Luistert u ook graag naar geruis?

Om een goed geluid uit je radio te krijgen, is het belangrijk dat je op de juiste frequentie afstemt. Doe je dit niet, dan hoor je geruis. Ik krijg nogal eens de indruk dat veel accountants het leuk vinden om naar geruis uit de radio te luisteren. Of beter gezegd: veel accountants weten de frequentieknop niet goed te bedienen. Bij het uitvoeren van kwaliteitsbeoordelingen kom ik regelmatig een vorm van geruis tegen in controledossiers. Dit geruis ontstaat door de frequentie waarmee een beheersingsmaatregel wordt uitgevoerd op een onjuiste wijze wordt geïnterpreteerd bij het toetsen van die beheersingsmaatregel. Doordat geruis behoorlijk storend is (letterlijk), zal ik in dit blog uitleggen wat ik in dit geval precies bedoel met ‘geruis’ en een voorstel uitwerken hoe dit te voorkomen.

Een voorbeeld

Wat ik met ‘geruis’ bedoel is het beste uit te leggen aan de hand van een voorbeeld. Stel, een advieskantoor heeft tien vestigingen. Wekelijks moeten alle medewerkers op alle vestigingen een urenverantwoording indienen. Per vestiging zijn één of meerdere leidinggevenden belast met de taak deze urenverantwoording te beoordelen en te autoriseren. Voor de systeemgerichte werkzaamheden identificeert de accountant de interne beheersingsmaatregel ‘wekelijkse autorisatie van urenstaten door een bevoegd leidinggevende’. De frequentie van de geïdentificeerde beheersingsmaatregel bepaalt de omvang van het aantal te selecteren items ten behoeve van de testwerkzaamheden. De accountant bepaalt de frequentie op ‘wekelijks’, selecteert van 10 willekeurige medewerkers een urenstaat en stelt vast of deze door een bevoegd leidinggevende is geautoriseerd. ‘Maatregel is effectief’ is de conclusie van de accountant.

Als ik een op deze wijze opgezette en uitgevoerde toetsing van een beheersingsmaatregel tegenkom bij het uitvoeren een kwaliteitsbeoordeling, dan is mijn – voorzichtige – conclusie: ‘dit standpunt deel ik (nog) niet’.

Wat gaat er mis?

In het voorbeeld is de frequentie van de maatregel (wekelijks) niet goed afgestemd op het voor toetsing te selecteren item (geautoriseerde urenstaat). Veel accountantskantoren hebben in hun handboek onderstaande (of vergelijkbare) tabel voor de bepaling van de omvang van de testwerkzaamheden bij de toetsing van beheersingsmaatregelen opgenomen:

Frequentie Aantal te selecteren items
Dagelijks 25
Wekelijks 10
Maandelijks 2
Jaarlijks 1

In het voorbeeld is de tabel in de basis goed toegepast. Het ‘wekelijkse’ aspect van de beheersingsmaatregel uit het voorbeeld is echter gelegen in het feit dat wekelijks álle urenstaten worden geautoriseerd. Het te selecteren item moet dan niet zijn een willekeurige urenstaat van een willekeurige medewerker, maar een bepaald weeknummer waarvoor wordt vastgesteld dat voor het betreffende weeknummer de maatregel heeft gewerkt. De vraag is of geconcludeerd kan worden dat, bij het vaststellen van de autorisatie van de urenstaat van één willekeurige medewerker voor die betreffende week, álle urenstaten die betreffende week zijn geautoriseerd. Deze vraag is in dit geval relevanter omdat er sprake is van meerdere vestigingen en meerdere bij de maatregel betrokken leidinggevenden. Zonder nadere werkzaamheden of toelichtingen ontstaat er niet alleen een hoop geruis in de documentatie in het dossier, maar deel ik ook de conclusie dat de maatregel effectief is niet.

Hoe moet het dan wel?

Voordat ik mijn voorstel over hoe naar mijn mening dergelijke beheersingsmaatregelen wél getoetst zouden moeten worden uitwerk, eerst nog het volgende:

Het aantal te selecteren items in bovenstaande tabel is gebaseerd op een veronderstelde populatie. Zo hoort bij het aantal van tien te selecteren items bij de frequentie ‘wekelijks’ een populatie van 52. Bij één accountantskantoor heb ik in het handboek het veronderstelde ‘dekkingspercentage’ bij het aantal te selecteren items aangetroffen. Bij wekelijks staat hier ook 19% achter (10/52e). Bij het juist interpreteren van de beheersingsmaatregel in mijn voorbeeld is, en blijft, de populatie van de maatregel 52. Echter, als bij de test uitgegaan wordt van de autorisatie van de onderliggende urenstaten, dan is de populatie veel groter dan 52. Stel dat alle vestigingen 50 medewerkers hebben, dan is de populatie 26.000 (52 weken x 10 vestigingen x 50 medewerkers). Het op grond van 10 deelwaarnemingen van geautoriseerde urenstaten concluderen dat de beheersingsmaatregel effectief is (en daarmee dat alle 26.000 urenstaten zijn geautoriseerd) kan in dit geval dan ook niet juist zijn.

