Controle van de Opbrengstverantwoording in theorie en praktijk

Je hoeft maar één pagina van een willekeurige AFM-, NBA-, of SRA-rapportage open te slaan en het onderwerp Opbrengstverantwoording valt onmiddellijk in het oog. Het lijkt soms wel een hoosbui aan tekortkomingen op dit vlak te regenen (om maar niet in termen van ontlasting te spreken). Een verslag van een bijeenkomst over dit onderwerp.

“In theorie is er geen verschil tussen de theorie en de praktijk. Maar in de praktijk is dat er wel.” (Dit citaat wordt toegeschreven aan Jan L.A. van de Snepscheut, bron: Tim Ferriss, Tribe of mentors, 2019, p.208.) 

Inleiding

Veel MKB accountantskantoren hebben geen zelfstandige vaktechnische afdeling. Een gevolg hiervan is dat accountants op die kantoren zijn aangewezen op hun zelfstandige bijscholing als het gaat om ontwikkelingen in wet- en regelgeving. Dergelijke kantoren hebben daarom behoefte om op vakinhoudelijk vlak gefaciliteerd te worden. Dit geldt overigens ook kantoren die wel een zelfstandige vaktechnische afdeling hebben: de behoefte om “gefuelled” te worden is inherent aan het accountantsvak.

En dat is precies wat we voor ogen hebben met de door V&A georganiseerde bijeenkomsten: leren met elkaar, leren van elkaar, samen te komen tot Thought leadership. We maken daarin – gelet op de verschillende behoeften – onderscheid in een assurance– en een non-assurance-variant.

De Q2-bijeenkomst (23 mei 2019) was gericht op een zeer belangrijk thema in accountantsland: de controle van de opbrengstverantwoording.Het is geen letterlijk verslag, maar een samenvatting van de belangrijkste take-aways

Perspectieven

Het onderwerp Opbrengstverantwoording is een veelomvattend onderwerp. Tijdens de bijeenkomst werd het onderwerp belicht vanuit de volgende perspectieven:

  • Wat zeggen de Controlestandaarden over dit onderwerp?
  • Welk kader reikt de SRA Praktijkhandreiking Opbrengstverantwoording aan?
  • Wat kunnen we leren van Starreveld en Blokdijk? 
  • Wat is de rode draad aan AFM bevindingen?

Frauderisico’s

Als het gaat over de controle van de opbrengstverantwoording, dan is het logisch om te starten met opbrengstverantwoording in de context van frauderisico’s (COS 240). 

Kernboodschappen zijn daarbij: 

COS Kernboodschap
240.27 Ga er van uit dat sprake is van een frauderisico in de opbrengstverantwoording.
 

Identificeer bij welke opbrengststromen sprake is van een risico op een afwijking van materieel belang die het gevolg zijn van fraude.

Dit sluit naadloos aan op een kernboodschap van COS 315: Ken je klant, meer in het bijzonder: Ken het verdienmodel van je klant (zowel wat betreft de aard van de opbrengsten, bijvoorbeeld van welke typologie(ën) sprake is, als de veronderstelde marges die daarmee gerealiseerd worden (uitgaande van een op winst gerichte onderneming)). Ken de p- en de q-component!

  Ga voor elke materiële opbrengststroom na welke bewering een relevant frauderisico is.
240.A29

De standard setter geeft als toelichting op de vraag welke beweringen relevant kunnen zijn dat vaak de beweringen voorkomen (fictieve opbrengsten) en afgrenzing (te vroeg of te laat verantwoorden van opbrengsten) relevant zijn. 

Het in de praktijk voorkomende uitgangspunt dat de bewering volledigheid altijd een dominante bewering (frauderisico) is, lijkt daarmee typisch Nederlands te zijn. De COS suggereert in 240.27 juist dat per klantsituatie geëvalueerd moet worden welke bewering relevant is.

