17 januari 2017

Op basis van de ontvangen vaststellingen tijdens de uitgevoerde confraternele nazichten tijdens het afgelopen jaar op de kantoordossiers werd een aandachtspunt naar voor gebracht met betrekking tot de uitgevoerde procedure van de confirmaties naar cliënten/leveranciers/banken, enz.

 

In de leidraden van de controle staan deze vraagstellingen als volgt geformuleerd:

 

93

Verliep de procedure tot verzending van de brieven en de herinneringen via de bedrijfsrevisor (en dus niet via de klant)?

94

Werden de antwoorden op de confirmatiebrieven naar de bedrijfsrevisor verstuurd (en niet naar de klant)?

95

Werden afdoende alternatieve procedures toegepast voor de niet ontvangen antwoorden?

 

Hierbij stelt zich de vraag naar een aanvaarde en “werkbare” werkwijze voor het versturen van de confirmaties in de toekomst.


Men overweegt eventueel, de volgende procedure te volgen met betrekking tot de controles van volgend boekjaar:

  1. de auditcliënt verstuurt de saldobevestigingen per mail – met het auditkantoor in cc – naar de geadresseerde cliënt/leverancier. Er wordt hierbij uitdrukkelijk verzocht aan ons mailadres te antwoorden.

  2. Voor diegene (klanten/leveranciers van de geauditeerde) die niet antwoorden binnen de voorzien termijn, wordt een rappelprocedure voorzien die uitsluitend door het auditkantoor wordt uitgevoerd, opnieuw per mail. Voor diegenen waar men geconfronteerd wordt met een “onbestelbaar mailadres”, worden deze door het auditkantoor per gewone brief op de post gedaan. Indien men op deze brieven geen antwoord ontvangt, worden de alternatieve procedures toegepast.

Gezien deze werkwijze niet geheel in lijn ligt met de filosofie van de vraagstelling in de leidraden, stelt men zich de vraag of deze kan worden aanvaard als een “best practice”.

  1. ISA 505 [1] behandelt het gebruik door de commissaris van werkzaamheden inzake externe bevestiging om controle-informatie te verkrijgen in overeenstemming met de vereisten van ISA 330 en ISA 500. Deze ISA is bedoeld om de commissaris te helpen bij het opzetten en uitvoeren van werkzaamheden inzake externe bevestigingen teneinde relevante en betrouwbare controle-informatie te verkrijgen.
    Paragraaf A12 van ISA 505 poneert een aantal voorwaarden die moeten worden vervuld opdat e-mail kan worden gebruikt voor een confirmatie-procedure: “A12. Aan elektronisch, bijvoorbeeld via fax of e-mail, ontvangen reacties zijn betrouwbaarheidsrisico’s verbonden omdat bewijs van herkomst en bevoegdheid van de bevestigende partij moeilijk vast te stellen en wijzigingen moeilijk te ontdekken kunnen zijn. Deze risico’s kunnen worden beperkt doordat de auditor en de bevestigende partij een procedure gaan volgen waarmee een beveiligde omgeving voor het elektronisch zenden van reacties wordt gecreëerd. Indien de auditor ervan overtuigd is dat die procedure veilig is en naar behoren wordt beheerst, worden de desbetreffende reacties betrouwbaarder. Bij een procedure van elektronische bevestiging kunnen verschillende technieken voor het valideren van de identiteit van de afzender van elektronische informatie worden toegepast, bijvoorbeeld encryptie, digitale handtekeningen en procedures om de authenticiteit van websites te verifiëren.”

    Hieruit volgt dat er adequate beveiligingsmaatregelen dienen te worden uitgewerkt.
  2. Het ICCI wenst te benadrukken dat er in België op dit vlak momenteel geen gebruikerservaring voorhanden is.
  3. Er bestaan service providers (bv confirmation.com in de VS) die een oplossing bieden voor de beveiligingsproblemen verbonden aan e-mails door de confirmatieprocedure.
[1] ISA 505 is integraal raadpleegbaar op de website van het IBR.

______________________________

Disclaimer: Hoewel het Informatiecentrum voor het Bedrijfsrevisoraat (ICCI) met de grootste zorgvuldigheid de ontvangen vragen behandelt en hiervoor beroep doet op personen met de vereiste bekwaamheden, wordt ten aanzien van de antwoorden geen enkele garantie geboden en draagt het geen enkele contractuele en buitencontractuele aansprakelijkheid voor de eventuele schade die zou kunnen voortvloeien uit feitelijke of juridische vergissingen die werden begaan in het kader van de verstrekte antwoorden en informatie. Het antwoord wordt alleen in de taal van de vraagsteller overgenomen. De lezer en in het algemeen de gebruiker van dit antwoord blijft als enige verantwoordelijk voor het gebruik daarvan.