UURisicoanalyse in de Accountantscontrole
Naam:
Gian-Philippe Gonsalves Jardin de Ponte
Studentnummer:
5630169
10-07-2010
FEE, Universiteit van Amsterdam
Drs. A.T.A. Koet RA
2009-2010
Afstudeerseminar Accountancy & Control Thesis
2e Semester
I
Abstract
De rol van de accountant is door diverse boekhoudschandalen als Enron in 2001 en Parmalat en Ahold in 2003 een maatschappelijk item geworden. In het maatschappelijk verkeer en bij de gebruikers van de jaarrekening is onduidelijkheid ontstaan wat expliciet van de accountant mag worden verwacht bij het uitvoeren van zijn controlewerkzaamheden. In het MAB (Maandblad voor Accountancy en Bedrijfseconomie) waren er in die tijd discussies gaande of de controle gebaseerd op de risicoanalyse wel effectief is. De aanpak via het Audit Risk Model, die gebaseerd is op de risicoanalyse, stond ter discussie. Dit concept, welke formeel is voorgeschreven in NV Cos in 2007, kent volgens critici enkele beperkingen. In dit literatuuronderzoek zal de vraag worden beantwoord of het controlemiddel risicoanalyse dat nu gebruikt wordt als instrument voor de inschatting van de risico’s bij aanvang en tijdens een jaarrekeningcontrole toereikend is. De conclusie uit dit onderzoek is enerzijds dat dit niet volledig het geval is. Anderzijds moet het model gezien worden als een denkmodel: op basis van de onderkende risico’s bepaalt de accountant een mix van controlemaatregelen, die effectief en efficiënt het auditrisico tot een aanvaardbaar niveau terugbrengen. Er is dus voldoende ruimte voor het professional judgement van de accountant, waarmee hij daar waar nodig de controlestandaarden kan wijzigen, vervangen of aanvullen om te komen tot een deugdelijke grondslag voor zijn verklaring.
1
II
Inhoud Pag.
I
Abstract
1
II
Inhoudsopgave
2
1.
Inleiding
4
2.
Wat is accountantscontrole, de doelstelling en taak van een accountant
5
en de plaats van risicoanalyse. 2.1
Accountantscontrole
5
2.2
De accountant
5
2.3
Historisch overzicht van het ontstaan en de ontwikkeling van de
2.4 3.
Accountantscontrole in Nederland
6
Risicoanalyse en controlerisico
9
Het Audit Risk Model
11
3.1
Introductie van het Audit Risk Model
11
3.2
Het ontstaan van het Audit Risk Model
11
3.3
De componenten van het Audit Risk Model
12
3.3.1
Inherent Risico
12
3.3.2
Interne beheersingsrisico
13
3.3.3
Ontdekkingsrisico
14
3.4
Het Audit Risk Model (ARM) in NV Cos
15
3.4.1 Het uitgangspunt, NV Cos 200
16
3.4.2 Identificatie risico’s, NV Cos (300), 315 en 240
16
3.4.3 Maatregelen van de cliënt om de risico’s te mitigeren, NV Cos 240 en 330
17
3.4.4 Werkzaamheden van de accountant: verzamelen van controle-informatie, NV Cos 330 en 500
17
3.4.5 Evaluatie: genoeg comfort? NV Cos 330 en 500
18
3.4.6 Afgeven accountantsverklaring, NV Cos 700
18
2
Pag. 4.
Is de (huidige) risicoanalyse adequaat genoeg 4.1
4.2
20
Introductie van de discussie over risicoanalyse in de accountantscontrole
20
Literatuuronderzoek
20
4.2.1 ‘De effectiviteit van de systeemgerichte aanpak in de
4.2.2
4.2.3
4.2.4
5.
Conclusie
Bibliografie
accountantscontrole’, Prof. J.H. Blokdijk RA
20
4.2.1.1 Probleemstelling
20
4.2.1.2 Argumentatie en conclusie
21
‘Beoordeling van de interne controle in het kader van de accountantscontrole’, Prof. Dr. W.F. de Koning RA, RE
23
4.2.2.1 Probleemstelling
23
4.2.2.2 Argumentatie en conclusie
23
‘Auditrisico, meer dan ooit een issue!, Prof. Dr. K.Y. Mollema
25
4.2.3.1 Probleemstelling
25
4.2.3.2 Argumentatie en conclusie in het eerste deel
26
4.2.3.3 Argumentatie en conclusie in het tweede deel
27
‘Risicoanalyse in auditing’, De reactie van H.H.W. Kloosterman RA, RE op het artikel van Prof. Dr. K.Y. Mollema
28
4.2.4.1 Probleemstelling
28
4.2.4.2 Argumentatie en conclusie
29 31 33
3
1.
Inleiding
Het accountantsberoep heeft tijdens haar ontwikkeling steeds aandacht besteed aan de effectiviteit en efficiëntie van haar controlewerkzaamheden. Het kan doelmatiger zonder dat het controlerisico toeneemt. Accountants anticipeerden hierop door voor en tijdens de accountantscontrole eerst een adequate analyse van de risico’s toe te passen, de risicoanalyse. Hierdoor krijg je een historische verschuiving van gegevensgerichte naar deels systeemgerichte controle. De verschuiving van gegevensgericht naar systeemgericht controleren is gebaseerd op de theorie van de risicoanalyse (onderzoek naar het bestaan en de werking van interne beheersingsmaatregelen) in de accountantscontrole. Tegenwoordig moet de accountant, bij het uitvoeren van de accountantscontrole, de regels zoals zijn opgenomen in de NV Cos naleven. Deze standaarden zijn weer gebaseerd op het ‘Audit Risk Model’ (ARM). Mijn onderzoeksvraag luidt: Is het controlemiddel risicoanalyse dat nu gebruikt wordt als instrument voor de inschatting van de risico’s bij aanvang en tijdens een jaarrekeningcontrole toereikend, effectief en doeltreffend? In het eerste hoofdstuk wordt ingegaan op het beantwoorden van de vragen: wat is accountantscontrole, hoe heeft de leer van de accountantscontrole zich ontwikkeld en wat houdt het controlemiddel risicoanalyse in. Vervolgens zal in deze scriptie het ‘Audit Risk Model’ worden toegelicht. Verschillende elementen van dit model zullen worden weergegeven. Om de vraag te kunnen beantwoorden doe ik een literatuuronderzoek. Na dat literatuuronderzoek hoop ik een antwoord te kunnen vinden op de door mij gestelde onderzoeksvraag.
4
2.
Wat is accountantscontrole, de doelstelling en taak van een accountant en de plaats van risicoanalyse.
2.1
Accountantscontrole
Volgens het boek de Leer van de Accountantscontrole (Limperg en Groeneveld, 1976, p, 15) is accountantscontrole een noodzakelijk element wanneer differentiatie ontstaat tussen de leiding en eigendom van een bedrijf. Er ontstaat dan behoefte aan een externe controlefunctie: wat is het verantwoordingsverslag van de bestuurders waard. De uitkomst van de controle wordt opgenomen in de jaarrekening via de verklaring. De jaarrekening is het jaarlijkse financiële overzicht van de uitkomsten van de bedrijfsvoering van een onderneming. De jaarrekening bestaat uit de balans, winst- en verliesrekening, de toelichting op beide, een accountantsverklaring en voor grote bedrijven ook een kasstroomoverzicht. Het bestuur van het bedrijf legt verantwoording af middels de jaarrekening, die door de onafhankelijke accountant wordt gecontroleerd. De accountant controleert de in de verantwoording opgenomen informatie en geeft daar een oordeel over. De accountant rapporteert de uitkomsten van zijn werkzaamheden in de accountantsverklaring. Daardoor weet het maatschappelijk verkeer wat de informatie in de verantwoording waard is. De accountantscontrole richt zich dus op het verschaffen van zekerheid. Deze zekerheid betreft de juistheid en volledigheid van de in de verantwoording opgenomen financiële gegevens van bestuurders/de leiding van een bedrijf (Klijnsmit, Sodekamp en Wallage, 2003, p. 190). De verklaring van de accountant dat de verantwoording voldoende inzicht geeft, moet gebaseerd zijn op een deugdelijke grondslag. Dat houdt in dat er voldoende werkzaamheden moeten zijn verricht om tot een redelijke mate van zekerheid te komen en een getrouw beeld te geven in de jaarrekening.
