaken van materieel belang. Deze zaken hebben betrekking op de vorm, de weergave en de inhoud van de financiële overzichten en de daaraan toegevoegde bijlagen, met inbegrip van zaken als de gebruikte terminologie, de mate van detaillering, de rubricering van de elementen in de overzichten en de voor de waardering van de gepresenteerde bedragen weerhouden grondslagen. De auditor overweegt ook of de leiding van de entiteit bepaalde zaken in de financiële overzichten had moeten opnemen, in het licht van de omstandigheden en feiten die hem op dat moment bekend zijn. Bij het evalueren van de algehele presentatie van de financiële overzichten, met inbegrip van de daarop betrekking hebbende toelichtingen, neemt de auditor het ingeschatte risico van een van materieel belang op beweringniveau in aanmerking. Zie paragraaf 17 van ISA 500 voor een beschrijving van de beweringen betreffende de presentatie en de toelichting.

De evaluatie van de verkregen controle-informatie naar het voldoende en geschikt zijn daarvan 66.

De auditor dient op basis van de uitgevoerde controlewerkzaamheden en de

verkregen controle-informatie te beoordelen of de inschatting van het risico van een afwijking van materieel belang op beweringniveau juist blijft.

67.

Een controle van de financiële overzichten is een cumulatief en zich herhalend proces.

Tijdens de uitvoering van de geplande controlewerkzaamheden, kan de verkregen controleinformatie de auditor ertoe brengen de aard, tijdsfasering of omvang van andere geplande werkzaamheden aan te passen. Er kan informatie onder zijn aandacht komen die op significante wijze afwijkt van de informatie waarop de risico-inschatting was gebaseerd. De omvang van de afwijkingen die de auditor ontdekt door het uitvoeren van gegevensgerichte controles kan bijvoorbeeld zijn oordeel over de risico-inschattingen wijzigingen en kan een aanwijzing zijn van een van materieel belang zijnde tekortkoming in de interne beheersing. Bovendien kan cijferanalyse die wordt uitgevoerd in het stadium van de algehele beoordeling van de controle, duiden op een voorheen niet onderkend risico van een afwijking van materieel belang. In dergelijke omstandigheden kan de auditor genoodzaakt zijn de geplande controlewerkzaamheden te heroverwegen, op grond van een herbeoordeling van de ingeschatte risico’s voor alle of sommige transactiestromen, rekeningsaldi, in de financiële overzichten opgenomen toelichtingen en daarmee verband houdende beweringen. Paragraaf

330


28/31


68.

Het begrip effectiviteit van de werking van interne beheersingsmaatregelen onderkent

dat er enige verschillen kunnen optreden in de wijze waarop de beheersingsmaatregelen door de entiteit worden toegepast. Verschillen ten opzichte van de voorgeschreven interne beheersingsmaatregelen kunnen zich voordoen als gevolg van factoren als wijzigingen in de personeelsbezetting van belangrijke functies, significante seizoensgebonden schommelingen in het aantal transacties en menselijke fouten. Wanneer dergelijke afwijkingen worden opgemerkt tijdens het uitvoeren van systeemgerichte controles wint de auditor specifieke inlichtingen in om kennis te verkrijgen over deze zaken en hun potentiële gevolgen, bijvoorbeeld door te informeren naar het moment waarop wijziging in de personeelsbezetting van belangrijke interne controlefuncties is opgetreden. De auditor bepaalt of de uitgevoerde systeemgerichte controles een juiste basis vormen voor het steunen op de interne beheersingsmaatregelen, of verdere systeemgerichte controles noodzakelijk zijn en of op een mogelijk risico van een afwijking moet worden ingespeeld door het uitvoeren van gegevensgerichte controles.

69.

De auditor kan er niet vanuit gaan dat een fout of fraudegeval een afzonderlijke

gebeurtenis is en beoordeelt daarom de invloed die het ontdekken van een afwijking heeft op het ingeschatte risico van een afwijking van materieel belang. Vóór het beëindigen van de controle beoordeelt de auditor of het controlerisico tot een aanvaardbaar laag niveau is teruggebracht en of de aard, tijdsfasering en omvang van de controlewerkzaamheden mogelijk moeten worden heroverwogen. De auditor heroverweegt bijvoorbeeld: -

de aard, tijdsfasering en omvang van de gegevensgerichte controles;

-

de controle-informatie over de effectieve werking van relevante interne beheersingsmaatregelen, waaronder begrepen het proces met betrekking tot risicoinschatting door de entiteit.

