31 maart 2020

Inhoud


1. Kan COVID-19 een impact hebben op interne beheersing en op het risico op fraude?
1.1. Impact op interne beheersing
a) Het verminderen van het aantal medewerkers kan tot gevolg hebben dat beheersmaatregelen niet of niet optimaal werken
b) Functiescheiding kan worden doorbroken 
c) Autorisatieprocedures kunnen worden gehypothekeerd
d) Managementinformatie, noodzakelijk voor de aansturing van de onderneming, kan (tijdelijk) ontbreken
1.2. Impact op het risico op fraude
2. De limieten van een audit vanop afstand



1. Kan COVID-19 een impact hebben op interne beheersing en op het risico op fraude?

Overeenkomstig de werkzaamheden voorzien door ISA 315 dient de commissaris kennis te nemen van de interne beheersingsmaatregelen die relevant zijn voor de audit. De controleomgeving kan zijn aangetast door de COVID-19 crisis. 

1.1. Impact op interne beheersing


Op het vlak van interne beheersing zijn er volgende aandachtspunten:

a) Het verminderen van het aantal medewerkers kan tot gevolg hebben dat beheersmaatregelen niet of niet optimaal werken

In het algemeen moeten ondernemingen de operationele doeltreffendheid van hun beheersmaatregelen herbekijken. De stopzetting van controlereviews of de onmogelijkheid van individuen om controles uit te voeren wegens afwezigheid te wijten aan ziekte van werknemers of de sluiting van kantoren, moet worden beoordeeld. 

b) Functiescheiding kan worden doorbroken 

Er dient ook te worden nagegaan hoe een gebrekkige informatieverstrekking een impact kan hebben op de functiescheidingen in de ondernemingen alsook op de mogelijkheid in hoofde van het management om daadwerkelijk operationele controles uit te voeren. 

Indien een bestaande beheersmaatregel niet meer kan worden uitgevoerd, zal het management op zoek dienen te gaan naar alternatieve adequate controles die het gebrek aan informatie kunnen compenseren.

c) Autorisatieprocedures kunnen worden gehypothekeerd

Omwille van de impact van COVID-19 zouden ondernemingen mogelijks nieuwe interne beheersmaatregelen moeten implementeren of bestaande controles dienen aan te aanpassen.  Als gevolg van gewijzigde IT-toegangen voor telewerkers kunnen nieuwe autorisatieprocedures worden ingevoerd of herzien. 

d) Managementinformatie, noodzakelijk voor de aansturing van de onderneming, kan (tijdelijk) ontbreken

Ondernemingen moeten eveneens de mogelijkheid in hoofde van het management nagaan om financiële verslaggevingsprocessen af te ronden en financiële overzichten op een regelmatige basis op te stellen. Vertraging bij het afsluiten van onderliggende financiële gegevens kan mogelijks fouten in de  financiële overzichten met zich meebrengen en het gebruik van nieuwe of aangepaste controles noodzakelijk maken om het verhoogde risico op potentiële fouten in de financiële overzichten te compenseren. 

ISA 315 behandelt de verantwoordelijkheid van de auditor voor het identificeren en inschatten van de risico's op een afwijking van materieel belang in de financiële overzichten door het verwerven van inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing. De doelstelling van de auditor is het identificeren en inschatten van de risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en beweringen als gevolg van fraude of van fouten, door inzicht te verwerven in de entiteit en haar omgeving, met inbegrip van haar interne beheersing, zodat een basis wordt verkregen voor het opzetten en implementeren van manieren om op de ingeschatte
risico's op een afwijking van materieel belang in te spelen.

De auditor zal moeten rekening houden met het gewijzigd risicoprofiel en gebeurlijk zijn controle-benadering hieraan moeten aanpassen.

De verhoogd afhankelijkheid van IT-toepassingen impliceert eveneens een aantal risico’s. Zo zal de robuustheid van de infrastructuur worden getest, zullen ad hoc-oplossingen mogelijk ongewenste gevolgen hebben voor de IT-infrastructuur, zal het toegenomen gebruik de capaciteit van het systeem op de proef stellen.

1.2. Impact op het risico op fraude

In de context van het risicio op fraude dringt ISA 240 vooreerst aan op het feit dat de auditor gedurende de gehele controle een professioneel-kritische instelling dient te handhaven, rekening houdend met de mogelijkheid van een afwijking van materieel belang die het gevolg is van een fraude.

Het verhoogd frauderisico is het gevolg van:
a) Een mogelijk minder goed functionerende interne beheersing (cf. supra 1.1.)
b) Een verhoogd risico op frauduleuze balansvoorstelling, bv om een dalende winstgevendheid te maskeren of om convenanten te blijven respecteren.

Overeenkomstig ISA 240 moet de auditor in zijn controlebenadering op actieve wijze rekening houden met het frauderisico. Hij moet het risico op fraude inschatten.  Bovendien moet de Management override of controls als een belangrijk risico worden beschouwd en de ermee verbonden auditprocedures worden ingesteld.

Fraude is in ISA 240 van belang in de mate dat deze een afwijking van materieel belang in de financiële overzichten kan veroorzaken. Uitgaande van het onderscheid tussen fraude en fouten op basis van het al dan niet opzettelijke karakter van de handeling omschrijft ISA 240 fraude als “een opzettelijke handeling door een of meer leden van het management, met governance belaste personen, werknemers of derden, waarbij gebruik wordt gemaakt van misleiding teneinde een onrechtmatig of onwettig voordeel te verkrijgen”.

