In het dagelijks leven neem ik graag het zekere voor het onzekere. Voordat ik in de auto richting vliegveld stap, check ik wel drie keer of ik mijn paspoort bij me heb. Ik ga nooit de deur uit met een nog draaiende wasdroger en durf onze enthousiaste labrador niet los te laten lopen in het bos. Ofwel, ‘better safe than sorry’. Dat risicomijdende gedrag lijkt een karaktertrek van een echte accountant te zijn, maar is dat ook daadwerkelijk zo?
De risicoanalyse die 30 jaar geleden werd geïntroduceerd in onze controlestandaarden is inmiddels volledig gemeengoed geworden. Een gedegen uitgevoerde risicoanalyse geeft blijk van kennis van de te controleren organisatie; het fundament onder een controleopdracht. Deze specifieke kennis leidt tot het leggen van de juiste accenten in de controle. Alleen maar voordelen, zo lijkt het.
Enorme valkuil
Toch is er in de praktijk ook een enorme valkuil waar te nemen bij het afstemmen van de controleaanpak op de uitgevoerde risicoanalyse. Het gevaar schuilt erin dat de accountant – op de gebieden waar hij geen risico signaleert – genoegen neemt met minimale controlewerkzaamheden.
Ter illustratie: een verkooporganisatie van softwarelicenties, waarbij de verkopers een forse variabele beloning ontvangen wanneer zij hun verkoopdoelstelling behalen. Een controleteam kan hier gemakkelijk concluderen dat er geen risico bestaat ten aanzien van de volledigheid van de opbrengstverantwoording. De verkopers snijden zichzelf immers in de vingers als zij de verkooptransacties niet volledig verantwoorden.
Nog een voorbeeld: een industriële bakkerij waar de gemiddelde prijs van een brood lager is dan € 2. Het aantal broden dat buiten de opbrengstverantwoording moet blijven om te kunnen leiden tot een materiële fout zal op zijn minst 100.000 zijn. Stel je eens voor!
Op het eerste gezicht lijken dit zeer valide argumenten om minimale aandacht te besteden aan de controle van de volledigheid van de opbrengstverantwoording. Maar hoe solide zijn ze daadwerkelijk? Kan de accountant echt inschatten wat de drijfveren van iedere individuele verkoper zijn bij de verkooporganisatie van softwarelicenties bij het wel of niet verantwoorden van opbrengsten? En is het echt onmogelijk om 100.000 broden buiten de opbrengstverantwoording te houden?
Wat mij betreft kun je dat alleen maar vaststellen door daadwerkelijk controlewerkzaamheden uit te voeren die dit uitsluiten. Vertrouw je te veel op je eigen uitgevoerde risicoanalyse? Dan creëer je naar mijn mening een eigen werkelijkheid. Zeer waarschijnlijk onderbouwen de cijfers die je controleert die eigen werkelijkheid ook; typisch geval van tunnelvisie.
Materiële fout
Pleit ik er nu voor om de risicoanalyse af te schaffen? Nee, zeker niet. Maar het uitgangspunt moet wat mij betreft wel overeind blijven dat er in materiële posten en stromen altijd een materiële fout kan ontstaan. Noodzakelijk dus om controlewerkzaamheden uit te voeren, in plaats van risico’s weg te redeneren en ze achterwege te laten. Risicoanalyse kan aanvullend worden ingezet om díe risico’s te signaleren die vragen om een extra focus op bijzondere klantspecifieke zaken. Het gaat dan om complexe, subjectieve, niet-routinematige of fraudegevoelige aspecten binnen een post of stroom. Ook hier geldt: better safe than sorry!
Annemieke Stokvis RA, medewerker kwaliteit en vaktechniek bij de Jong & Laan
Dit artikel is eerder verschenen in het maartnummer van het kwartaalblad Accountancy Vanmorgen. Voor een abonnement: klik hier
Geef een antwoord