Persoonlijke analyse college 5
J. H. Blokdijk (2004): “Tests of Control in the Audit Risk Model:
Effective? Efficient?”
Inleiding
Blokdijk richt zich in dit artikel op het Audit Risk Model (hierna: ARM). De aanleiding hiervoor
is omdat in der tijd het ARM bekritiseerd werd. Door het ARM in relatie te brengen met de
werkelijkheid in de praktijk onderkent Blokdijk serieuze tekortkomingen, met name bij het
testen van de interne beheersing. Het onderzoek van Blokdijk doet in voorstel om het
controle proces te herstructureren.
Analyse
ARM is opgenomen in ISA 400 en is voornamelijk gebaseerd op het idee dat het
detectierisico van een accountant wordt beïnvloed door het inherente risico en het controle
risico. Blokdijk legt, net zoals in het artikel van Peecher, uit welke elementen voorkomen in
het ARM en wat deze betekenen. Even ter herhaling (uit het artikel van Peecher):
Audit Risk (AUR) = Inherent Risk (IR) x Control Risk (CR) x Detection Risk (DR)
- AUR = het risico dat de accountant een goedkeurende verklaring geeft terwijl de jaarrekening
materieel onjuist is;
- IR = het risico op een materiële fout omdat er geen interne beheersmaatregelen zijn genomen;
- CR = het risico dat er een materiële fout ontstaat die niet voorkomen, gedetecteerd of
gecorrigeerd wordt door interne beheersmaatregelen;
- DR = het risico dat materiële fouten (individueel of samen) niet worden gedetecteerd door de
accountant.
De onderzoeker legt uit dat de grootte van het detectie risico afhangt van de mate van
inherente risico’s en controlerisico’s. Waarbij IR en CR waarneembaar zijn bij de klant en het
detectierisico bij de accountant. Het inherente risico wordt bepaald door de omgeving en
aard van de activiteiten van de klant en de mate van het controle risico is puur afhankelijk
van hoe het management haar interne beheersing heeft ingericht. De accountant heeft geen
invloed op deze risico’s, maar moet op basis van deze risico’s inschatten hoeveel (aard,
timing reikwijdte) controlewerkzaamheden hij dient uit te voeren om het detectierisico zo
laag mogelijk te houden. Deze bestaan uit systeemgerichte en gegevensgerichte
werkzaamheden.
Gegevensgerichte controles bestaan uit detailcontroles en analytische procedures (of een
combinatie). Blokdijk onderscheid twee typen:
- Selectief; controleren van specifieke items (analytische procedures)
- Random; random selectie controleren (de inschatting van het inherente risico en
controle risico is zeer relevant voor de bepaling van de grootte van de steekproef
selectie)
Systeemgerichte werkzaamheden kunnen interne beheersmaatregelen op drie aspecten
controleren: opzet, bestaan en werking. Om de continuïteit van het bestaan te controleren
zegt Blokdijk dat een lijncontrole het meest effectief is. Volgens Blokdijk regelt de standaard
ISA 400 de beoordeling van het inherente risico, de opzet en het bestaan goed. Echter geldt
dit niet voor de werking van de interne beheersmaatregelen. Dit komt volgens Blokdijk naar
voren in het proces rondom het opmaken van de jaarrekening. Blokdijk onderscheid drie
fases:
1
, A. Het ontstaan van een gebeurtenis, welke leidt tot een eerste vastlegging in het
systeem (journaalposten). De interne beheersmaatregelen in deze fase zorgen
ervoor dat de werkelijkheid overeenkomt met wat er wordt vastgelegd, echter kan de
accountant niet reproduceren.
B. Verwerking van deze gegevens, welke resulteert in een saldi balans. De interne
beheersingsmaatregelen in deze fase zorgen ervoor dat gegevensverwerking correct
plaatsvind. De accountant kan deze beheersmaatregelen wel reproduceren, maar
het praktisch te tijds rovend om alle maatregelen te controleren in deze fase.
Vandaar dat in deze fase vaak gegevensgerichte werkzaamheden worden
uitgevoerd op specifieke items.
C. Aanpassingen en correcties die gedaan worden op deze saldibalans om tot een
balans en winst- en verliesrekening te komen (subjective judgement). In fase C zijn
nauwelijks interne beheersingsmaatregelen aan de orde, waardoor de accountant
overgaat op een gegevensgerichte aanpak. Dit is geen probleem om dat deze
aanpassingen en correcties niet veelvuldig voorkomen.
