De verplichte kwaliteitstoetsingen van accountantskantoren moeten bijdragen aan de kwaliteit van het accountantsberoep. Eens in de zoveel komen de toetsers langs. Maar gaat dat altijd goed? Nee, dat gaat niet altijd goed. Het komt te vaak voor dat kwaliteitstoetsers te strikt hun eigen agenda afwerken en niet goed op de hoogte zijn van bijvoorbeeld moderne ICT-systemen. Dat leidt in de praktijk tot het stellen van irrelevante vragen. En dat leidt vervolgens weer tot irrelevant gedrag in de beroepspraktijk. Werkzaamheden, controles, worden niet uitgevoerd op een relevante, zinvolle wijze, maar op een wijze die de goedkeuring krijgt van de – soms niet goed op de hoogte zijnde – kwaliteitstoetser.
Kwaliteitsbewaking in de accountancy is nog niet in balans. Adequate governance rond kwaliteitstoetsingen ontbreekt in elk geval in het niet-OOB-segment. Accountantsorganisaties werken met handboeken en richtlijnen die op onderdelen te weinig concreet zijn. In combinatie met de spaarzame gelegenheid om vooraf discussie te voeren en door ondoorzichtige bezwaarprocedures kan dit tot ongewenste uitkomsten leiden. Bij kwaliteitstoetsing van kantoren zien wij vaak onjuiste of achterhaalde interpretaties van de COS’en. Dit leidt regelmatig tot discussie én kan zijn nadelig voor de kwaliteit van een controle. Een ‘favoriet onderwerp’ in deze context is de volledigheid van de omzet. De enorme aandacht die hiernaar uitgaat, veroorzaakt de meeste discussie. Veelgehoorde opmerkingen zijn: ‘Dat moet van de AFM’, ‘Dat moet nu eenmaal van de kwaliteitstoetser’ en ‘Dat moet toch volgens de COS?’. Deze onduidelijkheid leidt ertoe dat:
- accountants na het controleren van de volledigheid klaar denken te zijn met de omzet. Hierdoor worden bijvoorbeeld frauduleuze verschuivingen naar duurdere vormen van thuiszorg, fraude met directe inning van kinderopvangtoeslag en onjuiste toewijzing van omzet uit hoofde van servicecontracten naar verslagperiodes over het hoofd gezien;
- controleteams er bijna toe worden gedwongen om onzinnige risico’s voortaan toch maar mee te nemen in hun werkzaamheden, om de kwaliteitstoetser maar tevreden te houden. Ook als een transportbedrijf alle auto’s heeft voorzien van een voertuigvolgsysteem en een gemiddeld pakket € 95 oplevert, moet het risico van het meenemen van extra pakketjes door de chauffeur in het dossier worden opgenomen. Zo heeft de toetser het vroeger nu eenmaal geleerd.
Er is dus duidelijkheid nodig over wat het verschil is tussen een jaarrekeningrisico en een bedrijfsrisico. Ook moet het helder zijn welke werkzaamheden de accountant in het kader van een controle die de goedkeuring van kwaliteitstoetsers kan wegdragen moet uitvoeren om zijn risico-inschatting te onderbouwen om daar vervolgens van uit te mogen gaan.
Testwerkzaamheden interne beheersing
Om de risico-inschatting te mogen verlagen, moet een accountant de werking van de interne beheersing testen. In vijf opeenvolgende AFM-rapportages wordt geheel terecht opgemerkt dat testwerkzaamheden (waarbij de accountant door middel van 30 testen zelf vaststelt dat de transactie goed is) vaak onjuist zijn. De discussie over de aard en diepgang van de testwerkzaamheden is ondertussen zover doorgevoerd, dat men maar besluit te stoppen met aandacht voor de interne beheersing en overgaat op gegevensgerichte werkzaamheden. Die gegevensgerichte werkzaamheden moeten dan ook nog bij voorkeur bestaan uit een steekproef (zie laatste paragraaf). Klanten die hun processen wel goed vormgeven en hun ervaren, zorgvuldige medewerkers verantwoordelijk stellen voor essentiële taken én toegankelijke en passende managementinformatie hebben, worden dan op precies dezelfde manier benaderd als klanten die dat allemaal niet hebben. Die ‘one size fts all’-benadering zal de ene cliënt tekortdoen en bij de andere cliënt juist tekortschieten. Om dit te voorkomen, moet duidelijkheid worden geschapen over het onderscheid tussen het ‘onderbouwen van de risico-inschatting’ waarbij de implementatie (het bestaan) van beheersing mag worden meegenomen en het steunen op een beheersmaatregel, waardoor deze moet worden getoetst op efectieve werking.
Testen werking IT general controls
Ten aanzien van automatisering zijn twee heel duidelijke trends waarneembaar bij toetsingen:
- Ten eerste: het risico van ongeautoriseerde manipulatie van de database lijkt bijna een verplicht risico. Het maakt daarbij niet uit of het nu een cliënt is die gebruikmaakt van een door de moederorganisatie beheerde inrichting van SAP, of dat het een van de vijf nog in omloop zijnde licenties betreft van een branchespecifek pakket.
