‘Externe’ beheersing – een hardnekkig fenomeen
Voor de accountantscontrole van een grote handelsonderneming, die handelt in zand, wil de accountant bij de systeemgerichte werkzaamheden voor het verkoopproces steunen op het proces rondom de zogenaamde three-way-match. Het is immers belangrijk dat zekerheid wordt verkregen dat wat wordt gefactureerd, gelijk is aan wat is afgeleverd (en besteld). Het verkoopproces bij deze onderneming voorziet erin dat door middel van een weegbrug een afleverbon wordt gegenereerd, die door de klant van de handelsonderneming voor vertrek wordt afgetekend, waarna de weegbrugbediende de slagboom opent en dit deel van het proces is afgerond. De accountant formuleert de volgende interne beheersingsmaatregel in het dossier: ‘de klant autoriseert bij de goederenafgifte de afleverbon’. Voor de controle is uiteindelijk voor 25 willekeurige goederenafgiftes vastgesteld dat de afleverbon is geautoriseerd door de klant. ‘Interne beheersingsmaatregel is effectief’ is de conclusie. Terechte conclusie? Nee. Mogelijk dat gesteld kan worden dat alle afleverbonnen door de klant worden geautoriseerd, echter heeft deze conclusie geen waarde voor de systeemgerichte werkzaamheden.
Wat in bovenstaand praktijkvoorbeeld mis gaat, is dat autorisatie van een document door een ‘externe’ gezien wordt als een interne beheersingsmaatregel. In de praktijk kom ik meer van dit soort ‘externe beheersingsmaatregelen’ tegen: ‘de klant autoriseert de aanneemovereenkomst’ of ‘de klant ondertekent de werkbon van de monteur’. In de NV COS is in de Begrippenlijst opgenomen wat onder interne beheersing en onder interne beheersingsmaatregelen wordt verstaan:
Interne beheersing – Het proces dat is opgezet, wordt geïmplementeerd en onderhouden door de met governance belaste personen, het management en andere personeelsleden met als doel een redelijke mate van zekerheid te verschaffen dat de doelstellingen van de entiteit met betrekking tot de betrouwbaarheid van de financiële verslaggeving, de effectiviteit en efficiëntie van de activiteiten alsmede de naleving van de van toepassing zijnde wet- en regelgeving worden bereikt. De term ‘interne beheersingsmaatregelen’ slaat op alle aspecten van een of meer componenten van de interne beheersing.
Uit bovenstaand begrip van interne beheersing wordt duidelijk dat interne beheersing niet voor niets ínterne beheersing heet. Een onderneming treft zelf maatregelen ter waarborging dat, in termen van het praktijkvoorbeeld, de afgeleverde goederen ook als zodanig worden gefactureerd, en daarmee dat de opbrengsten volledig worden verantwoord. Op zich is dit natuurlijk allemaal ook niet erg ingewikkeld.
Maar als het allemaal dan zo eenvoudig is, waarom komt het in de praktijk dan toch nog zo vaak voor dat de ondertekening van een document door een ‘externe’ wordt gezien als interne beheersingsmaatregel? Mijn vermoeden is dat de ondertekening van een document wordt gezien als autorisatie en als waarborg of bevestiging dat bepaalde procedures juist zijn verlopen. Het ‘hoort nou eenmaal’ bij een verkoopproces dat een klant een afleverbon of een overeenkomst ondertekent. En het verschil tussen een ‘interne autorisatie’, waaruit blijkt dat er een controle heeft plaatsgevonden en een ‘externe autorisatie’, die niet staat voor een uitgevoerde controle op een procesonderdeel, is niet altijd even duidelijk. Feitelijk verleent de klant alleen kwijting als hij een afleverbon ondertekent. De ondertekening door een ‘externe’ waarborgt op geen enkele wijze dat de bijbehorende transactie administratief juist is verwerkt.
Moet dan voor de controle geen enkele waarde meer gehecht worden aan door klanten en dergelijke ondertekende documenten? Zeker wel! De ondertekening van een contract of een afleverbon levert een titel op, op grond waarvan de onderneming mag factureren. Een ondertekende overeenkomst kan dan bijvoorbeeld ook prima het bestaan van een vordering onderbouwen. Het opvragen van een getekend document levert derhalve wel controle-informatie op.
Terug naar het praktijkvoorbeeld. Hoe had de accountant dan wel systeemgerichte zekerheid kunnen verkrijgen rondom het proces van goederenafgifte? De vraag moet dan gesteld worden wat in dit geval waarborgt dat hetzelfde wordt gefactureerd als wat wordt afgeleverd. Het bleek in dit geval zo te zijn dat de weegbrug is gekoppeld aan het administratieve systeem en ‘automatisch’ de gewogen hoeveelheden met een order matcht, waarbij na digitale autorisatie van de weegbrugbediende de factuur automatisch wordt gegenereerd. Het feit dat in het systeem is afgedwongen dat de factuur overeenkomt met de weeggegevens betreft hier een application control die, met alle randvoorwaarden daaromheen, op effectiviteit getoetst had kunnen worden.
Mijn suggestie is uiteindelijk zowel eenvoudig als doeltreffend: check voor alle onderkende beheersingsmaatregelen de gekozen formulering er van. Zie je een verwijzing naar een externe, kijk dan nog eens goed naar een passend alternatief van binnen de klantorganisatie!
[Marc-Jan Zwaneveld RA, V&A accountants-adviseurs]