2.2
De accountant
De deskundige die de controle uitvoert is de accountant. De functie van de accountant wordt in de Leer van de Accountancy (Limperg en Groeneveld, 1976, p. 21) omschreven als: ”(…) de functie van de controlerende accountant als die van een vertrouwensman van het maatschappelijk verkeer. Zijn taak, zijn arbeidstaak, moet de technische verwerkelijking van zijn functie zijn. Omvang en inhoud van de taak vloeien dus voort uit de rationele eisen, welke de functie stelt voor haar vervulling.” Een accountant moet voldoende bewijsstukken verzamelen om tot dat oordeel te kunnen komen. Als er voldoende bewijsstukken zijn gevonden om de beweringen in de verantwoording te staven, dan kan een accountant een 5
verklaring afgeven. Veelal is dit een goedkeurende verklaring. Deze verklaring betreft de in de opgestelde jaarrekening opgenomen informatie. Het is de taak van een accountant een sluitend geheel van controlemiddelen te ontwikkelen om daarmee het getrouwe beeld van de jaarrekening te bevestigen jegens derden. Slaagt de accountant daar niet in dan kan dat zelfs leiden tot een afkeurende verklaring. De accountant dient deskundig en onafhankelijk tot een juist oordeel te komen. Met zijn deskundigheid bepaalt de accountant een controlestrategie die bestaat uit een gegevens- en systeemgerichte controles (Blokdijk, 2001, p. 71). Aan de hand van de uitkomsten van die controles komt de accountant tot een oordeel. Door de onafhankelijke positie van de accountant blijft dit oordeel objectief. Hij is verantwoordelijk om met een redelijke mate van zekerheid een goedkeurende verklaring af te geven. De jaarrekening mag namelijk geen afwijkingen van materieel belang bevatten. Desalniettemin is natuurlijk de kans aanwezig dat de accountant een onjuist oordeel afgeeft. Volledige zekerheid kan de accountant nooit verstrekken. In de accountantsverklaring van de accountant staat daarom vermeld: ‘onze controle zodanig te plannen en uit te voeren dat een redelijke mate van zekerheid wordt verkregen dat de jaarrekening geen afwijkingen van materieel belang bevat.‘ Een afwijking, die niet materieel is en binnen bepaalde materialiteitsgrenzen valt, wordt dus over het algemeen geaccepteerd. Hierbij valt te denken aan bijv. de rekeningpost ‘inkopen etenswaar’ van een hotel. Wanneer het totaal bedrag over de betreffende periode van deze kosten €100.335,- bedraagt, dan zullen er geen consequenties zijn wanneer deze post €10,- (0.01%) afwijkt van de werkelijke situatie. Deze afwijking zal in het algemeen worden geaccepteerd. Echter bij een afwijking van €1.000,- (1%) zal het getrouwe beeld van de inkopen al meer onder druk komen te staan. De jaarrekening dient een getrouw beeld te geven van de grootte en de samenstelling van het vermogen en van het resultaat van het gecontroleerde bedrijf (NV Cos 700 paragraaf 42). Deze weergave is uiteindelijk van belang voor gebruikers van de jaarrekening, daarbij valt te denken aan banken en aandeelhouders. Degene die verantwoordelijk is en de vraag moet beantwoorden of hij voldoende gedaan heeft om tot een verklaring te komen, is de accountant.
2.3
Historisch overzicht van het ontstaan en de ontwikkeling van de accountantscontrole in Nederland
De accountantscontrole heeft zich in de afgelopen eeuw ontwikkeld. Voor een inzicht in de ontwikkeling van de leer van de accountantscontrole volgt hierna een korte weergave van de historie van de accountantscontrole in Nederland. 6
Ruim 100 jaar geleden is het beroep accountant ontstaan. Rond het jaar 1900 bestond de accountantscontrole uit fragmentarische controle en administratieve bijstand. De fragmentarische controle houdt in dat losstaande elementen worden gecontroleerd en niet de verantwoording in zijn geheel. In de betreffende periode werd het beroep uitgeoefend door hoog administratief geschoolden, die kennis hadden van fiscaal recht. In die tijd stelden deze specialisten de jaarrekening geheel zelf op door alle beschikbare gegevens opnieuw te journaliseren en de saldibalans op te stellen. Vervolgens werd de kolommenbalans en de jaarrekening verder uitgewerkt en uiteindelijk vergeleken met die van de onderneming (Bac e.a., 2003, pp. 10-12). Het kwam er op neer dat het werk dubbel werd gedaan. De specialisten voerden het werk van de onderneming opnieuw uit om de resultaten van hun eigen werk te kunnen vergelijken met dat van de organisatie. In 1924 kwam de heer A. Sternheim in zijn Leerboek der Accountancy met de volledige controle: de accountant moet alles hebben gezien om tot een redelijke mate van zekerheid te komen in zijn oordeel, de bottom-up benadering (Groeneveld, 2008, p. 17). De volledige controle houdt in dat de accountant van elke mutatie in de boekhouding alle bewijsstukken controleert en volgt: elke factuur en elk bonnetje wil hij zien. De accountant baseert zijn oordeel op eigen waarnemingen van alle bewijsstukken. Later introduceerde hoogleraar T. Limperg van de Universiteit van Amsterdam in 1930 de volkomen controle. De eis van volkomenheid was volgens Limperg: ‘er mag niets aan ontbreken, dat essentieel is’ (Limperg en Groeneveld, 1976, p. 69). De volkomen controle was gebaseerd op omspannende verbandcontroles, waardoor het vaststellen van de volledigheid van de in de verantwoording opgenomen financiële informatie wordt bereikt. Het essentiële verschil met volledige controle is dat de aan de verbanden ten grondslag liggende mutaties niet allemaal gecontroleerd hoeven te worden: maar wel bijvoorbeeld voorraadopnames moeten worden verricht en de inkoopfacturen moeten worden gecontroleerd. Het is de verbandlegging van meerdere mutatiestromen. Zoals later door prof. R.W. Starreveld zal worden aangeduid als de samenhang van toestand en gebeuren en het rationeel verband van opgeofferde en verkregen waarde. Een voorbeeld is Beginvoorraad (te controleren) + Inkopen (te controleren) – Eindvoorraad (te controleren) = dat gene wat verkocht moet zijn (soll-positie) = Verkopen (isst-positie). Rond 1950 begon het begrip interne controle centraler te staan. De discussie toentertijd was of de accountant wel eenvoudigweg mocht steunen op de interne controle van een bedrijf (Bac e.a., 2003. pp. 11). Velen zullen bij de accountantscontrole van de jaarrekening denken aan het controleren van gegevens. De gegevens die zijn verwerkt aan de hand van diverse bonnen 7
en facturen. Echter daar horen ook de inventarisatie van goederen, geldstromen en waardepapieren bij. Dit worden de gegevensgerichte werkzaamheden genoemd, waar de accountant gedetailleerd controleert en de cijfers analyseert (Blokdijk, 2001, p. 71). Naderhand is de focus meer gevallen op het doelmatiger en efficiënter te werk gaan. Als de accountant kan vaststellen dat een administratief systeem betrouwbaar en nauwkeurig gegevens verwerkt, dan is het niet nodig om die gegevens allemaal te controleren. Accountants streven ernaar om net als een ondernemer met zo min mogelijk controlewerk tot een hogere opbrengst te komen. Hierin heeft de ontwikkeling en het gebruik van informatiesystemen een grote rol in gespeeld. Een betrouwbaar ‘accounting information system (AIS)’ behoort gegevens betrouwbaar en juist te verwerken tot informatie en de gebruiker daardoor tot een goede besluitvorming te laten komen. De accountant kan het systeem (dat meer is dan het geautomatiseerde gegevensverwerkende systeem, de gegevens moeten wel juist, tijdig en volledig in het systeem verwerkt worden) op betrouwbaarheid beoordelen. Dit is de systeemgerichte aanpak in de accountantscontrole (Blokdijk, 2001, p. 71). In het jaar 1978 kwam de heer L.A. van Hulsentop met de analytische controle aanpak. Belangrijke elementen van deze aanpak waren de cijferbeoordeling (het beoordelen van balansposten en stroomgegevens, ook met betrekking tot voorgaande jaren) en het steunen op interne controle, de top-down benadering. De accountants begonnen gerichter naar de opzet en werking van de interne organisatie, administratieve organisatie en de maatregelen van interne controle die daarmee samenhangen te kijken (Bac e.a., 2003. pp. 10-12). Bij een positieve beoordeling nemen de gegevensgerichte controlewerkzaamheden af ten gunste van het systeemgericht controleren (Blokdijk, 2001, p. 71). Rond 1988 kwam de controle gebaseerd op risicoanalyse op gang. Het doel van deze aanpak is de aandacht van de accountant te richten op die posten en stromen in de jaarrekening waar het grootste risico bestaat op een materiële fout (Bac e.a., 2003, pp. 10-12). De accountant is streeft daardoor dus meer efficiëntie na door te analyseren waar de grote risico’s verscholen liggen en controlediepgang noodzakelijk is. Hij beperkt daarmee het risico van het en onrechte afgeven van een goedkeurende verklaring. Al geruime tijd is de op risicoanalyse gerichte controle (het Audit Risk Model) internationaal algemeen aanvaard en hanteren de grote accountantskantoren deze aanpak als basis voor hun controle (Klijnsmit, Sodekamp en Wallage, 2003, p. 190). De vraag is of deze drang naar efficiëntie van de controlewerkzaamheden niet te ver is doorgeschoten. Wordt er nog wel voldoende gegevensgericht gecontroleerd en zo ja, waar en wanneer en in welke mate. 8
2.4
Risicoanalyse en controlerisico
Een accountant moet zijn oordeel kunnen onderbouwen, ook wanneer hij steunt op de interne controle van een bedrijf. Hij moet kunnen aangeven waarom hij een goedkeurende verklaring heeft afgegeven. De accountant zal zodoende rekening moeten houden met risico’s in en rondom de posten in de jaarrekening (Kloosterman, 2004, pag. 571). Volgens Klijnsmit, Sodekamp en Wallage (2003, p. 190) is ‘audit risk’, oftewel controlerisico, een vaktechnisch risico. De beheersing van dit risico behoort dus tot een onderdeel van het accountantsberoep, Controlerisico houdt in: de mogelijkheid dat de jaarrekening incorrect is en dat daar ten onrechte een goedkeurende verklaring bij is gegeven (Bloomfield, 1995, p. 71). Het controlemiddel risicoanalyse in de accountantscontrole is in feite het inzichtelijk maken van de risico’s. Dit moet leiden tot een gemotiveerde beperking van de controlewerkzaamheden. De accountant behoort dus, met behulp van deze risicoanalyse te bepalen welke balansposten en transactiestromen het waard zijn om intensiever te controleren. Een goede risicoanalyse beperkt de hoeveelheid gegevensgerichte controles (Blokdijk, 2001, p. 71). De accountant onderzoekt van te voren wat de meeste aandacht vereist en in hoeverre hij kan steunen op de interne beheersingsmaatregelen. Een en ander is opgenomen in de regelgeving van de International Standard on Auditing 400 (ISA 400) Risk Assessment and Internal Control, die in Nederland eerst was overgenomen in de Richtlijnen voor de Accountantscontrole (RAC 200), en vanaf 1 juli 2007 te vinden is in Nadere voorschriften Controle- en overige standaarden NV Cos (Handleiding regelgeving accountancy deel 1, HRA). In Standaard NV Cos 315 wordt de regelgeving rond de risicoanalyse in de accountantscontrole weergegeven. In NV COS 315 gaat het om het verwerven van kennis over de betreffende organisatie en de omgeving en het inschatten van het risico van een afwijking van materieel belang. In Standaard 200 van NV Cos wordt ingegaan op de doelstelling en algemene uitgangspunten van de controle van financiële overzichten. Hierin staat het uitgangspunt van de risicoanalyse. In dit artikel wordt ingegaan op het controlerisico. Dit is het risico dat een onjuiste accountantsverklaring wordt afgegeven, indien de financiële overzichten een afwijking van materieel belang bevatten. Controlerisico bestaat uit drie verschillende onderdelen: inherent risico, interne beheersingsrisico en ontdekkingsrisico. In Standaard 200 van de NV Cos worden deze risico’s omschreven.