Naar mijn mening zou een accountant als volgt met de situatie in het voorbeeld om moeten gaan:

  1. Allereerst zou aan de hand van de bespreking van de opzet, ondersteund met enkele lijncontroles, moeten worden geconcludeerd of sprake is van één beheersingsomgeving (vgl. COS 315.14 / 315.A76) . Hiermee wordt de vraag beantwoord of bij alle vestigingen de opzet en het bestaan van de beheersingsmaatregel gelijk is, en daarmee dat de te toetsen populatie als één geheel beschouwd zou mogen worden. De conclusie en argumentatie hieromtrent moet gedocumenteerd worden.
     
  2. Vervolgens bepaalt de accountant (o.a.) het belang van de effectiviteit van de beheersingsmaatregel in het geheel van de controleaanpak. Naarmate hij in sterkere mate op de beheersingsmaatregel wil steunen, selecteert hij (bijvoorbeeld) meer items ten behoeven van de proceduretest (vgl. COS 330.9). Terzijde: de genoemde test-aantallen in de bekende tabel betreft het minimaal aantal te testen items. In nagenoeg geen enkel controledossier kom ik overwegingen tegen om meer items in de toetsing te betrekken, waar dit op grond van COS 330.9 vaker verwacht zou worden.
     
  3. Te behoeve van de test selecteert de accountant 10 willekeurige weeknummers. Van de betreffende weeknummers wordt vastgesteld of alle urenstaten zijn geautoriseerd. Dit kan in de praktijk op verschillende wijzen. Zo is het mogelijk dat de urenstaten van alle vestigingen centraal bewaard worden (fysiek of digitaal) en in te zien zijn. In de praktijk kan er mijns inziens ook voor gekozen worden om binnen de geselecteerde week niet alle urenstaten te controleren, maar te kiezen voor een selectie daarvan. Ook is het mogelijk dat de klant samenvattende documenten per week opstelt, waarvan wordt vastgesteld dat deze is geautoriseerd en waarbij onderliggend enkele urenstaten worden getoetst. De autorisatie van niet geselecteerde urenstaten van die betreffende week kan verder worden beoordeeld door een combinatie van het verzoeken om inlichtingen en het vaststellen dat alle urenstaten voor die week beschikbaar zijn. Ook het documenteren dat ‘de map met de urenstaten voor de betreffende week verder is ingezien en dat niet is gebleken dat ongeautoriseerde urenstaten zijn opgenomen’, is een goede overweging waaruit blijkt dat de autorisatie van alle urenstaten voor die betreffende week is overwogen en beoordeeld.

Nuancering

Ik ben mij ervan bewust dat bovenstaand voorbeeld een sterk vereenvoudigd voorbeeld is en dat de praktijk veelal complexer zal zijn. Wel ben ik van mening dat mijn voorgestelde wijze van toetsen van dergelijke beheersingsmaatregelen recht doet aan de omvang en complexiteit van dergelijke beheersingsmaatregelen. Het rucksichtslos opnemen van 10 geautoriseerde urenstaten lijkt mij sowieso te kort door te bocht. Vanzelfsprekend zijn er wel meerdere manieren om in te spelen op maatregelen die ‘wekelijks’ plaatsvinden, maar wel op meerdere plaatsen, meerdere documenten en/of door meerdere betrokken functionarissen. 

‘Vroeger’ werd mij geleerd om in dit soort situaties de frequentie ‘om te rekenen’. In dit voorbeeld zou dit betekenen dat als wekelijks voor 500 medewerkers een urenstaat wordt geautoriseerd, dit neerkomt op een maatregel met de frequentie ‘meerdere keren per dag’. Vervolgens moest het hierbij behorende aantal items geselecteerd worden. Hoewel ik deze wijze van toetsen van effectiviteit van de maatregel beter vind dan het genoemde rucksichtslos opnemen van 10 geautoriseerde urenstaten, ben ik van mening dat dit onvoldoende recht doet aan de opzet van de beheersingsmaatregel. 

Andere voorbeelden

Naast de wekelijkse autorisatie van urenstaten op meerdere locaties voor meerdere medewerkers, kom ik in de praktijk ook andere vergelijkbare beheersingsmaatregelen tegen, zoals:

  1. De wekelijkse autorisatie van kasstaten op meerdere vestigingen;
  2. De maandelijkse opstelling van goederenbewegingen voor verschillende locaties of producttypen;
  3. Een maandelijkse inventarisatie bij meerdere magazijnen;
  4. Het per kwartaal uitvoeren van marge-analyses voor verschillende producttypen.

Reactie? Ja, graag!

Als ik een situatie zoals in het voorbeeld is uitgewerkt in de praktijk ter discussie stel, leidt dit vaak eerst tot geruis in de communicatie. Het probleem wordt niet direct onderkend. Na een verdere toelichting is er dan vaak begrip. Hierbij valt het mij wel op dat veelal door de accountant, of het kantoor in zijn geheel, niet eerder is nagedacht hierover. Ik ben dan ook benieuwd of deze casuïstiek herkenning oproept en wat uw mening is hierbij. Ik nodig dan ook graag uit tot een reactie op mijn standpunt.

[Marc-Jan Zwaneveld RA, V&A accountants-adviseurs]