Er bestaan dus problemen bij de fase A en B. Controlebewijs in fase A bestaat normaal
gesproken uit bijvoorbeeld stempels, handtekeningen of initialen van een
bevoegde/specifieke medewerker. Blokdijk stelt echter de vraag of dit wel overtuigend
genoeg is. Dekt deze wijze van controleren menselijke fouten, samenspanning of
management override? Dit kan namelijk enkel bewerkstelligd worden als de accountant de
interne beheersmaatregelen kan reproduceren. Er zijn dus interne beheersmaatregelen die
niet reproduceerbaar zijn, deze worden door Blokdijk non-reproducible internal controls
genoemd.
De redenen waarom sommige, vaak de belangrijkste, interne beheersmaatregelen niet
reproduceerbaar zijn (fase A):
- Onvoldoende expertise: het is onmogelijk voor een accountant om alle expertise in
huis te hebben om een overtuigende conclusie te kunnen trekken over alle
gebeurtenissen die gereflecteerd worden in de jaarrekening.
- Beperkte aanwezigheid bij de klant: het is voor de accountant onmogelijk om altijd
aanwezig te zijn bij de klant om te waarborgen dat vastleggingen correct in de
administratie worden opgenomen (kosten/baten; gevaar voor onafhankelijkheid)
- Beperkte toelaatbare onderzoekstechnieken: de accountant mag bepaalde
onderzoeksmethodes (zoals camerabeelden bekijken of doorzoeking van gebouwen
etc.) die ervoor kunnen zorgen dat niet reproduceerbare interne beheersmaatregelen
gecontroleerd kunnen worden niet uitvoeren (ook bijv. door geheimhoudingsplicht).
Het ARM biedt dus geen oplossing voor het controleren van (onmisbare) niet
reproduceerbare interne beheersmaatregelen. Het gebrek aan regelgeving omtrent niet
reproduceerbare interne beheersmaatregelen kan niet worden opgelost door meer
gegevensgerichte werkzaamheden uit te voeren. Daarom stelt Blokdijk dat niet
reproduceerbare interne beheersmaatregelen niet meegenomen moeten worden in de risico
analyse bij de inschatting van het controle risico.
Fase B omvat het invoeren, sorteren en samenvoegen van journaalposten/transacties
resulterend in een saldibalans. De beheersmaatregelen omtrent het proces van data
verzameling kan de accountant wel reproduceren. Dit proces vindt namelijk geheel
geautomatiseerd plaats. De interne beheersmaatregelen zijn geïntegreerd in dit
geautomatiseerde proces (application- en general IT controls). Blokdijk dat elk systeem
tenminste over de volgende general IT controls moet beschikken:
2
J. H. Blokdijk (2004): “Tests of Control in the Audit Risk Model:
Effective? Efficient?”
Inleiding
Blokdijk richt zich in dit artikel op het Audit Risk Model (hierna: ARM). De aanleiding hiervoor
is omdat in der tijd het ARM bekritiseerd werd. Door het ARM in relatie te brengen met de
werkelijkheid in de praktijk onderkent Blokdijk serieuze tekortkomingen, met name bij het
testen van de interne beheersing. Het onderzoek van Blokdijk doet in voorstel om het
controle proces te herstructureren.
Analyse
ARM is opgenomen in ISA 400 en is voornamelijk gebaseerd op het idee dat het
detectierisico van een accountant wordt beïnvloed door het inherente risico en het controle
risico. Blokdijk legt, net zoals in het artikel van Peecher, uit welke elementen voorkomen in
het ARM en wat deze betekenen. Even ter herhaling (uit het artikel van Peecher):
Audit Risk (AUR) = Inherent Risk (IR) x Control Risk (CR) x Detection Risk (DR)
- AUR = het risico dat de accountant een goedkeurende verklaring geeft terwijl de jaarrekening
materieel onjuist is;
- IR = het risico op een materiële fout omdat er geen interne beheersmaatregelen zijn genomen;
- CR = het risico dat er een materiële fout ontstaat die niet voorkomen, gedetecteerd of
gecorrigeerd wordt door interne beheersmaatregelen;
- DR = het risico dat materiële fouten (individueel of samen) niet worden gedetecteerd door de
accountant.
De onderzoeker legt uit dat de grootte van het detectie risico afhangt van de mate van
inherente risico’s en controlerisico’s. Waarbij IR en CR waarneembaar zijn bij de klant en het
detectierisico bij de accountant. Het inherente risico wordt bepaald door de omgeving en
aard van de activiteiten van de klant en de mate van het controle risico is puur afhankelijk
van hoe het management haar interne beheersing heeft ingericht. De accountant heeft geen
invloed op deze risico’s, maar moet op basis van deze risico’s inschatten hoeveel (aard,
timing reikwijdte) controlewerkzaamheden hij dient uit te voeren om het detectierisico zo
laag mogelijk te houden. Deze bestaan uit systeemgerichte en gegevensgerichte
werkzaamheden.
