Home » Bepaalde standaardwerkzaamheden nodig om basishygiëne te creëren. Over de toepassing van COS 330.18

Bepaalde standaardwerkzaamheden nodig om basishygiëne te creëren. Over de toepassing van COS 330.18

Accountancy, Artikelen, Blog, Nieuws

25 april 2017 door Accountancy Vanmorgen

Accountancy Vanmorgen

Professionele oordeelsvorming en standaardwerkzaamheden bij de controle van jaarrekeningen blijven onderwerp van dispuut. John Kuijn stelde een aantal weken geleden in zijn artikel op Accountancy Vanmorgen dat sommige standaardwerkzaamheden in de praktijk soms echt overbodig zijn. Kritisch nadenken – professional judgement –  leidt tot betere afwegingen bij het uitvoeren van een controleopdracht en voorkomen nodeloos werk. Niels van Nieuw Amerongen is het daar maar ten dele mee eens. ‘Bepaalde standaardwerkzaamheden zijn nodig om basishygiëne te creëren,’ is zijn stelling.

Recent verscheen een bijdrage van John Kuijn op Accountancy Vanmorgen met zijn inzichten over COS 330.18. Enigszins prikkelend stelt hij hierin dat COS 330.18 wordt misbruikt om een standaard rijtje werkzaamheden uit te voeren. Zijn zienswijze is dat de bepaling in COS 330.18 (de minimaal uit te voeren gegevensgerichte werkzaamheden) juist bedoeld zijn te dienen ter onderbouwing van de juistheid en volledigheid van de risicoanalyse. In het navolgende werk ik mijn visie op COS 330.18 uit. Ik ben het eens met Kuijn dat de COS om professionele oordeelsvorming vraagt in de toepassing in concrete situaties. Dit sluit niet uit dat bepaalde standaardwerkzaamheden nodig zijn om basishygiëne te creëren. Op de keper beschouwd, wijkt mijn visie op een aantal punten af van die van Kuijn:

  • Risicovalidatie op basis van COS 330.18 raakt zowel de inschatting van frauderisico’s als ook van risico’s op een afwijking van materieel belang die niet het gevolg zijn van fraude.
  • COS 330.18 beschouw ik meer als een vangnet dan dat ik probeer de minimumpositie in de COS op te zoeken. De COS is primair op audit effectiveness en niet primair op audit efficiency gericht[i].
  • COS 330.18 is een principieel vereiste dat afzonderlijk beschouwd kan worden, maar geïsoleerde beschouwing heeft ook het risico van ontsporing in zich.

Waarover gaat COS 330.18?

Waarover gaat COS 330.18 in de kern? COS 330.18 is een vereiste dat verordineert om voor posten, transactiestromen en toelichtingen in de jaarrekening die van materieel belang zijn tenminste gegevensgerichte werkzaamheden te plannen en uit te voeren. Het gaat hier dus expliciet om materiële jaarrekeningelementen op line item niveau. Het gaat hier dus niet om jaarrekeningelementen waaromtrent een risico op een afwijking van materieel belang is onderkend. Het vereiste formuleert dit zelfs expliciet in de bewoordingen ‘ongeacht de inschatting van de risico’s op een afwijking van materieel belang’. De eerste toelichtende paragraaf die aan dit vereiste refereert is 330.A42. Deze paragraaf bevat een tweetal uitgangspunten:

  • Vanwege benodigde oordeelsvorming is het mogelijk dat de accountant niet alle (relevante) risico’s heeft geïdentificeerd; en
  • Maatregelen van interne beheersing kennen inherente beperkingen, onder andere vanwege het risico op doorbreking daarvan door het management.

Het eerste uitgangspunt onderstreept het standpunt van collega Kuijn dat COS 330.18 bedoeld is voor de validatie van risico’s. Tegelijk formuleert hij enigszins onzorgvuldig door te stellen dat deze validatie zowel gaat over de juistheid als de volledigheid van die risico’s. De bewoordingen van A42 in het eerste uitgangspunt gaan uitsluitend over de volledigheid van de onderkende risico’s.
Het tweede uitgangspunt blijft (althans in expliciete zin) geheel buiten de beschouwing in de blog van collega Kuijn. Dat zou ik het predicaat ‘gevaarlijk’ willen meegeven. Als je naar het bredere geheel van de controlestandaarden kijkt, dan staat het Audit Risk model centraal. Dit houdt in dat je zowel kijkt naar het foutenrisico in het algemeen als het foutenrisico ten gevolge van fraude. En ten tweede houdt dit in dat de mix van systeemgerichte en gegevensgerichte werkzaamheden moet leiden tot het verzamelen van voldoende en geschikte controle-informatie. En op dit laatste punt moet je als accountant erkennen dat systeemgerichte werkzaamheden inherente beperkingen met zich meebrengen, waarvoor je moet compenseren middels (minimaal verplichte) gegevensgerichte werkzaamheden. Als je deze beide principes niet evenwichtig betrekt in je controlestrategie, dan loop je het risico van het nemen van verkeerde afslagen tijdens de controle (werk-in-uitvoering).