9
Controlerisico is volgens NV Cos 200 paragraaf 23: ‘het risico dat een accountant een onjuiste accountantsverklaring afgeeft indien de financiële overzichten een afwijking van materieel belang bevatten.’
Inherent risico is volgens NV Cos 200 paragraaf 29: ‘de gevoeligheid van een bewering voor een afwijking die afzonderlijk of samen met andere afwijkingen van materieel belang kan zijn, in de veronderstelling dat er geen interne beheersingsmaatregelen zijn met betrekking tot deze bewering.’,
Intern beheersingsrisico is volgens NV Cos 200 paragraaf 29: ‘het risico dat een afwijking die voorkomt in een bewering en die, afzonderlijk of samen met andere afwijkingen, van materieel belang kan zijn, niet wordt voorkomen of tijdig ontdekt en gecorrigeerd door de interne beheersingsmaatregelen van de entiteit.’
Ontdekkingsrisico is volgens NV Cos 200 paragraaf 31: ‘het risico dat de accountant een afwijking in een bewering niet ontdekt, die afzonderlijk of samen met andere afwijkingen van materieel belang kan zijn.’
Het risico dat de accountant geen onjuistheden ontdekt, het ontdekkingsrisico, hangt af van het inherente risico en interne beheersingsrisico. Dit zijn de drie belangrijke componenten van risicoanalyse. Hierover zal verder worden ingegaan in paragraaf 3 over het Audit Risk Model. De samenhang tussen deze drie componenten speelt een belangrijke rol in de discussie over de toepassing van risicoanalyse in de accountantscontrole
10
3.
Audit Risk Model
3.1
Introductie van het Audit Risk Model
Het Audit Risk Model, ook wel genoemd als het Audit Assurance Model, is een internationaal erkend accountantsinstrument. Het doel van de accountantscontrole is het verschaffen van een redelijke mate van zekerheid. Het proces dat de accountant hiervoor moet volgen is gebaseerd op dit model. Daarom wordt het Audit Risk Model ook wel gezien als een denkmodel die de rode draad in de controle aangeeft. ‘Audit risk’ is het risico van het ten onrechte afgeven van een goedkeurende verklaring bij de jaarrekening, het controlerisico. Het Audit Risk Model is een systeemgerichte aanpak, die gebaseerd is op de risicoanalyse in de accountantscontrole (Blokdijk, 2001, p. 71). Bij de aanvang van de jaarrekeningcontrole worden bij het gecontroleerde bedrijf, met behulp van het Audit Risk Model (ARM), de risico’s ingeschat. Het gaat om het inschatten van het risico dat de jaarrekening afwijkingen bevat van materieel belang. Door deze inschatting wordt vastgesteld hoeveel gegevensgerichte werkzaamheden de accountant tijdens zijn controle moet uitvoeren. Het doel is het controlerisico te beperken. In de praktijk kan dit niveau variëren van 1% tot aan 5% kans dat een goedkeurende verklaring wordt gegeven met een materiële onjuistheid (Klijnsmit, Sodekamp en Wallage, 2003, p. 191). De beschrijving van het model is te vinden in de International Standard on Accounting 400 (ISA 400). In Nederland is het model te vinden in NV Cos 200, 240, 315, 330, 500 en 700.
3.2
Het ontstaan van het Audit Risk Model
Het ARM is ontstaan in jaren zeventig en tachtig van de vorige eeuw. Het is ontstaan door wiskunde toe te voegen aan de accountantscontrole en steekproeven uit te voeren (2004, Kloosterman, p 572). De steekproeven zijn gebaseerd op Bayesiaanse statistiek. Dit is een theorie van de Engelse wetenschapper T. Bayes uit de 18e eeuw. Deze methode houdt kortweg in dat de accountant inschat waar de bovengrens van een fout ligt in de populatie (bijv. een rekeningpost), waarvan hij zeker weet dat die grens niet wordt overschreden. Het bedrag dat de accountant vaststelt voor deze grens is de input voor zijn rekenwerk, waaruit leidt dat de hoeveelheid gegevensgerichte werkzaamheden afneemt. De statistische methode van de steekproeven wordt gebruikt om het bedrag te kunnen beoordelen van een onjuistheid, die voor kan komen bij een rekeningpost in de jaarrekening. Kloosterman (2004, pp 572-573) geeft als voorbeeld: ”Door het kunnen toepassen van geldsteekproeven kan een financiële verantwoording worden beschouwd als een bak met geld die moet worden gecontroleerd 11
(bijvoorbeeld de jaarrekening als geheel). Voor zo ver over een of meer van deze componenten een afzonderlijk oordeel nodig is, kunnen die afzonderlijke componenten weer zelf als een bak met geld worden beschouwd.” Door de ontwikkeling van deze ‘Monetary Unit Sampling’ heeft het ARM een duw in de rug gekregen (Kloosterman, 2004, p. 412).
3.3
De componenten van het Audit Risk Model
Zoals in paragraaf 2 is aangegeven bestaat het ARM uit 3 componenten: inherent risico, interne beheersingsrisico en ontdekkingsrisico. Het ontdekkingsrisico wordt ook weleens gesplitst weergegeven als het cijferanalyse risico plus het steekproefrisico. Er heerst een discussie hoe het ARM moet worden gezien. Sommige zien het als een rekenmodel en anderen als een denkmodel.
De (wiskundige) formule van het rekenmodel zou als volgt kunnen zijn:
Controlerisico = inherent risico × interne beheersingsrisico × ontdekkingsrisico.
Echter het ARM kan dus ook worden gezien als een denkmodel, waarin de componenten niet geheel onafhankelijk van elkaar zijn. Het ARM is dan een conceptueel raamwerk:
Aanvaardbaar Audit Risk = functie van (inherent risico, interne beheersingsrisico, ontdekkingsrisico).
Het Aanvaardbare Audit Risk is het vooraf vastgestelde risico dat de accountant bereid is te nemen. Dit is het risico dat ten onrechte een goedkeurende verklaring is afgegeven, (Klijnsmit, Sodekamp en Wallage, 2003, p. 192). In paragraaf 2 zijn de drie componenten van het model al vertaald, zoals het staat weergegeven in de regelgeving voor de accountant in NV Cos. Ik zal de begrippen nog nader toelichten.
3.3.1 Inherent risico Inherent risico is kortweg de kans dat materiële fouten ontstaan in de veronderstelling dat er geen interne beheersingsmaatregelen daarmee verband houden (Messier, 2000, p. 120). Bij dit risico dient de zekerheid voornamelijk te worden ontleend aan ervaringsgegevens en professional judgement met betrekking tot het onderkennen en inschatten van risico’s. Het inherent risico wordt grotendeels vastgesteld door de activiteiten van het gecontroleerde bedrijf en wordt beïnvloed door externe factoren. Een externe factor die het inherente risico 12
kan beïnvloeden is de technologische ontwikkeling. Bij de technische ontwikkeling valt bijvoorbeeld te denken aan de incourantheid van een bepaald product, waardoor de voorraad mogelijkerwijs overgewaardeerd wordt. Andere externe factoren die het risico kunnen beïnvloeden zijn bijvoorbeeld de economische situatie in het algemeen (Chang, 2008, p. 1054). Gezien deze factoren heeft de accountant geen invloed op dit inherente risico en kan hij het enkel beoordelen (Blokdijk, 2004, p. 187). Het is daarom heel moeilijk voor de accountant om dit risico te reduceren en kan zelfs prijzig zijn om dit na te streven. Ondanks de moeilijkheidsfactor behoort de accountant dit toch te analyseren. Inherent risico staat in verband met de effectiviteit en de efficiency van de accountantscontrole. Wanneer de accountant aan het begin van zijn werkzaamheden dit risico te hoog stelt, dan verricht hij meer werkzaamheden dan eigenlijk noodzakelijk was. Dit leidt dan tot een minder efficiënte controleaanpak. In het omgekeerde geval wanneer het inherente risico te laag is vastgesteld, dan kan de controle niet effectief uitpakken. Essentieel is het dus voor de accountant om met zijn deskundigheid het niveau van het inherente risico juist vast te stellen voor zijn werkzaamheden (Colbert, 1988, pp. 111-112).
