11 december 2012

Dienen de interne controles m.b.t. een significant risico jaarlijks te worden getest indien de noodzakelijke basisvoorwaarden om te kunnen steunen op de interne controle niet vervuld zijn in onderstaand geval?

 

Uit de ISA-opleiding voor kleine en middelgrote ondernemingen heeft men begrepen dat voor alle vastgestelde significante risico's, de daarop door de onderneming ingevoerde interne controles jaarlijks, middels over het jaar gespreide steekproef, dienen te worden geëvalueerd.

Wat indien de onderneming weliswaar degelijke interne controles terzake heeft ingevoerd doch er, of een belangrijk gebrek aan functiescheiding bestaat (er is slechts één administratief bediende) en/of er te weinig controlesporen zijn, en/of er te weinig documenten in omloop zijn. We kunnen dan wel vaststellen dat de interne controles bestaan en ook daadwerkelijk worden uitgevoerd door deskundig en controlebewust personeel doch we kunnen er (wellicht) niet op steunen bij gebreke aan functiescheiding/controlesporen/documenten.


Vooreerst wenst het ICCI te benadrukken dat de basisconcepten van risico-analyse en controleaanpak teneinde de geïdentificeerde risico’s af te dekken niet fundamenteel zijn veranderd met de invoering van de ISA’s. De ISA’s hebben deze concepten hoogstens in meer detail uiteengezet. Bijgevolg, indien de vroegere controleaanpak conform was met de algemene controlenormen, zal men geen belangrijke wijzigingen moeten doorvoeren teneinde in overeenstemming te zijn met de ISA’s.

 

Conform paragraaf 26 van ISA 315 (Risico’s op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving) dient de auditor:

(a)  risico’s te identificeren...;

(b)  de geïdentificeerde risico’s in te schatten en te evalueren...;

(c)  de geïdentificeerde risico’s te relateren aan wat op het niveau van beweringen verkeerd kan gaan, rekening houdend met de relevante interne beheersingsmaatregelen die de auditor voornemens is te toetsen; en

(d)  de waarschijnlijkheid van een afwijking in aanmerking te nemen, met inbegrip van de mogelijkheid van meerdere afwijkingen, en te overwegen of de mogelijke afwijking van een orde van grootte is dat ze tot een afwijking van materieel belang zou kunnen leiden.”

 

Conform ISA 330 (Inspelen door de auditor op ingeschatte risico’s) is het doel van de auditor “het verkrijgen van voldoende en geschikte controle-informatie over de ingeschatte risico’s op een afwijking van materieel belang door middel van het opzetten en implementeren van geschikte manieren om op deze risico’s in te spelen.” [1].

 

In de vraag stelt men dat voor alle vastgestelde significante risico’s, de daarop door de onderneming ingevoerde interne controles jaarlijks, middels over het jaar gespreide steekproef, dienen te worden geëvalueerd.

 

Indien men met deze stelling bedoelt dat men voor alle significante risico’s toetsingen van interne beheersingsmaatregelen (tests of controls) dient te verrichten, is deze bewering niet (of slechts gedeeltelijk) waar. De auditor dient immers “algehele manieren op te zetten en te implementeren om op de ingeschatte risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten in te spelen.” [2]. De auditor dient de meest effectieve en efficiënte combinatie van werkzaamheden te kiezen om zijn controlerisico tot een aanvaardbaar niveau te herleiden. Hierbij heeft hij de keuze tussen de volgende werkzaamheden :

 

(a)  gegevensgerichte controle (substantive procedure) – een controlemaatregel die is opgezet om afwijkingen van materieel belang op het niveau van beweringen te detecteren. Gegevensgerichte controles bestaan uit (i) detailcontroles (tests of detail) (van transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen); en (ii) gegevensgerichte cijferanalyses (substantive analytical procedures).

(b)  toetsingen van interne beheersingsmaatregelen (tests of controls) – een controlemaatregel die is opgezet om de effectieve werking te evalueren van interne beheersingsmaatregelen gericht op het voorkomen of het detecteren en corrigeren van een afwijking van materieel belang op het niveau van beweringen. [3].

 

De auditor zal dus enkel toetsingen van interne beheersingsmaatregelen moeten verrichten indien dit de meest effectieve en efficiënte manier is om zijn auditrisico af te dekken.

 

Men schetst een situatie waarin een onderneming degelijke interne controles heeft ingevoerd maar er bestaat een belangrijk gebrek aan functiescheiding (slechts één administratief bediende), en/of er zijn te weinig controlesporen en/of te weinig documenten in omloop. Hierbij stelt men het ICCI de vraag of in zulke situatie de interne controles met betrekking tot een significant risico [4] getest dienen te worden indien de noodzakelijke basisvoorwaarden (functiescheiding, controlesporen, documenten) om te kunnen steunen op de interne controle niet vervuld zijn.

 

Het concrete antwoord op dit soort vragen blijft een kwestie van de professionele oordeelsvorming van de auditor en kan niet door het ICCI worden gegeven. Het ICCI kan enkel algemeen advies geven, gebaseerd op de beperkte naar voor gebrachte feiten.

