Standaard 315
315 Risico's op een afwijking van materieel belang identificeren en inschatten
Inleiding
Toepassingsgebied van deze Standaard
Deze Standaard behandelt de verantwoordelijkheid van de accountant om de risico’s op een afwijking van materieel belang in de financiële overzichten te identificeren en in te schatten.
Belangrijke uitgangspunten in deze Standaard
Standaard 200 behandelt de algehele doelstellingen van de accountant bij het uitvoeren van een controle van de financiële overzichten , inclusief het verkrijgen van voldoende en geschikte controle-informatie om het controlerisico terug te brengen tot een aanvaardbaar laag niveau. Controlerisico is een functie van de risico’s op een afwijking van materieel belang en het ontdekkingsrisico. Standaard 200 legt uit dat de risico's op een afwijking van materieel belang op twee niveaus kunnen bestaan: op het niveau van de financiële overzichten als geheel; en op het niveau van beweringen voor transactiestromen, rekeningsaldi en toelichtingen.
Standaard 200 vereist dat de accountant professionele oordeelsvorming toepast bij het plannen en uitvoeren van een controle en dat de accountant een controle plant en uitvoert met een professioneel-kritische instelling waarbij de accountant er rekening mee houdt dat er omstandigheden kunnen bestaan die ertoe leiden dat de financiële overzichten een afwijking van materieel belang bevatten.
Risico's op het niveau van de financiële overzichten kunnen een diepgaande invloed op de financiële overzichten als geheel hebben en kunnen een groot aantal beweringen beïnvloeden. Risico’s op een afwijking van materieel belang op het niveau van beweringen bestaan uit twee componenten, inherent risico en interne beheersingsrisico:
Inherent risico wordt beschreven als de vatbaarheid van een bewering met betrekking tot een transactiestroom, rekeningsaldo of toelichting voor een afwijking die afzonderlijk of gezamenlijk met andere afwijkingen van materieel belang kan zijn, voordat er rekening wordt gehouden met de eventuele daarop betrekking hebbende interne beheersingsmaatregelen.
Interne beheersingsrisico wordt beschreven als het risico dat een afwijking in een bewering met betrekking tot een transactiestroom, rekeningsaldo of toelichting en die afzonderlijk of gezamenlijk met andere afwijkingen van materieel belang kan zijn, niet tijdig wordt voorkomen of gedetecteerd en gecorrigeerd door het interne beheersingssysteem van de entiteit.
Standaard 200 legt uit dat risico's op een afwijking van materieel belang worden ingeschat op het niveau van beweringen om de aard, timing en omvang van verdere controlewerkzaamheden te bepalen die nodig zijn om voldoende en geschikte controle-informatie te verkrijgen. Voor de geïdentificeerde risico’s op een afwijking van materieel belang op het niveau van beweringen, vereist deze Standaard een afzonderlijke inschatting van het inherente risico en het interne beheersingsrisico. Zoals uitgelegd in Standaard 200, is het inherente risico hoger voor sommige beweringen en daarmee verband houdende transactiestromen, rekeningsaldi en toelichtingen dan voor andere. De mate waarin het inherente risico varieert, wordt in deze Standaard aangeduid als het 'spectrum van inherent risico'.
Risico’s op een afwijking van materieel belang die door de accountant zijn geïdentificeerd en ingeschat, omvatten zowel afwijkingen die het gevolg zijn van fouten als van fraude. Hoewel beide door deze Standaard worden behandeld, is de significantie van fraude zodanig dat verdere vereisten en leidraden zijn opgenomen in Standaard 240 met betrekking tot risico-inschattingswerkzaamheden en daarmee verband houdende werkzaamheden voor het verkrijgen van informatie die wordt gebruikt om de risico’s op een afwijking van materieel belang die het gevolg is van fraude te identificeren, in te schatten en daarop in te spelen.
Het risico-identificatie- en inschattingsproces van de accountant is iteratief en dynamisch. Het inzicht van de accountant in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het interne beheersingssysteem van de entiteit zijn onderling afhankelijk voor het identificeren en inschatten van de risico’s op een afwijking van materieel belang. Bij het verwerven van het inzicht vereist door deze Standaard, kan sprake zijn van initiële verwachtingen van risico's, die verder kunnen worden verfijnd naarmate de accountant vordert met het risico-identificatie- en inschattingsproces. Bovendien vereisen deze Standaard en Standaard 330 van de accountant om de risico-inschattingen te herzien en om in te spelen op de gewijzigde risico’s en om de verdere controlewerkzaamheden aan te passen. Dit gebeurt op basis van controle-informatie verkregen bij het uitvoeren van verdere controlewerkzaamheden in overeenstemming met Standaard 330 of als nieuwe informatie wordt verkregen.