3.3.2
Interne beheersingsrisico
Het interne beheersingsrisico houdt volgens Blokdijk (2001, p. 71) in: ”de kans dat fouten niet door de gecontroleerde zelf voorkómen dan wel tijdig ontdekt worden”. Een fout van materieel belang kan dus niet gelijk worden opgespoord of ontdekt door de interne beheersingsmaatregelen van de entiteit, het gecontroleerde bedrijf. Net als het inherente risico kan het interne beheersingsrisico alleen maar worden vergroot door de interne beheersingmaatregelen van het gecontroleerde bedrijf. ISA 400 paragraaf 47 stelt: hoe hoger de beoordeling is op inherent en interne beheersingsrisico, hoe meer controlebewijs de accountant moet zien te verkrijgen door gegevensgerichte controles (Blokdijk, 2004, p. 187). De accountant zelf heeft in principe, net als op het inherente risico, ook geen directe invloed op het interne beheersingsrisico. Anderzijds kan hij wel indirect invloed uitoefenen door te adviseren waar interne beheersingsmaatregelen zouden kunnen worden uitgevoerd binnenin het bedrijf. Daarom worden het inherent en interne beheersingsrisico ook wel het ‘auditee risk’ (risico van het gecontroleerde bedrijf) of ‘occurence risk’ (risico dat iets voorvalt) genoemd. Waar het inherent risico wordt beïnvloed door externe factoren, gaat het bij interne beheersingsrisico om de interne factoren. Factoren die de beoordeling van dit risico beïnvloeden zijn bijvoorbeeld: de organisatie en het personeel op de boekhoudafdeling van 13
het gecontroleerde bedrijf, de betrouwbaarheid van een Electronic Data Processing system (EDP systeem) of de verkregen managementinformatie om na te gaan wat de bedrijfsactiviteiten van het bedrijf zijn. (Chang, 2008, p. 1054). Het interne beheersingsrisico steunt vanzelfsprekend op de uitgevoerde besluiten van het bestuur op het gebied van interne beheersingsmaatregelen, maar het is evenzeer van belang in hoeverre het personeel overeenkomstig de interne wet- en regelgeving te werk gaat (ISA 400 paragraaf 2). De accountant steunt bij een systeemgerichte controle op de interne beheersingsmaatregelen van het bedrijf. Van belang is dan zeker dat hij de entiteit moet kennen. Hij moet ook te weten komen of de boekhouding en de interne systemen adequaat werken bij de entiteit. Pas als hij een goed inzicht heeft in de opzet en de werking van de interne beheersingsmaatregelen inclusief de vastgestelde procedures van een entiteit en een goed overzicht heeft van de totstandkoming van de producten en/of de geleverde diensten, dan kan hij zijn controle uitstippelen en een goede controle benadering kiezen.
3.3.3 Ontdekkingsrisico De derde component van het Audit Risk Model is het ontdekkingsrisico. Ontdekkingsrisico is het risico dat de accountant een materiële onjuistheid in de jaarrekening over het hoofd ziet en niet ontdekt (Blokdijk, 2004, p. 187). De accountantscontrole heeft de fout met behulp van cijferanalyse en steekproeven niet ontdekt. In tegenstelling tot de andere twee componenten heeft de accountant hier dus wel invloed op. Het ontdekkingsrisico staat in verband met de effectiviteit van de controlewerkzaamheden van de accountant (NV Cos 200 paragraaf 31). Hoe meer controles (gegevensgericht) worden uitgevoerd des te meer zal het risico worden teruggebracht. Het is uiteindelijk aan de accountant de eigen werkzaamheden te bepalen om tot een juist oordeel te komen. Factoren die dit risico kunnen beïnvloeden zijn bijvoorbeeld: het kiezen van een onjuiste controleaanpak, misvatting van de controleresultaten en de toepassing van het gebruik van waarnemingen, al of niet steekproefsgewijs (Chang, 2008, p. 1054). Uitgaande van het ontdekkingsrisico wordt het ARM in het Statement on Auditing Standards No. 47 (SAS 47) ook wel gepresenteerd als:
Ontdekkingsrisico =
Aanvaardbaar Audit Risk . Inherent risico × Int. beh. risico
14
Wil de accountant het ontdekkingsrisico laag hebben dan zal hij meer gegevens moeten verzamelen. Samengevat bestaat volgens het Audit Risk Model het controlerisico dus uit drie componenten: inherent risico, interne beheersingsrisico en ontdekkingsrisico. Het gaat erom dat als één van deze componenten door de accountant wordt gereduceerd, hij het controlerisico beperkt. De accountant zal streven naar een controlerisico van 5% of minder waarbinnen mag worden afgeweken in materieel belang. Wordt de grens overschreden, dan zal ten onrechte een goedkeurende verklaring zijn afgegeven. Het onderstaande plaatje (figuur 1) geeft duidelijk weer, hoe bij toepassing van het Audit Risk Model tot een onjuist oordeel kan worden gekomen en ten onrechte een goedkeurende verklaring wordt afgegeven.
Figuur 1, De wiskundige formule van het Audit Risk Model: Zijn er materiële fouten aanwezig in de jaarrekening? Zo ja, zijn die dan ontdekt door de interne beheersingsmaatregelen van het bedrijf? Zo nee, heeft de accountantscontrole deze fouten kunnen ontdekken? Is het antwoord daarop nee, dan is er een onjuist oordeel afgegeven.
3.4
Het Audit Risk Model (ARM) in NV Cos
Het ARM staat beschreven in de Handleiding Regelgeving Accountancy in Nadere voorschriften Controle- en overige standaarden (NV Cos). Onlangs zijn er weer nieuwe controlestandaarden aangekondigd die voortkomen uit het Clarityproject van het International Auditing and Assurance Standards Board (IAASB) van de International Federation of Accountants (IFAC), die aanvulling moeten geven aan de NV Cos. Hierop zal niet worden 15
ingegaan in dit literatuuronderzoek, omdat deze nog in de kinderschoenen staan. De rode draad van het ARM wordt weergegeven in de Standaarden NV Cos 200, 240, 300, 315, 330, 500 en 700. Eimers (2006, p. 79) geeft mooi in hoofdlijnen aan hoe het ARM werkt. ‘The story of the audit’ loopt door de standaarden NV Cos 240, 315, 330, 500 en 700.
a) Identificatie risico’s (NV Cos 315, 240) b) Maatregelen van de cliënt om de risico’s te mitigeren (NV Cos 240, 330) c) Werkzaamheden van de accountant: verzamelen van controle-informatie (NV Cos 330, 500), zowel systeemgerichte als gegevensgerichte elementen d) Evaluatie: genoeg comfort? (NV Cos 330, 500) e) Afgeven accountantsverklaring (NV Cos 700)
3.4.1 Het uitgangspunt, NV Cos 200 In NV Cos 200 is de regelgeving opgenomen met betrekking tot de doelstelling en algemene uitgangspunten van de controle van financiële overzichten. In de inleiding van deze Standaard staat omschreven dat deze Standaard ten doel heeft: “grondslagen en essentiële werkzaamheden te formuleren en aanwijzingen te geven omtrent de doelstelling en de algemene uitgangspunten van de controle van financiële overzichten.” In deze Standaard wordt onder andere een uitleg gegeven van verschillende begrippen. Er wordt aangegeven, wat wordt bedoeld met het geven van ‘een redelijke mate van zekerheid’ en wat het materieel belang inhoudt. Na de uitleg van de begrippen worden, zoals in de vorige paragraaf is aangegeven, de drie componenten van het ARM uitgelegd. NV Cos 200 is dus het begin van de rode draad van risicoanalyse waar het fundament wordt weergegeven (Eimers, 2006, p. 79).
3.4.2
Identificatie risico’s, NV Cos (300), 315 en 240
In NV Cos 300 zijn regels opgenomen ten aanzien van de planningswerkzaamheden van de accountant ter voorbereiding van de controle van financiële overzichten. Hier gaat het om het
16
opstellen van de gehele controleaanpak en het identificeren van risico’s. Bij de identificatie van risico’s is het verschil tussen significant risico en de overige risico’s van belang. Significant risico is het risico dat een verhoogde kans geeft op een materiële fout op het totaalniveau van de jaarrekening en dus vraagt om extra aandacht (Eimers, 2006, p. 80). Volgens paragraaf 110 NV Cos 315 ontstaat dit risico vaak bij niet-routinematige uitzonderlijke transacties. Een ander aspect, dat staat beschreven in deze Standaard, is dat de accountant over een zekere bedrijfskennis moet beschikken. Hij moet de interne beheersing kennen van het gecontroleerde bedrijf en weten welke omgevingsfactoren van invloed zijn op het bedrijf. In NV Cos 240 wordt de verantwoordelijkheid van de accountant bij fraude beschreven. Hierin staat hoe de accountant moet omgaan bij de identificatie van risico’s met een afwijking van materieel belang als gevolg van fraude. Ook wordt aangegeven hoe met de standaarden en aanwijzingen in NV Cos 315 en 330 moet worden omgegaan (Eimers, 2006, p. 81).
3.4.3
Maatregelen van de cliënt om de risico’s te mitigeren, NV Cos 240 en 330
In NV Cos 240 en 330 wordt aangegeven dat gekeken moet worden wat het gecontroleerde bedrijf precies doet om de mate van risico’s te beperken en fraude te voorkomen. NV Cos 240 geeft aan wat de verantwoordelijkheid van de accountant hier in is en wat van hem wordt verwacht bij het identificeren van risico’s. De accountant kan een fraudegeval niet zien als een afzonderlijke gebeurtenis, maar moet wel vaststellen wat de impact daarvan op het beeld in de verantwoording is. NV Cos 330 is het vervolg op de risico-inschattingen van Standaard 315. In deze Standaard wordt ingegaan op de controlewerkzaamheden van de accountant. De werkzaamheden, naar aanleiding van de gemaakte risico-inschattingen, kunnen systeem- of gegevengerichte werkzaamheden zijn of een combinatie van beiden. Aan de hand van het risico worden dus de aard, tijdsfasering en omvang van beide soorten werkzaamheden bepaald. Verder is aangegeven dat het belangrijk is om goede vastleggingen te maken, dossiervorming. Het hele proces, de werkzaamheden en de uitkomsten van de controles moeten nauwgezet gedocumenteerd worden. (Eimers, 2006, p. 81).