240.A31 Het is in eenvoudige situaties mogelijk om de frauderisicoveronderstelling betreffende de opbrengstverantwoording te weerleggen. In heel veel gevallen is de opbrengstverantwoording eerder complex dan eenvoudig te nemen. De hier genoemde weerleggingsoptie is dus beperkt tot een relatief klein aantal controleopdrachten. Maak je gebruik van deze optie, dan ligt het dus voor de hand om je professionele oordeelsvorming stevig te documenteren!

Een praktische noot: 

In de praktijk is de trend waarneembaar dat er niet meer of nog maar beperkt wordt gesteund op de effectieve werking van de interne beheersing. Uit een willekeurig controledossier kan doorgaans niet meer dan de opzet van de interne beheersing worden afgeleid. Je kunt de vraag stellen of je met de evaluatie van de opzet voldoende zicht hebt op aanwezige functiescheidingen. En daarmee is de vraag is of je voldoende zicht hebt in hoeverre sprake is van een gelegenheid tot onttrekking van waarden (bijvoorbeeld door het buiten de boeken houden van opbrengsten). En daarmee is de vraag of je voldoende zicht hebt op de vraag of de bewering ‘volledigheid’ terecht geen relevante bewering is. In dergelijke gevallen is te adviseren om in het eerste jaar van controle testwerkzaamheden uit te voeren op de effectieve werking van interne beheersingsmaatregelen, waaronder het beoordelen van het doorlopend functioneren van functiescheidingen. Als daaruit geen bijzonderheden blijken, in termen van bijvoorbeeld gelegenheid (denk aan de fraudedriehoek),  kan dit in jaar 2 als basis dienen voor de validatie van de risicoinschatting (dat volledigheid geen relevante bewering is bij de frauderisicoinschatting), uiteraard onder de veronderstelling dat bij de beoordeling van opzet en bestaan van de interne beheersing in jaar 2 geen afwijking volgt van opzet en bestaan in jaar 1.

Significante risico’s

Kernboodschappen betreffende significante risico’s zijn de volgende:

COS Kernboodschap
240.28 Een frauderisico is automatisch een significant risico. Een significant risico is niet automatisch een frauderisico. In het gros van de gevallen zal de accountant geen gebruik kunnen maken van de weerleggingsoptie. Daarom is bij veel controleopdrachten sprake van een significant (fraude)risico betreffende de opbrengstverantwoording.
315.25 Maak een inschatting van de risico’s op een afwijking van materieel belang op het niveau van beweringen en op het niveau van het financiële overzicht als geheel.
315.27

Bepaal welke risico’s een significant risico  vormen. De link in dit vereiste naar 315.25 geeft aan dat het significante risico een relatie heeft met specifieke beweringen (dan wel de jaarrekening als geheel raakt). Hierin sluit COS 315 exact aan op COS 240: wat voor een frauderisico geldt (240.27) geldt ook voor een significant risico. 

Vaak voorkomende, relevante beweringen voor significante risico’s met betrekking tot de opbrengstverantwoording zijn voorkomen en afgrenzing, maar volledigheid kan in een voorkomende situatie ook een relevante bewering zijn.

 

Effecten van Interne Beheersing laat je buiten beschouwing bij de vraag of sprake is van significant risico. 

Effecten van Interne Beheersing neem je juist wel in overweging als het gaat om het identificeren van frauderisico’s (COS 240.17). Zie hieronder een praktische noot. 

315.28

Van belang voor de inschatting van een significant risico is:

 
  • Frauderisico?
  • Is sprake van recente, significante ontwikkelingen?
  • Complexiteit?
  • Verbonden partijen?
  • Subjectiviteit?
  • Ongebruikelijke transacties?
315.29  Verwerf inzicht in IB maatregelen en IB activiteiten. Vrijwel altijd zul je dus opzet en bestaan van de interne beheersing moeten evalueren. 