Twee ‘Kuijn cases’

Materiële vaste activa

Ter illustratie hiervan even een kort uitstapje naar de MVA casus van collega Kuijn. Kuijn stelt in dit voorbeeld dat assistent-accountants veelal een standaard rijtje gegevensgerichte werkzaamheden uitvoeren, werkzaamheden die COS 330.18 niet bedoelde voor te schrijven. Nu COS 330.18 en bijbehorende toelichtende paragrafen geen concretisering geven van uit te voeren werkzaamheden, is het ergens tricky om een dergelijke conclusie te trekken. De toelichtende paragrafen refereren uitsluitend op hoofdlijnen aan gegevensgerichte cijferanalyses en detailcontroles, maar welke dat in een specifiek geval zijn, wordt niet gespecificeerd. Gelukkig maar, overigens. Vive le jugement professionel!
Wat is de relevantie van dit voorbeeld in het kader van COS 330.18. Collega Kuijn lijkt hier – getuige de laatste zin in de alinea over MVA – vooral te denken aan een frauderisico: de cliënt die de post oppoetst. In dit voorbeeld wordt niet expliciet meegewogen dat sprake kan zijn van een afwijking van materieel belang die niet het gevolg is van fraude. Onlangs kwam ik een situatie tegen waarin relatief beperkte werkzaamheden waren uitgevoerd aan de post MVA. Er was geen sprake van een frauderisico. Het verloopoverzicht echter bleek rekenkundig niet juist te zijn. Het voert te ver om die specifieke situatie verder uit te werken, maar er zou in die situatie tenminste sprake zijn van een controleverschil groter dan ‘duidelijk triviaal’. In mijn beleving, maar expliciet gesteld: dat is interpretatie van mijn kant, is COS 330.18 ook bedoeld om een bepaalde basishygiëne in de cijfers te waarborgen. Hierdoor zou het maar zo kunnen zijn dat een assistent niet voor niets de ‘standaard’ werkzaamheden heeft uitgevoerd. Er is namelijk met de standaardwerkzaamheden vastgesteld dat de basishygiëne op orde is.

Opbrengstverantwoording

Deze praktijksituatie begint – in de blog van Kuijn- met te refereren naar de juistheid van de risicoanalyse. Zoals hiervoor eerder beschreven gaat het eerder om de volledigheid van de geïdentificeerde risico’s dan om de juistheid. Net als bij de MVA casus stelt Kuijn dat assistenten hier werkzaamheden uitvoeren (rondrekening – wordt hier bedoeld een goederenbeweging of een BTW rondrekening? – en margeanalyse) die niet in COS 330.18 bedoeld zijn als minimaal uit te voeren gegevensgerichte werkzaamheden, want het zou werkzaamheden betreffen die de juistheid van de risicoanalyse niet aantonen.
Wat betreft het voorbeeld van de post omzet, zou het zinvol geweest zijn wanneer hier expliciet zou worden ingegaan op de beweringen rond de post omzet die wat betreft inschatting gevalideerd zouden kunnen worden. Stel, de accountant heeft terzake de juistheid van de post omzet een significant frauderisico onderkend. Welke minimale gegevensgerichte werkzaamheden zou je dan – ingevolge COS 330.18 – moeten uitvoeren ter validatie van de volledigheid van je risico-inschatting? Dus, meer specifiek: hoe stel je dan met minimale gegevensgerichte werkzaamheden vast dat de volledigheid van de opbrengstverantwoording geen risico op een afwijking van materieel belang vertegenwoordigt? Heb je daar een rondrekening (goederenbeweging) voor nodig? Of kun je ook op andere manieren daar iets zinnigs over zeggen?

Een specifieker praktijkvoorbeeld over opbrengstverantwoording

Stel, er is sprake van een eenvoudige handelsonderneming. De accountant heeft een significant frauderisico voor de juistheid en de afgrenzing van de opbrengstverantwoording onderkend. We veronderstellen dat de accountant voor deze significante risico’s voldoende systeemgerichte en gegevensgerichte controlewerkzaamheden heeft gepland en uitgevoerd. Uit die werkzaamheden zijn ook geen bijzonderheden naar voren gekomen. Tijdens de interimcontrole heeft de accountant op basis van waarneming ter plaatse vastgesteld dat sprake is van voldoende primaire functiescheidingen tussen magazijn, inkoop, verkoop, en administratie. De accountant is vervolgens op 31 december aanwezig voor het uitvoeren van inventarisatiewerkzaamheden. En bij de balanscontrole stelt de accountant nogmaals op basis van waarneming ter plaatse vast dat de genoemde functiescheidingen aanwezig zijn. Tot zover de praktijksituatie. Mag de accountant in deze situatie bij de toepassing van COS 330.18 nu volstaan met het uitvoeren van een gegevensgerichte margeanalyse[ii] om daarmee te kunnen concluderen dat de volledigheid van de opbrengstverantwoording terecht niet als materieel risico is onderkend?
Ik denk dat voor dit standpunt wel wat te zeggen valt. Je hebt, op basis van margeanalyse, simpelweg geen indicatie dat de opbrengsten niet volledig zouden zijn. Dit roept overigens wel de vraag op of deze negative assurance voldoende wordt geacht door de regelgever. Heeft zij deze ‘gewraakte’ vereiste zo bedoeld? Wat het lastig maakt, is dat een risico op een afwijking van materieel belang niet hoeft te betekenen dat ook daadwerkelijk sprake is van een afwijking van materieel belang. Achteraf is het gemakkelijk concluderen dat – als bijvoorbeeld blijkt dat sprake is geweest van een winkel in de winkel – de accountant onvoldoende werk heeft verricht. Maar zou je dit ook niet kunnen interpreteren als een vorm van hindsight bias? Ofwel, de accountant heeft – met de kennis die beschikbaar was tijdens de uitvoering van de controle – voldoende basis gehad om te veronderstellen dat de bewering volledigheid niet relevant was[iii].