3.4.4
Werkzaamheden van de accountant: verzamelen van controle-informatie, NV Cos 330 en 500
De accountant heeft in zijn controleplan (vooraf) bepaald welke werkzaamheden hij gaat uitvoeren en op welk niveau hij dit gaat doen. Dit kan een gegevens- en/of systeemgerichte 17
controle zijn op het niveau van het financieel overzicht in zijn geheel of op beweringniveau. Het beweringniveau kan een enkele rekeningpost zijn of een transactiestroom. Hij zal zijn werkzaamheden opzetten en uitvoeren met als doel om voldoende controle-informatie te verkrijgen of de bewering juist is. In standaard NV Cos 500 staat deze controle-informatie centraal. De accountant heeft als doel om toereikende controle-informatie te vergaren om onderbouwde conclusies te trekken. De controle-informatie zal toerijkend zijn, wanneer de accountant met een redelijke mate van zekerheid zijn accountantsoordeel kan baseren op deze conclusies. Dit is ook het doel van zijn controle.
3.4.5
Evaluatie: genoeg comfort? NV Cos 330 en 500
Nadat de benodigde gegevens zijn verzameld, zal de accountant gaan analyseren en beoordelen of dit toereikend is. In NV Cos 330 o.a. paragraaf 66 wordt op basis van de uitgevoerde controlewerkzaamheden en de verkregen controle-informatie aangegeven, of de inschatting van het risico van een afwijking van materieel belang op beweringniveau juist blijft. Dit beweringniveau kan een rekeningpost zijn, een transactiestroom of een onderdeel van de toelichting. De accountant bepaalt dan aan de hand van zijn controledocumentatie of hij een afdoende oordeel kan vellen. Indien de accountant geen toereikende controleinformatie heeft verkregen, dient hij volgens paragraaf 72 een accountantsverklaring met beperking of van oordeelonthouding af te geven. Vanzelfsprekend is dat wanneer de controleinformatie wel toereikend is, de accountant een goed oordeel kan vormen.
3.4.6
Afgeven accountantsverklaring, NV Cos 700
Tenslotte staat in NV Cos 700: “De accountantsverklaring bij een volledige set van financiële overzichten voor algemene doeleinden.” Het oordeel van de accountant komt tot uiting in de accountantsverklaring. Deze accountantsverklaring wordt opgenomen in de jaarrekening, die onderworpen is aan de accountantscontrole. Deze jaarrekening moet zijn opgesteld op basis van een algemeen aanvaard stelsel voor financiële verslaggeving ter informatie van een brede groep gebruikers. Een stelsel dat algemeen aanvaard is, behoort gebruik te maken van regelgeving als: Boek 2 Burgerlijk Wetboek titel 9 (BW 2: 9) waar de algemene bepalingen en voorschriften staan voor de jaarrekening en het jaarverslag, de Richtlijnen voor de Jaarverslaggeving, IFRS en US-GAAP. De jaarrekening moet dus een ‘getrouw beeld’ geven van het vermogen en resultaat van het bedrijf. Dit moet duidelijk zijn weergegeven voor de gebruikers hiervan zoals aandeelhouders, banken en verbonden partijen. 18
Toch worden accountants maatschappelijk bekritiseerd over hun accountantsverklaring en hebben enkele professoren in de accountancywereld hun twijfels over de toepassing en het concept van het ARM. De vragen die zich opdringen zijn: of via dit concept de risicoanalyse wel adequaat genoeg is en/of deze niet onderhevig is aan verbetering. Zelfs zal moeten worden gedacht aan een eventueel alternatieve aanpak. Om een beeld te krijgen van deze interessante vragen zal in de volgende paragraaf worden ingegaan op de discussies die hebben plaatsgevonden in het Maandbad voor Accountancy en Bedrijfseconomie (MAB).
19
4.
Is de (huidige) risicoanalyse adequaat genoeg
4.1
Introductie van de discussie over risicoanalyse in de accountantscontrole
De accountant behoort volgens de Handleiding Regelgeving Accountancy risico’s te beheersen. Hij zal niet streven naar het verschaffen van volledige zekerheid met zijn controle, waar enig risico is uitgesloten. Dit komt nauwelijks voor en is bovendien een inefficiënt streven. Dit betekent dat we terug zouden moeten gaan naar het begin van de vorige eeuw met de fragmentarische en volledige controle. De accountant is de specialist en stelt dan weer in zijn geheel de jaarrekening zelf op. Bovendien wil hij elk bonnetje en elke factuur zelf hebben gezien om dit te kunnen beoordelen. Dit zal naar alle waarschijnlijk niet gebeuren. In de huidige moderne samenleving zijn er multinationals ontstaan met een gigantische omvang en is de technische ontwikkeling bij producten, diensten en systemen razendsnel gegroeid. Het gevolg is dat met behulp van een volledige accountantscontrole het inefficiënt en lastiger is geworden om een oordeel af te geven over de financiële verslaggeving van deze bedrijven. De accountant zal risico’s moeten onderkennen. Dit komt tot uitdrukking in het Audit Risk Model voor het uitvoeren van zijn werkzaamheden. Volgens NV Cos 315 moet de accountant risico’s identificeren in zijn controle en deze zien terug te brengen naar een algemeen geaccepteerd aanvaardbaar niveau. In de regelgeving wordt dus de controleaanpak weergegeven volgens de methode van het ARM. Is deze methode wel adequaat of is er toch kritiek. Ik geef in het kort enkele artikelen weer van auteurs uit het Maandblad voor Accountancy en Bedrijfseconomie (MAB), die weergeven hoe er in het begin van deze eeuw werd aangekeken tegen het ARM en welke polemiek er heerste. Ten slotte kom ik dan tot een conclusie.
4.2
Literatuuronderzoek
4.2.1 ‘De effectiviteit van de systeemgerichte aanpak in de accountantscontrole’, Prof. J.H. Blokdijk RA 4.2.1.1
Probleemstelling
Prof. J.H. Blokdijk RA is emeritus hoogleraar accountancy aan de Vrije Universiteit en de Universiteit Nyenrode. Hij is thans werkzaam als adviseur van accountants en advocaten. In het maartnummer 2001 van het Maandblad voor Accountancy en Bedrijfseconomie stelt de heer Blokdijk het Audit Risk Model ter discussie. De kernvraag die wordt geformuleerd in zijn bijdrage luidt: “of het ‘audit risk model’ en de systeemgerichte aanpak een deugdelijke grondslag voor de accountantsverklaring leveren.” Blokdijk (2001, p. 72) zegt dat men moet
20
inzien dat fouten in een verantwoording alleen worden ontdekt door de uitvoering van gegevensgerichte werkzaamheden. Bij systeemgerichte werkzaamheden, uitgevoerd volgens het ARM, kan de accountant wel tot de ontdekking komen van mogelijke fouten, en zelfs tot aanwijzingen voor het bestaan van fouten, maar niet tot de ontdekking van de fouten zelf.
4.2.1.2
Argumentatie en conclusie
Ter beantwoording van de kernvraag behandelt Blokdijk in het MAB een zevental onderwerpen die betrekking hebben op het vaststellen van het bestaan en de werking van de administratieve organisatie (AO) en de interne controle (IC) in een geautomatiseerde omgeving. Ten aanzien van het onderzoek naar de opzet van de AO/IC heeft Blokdijk geen bedenkingen. Zijn bijdrage is gericht op het onderzoek naar het bestaan en naar de werking. Dit onderzoek dient volgens ISA 400 (Risk Assessment and Internal Control) uitgevoerd te worden door toepassing van ‘tests of control’ (controle met documenten en heruitvoering van interne controlemaatregelen) oftewel lijncontroles genoemd. ISA 400 noemt in paragraaf 30 als voorbeelden van ‘tests of control’ de volgende maatregelen:
Onderzoek van documenten die ten grondslag liggen aan bepaalde transacties of andere gebeurtenissen om vast te stellen dat de maatregelen van interne controle juist hebben gewerkt, bijvoorbeeld nagaan dat een transactie is geautoriseerd (‘inspection of documents’)
Informeren naar en waarnemen van bepaalde maatregelen van interne controle die niet leiden tot een controleerbare vastlegging, bijvoorbeeld het vaststellen wie feitelijk de maatregel uitvoert, niet slechts wie geacht wordt dit te doen (‘inquiry’ and observation’)
Opnieuw uitvoeren van maatregelen van interne controle, bijvoorbeeld het afstemmen van bankrekeningen om vast te stellen dat deze afstemming op een juiste wijze door de gecontroleerde is uitgevoerd (‘reperformance’)
Het ARM is volgens hem een verbrokkeld systeem. Voor wat betreft het beoordelen van de opzet en de vaststelling van het bestaan van de AO/IC is het systeem in orde. Het beoordelen van de werking van interne controle kan volgens Blokdijk alleen op indirecte wijze worden uitgevoerd. Je zult de resultaten van de interne controle, de cijfers, aan een onderzoek moeten onderwerpen. Tot dusverre wordt ‘tests of control’ in de Nederlandse regelgeving als systeemgerichte werkzaamheden omschreven. Blokdijk (2001, p. 78) pleit er voor om de ‘tests of control’ als element van de risicoanalyse af te schaffen en deze een plaats 21
te geven in de ‘analytical procedures’. Deze procedures dienen namelijk om richting te geven aan de gegevensgerichte controles zoals cijferbeoordeling en verbandcontroles. Het informeren naar en het waarnemen van de uitvoering van maatregelen van interne controle levert niet voldoende bewijskracht op voor de werking van interne controle gedurende de gehele periode. Ook het opnieuw uitvoeren van maatregelen van interne controle is volgens hem niet mogelijk voor ‘onvervangbare’ maatregelen van interne controle. De accountant kan slechts de uiterlijke kentekenen van interne controle (zoals parafen en stempels) waarnemen, maar niet de eventuele slechte uitvoering repareren. Een voorbeeld is wanneer de accountant vaststelt dat de inkoopfacturen niet naar behoren zijn verwerkt bij het gecontroleerde bedrijf. Met behulp van ‘tests of control’ rondt de accountant zijn risicoanalyse met betrekking tot de inkopen af. Hij zal, wanneer de interne controle minder functioneert, meer moeten doen om tot een redelijke mate van zekerheid te komen dat alle inkopen juist en volledig zijn verantwoord. De inkoopgebeurtenissen in dit geval hebben al plaatsgevonden, dus per definitie is het meerdere wat de accountant kan doen niet te bewerkstelligen. Hij kan niet zorgen dat de procedure bij alle inkoopfacturen weer opnieuw wordt gedaan met bijvoorbeeld een betere functiescheiding. De accountant kan slechts beoordelen hoe deze procedure heeft plaatsgevonden. Daarom kan volgens Blokdijk de onvervangbare interne controle ook in het geheel niet worden meegewogen in de kwantitatieve risicoanalyse (Blokdijk, 2001, p. 73). De rol van de ‘tests of control’ is dus beperkt. De conclusie is dus volgens Blokdijk dat het ARM niet het gehele traject van totstandkoming tot het routine product afdekt. De officiële theorie levert dus geen sluitend geheel van controle maatregelen en daardoor geen deugdelijke grondslag op. Aan de hand van voorbeelden geeft hij aan dat sommige ‘tests of control’ niet altijd zinvol zijn. Dit is alleen zinvol wanneer het leidt tot het richting geven aan de gegevensgerichte werkzaamheden van de accountant. Het ARM is op dit punt niet in overeenstemming met de werkelijkheid van accountantscontrole. De ‘tests of control’ dienen in het model om een finale oordeel over het interne controlerisico te onderbouwen, op grond waarvan de omvang van de gegevensgerichte werkzaamheden wordt bepaald. Dit is volgens Blokdijk niet zo. Je hebt pas een finaal oordeel na het uitvoeren van de gegevensgerichte werkzaamheden. Schaf dus de ‘tests of control’ als element van de risicoanalyse af en geef deze een plaats in de ‘analytical procedures’ of ook wel genoemd richtinggevende procedures.