Een praktische noot: 

Een vraag die zomaar als eerste vraag in de catechismus van Noordwijk (een pastorale handreiking van Vragen & Antwoorden over belangrijke controlevraagstukken) zou kunnen voorkomen, is: 

Vraag Antwoord
Stel nu. Je evalueert de interne beheersing van de entiteit, en je concludeert dat de interne beheersing geen aanleiding geeft voor een frauderisico terzake de volledigheid van de opbrengstverantwoording. Hierbij laten we in het midden of sprake is van een frauderisico terzake een andere bewering. Hoe dient de accountant in een dergelijk geval een inschatting te maken van de vraag of betreffende de bewering volledigheid sprake is van een significant risico?
 

Desniettegenstaande de overweging dat een frauderisico altijd een significant risico is, overmits een significant risico niet altijd een frauderisico impliceert, kan nochtans sprake zijn van een significant risico terzake de volledigheid. 

Meer in Jip-en-Janneke stijl: je vraag gaat over eis 27, je gaat nu automatisch door naar de volgende ronde voor de koelkast in eis 28.  Daar zie je wat je moet overwegen. Je vraag sluit wel aan bij het eerste punt, maar niet bij de andere punten. Dus ja, volledigheid kan best belangrijk zijn als je de cijfers beoordeelt, je hoeft niet altijd het idee te hebben dat de kluit wordt belazerd. 

Risico’s op een afwijking van materieel belang

We zijn eerder gestart met frauderisico’s en significante risico’s omdat op dit vlak de meeste ongelukken bij de controle van de opbrengstverantwoording voorkomen: de controlemix is niet goed afgestemd op de onderkende fraude- c.q. significante risico’s op beweringenniveau. In algemene zin is de controle van de opbrengstverantwoording natuurlijk gerelateerd aan de bedrijfsverkenning zoals breed uitgemeten in COS 315: zonder voldoende gedetailleerde en passende kennis van de entiteit is elke controleopdracht gedoemd te mislukken. Daarom enkele passages uit die standaard: 

COS Kernboodschap
315.18 Verwerf inzicht in het geautomatiseerd systeem. Snap hoe de stromen tot stand komen en hoe de processen uitmonden in het gegevensverwerkende systeem.
315.25 Maak een risico-inschatting op beweringenniveau (zie hiervoor onder significante risico’s)
315.26

Maak een risico-inschatting voor wat betreft impact (diepgaande invloed) en kans (waarschijnlijkheid). 

Zorg voor een rode draad tussen beweringen en interne beheersingsmaatregelen als je voornemens bent daarop te steunen.

De controlemix

De nadruk van de bijeenkomst lag vooral op de risico-inschatting en risico-labeling en in mindere mate op de risico-response. Daarom zijn de onderstaande kernboodschappen uit COS 315 en COS 330 relatief kort weergegeven. Bij het Q3 VTO ligt de nadruk meer op de praktische toepassing en het komen tot een passende controlemix. 

COS Kernboodschap
315.30 Als gegevensgericht controlewerk niet zal leiden tot voldoende en geschikte controle-informatie dien je inzicht te krijgen in relevante interne beheersingsmaatregelen.
330.8 Je toetst de effectieve werking van interne beheersingsmaatregelen als je verwacht er op te kunnen steunen of als, zie 315.30, gegevensgerichte controle niet leidt tot voldoende controle-informatie.
Hiervoor bespraken we al dat in de praktijk waarneembaar is dat accountants steeds minder steunen op interne beheersingsmaatregelen.
330.18 Voor alle materiële posten, transactiestromen en toelichtingen voer je gegevensgerichte controles uit. Deze bestaan uit (330.4) detailcontroles en/of gegevensgerichte cijferanalyses. 