Twee soorten van afwijkingen in de financiële overzichten zijn voor de auditor van belang, namelijk afwijkingen die voortkomen uit frauduleuze financiële verslaggeving en afwijkingen die voortkomen uit de oneigenlijke toe-eigening van activa. 

De praktijk leert dat het van belang is bij het maken van risico-inschattingen om aandacht te besteden aan het bestaan van een gelegenheid om fraude te kunnen plegen (de gelegenheid maakt de dief), aan het bestaan van druk (bijvoorbeeld targets) en aan de mogelijkheid dat personen binnen de organisatie een eventuele fraude voor zichzelf kunnen verantwoorden (bijvoorbeeld de bedrijfscultuur). Het risico van fraude blijkt te verkleinen als organisaties voldoende tijd en energie besteden aan deze drie invalshoeken, die de samenstellende delen zijn van de zogenaamde “fraudedriehoek”. De fraudedriehoek maakt fraudeoorzaken en gelegenheidsstructuren zichtbaar. De elementen druk, gelegenheid en rationalisatie op zich zijn geen indicator voor fraude. Echter, daar waar er twee of drie elementen aanwezig zijn, is sprake van een verhoogd frauderisico.

Zoals het gezegde luidt: de gelegenheid maakt de dief. Het is de taak van de organisatie om, zo veel als redelijk mogelijk is, maatregelen te nemen die fraude tegengaan of opsporen. Hierbij kan men denken aan duidelijke regels, procedures en verantwoordelijkheden, functiescheiding, beheer van voorraad en gelden, interne beheersing door of namens de leiding en een melding- en rapportagesysteem inzake fraudesignalen.

Fraude krijgt echter meer kans binnen een zwakke interne beheersingsomgeving. Interne beheersing speelt immers voornamelijk in op de pijler “gelegenheid” van de zgn. fraudedriehoek, of anders gezegd het ontbreken van een performant net van interne beheersingsmaatregelen biedt de mogelijkheid om de entiteit (op een geraffineerde wijze) te bedriegen.

Het moge duidelijk zijn dat de COVID-19 pandemie een uitzonderlijk situatie is die de regels, procedures en maatregelen (bv. inzake interne beheersing) onder druk zet en aldus de gelegenheid creëert die de dief kan maken. De nodige waakzaamheid is geboden! 

2. De limieten van een audit vanop afstand

Een audit vanop afstand is een audit die wordt uitgevoerd, zonder dat de inhoud van de audit afwijkt van een traditionele audit ter plaatse. Via een beveiligde digitale omgeving en met behulp van de juiste audiovisuele middelen wordt er geauditeerd. Interviews worden online afgenomen en de inzage van documenten en processen gebeurt ook online. Tijdens de audit worden documenten beoordeeld en vindt er, waar mogelijk, een rondgang door het bedrijf plaats via bijvoorbeeld Skype, FaceTime of WhatsApp. De audit vanop afstand moet inhoudelijk precies hetzelfde zijn als een fysieke audit. Het is aan de auditor om zoveel mogelijk online te kunnen zien om het managementsysteem objectief en goed te beoordelen.

Dit houdt in dat procedures, instructies, facturen, overeenkomsten, transacties, enz. per mail of via een digitaal platform aan de auditor moeten worden bezorgd. De auditwerkzaamheden kunnen telefonisch/via mail/via Skype of via een combinatie van deze gebeuren. De auditor geeft op basis van zijn auditprogramma aan welke afdelingen, gemachtigden en aangestelden hij online wil bezoeken en interviewen.

De mogelijkheid om een audit vanop afstand uit te voeren mits inschakeling van technische oplossingen, dient beoordeeld te worden door de auditor in functie van onder andere:

- de kenmerken van de te controleren onderneming;
- de beschikbare infrastructuur, zowel bij auditor als bij de gecontroleerde;
- het impact dat de reden om een audit op afstand uit te voeren, heeft op de organisatie van de gecontroleerde;
- de fase waarin de audit zich bevindt.
- de samenstelling van het auditteam. Zo mag worden verwacht dat meer ervaren medewerkers voor deze manier van werken vereist zijn.

In het kader van een audit vanop afstand zijn de werkzaamheden van ISA 240, paragraaf 13 in het bijzonder relevant: “De auditor mag de vastleggingen en documenten als authentiek aanvaarden, tenzij hij aanwijzingen heeft om het tegendeel te denken. Als de auditor op grond van omstandigheden die hij tijdens de controle heeft vastgesteld van mening is dat een document mogelijk niet authentiek is of dat de in een document vastgelegde voorwaarden zijn gewijzigd maar hem niet ter kennis zijn gebracht, dient hij aanvullend onderzoek te verrichten.”

Een audit vanop afstand houdt een aantal praktische uitdagingen in.  

Enerzijds is de coördinatie van de controlewerkzaamheden een uitdaging op zich. Het is immers niet altijd mogelijk om alle onderdelen vanop afstand te auditeren. Op een productielocatie bijvoorbeeld zal de auditor altijd fysiek de organisatie moeten blijven bezoeken. In dit geval wordt een deel op afstand gedaan en de rest van de audittijd gebeurt op locatie. Men blijft ook steeds afhankelijk van de technologie, zoals de beschikbaarheid van het internet, de stabiliteit van externe netwerken. De beschikbaarheid van audiovisuele middelen kan een kwetsbaar aandachtspunt zijn.

Anderzijds zal een dergelijke audit voordelen bieden op het vlak van de documentatie van de uitgevoerde werkzaamheden: de elektronische uitwisseling van informatie houdt op zichzelf reeds een begin van documentatie in.