Uiteindelijk stelt Blokdijk een ander logisch sluitend stelsel voor, welke uitgaat van het eigenlijke controle proces: 22
Het onderzoek van de bedrijfsactiviteiten en (het bestaan van) de AO/IC, en de beoordeling van de opzet
De richtinggevende procedures: onontbeerlijke en nuttige systeemgerichte werkzaamheden en cijferanalyse
De eigenlijke (gegevensgerichte) verificatiewerkzaamheden
De kernvraag wordt door Blokdijk dus ontkennend beantwoord. Hij komt aan het einde van zijn artikel tot de conclusie: “De theorie die ten grondslag ligt aan ISA 400 levert geen sluitend geheel van controlemaatregelen, en dus geen deugdelijke grondslag voor de accountantsverklaring”. De kritiek van Blokdijk raakt naar mijn mening de kern van het ARM en heeft ook verscheidene reacties in de accountancywereld uitgelokt.
4.2.2 ‘Beoordeling van de interne controle in het kader van de accountantscontrole’, Prof. Dr. W.F. de Koning RA, RE 4.2.2.1
Probleemstelling
Prof. Dr. W.F. de Koning RA, RE is professor in Accounting Information Systems bij de Nyenrode School of Accountancy & Controlling. In dit artikel wordt door de heer De Koning stelling genomen tegen de kritiek op het Audit Risk Model (ARM). Hij verschilt van mening met Blokdijk dat er terug moet worden gegaan naar de gegevensgerichte werkzaamheden. Zoals hiervoor is aangegeven zegt Blokdijk dat de ‘tests of control’ als onderdeel van de risicoanalyse moeten worden afgeschaft. Het belang van het ARM ligt volgens De Koning (2002, p. 272) vooral in het steunen op de interne controle. Ter ondersteuning van zijn conclusie gaat De Koning, in zijn beschouwing, in op de kritiek die de laatste jaren op het ARM is geuit.
4.2.2.2
Argumentatie en conclusie
In 1999 sprak toenmalig voorzitter A. Levitt van de Security and Exchange Commission (SEC) voor het onderzoek van het Panel on Audit Effectiveness zijn twijfels uit of het ARM voldoende effectief was. “In an era that calls for greater risk management, the industry has migrated to what they call the ‘riskbased’ model. It sounds right on target. Because of the challenges of executing these new standards well, I wonder if the public interest is better served. We cannot permit thorough audits to be sacrificed for re-engineered approaches that 23
are marginally more efficient, but significantly less effective.” De SEC is het Amerikaanse toezichthoudende orgaan van de verschillende effectenbeurzen, die is te vergelijken met de Nederlandse Autoriteit Financiële Markten (AFM). De Koning (2002, p. 27) vindt dat de bevindingen van het Panel on Audit Effectiveness (een onafhankelijke instelling, die wordt gefinancierd door accountantskantoren) een belangrijke ondersteuning voor het ARM betekent en dat accountants het model serieuzer moeten volgen. Voorop stelt het Panel dat het ARM een goed fundament is voor een effectieve accountantscontrole. Echter geeft het Panel wel aan dat het ARM zal moeten worden uitgebreid en ook beter worden geïmplementeerd met betrekking tot het risico van cliëntacceptatie en opdrachtcontinuering. Met behulp van geautomatiseerde systemen zal dit risico moeten worden bepaald. Accountants behoren meer kennis te hebben van automatisering en EDP-auditors dienen te worden ingeschakeld. Het Panel heeft de controle bij 126 beursgenoteerde ondernemingen beoordeeld. Dit heeft tot een positieve conclusie geleid over de wijze waarop de controles zijn uitgevoerd. De Koning geeft ook commentaar op een artikel van maart 2002 in het MAB van Prof. Dr. O.C. van Leeuwen en Prof. Dr. Ph. Wallage, ‘Moderne controlebenaderingen steunen op interne beheersing’. Met de opvatting van Van Leeuwen en Walage om het inherente risico in het ARM te vervangen door het ruimere bedrijfsrisico, vindt hij onvoldoende onderbouwd (De Koning, 2002, p. 274). Een bedrijfsrisico betekent feitelijk dat een gebeurtenis intern of extern bij het bedrijf, de doelstelling of het beleid belemmert. Dit kan bijvoorbeeld gebeuren bij producten waar de vraag plotseling drastisch daalt en de omzetdoelstelling onder druk komt te staan of wanneer onverwachts het bedrijf of product negatief in de media verschijnt en een claim boven het hoofd hangt. De Koning reageert dat het gevaarlijk is om de aandacht nu al te richten op strategische risico’s, omdat dan de aandacht voor procesbeheersingrisico’s vermindert. Het gevaar bestaat ook dat te weinig aandacht aan de opzet en werking van de interne controle wordt besteed. Vervanging vindt hij dan ook in strijd met de uitkomsten van het onderzoek van het Panel, die verwijst naar uitbreiding van de basis (De Koning, 2002, p. 273-274). In tegenstelling tot de opvatting van Blokdijk vindt De Koning het feit dat het toetsen van de werking van de interne controle lastig is, nog geen reden om deze uit het model te verwijderen en te vervangen. Als de accountant tekortkomingen ziet, dan kan hij toch adviseren deze aan te vullen. Ook in een geautomatiseerde omgeving kun je met behulp van de computer testen (geprogrammeerde controles) laten uitvoeren om zo de werking van de interne controle te toetsen. De Koning voert bij de bespreking van de verschillende controlemiddelen het controlemiddel ‘productie library’ op waarmee programmawijzigingen, bevoegd of 24
onbevoegd kunnen worden getraceerd. Dit is een effectief controlemiddel om wijzigingen in de programmatuur te ontdekken. Het onderscheid tussen vervangbare en onvervangbare interne controle is naar zijn mening inmiddels achterhaald. Blokdijk vindt namelijk het opnieuw uitvoeren van maatregelen van interne controle niet mogelijk. De Koning is het hier met de opvatting van Blokdijk dus niet eens. Toetsing van de werking van de interne controlemaatregelen is mogelijk. De onderzoeken van het Panel hebben dat bewezen. Ook in sterk geautomatiseerde omgevingen kan je de werking van interne controlemaatregelen toetsen. De accountant zal de ‘audit trail’ voortdurend in de gaten moeten houden. Daartoe zal er gebruik moeten worden gemaakt van een systeem dat bijhoudt wie waar in- en uitlogt en of de bevoegdheid aanwezig is. Deze loggingen van acties op geautomatiseerde omgevingen zullen dan nauwlettend moeten worden geanalyseerd. De conclusie van De Koning is dat in het kader van de accountantscontrole juist meer aandacht moet worden besteed aan de beoordeling van opzet en werking van de interne controle. Het belang van het ARM ligt volgens De Koning vooral in het steunen op de interne controle. Een belangrijke voorwaarde is daarentegen wel, dat de goede werking van de interne controle kan worden vastgesteld. Op dit punt verschilt hij dus van mening met Blokdijk, die stelt dat de werking van de interne controle in een geautomatiseerde omgeving niet is vast te stellen. Hij moet er niet aan denken dat accountants in deze moderne tijd weer meer gegevensgerichte werkzaamheden moeten gaan uitvoeren, hetgeen een van de consequenties van de visie van Blokdijk zal zijn.
4.2.3 ‘Auditrisico, meer dan ooit een issue!’, Prof. Dr. K.Y. Mollema 4.2.3.1
Probleemstelling
Prof. Dr. K.Y. Mollema is emeritus hoogleraar Accountancy & Assurance. De heer Mollema stelt dat er in publicaties over corporate governance aanzienlijk meer wordt verwacht van accountants dan alleen een cijfermatige beoordeling. Met name de verklaring van de accountant, met betrekking tot de verantwoording van het management over de interne controle, is in beeld. In een tweetal artikelen levert Mollema een bijdrage aan de discussie over de effectiviteit van het ARM. In zijn eerste artikel formuleert hij zijn kritiek op het ARM. Er zijn volgens Mollema (2003, p. 552) grenzen aan wat een auditor kan controleren, zowel technisch als budgettair. Hij heeft daarbij de medewerking van de gecontroleerde nodig. Het gevolg hiervan is dat elke controle een zeker risico met zich meebrengt. De bestaande auditrisicotheorie schiet tekort en kent methodologische zwakheden, het verdient
25
verbetering. Daarna (in het tweede deel) wordt een nieuw model uiteengezet, dat meer recht wil doen aan de eisen van deze tijd. Hij biedt een stappenplan aan om aan de hand van scorecards de risicoanalyse uit te voeren. Hij baseert zijn kritiek mede door te verwijzen naar de conclusies van het Report of the Panel on Audit Effectiveness (Mollema, 2003, p. 556):
The model is appropriate but enhancing.