Standaard 330 vereist dat de accountant een algehele aanpak opzet en implementeert om op de ingeschatte risico's op een afwijking van materieel belang op het niveau van de financiële overzichten in te spelen. Standaard 330 legt verder uit dat de inschatting door de accountant van de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten en de algehele aanpak om hierop in te spelen, worden beïnvloed door het inzicht van de accountant in de interne beheersingsomgeving. Standaard 330 vereist ook dat de accountant verdere controlewerkzaamheden opzet en uitvoert waarvan de aard, timing en omvang zijn gebaseerd op de ingeschatte risico’s op een afwijking van materieel belang op het niveau van beweringen.
Schaalbaarheid
Standaard 200 stelt dat sommige Standaarden schaalbaarheidsoverwegingen bevatten die de toepassing van de vereisten voor alle entiteiten illustreren, ongeacht of hun aard en omstandigheden minder of meer complex zijn. Deze Standaard is bedoeld voor controles van alle entiteiten, ongeacht de omvang of complexiteit en de toepassingsgerichte teksten bevatten daarom, in voorkomend geval, specifieke overwegingen voor zowel minder als meer complexe entiteiten. Hoewel de omvang van een entiteit een indicatie van de complexiteit ervan kan zijn, kunnen sommige kleinere entiteiten complex zijn en sommige grotere entiteiten minder complex zijn.
Ingangsdatum
Voor de ingangsdatum wordt verwezen naar de slotbepalingen.
Doelstelling
De doelstelling van de accountant is het identificeren en inschatten van de risico’s op een afwijking van materieel belang als gevolg van fraude of fouten, op het niveau van de financiële overzichten en op het niveau van beweringen, waardoor een basis wordt verkregen voor het opzetten en het implementeren van een aanpak om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang.
Definities
Voor de toepassing van de Standaarden hebben de volgende termen de hierna weergegeven betekenis:
Beweringen - al dan niet expliciete uitspraken met betrekking tot de opname, waardering, presentatie en toelichting van informatie in de financiële overzichten die inherent zijn aan de bevestiging door het management dat de financiële overzichten in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving zijn opgesteld. Beweringen worden door de accountant gebruikt om de verschillende soorten mogelijke afwijkingen die kunnen voorkomen te overwegen bij het identificeren, inschatten van en inspelen op de risico’s op een afwijking van materieel belang. (Zie Par. A1)
Bedrijfsrisico - een risico dat voortkomt uit significante voorwaarden, gebeurtenissen, omstandigheden, handelingen of het achterwege laten van handelingen die een nadelig effect kunnen hebben op de mogelijkheid van een entiteit om haar doelstellingen te bereiken en de strategieën uit te voeren, of dat voortkomt uit het vaststellen van ongepaste doelstellingen en strategieën.
Interne beheersingsmaatregelen - beleidslijnen of procedures die een entiteit vaststelt om de beheersingsdoelstellingen van management of de met governance belaste personen te bereiken. In deze context: (Zie Par. A2, A3, A4 en A5)
beleidslijnen zijn uiteenzettingen over wat wel of niet binnen de entiteit dient te worden gedaan om de interne beheersing te bewerkstelligen. Dergelijke uiteenzettingen kunnen zijn gedocumenteerd, expliciet vermeld in mededelingen, of impliciet door handelingen en beslissingen;
procedures zijn handelingen om beleidslijnen te implementeren.
General IT controls - interne beheersingsmaatregelen met betrekking tot de informatietechnologie (IT)-processen van de entiteit die de voortdurende goede werking van de IT-omgeving ondersteunen, inclusief de voortdurende effectieve werking van interne beheersingsmaatregelen met betrekking tot informatieverwerking en de integriteit van informatie (d.w.z. de volledigheid, nauwkeurigheid en geldigheid van informatie) in het informatiesysteem van de entiteit. Zie ook de definitie van IT-omgeving.