Volledigheid opbrengstverantwoording en Blokdijk

In het voorgaande hebben we uitvoerig stilgestaan bij risico-inschattingen op beweringniveau. Een specifiek vraagstuk bij de specifieke bewering ‘volledigheid’ is welke zienswijze de accountant hanteert op de reikwijdte van dit begrip. In beginsel zijn twee visies te onderscheideni:

  1. De relatief beperkte definitie: de accountant richt zich op het onderzoeken van genoten opbrengsten, die aan de entiteit toebehoren, voor deze transacties sporen nalaten in de administratie. 
  2. De relatief verstrekkende definitie: opbrengsten zijn onvolledig verantwoord als sprake is van een zodanige winkel-in-de-winkel dat niet alleen opbrengsten buiten de boeken zijn gebleven als de bijbehorende inkopen. 

De vraag die zich voordoet is in hoeverre de accountant überhaupt in staat is om een uitspraak te doen over de ‘volledigheid’ zoals bedoeld in de relatief verstrekkende definitie. Opvattingen over de vraag wat tot de verantwoordelijkheid van de accountant moet worden gerekend als het gaat om fraudes in de opbrengstverantwoording op het spoor te komen, variëren in de tijd. In tijden van significante boekhoudschandalen gaan er stemmen op om de verantwoordelijkheid van de accountant uit te breiden, tegengeluiden zijn waarneembaar zodra bijvoorbeeld blijkt dat extra werkzaamheden ook extra geld kosten (zie de lobby in 2007 na de eerste jaren van ‘Sarbanes-Oxley’). In het kader van de reikwijdte liet wijlen professor Blokdijk een helder en eigenzinnig geluid horen. In 1988 introduceerde hij het begrip ‘axiomatisch voorbehoud’. Zo schreef hij – wat betreft de kwalitatieve variant van dit voorbehoud: de accountant kan niet verantwoordelijk worden gehouden voor later blijkende tekortkomingen in de verantwoording indien deze tekortkomingen naar hun aard niet door accountantscontrole ontdekt hadden kunnen worden. En: het kwalitatieve axiomatische voorbehoud geldt niet alleen bij het falen van onvervangbare interne controle, doch ook indien relevante gebeurtenissen (nog) niet aan interne controle onderworpen kunnen zijn en de accountant niet de middelen heeft om deze feiten zelfstandig op te sporen. Dit kan onder meer het geval zijn indien activiteiten door het bestuur van de gecontroleerde bewust buiten de aan de accountant voorgelegde administratie worden gehouden. Het vorenstaande stemt tot nadenken. Het is weliswaar 30 jaar geleden, maar (voor zover de aanwezigen bekend) heeft zijn artikel sindsdien geen opvolging gekend in nieuwe artikelen of gangbare interpretaties. 

De belangrijkste kernboodschap die uit de discussie bleef resoneren, was: zorg dat je in het controledossier crystal clear bent over de definitie van het volledigheidsbegrip dat je hanteert. En wellicht is het zelfs verstandig om hieromtrent in het kantoor-specifieke Handboek Controle een policy statement op te nemen. Zonder die helderheid zal de controlemix gemakkelijk vragen kunnen oproepen over de geschiktheid ervan.

Wat zou het mooi zijn als het verder nadenken over de controle van de opbrengstverantwoording in de (nabije) toekomst leidt tot minder bevindingen van de toezichthouder. Want, dat is wel duidelijk: there is much room for improvement. Maar ook geldt: de afwezigheid van gangbare interpretaties betreffende de controle van de opbrengstverantwoording zorgt ook voor een onduidelijk normenkader, hoe gedreven je als accountant ook bent. Daarom houdt dit ook een oproep in voor de regelgever om hierin te faciliteren. Waarvan akte!

Dr Niels van Nieuw Amerongen RA
20 september 2019

 


 

i) Voor de nuance: in het definiëren van opbrengstgerelateerde risico’s kan ook worden betrokken het risico dat opbrengsten zijn onvolledig verantwoord indien de entiteit volgens haar eigen normen en richtlijnen meer opbrengsten had moeten genereren, bijvoorbeeld doordat te hoge kortingen zijn verstrekt. Dit neigt meer naar een bedrijfsrisico dan een jaarrekening(controle)risico.

Gerelateerde artikelen