- Ten tweede: als de werking van het change management niet is vastgesteld, wordt de accountant voorgehouden dat hij geen gebruik had mogen maken van lijstwerken uit dat systeem. Of er nu wel of niet sprake is van: een niet voor de cliënt aanpasbaar standaard lijstwerk, waarin een simpele bewerking wordt uitgevoerd, in een generiek pakket met een brede verspreidingskring.
Dit leidt tot één van de twee manieren van reageren:
- door de computer heen: ook cliënten zonder complexe IT-omgeving worden onder de loep genomen door een IT-auditor. Waarbij soms de teleurstellende conclusie luidt dat change management niet kan worden vastgesteld (terwijl de cliënt simpelweg geen belangrijke aanpassingen kán doorvoeren);
- om de computer heen: men laat de IT voor wat het is en gaat door naar steekproeven zonder grondig inzicht in de IT-systemen. Hierdoor wordt het een kwestie van toeval of de vinger op de zere plek wordt gelegd.
Het zou een goede zet zijn, wanneer onze beroepsgroep zou willen investeren in een gedeelde analyse per IT-systeem. Om bij alle 1.500 installaties van pakket X vast te stellen dat de 3 way match goed werkt, is namelijk weinig zinvol in deze tijd van kennis delen. Vooral niet als vervolgens 1.499 keer wordt vergeten dat de crux in de tabel met toegestane afwijkingspercentages zit. Het effect dat die gedeelde informatie zal hebben op de alertheid van softwareontwikkelaars zou overigens zomaar kunnen bijdragen aan het maatschappelijk verkeer.
Steekproeven
Er is veel discussie over de juiste diepgang van gegevensgerichte werkzaamheden. Soms komt dat doordat een accountant ‘willekeurig tien posten’ pakt zonder goed na te denken. Soms wordt dat veroorzaakt doordat een kwaliteitstoetser ‒ door het gebrek aan duidelijkheid in de COS ‒ zijn persoonlijke voorkeur als referentiekader gebruikt. Een steekproef wordt dan gezien als een minder subjectief controlemiddel. Naar mijn stellige overtuiging is deze trend (van alle zaken die toetsers momenteel omarmen) potentieel het meest schadelijk voor de kwaliteit van controles. En wel om de volgende redenen:
- Zonder deskundige stratifcatie in homogene massa’s lijkt een steekproef misschien objectief en grondig, maar is dat zeker niet. Uit een steekproef die werd gehanteerd voor de frauduleuze bestedingen door het management, kwamen repeterende hoge betalingen (IT-hosting, huur en leaseauto’s). Daar zit het risico overduidelijk niet.
- Het trekken van 127 items uit de voorraad ter controle van de juistheid van de aantallen en de gehanteerde inkoopprijzen toont soms geen fouten aan. Achteraf gezien had dit al voorspeld kunnen worden op basis van het onderbouwde inzicht in de interne beheersing. De aan de steekproef bestede moeite gaat dan ten koste van de controle van de waardering en de gehanteerde toeslagen.
- Bij een IT-systeem waarin gezien het soort transacties en klantarrangementen maar achttien soorten transactie mogelijk zijn, raakt de steekproef de meest voorkomende soort transactie wel twaalf keer. Zonde van de energie.
Betere uitleg van de NBA over de wijze waarop controlebevindingen uit gegevensgerichte werkzaamheden kunnen en mogen worden geëvalueerd, is hier broodnodig.
Aanbevelingen
Bij een onevenwichtige verdeling van verantwoordelijkheden en invloed tussen de kwaliteitstoetsers, de getoetste kantoren en de NBA is de kans groot dat het perspectief van een van die partijen leidend wordt. Doorontwikkeling van de norm zodat deze in continuï- teit blijft aansluiten bij de groeiende complexiteit van alledag wordt dan, getuige bovenstaande voorbeelden, een aandachtspunt. Hierdoor lopen wij als beroep het risico onze relevantie te verliezen. Laten we daarom de balans in de kwaliteitsbeheersing herstellen door:
- beroepsbeoefenaren of toezichthouders de mogelijkheid te geven om onderwerpen aan te wijzen waar meer duidelijkheid voor nodig is. Uiteraard moet dit zorgvuldig gebeuren; een minimumaantal ingeschreven accountants moet het eens zijn met de relevantie van de vraag;
- de regelgevende instantie laat vervolgens de bruikbaarheid en toegevoegde waarde van de interpretatie valideren via de Foundation for Auditing Research. Valideren door onderzoek onder de gebruikersgroep (accountants in het veld) of door te onderzoeken wat in de praktijk de efecten zijn van het toepassen van de interpretatie;
- beroepsbeoefenaren de mogelijkheid te geven op deelonderwerpen duidelijkheid te krijgen bij een ander loket dan de tuchtraad met de vergunning in de waagschaal. De uitspraken van dat loket zouden dan openbaar beschikbaar moeten zijn zodat een referentiekader ontstaat over de toepassing in verschillende soorten situaties.
Tom Koning is werkzaam bij Cygnus Atratus, contentleverancier en adviesbureau op het gebied van kwaliteitsbeheersing bij accountantsorganisaties.
Dit artikel is eerder verschenen in het decembernummer van het kwartaalblad Accountancy Vanmorgen. Voor een abonnement: klik hier
Geef een reactie