 

Paragraaf 9 van ISA 330 stipuleert het volgende: “Bij het opzetten en uitvoeren van systeemgerichte controles dient de auditor overtuigender controle-informatie te verkrijgen naarmate hij in sterkere mate wil steunen op de effectiviteit van een interne beheersingsmaatregel.” Deze tekst toont aan dat het gezochte betrouwbaarheidsniveau van een interne beheersingsmaatregel zal variëren naargelang de belangrijkheid van het geïdentificeerde risico en de mogelijkheid om andere controlemaatregelen (substantive procedures en analytical procedures) uit te voeren.

 

Paragraaf A18 van ISA 330 vermeldt enerzijds het volgende: “Bij zeer kleine entiteiten kunnen mogelijk niet veel beheersingsactiviteiten door de auditor worden geïdentificeerd, of kan de door de entiteit vastgelegde documentatie daarvan beperkt zijn. Daarom kan het efficiënter zijn dat de auditor verdere controlewerkzaamheden uitvoert die hoofdzakelijk bestaan uit gegevensgerichte controles.  In sommige zeldzame gevallen maakt het ontbreken van interne beheersingsactiviteiten of van andere componenten van interne beheersing het onmogelijk om voldoende en geschikte controle-informatie te verkrijgen.

 

Anderzijds bepaalt paragraaf A22 van ISA 330: “Bovendien, kunnen sommige werkzaamheden met betrekking tot het inschatten van risico’s, hoewel deze niet specifiek als toetsingen van interne beheersingsmaatregelen zijn opgezet, toch controle-informatie verschaffen over de effectieve werking van de interne beheersingsmaatregelen en daarom toch als toetsingen van interne beheersingsmaatregelen worden gebruikt.  Zo kunnen de werkzaamheden voor de risico-inschatting van de auditor bestaan uit:

  • het verzoeken om inlichtingen over de wijze waarop het management van begrotingen gebruik maakt;
  • het waarnemen van de door het management gemaakte vergelijking van begrote en gerealiseerde lasten;
  • het inspecteren van de verslagen van het onderzoek naar de verschillen tussen de begrote en de gerealiseerde bedragen.

Deze controlewerkzaamheden verschaffen informatie met betrekking tot de opzet van de begrotingsprocedures van de entiteit en de vraag of deze zijn ingevoerd, maar kunnen ook controle-informatie opleveren over de effectiviteit van de werking van begrotingsprocedures bij het voorkomen of detecteren van afwijkingen van materieel belang in de rubricering van lasten.

 

Deze bepalingen betekenen dat, zelfs indien de auditor niet in staat is te steunen op interne beheersingsmaatregelen in de enge zin omwille van bepaalde inherente zwakheden (gebrek aan functiescheiding, controlesporen en/of documenten), er in vele gevallen alternatieven aanwezig zijn om de controle-objectieven te bereiken.

 

Specifiek voor de audit van kleine entiteiten voorzien de paragrafen A49 en A50 van ISA 315: “Kleinere entiteiten hebben vaak minder werknemers, waardoor de mate waarin functiescheiding uitvoerbaar is beperkt kan zijn. Het is echter mogelijk dat in een kleine door de eigenaar bestuurde entiteit de eigenaar-bestuurder op effectievere wijze toezicht kan uitoefenen dan bij een grotere entiteit mogelijk is. Dit toezicht kan de doorgaans beperktere mogelijkheden voor functiescheiding compenseren.” “Anderzijds is de eigenaar-bestuurder mogelijk beter in staat om interne beheersingsmaatregelen te doorbreken omdat het systeem van interne beheersing minder gestructureerd is. De auditor houdt hier rekening mee bij het identificeren van risico's op een afwijking van materieel belang die het gevolg is van fraude.”.

 

Het bekomen van controle-informatie in kleinere entiteiten is bovendien niet altijd beschikbaar in de vorm van documenten. De houding, kennis en handelingen van het management of de eigenaar-bestuurder zijn van bijzonder belang voor het inzicht van de auditor in de interne beheersingsomgeving van een kleinere entiteit [5].

 

Tenslotte wenst het ICCI eraan te herinneren dat men steeds kan beroep doen op een ISA-coach aanbevolen door het Instituut van de Bedrijfsrevisoren.



[1] ISA 330, par 3.

[2] ISA 330, par. 5.

[3] ISA 330, par. 4.

[4] In uw vraagstelling voegt u hier het woord “jaarlijks” toe. Wij wensen te benadrukken dat de auditor zijn risico-analyse elk jaar dient te herhalen. Voor elk significant risico dient de auditor elk jaar de combinatie van controlewerkzaamheden te kiezen die het best het risico afdekt. Indien de auditor besluit dat toetsingen van de interne beheersingsmaatregelen nodig zijn, zal hij deze moeten uitvoeren en zal hij niet kunnen steunen op toetsingen die in een vorig boekjaar zijn uitgevoerd.

[5] ISA 315, par. A77 en A78.