Tool - Risicogerichte controleaanpak in diverse sectoren

9 november 2017

De Commissie SME/SMP van het Instituut van de Bedrijfsrevisoren en meer in het bijzonder de werkgroep ISA en ISQC 1, die van deze commissie afhangt, streven ernaar om de bedrijfsrevisoren praktische en pragmatische tools ter beschikking te stellen voor het uitvoeren en beheersen van de werkzaamheden zoals vereist door het in België van toepassing zijnd normatief kader inzake audit.

In dit verband heeft de werkgroep ISA en ISQC 1 onderzocht of het mogelijk was om diverse vereisten van ISA 315 “Risico’s op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving” concreet gestalte te geven in een eenvoudige tool en daarbij tegelijkertijd de mogelijkheid te bieden om in te spelen op de geïdentificeerde risico's overeenkomstig ISA 330 “Inspelen door de auditor op ingeschatte risico’s”.

De werkgroep ISA en ISQC 1 is samengesteld uit: Inge Saeys (Voorzitster), Chantal Bollen, Freddy Caluwaerts, Noëlle Lucas, Christophe Remon, Jean-Benoît Ronse De Craene, Jan Smits, Jan Van Brabant en Jacques Vandernoot, bijgestaan door Stéphanie Quintart.

Aan de hand van de ontwikkelde tool kunnen verschillende controlestappen worden gedocumenteerd. De eerste controlestap beoogt het identificeren en inschatten van de aan de entiteit inherente risico's, ongeacht haar interne controlemaatregelen, op het niveau van de specifieke beweringen voor elk van deze risico's. Na het inschatten van de inherente risico’s beoogt de tweede controlestap de wenselijke interne controlemaatregelen te specificeren die erop gericht zijn de geïdentificeerde risico's te beperken.  De derde controlestap maakt het mogelijk om de door de entiteit daadwerkelijk ingestelde en voor de controle relevante interne controlemaatregelen, alsook de beoordeling van de werking ervan te documenteren. Afhankelijk van het residueel risico bestaat de vierde stap erin om de manier van inspelen door de auditor op het risico te formaliseren teneinde voldoende en geschikte controle-informatie te verkrijgen en zo de ingeschatte risico's op een afwijking van materieel belang te dekken.

Deze tool biedt ook het voordeel dat de aandacht wordt gevestigd op verschillende inherente risico's en interne controlemaatregelen die specifiek zijn voor verschillende sectoren waardoor de bedrijfsrevisor zich beter kan richten op de meest voorkomende risico’s.

In het kader van het inzicht te verwerven in de entiteit en haar omgeving, alsook in haar interne beheersing laat deze tool toe de volgende kernelementen te documenteren[1]:

• de belangrijke elementen van het verworven inzicht in (ISA 315, par. 32 (b)):

(a)    de relevante sectorspecifieke factoren, regelgeving en andere externe factoren, met inbegrip van het van toepassing zijnde stelsel inzake financiële verslaggeving;

(b)   de aard van de entiteit, met inbegrip van:

(i)                  haar activiteiten;

(ii)                haar eigendoms- en governancestructuur;

(iii)               de soorten investeringen die de entiteit doet en voornemens is te doen, met inbegrip van investeringen in voor een bijzonder doel opgerichte entiteiten;

(iv)              de wijze waarop de entiteit is gestructureerd en wordt gefinancierd;

(c)    De keuze en toepassing door de entiteit van grondslagen voor financiële verslaggeving, met inbegrip van de redenen voor wijzigingen in die grondslagen;

(d)   de doelstellingen en strategieën van de entiteit alsmede de daarmee verband houdende bedrijfsrisico's die tot risico's op een afwijking van materieel belang kunnen leiden;

(e)   de wijze waarop de entiteit haar financiële prestaties meet en beoordeelt;

(f)     interne beheersing, met inbegrip van

(i)                  De interne beheersingsomgeving;

(ii)                Het risico-inschattingsproces van de entiteit;

(iii)               Het voor de financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarmee verband houdende bedrijfsprocessen, en de communicatie;

(iv)              de interne beheersingsactiviteiten die relevant zijn voor de controle;

(v)                de monitoring van interne beheersingsmaatregelen;

• de informatiebronnen waaruit dat inzicht werd verkregen (ISA 315, par. 32 (b));
• de uitgevoerde risico-inschattingswerkzaamheden. Deze dienen het volgende te bevatten (ISA 315, 32 (b) en 6):

(a)    het verzoeken om inlichtingen bij het management en bij anderen binnen de entiteit die op grond van de oordeelsvorming van de auditor mogelijk beschikken over informatie die waarschijnlijk een hulpmiddel kan zijn bij het identificeren van risico's op een afwijking van materieel belang die het gevolg is van fraude of van fouten;

(b)   cijferanalyses;

(c)    waarneming en inspectie.