Interne beheersingsmaatregelen met betrekking tot informatieverwerking - Interne beheersingsmaatregelen in verband met de verwerking van informatie in IT-applicaties of handmatige informatieprocessen in het informatiesysteem van de entiteit die rechtstreeks inspelen op risico's voor de integriteit van informatie (d.w.z. de volledigheid, nauwkeurigheid en geldigheid van transacties en andere informatie). (Zie Par. A6)
Inherente risicofactoren - Kenmerken van gebeurtenissen of omstandigheden die de vatbaarheid voor afwijkingen, die het gevolg zijn van fraude of fouten, beïnvloeden van een bewering met betrekking tot een transactiestroom, rekeningsaldo of toelichting, voordat rekening wordt gehouden met interne beheersingsmaatregelen. Dergelijke factoren kunnen kwalitatief of kwantitatief zijn en omvatten complexiteit, subjectiviteit, wijzigingen, onzekerheid of vatbaarheid voor afwijkingen als gevolg van tendentie bij het management of andere frauderisicofactoren voor zover ze het inherente risico beïnvloeden. (Zie Par. A7 en A8)
IT-omgeving - De IT-applicaties en ondersteunende IT-infrastructuur, evenals de IT-processen en personeel betrokken bij die processen, die een entiteit gebruikt om bedrijfsactiviteiten te ondersteunen en bedrijfsstrategieën te bereiken. Voor de toepassing van deze Standaard geldt het volgende:
een IT-applicatie is een programma of een reeks programma's die worden gebruikt bij het initiëren, verwerken, vastleggen en rapporteren van transacties of informatie. IT-applicaties omvatten ook datawarehouses en rapportgenerators;
de IT-infrastructuur omvat het netwerk, besturingssystemen en databases en hun gerelateerde hardware en software;
de IT-processen zijn de processen van de entiteit om de toegang tot de IT-omgeving, programmawijzigingen of wijzigingen in de IT-omgeving en IT-activiteiten te beheren.
Relevante beweringen - Een bewering met betrekking tot een transactiestroom, rekeningsaldo of toelichting is relevant wanneer voor die bewering een geïdentificeerd risico op een afwijking van materieel belang bestaat. De bepaling of een bewering een relevante bewering is, wordt gemaakt voordat rekening wordt gehouden met de eventuele daarop betrekking hebbende interne beheersingsmaatregelen (d.w.z. het inherente risico). (Zie Par. A9)
Risico's die voortkomen uit het gebruik van IT- Vatbaarheid van interne beheersingsmaatregelen met betrekking tot informatieverwerking voor ineffectieve opzet of werking, of risico's voor de integriteit van informatie (d.w.z. de volledigheid, nauwkeurigheid en geldigheid van transacties en andere informatie) in het informatiesysteem van de entiteit als gevolg van ineffectieve opzet of werking van interne beheersingsmaatregelen in de IT-processen van de entiteit (zie IT-omgeving).
Risico-inschattingswerkzaamheden - De controlewerkzaamheden die zijn opgezet en uitgevoerd om de risico’s op een afwijking van materieel belang, als gevolg van fraude of fouten, te identificeren en in te schatten op het niveau van de financiële overzichten en op het niveau van beweringen.
Significante transactiestroom, rekeningsaldo of toelichting - Een transactiestroom, rekeningsaldo of toelichting waarvoor er een of meer relevante beweringen zijn.
Significant risico - Een geïdentificeerd risico op een afwijking van materieel belang: (Zie Par. A10)
waarvoor de inschatting van het inherente risico dicht bij de bovengrens van het spectrum van inherent risico is vanwege de mate waarin inherente risicofactoren de combinatie van de waarschijnlijkheid dat een afwijking voorkomt en de orde van grootte van de potentiële afwijking indien die afwijking zich zou voordoen, beïnvloeden; of
dat moet worden behandeld als een significant risico in overeenstemming met de vereisten van andere Standaarden.
Systeem van interne beheersing- Het systeem dat is ontworpen, geïmplementeerd en onderhouden door de met governance belaste personen, management en ander personeel om een redelijke mate van zekerheid te verschaffen over het bereiken van de doelstellingen van een entiteit met betrekking tot de betrouwbaarheid van financiële verslaggeving, effectiviteit en efficiëntie van activiteiten en naleving van de van toepassing zijnde wet- en regelgeving. Voor de toepassing van de Standaarden bestaat het interne beheersingssysteem uit vijf onderling verbonden componenten:
interne beheersingsomgeving;
het risico-inschattingsproces van de entiteit;
het proces van de entiteit om het interne beheersingssysteem te monitoren;
het informatiesysteem en communicatie; en
interne beheersingsactiviteiten.
