Interne beheersing

Vanuit standaard 315 volgt dat de accountant inzicht moet verkrijgen in de interne beheersing. Dit is relevant voor:

  • Maatregelen op een significant risico.
  • Maatregelen op een risico waarvoor alleen gegevensgerichte werkzaamheden niet voldoende zijn.
  • Maatregelen die volgens de accountant relevant zijn voor de controle.

 

Interne beheersing

Maatregelen

De accountant verzamelt voor zijn risico-inschatting kennis omtrent de interne beheersing. De analyse bestaat uit:

  1. Interne beheersomgeving.
  2. Proces van risico-inschatting.
  3. Informatiesystemen.
  4. Interne beheersingsactiviteiten.
  5. Monitoring van de interne beheersmaatregelen

Interne beheersing

Interne beheersomgeving

De interne beheersing zijn de processen binnen de organisatie. Deze processen zijn ontwikkeld door de directie, toezichthouders of medewerkers met als doel om zekerheid te verkrijgen over het realiseren van de doelstellingen van de organisatie. Het gaat om betrouwbare verslaggeving maar ook om niet financiële informatie benodigd om de organisatie te beheersen (in control).

 

De interne beheersingsmaatregelen zijn gericht op het realiseren van de doelen van de organisatie. Deze maatregelen kunnen gericht zijn op verslaggeving, wet- en regelgeving, bedrijfsvoering, etc.

 

Interne beheersmaatregelen zijn zowel financieel als niet-financieel. Voorbeelden:  camera’s om diefstal te voorkomen, dagelijks onder 4 ogen de kassa tellen (kasprocedure), toezicht in een restaurant op de klanten en medewerkers, toegangspoorten > scannen van een ticket).

De accountant kan bepaalde interne beheersmaatregelen toetsen en dient vast te stellen: Wie de maatregel doet, waarom de maatregel plaatsvindt, hoe de maatregel wordt uitgevoerd, waarmee de maatregel wordt uitgevoerd en met welk doel.

Risico-inschatting

Bij organisaties die in omvang toenemen is er meestal een proces omtrent risico-inschatting. De accountant bespreekt het proces en de uitkomsten. Overigens bespreekt hij ook zijn eigen geïdentificeerde risico’s. Relevant zijn uiteraard de verschillen.

Informatiesystemen

De accountant brengt de informatiesystemen in kaart die een impact hebben op de jaarrekening (financiële administratie, salarisadministratie, ERP pakketten, etc).

Interne beheersingsactiviteiten

De interne beheersingsactiviteiten zijn randvoorwaardelijk voor de interne beheersing. Het zorgt ervoor dat instructies van de directie worden uitgevoerd (door richtlijnen en procedures).

Functiescheidingen, autorisaties of een systeem van identificatie en authenticatie bij een bepaald systeem. Deze activiteiten dragen bij aan een effectieve werking van de interne beheersmaatregelen.

Monitoring van de interne beheersmaatregelen

Van belang is dat er continu toezicht is op de interne beheersmaatregelen. Zowel de tijdige uitvoering als kwaliteit is van belang. 

Interne beheersing en de risico-inschatting

De interne beheersing is niet in staat om altijd alle risico's met een afwijking van materieel wegnemen. Er zijn omstandigheden zoals kwaliteit van toezicht of kwalificaties van medewerkers, waardoor de interne beheersing beperkingen kan hebben. De accountant kan tot de conclusie komen dat er mogelijk onvoldoende controle-informatie verkregen kan worden. De accountant moet overwegen of er een controleverklaring met beperking of controleverklaring van oordeelonthouding afgegeven moet worden. 

De risico-inschatting moet toezien op bepaalde transactiestromen, jaarrekeningposten en toelichtingen (voor zover van toepassing) of de jaarrekening als geheel.

Risico’s op jaarrekeningniveau kunnen gevolg zijn van een zwakke interne beheersing. 

Beweringen en beheersmaatregelen

Er dient vastgesteld te worden in hoeverre de interne beheersing bepaalde risico’s en met bepaalde beweringen (verder detail van het risico) voorkomen, ontdekken of herstellen. 

Er is een indirect of direct verband mogelijk bij beheersmaatregelen.

Voorbeeld indirect: Een rapportage per vestiging van de week omzet.

Voorbeeld direct: Een sluitende geld- en goederenbeweging van de verkopen per week en per vestiging, inclusief aansluitingen met brondocumentatie,

Bij het vaststellen van de volledigheid van de opbrengstverantwoording is de indirecte maatregel (waarschijnlijk) minder effectief dan de sluitende geld- en goederenbeweging.

Accountantscontrole en interne beheersing

Bij de accountantscontrole wordt per proces een inschatting gemaakt van de interne beheersing die voor de controle van belang zijn.

  • De interne beheersingsomgeving.
  • De transactie verwerkende processen, die leiden tot jaarrekeningposten.
  • De mate dat deze processen voldoen aan de beheersingscriteria.
  • Onderscheid tussen preventieve maatregelen en detectieve (ontdekkend) maatregelen. 

Preventieve maatregelen kunnen vastgesteld worden door sporen in de registraties, zoals parafen, autorisaties etc).

Detectieve maatregelen zijn ook zichtbaar door correcties.

Key controls: de maatregelen die voor de controle van belang zijn.

De accountant moet verplicht de opzet en het bestaan van interne beheersmaatregelen vaststellen die betrekking hebben op de significante risico’s.

Deze verplichting is er ook als de accountant niet wil steunen op de interne beheersing voor de controle. Indien de significante risico’s onvoldoende maatregelen bevatten, dan moet er gerapporteerd worden (conform Standaard 265).

Vanuit de risico-inschatting volgt het controleplan. In het controleplan staan de controlewerkzaamheden uitgewerkt. Door middel van voldoende en geschikte controle-informatie (zie volgend hoofdstuk) kan het accountantscontrolerisico tot een aanvaardbaar laag niveau gereduceerd worden. Dit kan met systeemgerichte en gegevensgerichte werkzaamheden uitgevoerd worden.

Systeemgerichte werkzaamheden

Van belang is dat er continu toezicht is op de interne beheersmaatregelen. Zowel de tijdige uitvoering als kwaliteit is van belang. 

Gegevensgerichte werkzaamheden

Gegevensgerichte werkzaamheden: zoals steekproeven, deelwaarnemingen of cijferanalyses.

 

Vanuit de praktijk heeft er de afgelopen tien jaar bij veel accountantsorganisaties een verschuiving plaatsgevonden van minder systeemgerichte werkzaamheden naar meer gegevensgerichte werkzaamheden. De systeemgerichte werkzaamheden zijn in mindere mate te onderbouwen. Met een steekproefmodel een steekproef uitvoeren, is veel concreter (gegevensgericht).

Daarnaast kan de complexiteit van systeemgerichte werkzaamheden een grotere tijdsinzet vragen ten opzichte van gegevensgerichte werkzaamheden om tot hetzelfde doel te komen.

Boeken Auditing en Assurance

Grondslagen van auditing en assurance

Bestellen

De praktijk van auditing en assurance

Bestellen

Auditing en assurance bijzondere opdrachten

Bestellen