330


29/31


70.

De auditor dient te besluiten of voldoende en geschikte controle-informatie is

verkregen om het risico van een afwijking van materieel belang in de financiële overzichten tot een aanvaardbaar laag niveau terug te brengen. Bij het vormen van zijn oordeel moet de auditor alle relevante controle-informatie in zijn overwegingen betrekken, ongeacht of deze de beweringen in de financiële overzichten lijkt te bevestigen of daarmee in strijd lijkt.

71.

Of de controle-informatie ter onderbouwing van de conclusies van de auditor

gedurende de controle voldoende en geschikt is, is een kwestie van vakkundige oordeelsvorming. Het oordeel van de auditor ten aanzien van het voldoende en geschikt zijn van de controle-informatie wordt beïnvloed door factoren als: -

de significantie van een mogelijke afwijking in de bewering en de kans dat deze afzonderlijk of tezamen met andere mogelijke afwijkingen een materieel effect heeft, op de financiële overzichten;

-

de effectiviteit van de reacties van de leiding van de entiteit en van de interne beheersingsmaatregelen ten aanzien van de wijze waarop wordt ingespeeld op de risico’s;

-

de bij vorige controles opgedane ervaring met soortgelijke mogelijke afwijkingen.

-

de resultaten van uitgevoerde controlewerkzaamheden, waaronder begrepen de vraag of dergelijke werkzaamheden specifieke fraudegevallen of fouten aan het licht brachten;

-

de herkomst en de betrouwbaarheid van de beschikbare informatie;

-

de aannemelijkheid van de controle-informatie;

-

de kennis van de entiteit en haar omgeving, waaronder begrepen de interne beheersing.

72.

Indien de auditor geen voldoende en geschikte controle-informatie heeft

verkregen met betrekking tot een bewering van materieel belang in de financiële overzichten, dient hij te proberen om verdere controle-informatie te verkrijgen. Als de auditor niet in staat is om voldoende en geschikte controle-informatie te verkrijgen, dient hij een oordeel met voorbehoud of een oordeelonthouding tot uitdrukking te brengen. Zie ISA 700 “De verklaring van een (onafhankelijk) auditor over een volledige set van financiële overzichten voor algemene doeleinden” voor verdere aanwijzingen. 330


30/31


Documentatie

73.

De auditor dient de algemene aanpak met betrekking tot de ingeschatte risico’s

van een afwijking van materieel belang op het niveau van de financiële overzichten, de aard, tijdsfasering en omvang van de verdere controlewerkzaamheden, het verband van dergelijke werkzaamheden met het ingeschatte risico op beweringniveau en de uitkomsten van de controlewerkzaamheden te documenteren, met inbegrip van de getrokken conclusies voorzover deze niet op een andere wijze duidelijk zijn. Indien de auditor voornemens is de in vorige controles verkregen controle-informatie over de effectieve werking van interne beheersingsmaatregelen te gebruiken, dient hij tevens de conclusies ten aanzien van het steunen op die maatregelen welke in een vorige periode zijn gecontroleerd te documenteren.

73a.

Uit de documentatie van de auditor dient duidelijk te blijken dat de financiële

overzichten in overeenstemming zijn met of aansluiten op de onderliggende administratieve documenten.

73b.

De wijze waarop de aangelegenheden genoemd in de paragrafen 73 en 73a worden

gedocumenteerd is gebaseerd op de vakkundige oordeelsvorming van de auditor. ISA 230, “Controledocumentatie” stelt essentiële werkzaamheden en grondbeginselen vast en geeft aanwijzingen met betrekking tot documentatie binnen de context van de controle van financiële overzichten.

Ingangsdatum

74.

Deze ISA is van toepassing op controles van financiële overzichten over periodes

beginnend op of na 15 juni 2006.

330


31/31

INTERNATIONALE CONTROLESTANDAARD 330 DE DOOR DE AUDITOR UIT TE VOEREN WERKZAAMHEDEN IN FUNCTIE VAN ZIJN GEMAAKTE RISICO-INSCHATTING

Recommend Documents