Enkele randvoorwaarden

Het geheel overziende zou mijn standpunt zijn dat de voorgaande praktijkuitwerking leidt tot voldoende risico-validatie, maar wel onder een aantal randvoorwaarden (vangnetten) of basisprincipes:

  • De COS heeft niet primair als doel om een zo efficiënt mogelijke controle te realiseren; het basis uitgangspunt is een effectieve controle: het verzamelen van voldoende en geschikte controle-informatie (COS 200.7 en COS 200.17). Op een minimumpositie gaan zitten en als zodanig acteren brengt spreekwoordelijke risico’s met zich mee. En daar zit wat mij betreft ook een vraagteken in de bijdrage van collega Kuijn.
  • Risicoanalyse vraagt om een gedegen inzicht in de entiteit en haar omgeving (COS 315). Deze kennis bouw je, als het goed is, op. Het is wat mij betreft dan ook niet verstandig om in het eerste controlejaar voor wat betreft de volledigheid van de opbrengstverantwoording te gaan zitten op een minimumpositie. Er zitten niet uitsluitend negatieve aspecten aan de SALY benadering (Same As Last Year), mits je maar goed blijft nadenken en alert blijft op wijzigingen in de cliëntsituatie.
  • Hierop aansluitend: om te komen tot een goede risico-inschatting is het mijns inziens relevant om in enig jaar naar de (effectieve werking van de) interne beheersingsmaatregelen rond de volledigheid van de opbrengstverantwoording te hebben gekeken, ook al hebben deze maatregelen ook hun beperkingen (330.A43). Dat geeft je in de eerste plaats een veel gedetailleerder beeld over de echte what-could-go-wrongs in het opbrengstenproces. Maar daarnaast geeft het je ook meer houvast in de stabiliteit van de risico-inschattingen. Elke praktijksituatie is weer anders natuurlijk. Maar als sprake is van een ERP pakket met goed ingeregelde ITGC’s en application controls is de bewijsvoering voor de risicoanalyse (stabiliteit risico’s) veel sterker dan wanneer de IB er weliswaar is, maar vooral fysiek/handmatig van aard en ergens toch ‘houtje – touwtje’.

Afronding

Het is verleidelijk om voor het korte termijn plezier te gaan en de COS-kers van 330.18 te plukken. Maar tegelijk is mijn boodschap: gedenk te valideren. Concludeer niet te snel bij werk-in-uitvoering dat er geen sprake is van een risico. Bekijk het vanuit meerdere gezichtspunten. Goedkope oplossingen ben ik nog niet tegen gekomen. Ik teken voor een robuuste risico-onderbouwing teneinde tot een stevig gefundeerd bouwwerk te komen: Proost!

 

Dr.  Niels van Nieuw Amerongen RA

[25 april 2017]

[i] Terzijde en ter verduidelijking: ik ben niet tegen audit efficiency, maar wel als het efficiencystreven ten koste gaat van de effectiviteit.

[ii] De keuze voor een gegevensgerichte cijferanalyse is in dit voorbeeld niet willekeurig gekozen. Toelichtende paragraaf 330.A43 geeft dit als eerste mogelijkheid aan voor situaties waarin de accountant kan besluiten dat dit voldoende is om het controlerisico tot een aanvaardbaar laag niveau terug te brengen.

[iii] Rond de volledigheid van de opbrengstverantwoording zijn meerdere dimensies te onderkennen, waarvan een winkel-in-de-winkel er één is (met name raakt dit overigens de Q-component). Impliciet opper ik hier de mogelijkheid van een beroep op het zogenaamde axiomatisch voorbehoud, ook al staat dit voorbehoud niet expliciet vermeld in de NV COS. Zie hieromtrent onder andere: https://nl.wikipedia.org/wiki/Accountants_in_de_fout en https://www.accountant.nl/opinie/2010/11/macro-axiomatisch-voorbehoud/ (Jules Muis).

Tags: audit, jaarrekeningcontrole, risicoanalyse

Gerelateerde artikelen

Reacties

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Cookies
Om u beter van dienst te kunnen zijn, maakt Accountancy Vanmorgen gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
  • Functionele cookies zijn noodzakelijk voor de werking van deze website.
  • We gebruiken Google Analytics, netjes geanonimiseerd.
  • We gebruiken de marketing cookies om gepersonaliseerde advertenties te tonen.

Instellingen