Gegevensgerichte controles bestaan uit detailcontroles en analytische procedures (of een
combinatie). Blokdijk onderscheid twee typen:
- Selectief; controleren van specifieke items (analytische procedures)
- Random; random selectie controleren (de inschatting van het inherente risico en
controle risico is zeer relevant voor de bepaling van de grootte van de steekproef
selectie)
Systeemgerichte werkzaamheden kunnen interne beheersmaatregelen op drie aspecten
controleren: opzet, bestaan en werking. Om de continuïteit van het bestaan te controleren
zegt Blokdijk dat een lijncontrole het meest effectief is. Volgens Blokdijk regelt de standaard
ISA 400 de beoordeling van het inherente risico, de opzet en het bestaan goed. Echter geldt
dit niet voor de werking van de interne beheersmaatregelen. Dit komt volgens Blokdijk naar
voren in het proces rondom het opmaken van de jaarrekening. Blokdijk onderscheid drie
fases:
1
, A. Het ontstaan van een gebeurtenis, welke leidt tot een eerste vastlegging in het
systeem (journaalposten). De interne beheersmaatregelen in deze fase zorgen
ervoor dat de werkelijkheid overeenkomt met wat er wordt vastgelegd, echter kan de
accountant niet reproduceren.
B. Verwerking van deze gegevens, welke resulteert in een saldi balans. De interne
beheersingsmaatregelen in deze fase zorgen ervoor dat gegevensverwerking correct
plaatsvind. De accountant kan deze beheersmaatregelen wel reproduceren, maar
het praktisch te tijds rovend om alle maatregelen te controleren in deze fase.
Vandaar dat in deze fase vaak gegevensgerichte werkzaamheden worden
uitgevoerd op specifieke items.
C. Aanpassingen en correcties die gedaan worden op deze saldibalans om tot een
balans en winst- en verliesrekening te komen (subjective judgement). In fase C zijn
nauwelijks interne beheersingsmaatregelen aan de orde, waardoor de accountant
overgaat op een gegevensgerichte aanpak. Dit is geen probleem om dat deze
aanpassingen en correcties niet veelvuldig voorkomen.
Er bestaan dus problemen bij de fase A en B. Controlebewijs in fase A bestaat normaal
gesproken uit bijvoorbeeld stempels, handtekeningen of initialen van een
bevoegde/specifieke medewerker. Blokdijk stelt echter de vraag of dit wel overtuigend
genoeg is. Dekt deze wijze van controleren menselijke fouten, samenspanning of
management override? Dit kan namelijk enkel bewerkstelligd worden als de accountant de
interne beheersmaatregelen kan reproduceren. Er zijn dus interne beheersmaatregelen die
niet reproduceerbaar zijn, deze worden door Blokdijk non-reproducible internal controls
genoemd.
De redenen waarom sommige, vaak de belangrijkste, interne beheersmaatregelen niet
reproduceerbaar zijn (fase A):
- Onvoldoende expertise: het is onmogelijk voor een accountant om alle expertise in
huis te hebben om een overtuigende conclusie te kunnen trekken over alle
gebeurtenissen die gereflecteerd worden in de jaarrekening.
- Beperkte aanwezigheid bij de klant: het is voor de accountant onmogelijk om altijd
aanwezig te zijn bij de klant om te waarborgen dat vastleggingen correct in de
administratie worden opgenomen (kosten/baten; gevaar voor onafhankelijkheid)
- Beperkte toelaatbare onderzoekstechnieken: de accountant mag bepaalde
onderzoeksmethodes (zoals camerabeelden bekijken of doorzoeking van gebouwen
etc.) die ervoor kunnen zorgen dat niet reproduceerbare interne beheersmaatregelen
gecontroleerd kunnen worden niet uitvoeren (ook bijv. door geheimhoudingsplicht).
Het ARM biedt dus geen oplossing voor het controleren van (onmisbare) niet
reproduceerbare interne beheersmaatregelen. Het gebrek aan regelgeving omtrent niet
reproduceerbare interne beheersmaatregelen kan niet worden opgelost door meer
gegevensgerichte werkzaamheden uit te voeren. Daarom stelt Blokdijk dat niet
reproduceerbare interne beheersmaatregelen niet meegenomen moeten worden in de risico
analyse bij de inschatting van het controle risico.
Fase B omvat het invoeren, sorteren en samenvoegen van journaalposten/transacties
resulterend in een saldibalans. De beheersmaatregelen omtrent het proces van data
verzameling kan de accountant wel reproduceren. Dit proces vindt namelijk geheel
geautomatiseerd plaats. De interne beheersmaatregelen zijn geïntegreerd in dit
geautomatiseerde proces (application- en general IT controls). Blokdijk dat elk systeem
tenminste over de volgende general IT controls moet beschikken:
2