Vereisten
Risico-inschattingswerkzaamheden en daarmee verband houdende werkzaamheden
De accountant dient risico-inschattingswerkzaamheden op te zetten en uit te voeren om controle-informatie te verkrijgen die een geschikte basis biedt voor: (Zie Par. A11, A12, A13, A14, A15, A16, A17 en A18)
de identificatie en inschatting van risico's op een afwijking van materieel belang als gevolg van fraude of fouten, op het niveau van de financiële overzichten en beweringen; en
de opzet van verdere controlewerkzaamheden in overeenstemming met Standaard 330.
De accountant dient risico-inschattingswerkzaamheden op te zetten en uit te voeren op een manier die geen tendentie vertoont naar alleen het verkrijgen van controle-informatie die bevestigend kan zijn of juist naar het uitsluiten van controle-informatie die mogelijk tegenstrijdig is. (Zie Par. A14)
De risico-inschattingswerkzaamheden omvatten het volgende: (Zie Par. A19, A20 en A21)
Informatie uit andere bronnen
Bij het verkrijgen van controle-informatie in overeenstemming met paragraaf 13 dient de accountant informatie in overweging te nemen van: (Zie Par. A37 en A38)
de werkzaamheden van de accountant met betrekking tot aanvaarding of continuering van de cliëntrelatie of de controle-opdracht; en
indien van toepassing, andere opdrachten die door de opdrachtpartner voor de entiteit zijn uitgevoerd.
Wanneer de accountant voornemens is informatie te gebruiken die is verkregen uit eerdere ervaringen van de accountant met de entiteit en uit controlewerkzaamheden die zijn uitgevoerd in eerdere controles, dient de accountant te evalueren of dergelijke informatie relevant en betrouwbaar blijft als controle-informatie voor de lopende controle. (Zie Par. A39, A40 en A41)
Bespreking opdrachtteam
De opdrachtpartner en andere kernleden van het opdrachtteam bespreken de toepassing van het van toepassing zijnde stelsel inzake financiële verslaggeving en de vatbaarheid van de financiële overzichten van de entiteit voor een afwijking van materieel belang. (Zie Par. A42, A43, A44, A45, A46 en A47)
Wanneer er leden van het opdrachtteam niet betrokken zijn bij de bespreking van het opdrachtteam, dient de opdrachtpartner te bepalen welke aangelegenheden aan die leden moeten worden meegedeeld.
Het verwerven van inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het interne beheersingssysteem van de entiteit
Inzicht in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving
De accountant dient risico-inschattingswerkzaamheden uit te voeren om inzicht te verwerven in:
de volgende aspecten van de entiteit en haar omgeving:
de organisatiestructuur, eigendom en governance van de entiteit en haar bedrijfsmodel, inclusief de mate waarin het bedrijfsmodel het gebruik van IT integreert; (Zie Par. A56, A57, A58, A59, A60, A61, A62, A63, A64, A65, A66 en A67)
sector, regelgevende en andere externe factoren; (Zie Par. A68, A69, A70, A71, A72 en A73) en
de maatstaven die intern en extern zijn gebruikt om de financiële prestaties van de entiteit te beoordelen. (Zie Par. A74, A75, A76, A77, A78, A79, A80 enA81)
het van toepassing zijnde stelsel inzake financiële verslaggeving en de grondslagen voor financiële verslaggeving van de entiteit en de redenen voor eventuele wijzigingen daarin; (Zie Par. A82, A83 en A84) en
hoe inherente risicofactoren de vatbaarheid van beweringen voor afwijkingen beïnvloeden en de mate waarin zij dit doen bij het opstellen van de financiële overzichten in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving, op basis van de onder (a) en (b) verworven inzichten. (Zie Par. A85, A86, A87, A88 en A89)
De accountant dient te evalueren of de grondslagen voor financiële verslaggeving van de entiteit passend en consistent zijn met het van toepassing zijnde stelsel inzake financiële verslaggeving.