The model is widely accepted, but apparently is somewhat out of date and inconsistently implemented.
The model fails to include the concept of engagement risk.
Vervolgens stelt hij een zestal bezwaarpunten op, die zijn visie moeten onderbouwen.
4.2.3.2
Argumentatie en conclusie in het eerste deel
Het eerste bezwaarpunt dat hij stelt is dat het huidige ARM teveel is toegesneden op de financiële audit, omdat hier ook de basis ligt voor de auditrisicoformule. Deze formule is niet verder ontwikkeld in de nieuwe wijzigingsvoorstellen van de International Federation of Accountants. Hierdoor is het ARM minder toepasbaar voor andere vormen van audit vindt hij. In zijn tweede punt stelt Mollema dat het concept van ‘material misstatement’ niet het belang onderkent van de verwachte omvang van de schade (P*D), kans maal schade, voor het auditrisico. Het is gebruikelijk om risico te definiëren als de vermenigvuldiging van twee componenten: Waarschijnlijkheid (Probability, P ) en schade (Damage, D). Volgens Mollema (2003, p. 553) valt het moeilijk in te zien waarom de omvang van deze component schade transparant zou moeten blijven, als deze eenmaal een bepaalde limiet heeft overschreden. In het huidige ARM is het een bepaalde grenswaarde bij de component inherent risico (‘materiality’). De werkelijke schadeomvang komt zo niet tot uitdrukking. Ten derde beschrijft Mollema het ten onrechte buitensluiten van engagementrisico in de formule van het ARM, terwijl deze volgens hem wel degelijk bijdragen aan het auditrisico. Het engagementrisico heeft te maken met het aangaan van een nieuwe cliëntrelatie of het aanvaarden van een nieuwe opdracht. Het betekent het risico dat de accountant ondergaat met de samenwerking van een cliënt (Mollema, 2003, p. 553). Dat dit een belangrijk item is geworden voor de accountant valt te zien in het kwaliteitshandboek van de stichting Nederlandse Organisatie van Accountantskantoren (NOVAK). Hierin staan de voorschriften en checklists waar de accountant rekening mee dient te houden. Deze zijn extra aangescherpt in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). 26
Het vierde en vijfde punt dat Mollema stelt is de jarenlange kritiek op het ARM en de discussie of er mag worden vermenigvuldigd in de formule van het ARM: Auditrisico = inherent risico * interne beheersingsrisico * ontdekkingsrisico. Wanneer deze componenten in een vermenigvuldigingsmodel worden toegepast, dan zal er een zekere mate van onafhankelijkheid tussen de componenten aanwezig moeten zijn. In zijn artikel geeft hij aan dat dit onvoldoende is. Mollema beschouwt de component ontdekkingsrisico als de belangrijkste speelvariabele. Echter als de formule wordt geformuleerd als ontdekkingsrisico = auditrisico / (inherent risico * interne beheersingsrisico), dan haalt dit de aandacht weg van de hoofdzaak, auditrisico. Klijnsmit, Sodekamp en Wallage (2003, p. 193) zijn net als Mollema ook tegen de multiplicatie in de formule van het ARM. Zij beschrijven als alternatief voor de formule: Aanvaardbaar Audit Risk = functie van (inherent risico, interne controlerisico, ontdekkingsrisico). Mollema geeft aan te begrijpen dat zo het multiplicatieprobleem is opgelost, maar het begrip ‘functie van’ vraagt dan volgens hem voor meer aanvulling. Ook blijft het punt dat in de formule de schadeomvang niet tot zijn recht komt. Het zesde en laatste bezwaarpunt is dat bedrijfsrisicoanalyse nodig is voor niet-financiële audit. Vele deskundigen definiëren en determineren het inherente risico in verband met de financiële accountantscontrole. In een bredere context is volgens Mollema de gevoeligheid van een verantwoording voor een materiële fout niet hanteerbaar. Hiervoor moet iets anders dus in de plaats komen. Hij stelt het inherente risico meer te laten aansluiten bij bedrijfsrisicomodellen, die steeds vaker worden gebruikt in het grote bedrijfsleven en bij de overheid (Mollema, 2003, pp. 553-556). Mollema (2003, p. 556) komt tot de conclusie dat de auditrisicoformule (zie ISA 200) een methodologische verbetering verdient om uiteindelijk te kunnen dienen als instrument voor een grondige auditrisicoanalyse. Dus is het zaak om te zoeken naar een verbeterde auditrisicoformule. In het tweede deel tracht hij daarvoor een oplossing aan te kunnen bieden.
4.2.3.3
Argumentatie en conclusie in het tweede deel
In dit tweede deel wil Mollema een nieuw model uiteenzetten, dat moet voldoen aan de eisen van de huidige tijd. Het nieuwe model dient naar zijn mening op vier, door hem opgestelde, uitdagingen antwoord te geven.
Deze uitdagingen zijn:
27
De kritische momenten voor foute beoordeling analyseren alsmede welke factoren wanneer van toepassing zijn;
De werkelijke omvang van de schade in de formule opnemen, in plaats van te werken met materiële fouten;
De reikwijdte van de formule uitbreiden naar operationele en ICT-audit;
De resultaten van bedrijfsrisicoanalyse in de theorie opnemen.
Om een oplossing te vinden voor deze uitdagingen biedt hij een stappenplan aan om aan de hand van scorecards de risicoanalyse uit te voeren. Het stappenplan van Mollema ziet er als volgt uit. Hij constateert eerst dat de accountantscontrole haar doelstelling van puur financiële naar een meer bedrijfsmatige oriëntatie heeft verlegd. Hij stelt daarom een risicoanalysebenadering voor het hele ARM voor. Mollema presenteert daarin kans maal schade (P*D) als risico (Mollema, 2004, p. 6). De accountant moet vervolgens de risicogebieden binnen de onderneming definiëren en de schattingen op die risicogebieden afzonderlijk toepassen. Dan sommeert hij de uitkomsten en stelt het risico vast dat hij bij de controle loopt. Mollema werkt zijn stappenplan in zijn artikel verder gedetailleerd uit. Concluderend kun je zeggen dat Mollema met zijn scorecard benadering geprobeerd heeft een nieuwe weg in te slaan met risicoanalyse in de accountantscontrole. De auditrisicoformule, dat met allerlei vermenigvuldigingen gepaard gaat, heeft hij duidelijk bekritiseerd.
4.2.4. ‘Risicoanalyse in auditing’, de reactie van H.H.W. Kloosterman RA, RE op het artikel van Prof. Dr. K.Y. Mollema 4.2.4.1
Probleemstelling
De heer Kloosterman is registeraccountant en EDP-auditor. Werkzaam als adviseur Vaktechniek EDP (Electronic Data Processing) -audit en Statistical Audit bij de Belastingdienst, Centrum voor Proces- en Productontwikkeling. De visie van Kloosterman komt naar voren in zijn reactie op het artikel van Mollema met betrekking tot de risicoanalyse in de accountantscontrole. Hij is een voorstander van het statistische Bayesiaans model en gaat in op de stellingen van Mollema. Kloosterman is het eens met de analyse om de risicogebieden van de onderneming eerst in kaart te brengen, maar vindt dat die analyse niet leidt tot risicoanalyse in de accountantscontrole.
28
Zijn kritiek op de zes bezwaren en stellingen van Mollema zullen kort samengevat worden weergegeven. Tegelijkertijd zal ook zijn voorkeur voor het Bayesiaans model naar voren komen.