• Risico's op een afwijking van materieel belang inschatten en, in het bijzonder, deze verbonden aan fraude, zijnde:

• de bespreking tussen de leden van het opdrachtteam betreffende de mogelijkheid dat de financiële overzichten van de entiteit een afwijking van materieel belang bevatten die het gevolg is van fraude of van fouten, betreffende de toepassing van het van toepassing zijnde stelsel inzake financiële verslaggeving op de feiten en omstandigheden van de entiteit, en betreffende de significante beslissingen die zijn genomen (ISA 315 , par. 32 (a);
• de geïdentificeerde en ingeschatte risico's op een afwijking van materieel belang zowel op het niveau van de financiële overzichten als van beweringen die het gevolg is van fraude of van fouten (ISA 315 , par. 32 (c) en ISA 240, par. 44 (b);
• de geïdentificeerde significante risico's, zo er zijn, en daarmee verband houdende interne beheersingsmaatregelen waarin de bedrijfsrevisor inzicht heeft verworven, die zijn geïdentificeerd als gevolg (ISA 315 , par. 32 (d);
• de risico's, en daarmee verband houdende ingeschatte interne beheersingsmaatregelen, daar waar het niet mogelijk of praktisch uitvoerbaar is voldoende, en geschikte controle-informatie te verkrijgen door middel van gegevensgerichte controles alleen;
• Als de bedrijfsrevisor tot de conclusie is gekomen dat er geen significant risico bestaat dat het gevolg is van fraude met betrekking tot de verantwoording van opbrengsten, de redenen voor deze conclusie (ISA 240, par. 47);

• de algehele manieren en specifieke werkzaamheden:

• de algehele manieren om op de ingeschatte risico's op een afwijking van materieel belang die het gevolg is van fraude of van fouten op het niveau van de financiële overzichten in te spelen, alsmede de aard, timing en omvang van de verdere controlewerkzaamheden die zijn uitgevoerd (ISA 330, par. 28 (a) et ISA 240, par. 45 (a));
• de samenhang van deze werkzaamheden met de ingeschatte risico’s op het niveau van beweringen die het gevolg is van fraude of van fouten (ISA 330, par. 28 (a) et (b) et ISA 240, par. 45 (a));
• Indien de bedrijfsrevisor voornemens is gebruik te maken van bij vorige controles verkregen controle-informatie over de effectieve werking van interne beheersingsmaatregelen, dient hij de bereikte conclusies betreffende het steunen op dergelijke in het kader van een voorgaande controle getoetste maatregelen te documenteren (ISA 330, par. 29);

• de uitkomsten, en de conclusies wanneer deze niet anderszins duidelijk zijn, van de controlewerkzaamheden, met inbegrip deze opgezet om in te spelen op het risico van doorbreken van de interne beheersingsmaatregelen door het management (ISA 330, par. 28 (c) et ISA 240 par. 45 (b);
• Het feit dat duidelijk aantoont dat de financiële overzichten in overeenstemming zijn met of aansluiten op de onderliggende administratieve vastleggingen (SA 330, par. 30).

Op elke kolom kan een filter worden toegepast waardoor het gebruik van de tool zoveel mogelijk kan worden afgestemd door het selecteren van de verschillende sectoren (zorg er echter wel voor dat altijd de sector “Algemeen” wordt geselecteerd), de risico's en andere elementen die het gebruik kunnen vergemakkelijken.

Voor elke activiteit werd ook ruimte gelaten om de bedrijfsrevisor de mogelijkheid te bieden andere tijdens zijn controle vastgestelde specifieke risico's te integreren en zijn manier van inspelen op deze risico’s te formaliseren.

Ten slotte moet worden beklemtoond dat deze tool louter illustratief is en geenszins de ISA’s zelf en het vereiste inzicht daarin vervangt. Door deze tool te gebruiken op basis van zijn professionele oordeelsvorming is de bedrijfsrevisor als enige hiervoor verantwoordelijk.