Inzicht in de componenten van het interne beheersingssysteem van de entiteit
Interne beheersingsomgeving, het risico-inschattingsproces van de entiteit en het proces van de entiteit om het interne beheersingssysteem te monitoren
Interne beheersingsomgeving
De accountant dient door het uitvoeren van risico-inschattingswerkzaamheden inzicht te verwerven in de interne beheersingsomgeving die relevant is voor het opstellen van de financiële overzichten, door: (Zie Par. A99 en A100)
inzicht te verwerven in de interne beheersingsmaatregelen, processen en structuren die betrekking hebben op: (Zie Par. A101 en A102)
hoe de verantwoordelijkheden van het management om toezicht uit te oefenen worden uitgedragen, zoals de cultuur van de entiteit en de toewijding van het management aan integriteit en ethische waarden;
wanneer de met governance belaste personen afgezonderd zijn van het management, de onafhankelijkheid van en toezicht op het interne beheersingssysteem van de entiteit door de met governance belaste personen;
de toewijzing door de entiteit van bevoegdheden en verantwoordelijkheden;
hoe de entiteit competente personen aantrekt, ontwikkelt en behoudt;
hoe de entiteit personen verantwoording laat afleggen over hun verantwoordelijkheden bij het nastreven van de doelstellingen van het interne beheersingssysteem; en
te evalueren of: (Zie Par. A103, A104, A105, A106, A107 en A108)
management, met het toezicht van de met governance belaste personen, een cultuur van eerlijkheid en ethisch gedrag heeft gecreëerd en gehandhaafd;
de interne beheersingsomgeving een geschikte basis verschaft voor de andere componenten van het interne beheersingssysteem van de entiteit gezien de aard en complexiteit van de entiteit; en
tekortkomingen in de interne beheersing die zijn geïdentificeerd in de interne beheersingsomgeving de andere componenten van het interne beheersingssysteem van de entiteit ondermijnen.
Het risico-inschattingsproces van de entiteit
De accountant dient door het uitvoeren van risico-inschattingswerkzaamheden inzicht te verwerven in het risico-inschattingsproces van de entiteit dat relevant is voor het opstellen van de financiële overzichten, door:
inzicht te verwerven in het proces van de entiteit voor: (Zie Par. A109 en A110)
het identificeren van bedrijfsrisico's die relevant zijn voor de doelstellingen van de financiële verslaggeving; (Zie Par. A62)
het inschatten van de significantie van die risico's, inclusief de waarschijnlijkheid dat deze voorkomen; en
het inspelen op die risico's; en
te evalueren of het risico-inschattingsproces van de entiteit geschikt is voor de omstandigheden van de entiteit gezien de aard en complexiteit van de entiteit. (Zie Par. A111, A112 en A113)
Als de accountant risico’s op een afwijking van materieel belang identificeert die het management niet heeft geïdentificeerd, dient de accountant:
te bepalen of dergelijke risico’s van een soort zijn waarvan de accountant verwacht dat deze geïdentificeerd worden door het risico-inschattingsproces van de entiteit en, zo ja, inzicht te verwerven in de reden dat het risico-inschattingsproces van de entiteit dergelijke risico’s op een afwijking van materieel belang niet heeft geïdentificeerd; en
de implicaties voor de evaluatie van de accountant in paragraaf 22(b) te overwegen.
Het proces van de entiteit om het interne beheersingssysteem te monitoren
De accountant dient door het uitvoeren van risico-inschattingswerkzaamheden inzicht te verwerven in het proces van de entiteit voor het monitoren van het interne beheersingssysteem dat relevant is voor het opstellen van de financiële overzichten, door: (Zie Par. A114 en A115)
inzicht te verwerven in die aspecten van het proces van de entiteit die betrekking hebben op:
voortdurende en afzonderlijke evaluaties voor het monitoren van de effectiviteit van interne beheersingsmaatregelen en de identificatie en het herstel van geïdentificeerde tekortkomingen in de interne beheersing; (Zie Par. A116 en A117) en
de interne auditfunctie van de entiteit, indien aanwezig, inclusief de aard, verantwoordelijkheden en activiteiten; (Zie Par. A118)
inzicht te verwerven in de bronnen van de informatie die gebruikt worden in het proces van de entiteit om het interne beheersingssysteem te monitoren en de basis waarop management de informatie als voldoende betrouwbaar voor het doel overweegt; (Zie Par. A119 en A120) en
te evalueren of het proces voor het monitoren van het interne beheersingssysteem van de entiteit geschikt is gezien de aard en complexiteit van de entiteit. (Zie Par. A121 en A122)
Informatiesysteem en communicatie en interne beheersingsactiviteiten
Informatiesysteem en communicatie
De accountant dient door middel van risico-inschattingswerkzaamheden inzicht te verwerven in het informatiesysteem en de communicatie van de entiteit die relevant zijn voor het opstellen van de financiële overzichten, door: (Zie Par. A131)
inzicht te verwerven in de informatieverwerkingsactiviteiten van de entiteit, inclusief gegevens en informatie, de benodigde middelen voor dergelijke activiteiten en de beleidslijnen die voor significante transactiestromen, rekeningsaldi en toelichtingen definiëren: (Zie Par. A132, A133, A134, A135, A136, A137, A138, A139, A140, A141, A142 en A143)
hoe informatie door het informatiesysteem van de entiteit verwerkt wordt, inclusief hoe:
transacties worden geïnitieerd, en hoe informatie daarover wordt vastgelegd, verwerkt, gecorrigeerd indien nodig, opgenomen in het grootboek en gerapporteerd in de financiële overzichten; en
informatie over gebeurtenissen en omstandigheden, anders dan transacties, wordt vastgelegd, verwerkt en toegelicht in de financiële overzichten.