4.2.4.2
Argumentatie en conclusie
De heer Kloosterman is bij het eerste punt van mening dat Mollema te hoog gespannen verwachtingen heeft van het risicoanalysemodel. Het is terecht te stellen dat het ARM is toegesneden op financiële audit. Het is mede ontstaan door de ontwikkeling van het Monetary Unit Sampling, zoals eerder in paragraaf 3 van dit literatuuronderzoek is vermeld. De verschillende modellen zijn dan ook niet voor andere dan financiële populaties gemaakt. Kloosterman refereert dan ook naar de Bayesiaanse statistiek, die zorgt dat de risicoanalyse in de gegevensgerichte controle wordt verklaard (Kloosterman, 2004, pp. 412-413). De statistische methode van de steekproeven wordt gebruikt om het bedrag te kunnen beoordelen van een onjuistheid, die kan voorkomen bij een rekeningpost in de jaarrekening. Bij het tweede punt is Kloosterman het niet eens met de stelling van Mollema dat de ‘verwachte schade’ (P*D) en ‘Material Misstatement’ strijdig zijn met elkaar. Het ARM gaat alleen over de gegevensgerichte controle en zegt niets over de andere controlemaatregelen die nodig zijn voordat de gegevensgerichte controlemaatregelen tot een goedkeurend oordeel kunnen leiden. Hij geeft ook aan wat het verschil is tussen ‘assurance’ (zekerheid geven) en ‘insurance’ (het verzekeren van). In zijn reactie wordt de benadering van Mollema gedefinieerd als een verzekeringsmodel. Mollema beschrijft hoe een accountant zijn werk kan verzekeren. Kloosterman (2004, p. 413) concludeert dat Mollema poogt de waarschijnlijkheid van een misslag van de accountant in te schatten. Echter het ARM probeert juist aan te geven wat er in het slechtste geval kan gebeuren. Met de Bayesiaanse statistiek heeft het ARM als doel om garantie te geven aan het publiek. Bij punt drie en vier wordt een mening op de stelling gegeven. Enerzijds is het waar dat het engagementrisico inderdaad niet expliciet is vermeld in het ARM. Anderzijds geeft hij aan dat het afdoende is te stellen dat het engagementrisico zit ingesloten bij de component inherent risico. Hij gaat wel mee in de mening van Mollema dat er niet vermenigvuldigd mag worden in het ARM, wanneer de componenten niet in een mate van onafhankelijkheid zijn van elkaar. Hij onderbouwt deze kritiek, in tegenstelling tot Mollema, met zijn voorkeur voor de Bayesiaanse statistiek en daarmee de steekproeftheorie in de risicoanalyse, door op te merken dat bij de accountantsopleiding niet op deze fraaie theorievorming wordt ingegaan. In zijn
29
reactie geeft hij aan dat deze theorievorming oplossingsvarianten biedt, die niet over het hoofd mogen worden gezien (Kloosterman, 2004, p. 413). Met het vijfde punt van het artikel van Mollema is Kloosterman (2004, pp. 413-414) het opnieuw met de stelling eens, dat het bekritiseerde ARM toch wordt geaccepteerd. Wanneer Mollema bedoelt dat zijn kritiek inhoudt dat het model enkel kan worden gebruikt voor het bepalen van de hoeveelheid gegevensgerichte controles en niet weergeeft of en hoe er gecontroleerd dient te worden, dan biedt de Bayesiaanse weg voor een groot deel de oplossing. Het gangbare rekenwerk kan dan niet onafhankelijk zijn van de statistical audit. Men zal de wetenschappelijke historie voor deze problematiek erbij moeten betrekken. In het laatste punt stelt hij dat bedrijfsrisicoanalyse noodzakelijk is, wanneer de accountant wil onderzoeken hoe de bedrijfsbeheersing is van het gecontroleerde bedrijf. Dit wil hij weten om na te kunnen gaan of zijn werkzaamheden met betrekking tot de voorwaardelijke controles voldoende zijn geweest. Kloosterman vindt het niet opportuun om allerlei andere audits, dan de financiële audit, bij de discussie te brengen. De discussie houdt in dat de geldigheid van het risicoanalysemodel in de wereld van de controle wordt gevoerd op de financiële verslaggeving. Het aspect van andere audits, zoals IT-audit, leidt alleen maar van de ‘zaak’ af. Tenslotte trekt Kloosterman (2004, pp. 414-415) de conclusie, als reactie op het model van Mollema, dat je tegen het ARM bezwaren kan aanvoeren zoals het gebruik van allerlei vermenigvuldigingen. Het model is echter zodanig verbeterd dat de verbeterde versie voldoende waarheidsgehalte heeft om een belangrijk deel van de financiële controle ermee uit te voeren. Het model dat Mollema beschrijft, kan wegens een te gering waarheidsgehalte, niet als een Audit Assurance Model voor de financiële controle worden beschouwd.
30
5.
Conclusie
Op grond van de hiervoor behandelde visies van accountants, uit het MAB, is het duidelijk dat in de afgelopen jaren fundamentele kritiek is geweest en nog steeds is op de risicoanalyse in de accountantscontrole. De discussie gaat vooral om de toepasbaarheid in de praktijk van het ARM. Vele omvangrijke boekhoudschandalen hebben de rol en de werkwijze van de accountant ter discussie gesteld. Hoe kan het dat de accountants deze fouten en dus deze risico’s niet hebben ontdekt? En de centrale vraag: is het controlemiddel risicoanalyse dat nu gebruikt wordt als instrument voor de inschatting van de risico’s bij aanvang en tijdens een jaarrekeningcontrole toereikend, effectief en doeltreffend? De controle op basis van risicoanalyse is formeel op gang gekomen sinds 1988. Daarna zijn er wijzigingen aangebracht in de bestaande nationale en internationale standaarden en regelgeving. Het onderzoek van het Panel on Audit Effectiveness in 2000 heeft ertoe geleid dat de risicoanalyse zich, voortbordurend op het huidige concept, heeft aangepast aan de omgeving. Bovendien zijn in 2007 voortbouwend op het ARM nieuwe controlestandaarden van kracht geworden en zijn er zelfs weer nieuwe controlestandaarden aangekondigd die voortkomen uit het Clarityproject van het IAASB van de IFAC. Kortom een verdergaande verbetering en verdieping van het ARM model. Er zijn wijzigingen in de bestaande standaarden gebracht en belangrijke aanscherpingen geformuleerd, die duidelijker aangeven wat van de accountant wordt verwacht bij het uitvoeren van zijn controlewerkzaamheden. Is de centrale vraag hiermee beantwoord in hoeverre het ARM werkelijk het controlerisico in voldoende mate afdekt, zodat het maatschappelijk verkeer terecht zekerheid kan ontlenen aan de werkzaamheden en rapportages van de accountants. Enerzijds denk ik dat dit niet volledig het geval is, daar aan het uitvoeren van de risicoanalyse middels procedure tests, lijncontroles, waarnemingen ter plaatsen etc. niet veel veranderd is. De nieuwe standaarden geven alleen een meer concrete invulling van de steeds meer complex wordende maatschappij waarin cliënten en stakeholders opereren. Denk aan de huidige economische crises en gewijzigde wet- en regelgeving. Met de fundamentele kritiek op het instrument risicoanalyse is niet of nauwelijks rekening gehouden. Ondanks de felle kritieken die zijn geuit is de huidige risicoanalyse, waar het Audit Risk Model op gebaseerd is, tot de dag van vandaag nog het uitgangspunt van het controleplan van de accountant. Anderzijds ben ik van mening dat de nieuwe controlestandaarden (nadere voorschriften) bevestigen en ruimte bieden voor controleren met gezond verstand, met behulp van een denkmodel. De doelstellingen van de standaarden zijn principle-based in plaats van rule-based, dat wil zeggen dat accountants met 31
hun dossiers moeten aantonen dat zij hebben voldaan aan de eisen die je aan de controle mag stellen en daarmee hun doelstelling hebben bereikt. De accountant mag op basis van zijn professional judgement standaarden wijzigen, vervangen of aanvullen indien de controlesituatie dit vereist. Essentieel hiervoor is het zorgvuldig documenteren van zijn beslissingen. Uiteindelijk is het aan de controlerende accountant aan te geven hoe hij aan zijn oordeel is gekomen, wetend dat hij door anderen daarop beoordeeld zal worden. Hiermee wordt een groot deel van de kritiek, dat het model niet toereikend zou zijn, ondervangen.
32
Bibliografie
Bac, A.D., A.J. Bindenga, J.C.A. Gortemaker, H.C. Kocks en Ph. Wallage (2003). Pocket handboek accountancy. Kluwer. Blokdijk, J.H. (2001). De effectiviteit van de systeemgerichte aanpak in de accountantscontrole. Maandblad voor Accountancy en Bedrijfseconomie, 75, 3, 71-80. Blokdijk, J.H. (2004). Tests of Control in the Audit Risk Model: Effective? Efficient? International Journal of Auditing, 8, (2), 185-194. Bloomfield, R. (1995). Strategic dependence and inherent risk assessments. The Accounting Review, 70, (1), 71-90. Chang, S.I., C.F. Tsai, D.H. Shih en C.L. Hwang (2008). The development of audit detection risk assessment system: Using the fuzzy theory and audit risk model. Expert systems with applications (Elsevier), 35, (3), 1053-1067. Colbert, J.L. (1988). Inherent risk: An investigation of auditor’s judgement. Accounting, Organizations and Society, 13, (2), 111-121. Eimers, P. (2006) Het Audit Risico Model is springlevend! Maandblad voor Accountancy en Bedrijfseconomie, 80, (3), 76-83. Groeneveld, J. (2008). Nationalisatie. Accountancynieuws, 5, (11), p. 17. Klijnsmit, P., M. Sodekamp en Ph. Wallage (2003). Bedrijfsrisico van de accountant en het Audit Risk Model. Maandblad voor Accountancy en Bedrijfseconomie, 77, (5), 190-195. Kloosterman, H. (2004). Risicoanalyse in Auditing. Maandblad voor Accountancy en Bedrijfseconomie, 78, (9), 412-416. Kloosterman, H. (2004). Wat is eigenlijk risicoanalyse in de accountantscontrole? Maandblad voor Accountancy en Bedrijfseconomie, 78, (12), 570-578. Knechel, R. (2007). The business risk audit: Origins, obstacles and opportunities. Accounting, Organizations and Society, 32, (4/5), 383-408. Koning, F. de (2002). Beoordeling van de interne controle in het kader van de accountantscontrole. Maandblad voor Accountancy en Bedrijfseconomie, 76, (6), 272279. Leeuwen, O. en Ph. Wallage (2002). Moderne controlebenaderingen steunen op interne beheersing. Maandblad voor Accountancy en Bedrijfseconomie, 76, (3), 82-90. Limperg, Th., en G.L. Groeneveld (1976). Leer van de Accountantscontrole. Deventer: Kluwer. 33
Messier, W.F. en L.A. Austen (2000). Inherent risk and control risk assessments: evidence on the effect of pervasive and specific risk factors. Auditing: A Journal of Practice & Theory, 19, (2), 119-131. Mollema, K. (2003). Auditrisico, meer dan ooit een issue (1). Maandblad voor Accountancy en Bedrijfseconomie, 77, (12), 551-556. Mollema, K. (2004). Auditrisico, meer dan ooit een issue (2). Maandblad voor Accountancy en Bedrijfseconomie, 78, (3), 5-15. NIVRA en de NOvAA (2007). Handleiding Regelgeving Accountancy. Den Haag: NIVRA en NOvAA.
34