de administratieve vastleggingen, specifieke rekeningen in de financiële overzichten en andere ondersteunende vastleggingen met betrekking tot de informatiestromen in het informatiesysteem;
het proces van financiële verslaggeving dat is gebruikt om de financiële overzichten van de entiteit, inclusief toelichtingen, op te stellen; en
de middelen van de entiteit, inclusief de IT-omgeving, relevant voor (a)(i) tot (a)(iii) hierboven;
inzicht te verwerven in hoe de entiteit significante aangelegenheden communiceert die het opstellen van de financiële overzichten en gerelateerde rapporteringsverantwoordelijkheden in het informatiesysteem en andere componenten van het interne beheersingssysteem ondersteunen: (Zie Par. A144 en A145)
tussen mensen binnen de entiteit, inclusief hoe financiële verslaggevingstaken en verantwoordelijkheden worden gecommuniceerd;
tussen management en de met governance belaste personen; en
met externe partijen, zoals die met regelgevende of toezichthoudende instanties; en
te evalueren of het informatiesysteem van de entiteit en de communicatie op gepaste wijze het opstellen van de financiële overzichten van de entiteit in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving ondersteunen. (Zie Par. A146)
Interne beheersingsactiviteiten
De accountant dient inzicht te verwerven in de component ‘interne beheersingsactiviteiten’ door middel van uitvoering van risico-inschattingswerkzaamheden, door: (Zie Par. A147, A148, A149, A150, A151, A152, A153, A154, A155, A156 en A157)
het identificeren van interne beheersingsmaatregelen die inspelen op risico’s op een afwijking van materieel belang op het niveau van beweringen in de component ‘interne beheersingsactiviteiten’ als volgt:
interne beheersingsmaatregelen die inspelen op een risico dat is bepaald als een significant risico; (Zie Par. A158 en A159)
interne beheersingsmaatregelen met betrekking tot journaalboekingen, inclusief niet- standaard journaalboekingen die worden gebruikt om niet-terugkerende, ongebruikelijke transacties of aanpassingen vast te leggen; (Zie Par. A160 en A161)
interne beheersingsmaatregelen waarvoor de accountant van plan is de effectieve werking te toetsen bij het bepalen van de aard, timing en omvang van gegevensgerichte werkzaamheden, waaronder interne beheersingsmaatregelen die inspelen op risico's waarvoor gegevensgerichte werkzaamheden alleen geen voldoende en geschikte controle-informatie bieden; (Zie Par. A162, A163 en A164) en
andere interne beheersingsmaatregelen waarvan de accountant overweegt dat deze geschikt zijn om de accountant in staat te stellen de doelstellingen van paragraaf 13 te bereiken met betrekking tot risico’s op het niveau van beweringen, op basis van de professionele oordeelsvorming van de accountant. (Zie Par. A165)
gebaseerd op de onder (a) geïdentificeerde interne beheersingsmaatregelen, het identificeren van de IT-applicaties en de andere aspecten van de IT-omgeving van de entiteit die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT; (Zie Par. A166, A167, A168, A169, A170, A171 en A172)
voor dergelijke IT-applicaties en andere aspecten van de IT-omgeving geïdentificeerd in (b), het identificeren van: (Zie Par. A173 en A174)
de bijbehorende risico's die voortkomen uit het gebruik van IT; en
de general IT-controls van de entiteit die inspelen op dergelijke risico's; en
voor elke interne beheersingsmaatregel onder (a) of (c) (ii): (Zie Par. A175, A176, A177, A178, A179, A180 en A181)
te evalueren of de interne beheersingsmaatregel effectief is opgezet om in te spelen op het risico op een afwijking van materieel belang op het niveau van beweringen, of effectief is opgezet om de werking van andere interne beheersingsmaatregelen te ondersteunen; en
te bepalen of de interne beheersingsmaatregel is geïmplementeerd door het uitvoeren van werkzaamheden in aanvulling op verzoeken om inlichtingen bij het personeel van de entiteit.
Tekortkomingen binnen het interne beheersingssysteem van de entiteit
Het identificeren en inschatten van de risico's op een afwijking van materieel belang
Identificeren van risico's op een afwijking van materieel belang
Het inschatten van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten
Voor geïdentificeerde risico's op een afwijking van materieel belang op het niveau van de financiële overzichten, dient de accountant de risico's in te schatten en: (Zie Par. A193, A194, A195, A196, A197, A198, A199 en A200)
te bepalen of dergelijke risico’s de inschatting van risico's op het niveau van beweringen beïnvloeden; en
de aard en omvang van hun diepgaande invloed op de financiële overzichten te evalueren.
Inschatting van risico's op een afwijking van materieel belang op het niveau van beweringen
Inschatting van het inherente risico
Voor geïdentificeerde risico’s op een afwijking van materieel belang op het niveau van beweringen, dient de accountant het inherente risico in te schatten door de waarschijnlijkheid en de orde van grootte van een afwijking in te schatten. Daarbij dient de accountant rekening te houden met hoe en in welke mate:
inherente risicofactoren de vatbaarheid van relevante beweringen voor afwijkingen beïnvloeden; en
de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten de inschatting van inherent risico voor risico's op een afwijking van materieel belang op het niveau van beweringen beïnvloeden. (Zie Par. A215 en A216)
Inschatting van het interne beheersingsrisico
Als de accountant van plan is de effectieve werking van interne beheersingsmaatregelen te toetsen, dient de accountant het interne beheersingsrisico in te schatten. Als de accountant niet van plan is om de effectieve werking van interne beheersingsmaatregelen te toetsen, dient zijn inschatting van het interne beheersingsrisico zodanig te zijn dat de inschatting van het risico op een afwijking van materieel belang hetzelfde is als de inschatting van het inherente risico. (Zie Par. A226, A227, A228 en A229)
Evalueren van de controle-informatie verkregen uit de risico-inschattingswerkzaamheden
De accountant dient te evalueren of de controle-informatie verkregen uit de risico-inschattingswerkzaamheden een geschikte basis verschaft voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang. Zo niet, dan dient de accountant aanvullende risico-inschattingswerkzaamheden uit te voeren totdat controle-informatie is verkregen om een dergelijke basis te verschaffen. Bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang, dient de accountant rekening te houden met alle controle-informatie verkregen uit de risico-inschattingswerkzaamheden, hetzij bevestigend of tegenstrijdig met beweringen van het management. (Zie Par. A230, A231 en A232)
Transactiestromen, rekeningsaldi en toelichtingen die niet significant zijn, maar die wel van materieel belang zijn
Herziening van de risico-inschatting
Als de accountant nieuwe informatie verkrijgt die niet consistent is met de controle-informatie waarop de accountant oorspronkelijk de identificatie of inschattingen van de risico’s op een afwijking van materieel belang baseerde, dient de accountant de identificatie of inschatting te herzien. (Zie Par. A236)
Documentatie
De accountant dient in de controledocumentatie op te nemen: (Zie Par. A237, A238, A239, A240 en A241)
de bespreking binnen het opdrachtteam en de significante beslissingen die zijn genomen;
de belangrijke elementen van het verworven inzicht van de accountant in overeenstemming met paragrafen 19, 21, 22, 24 en 25; de informatiebronnen waaruit het inzicht van de accountant is verkregen; en de uitgevoerde risico-inschattingswerkzaamheden;
de evaluatie van de opzet van geïdentificeerde interne beheersingsmaatregelen, en de bepaling of dergelijke interne beheersingsmaatregelen geïmplementeerd zijn in overeenstemming met de vereisten in paragraaf 26; en
de geïdentificeerde en ingeschatte risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en op het niveau van beweringen, inclusief significante risico's en risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie kunnen verschaffen, en de redenering voor de significante oordeelsvormingen die gemaakt zijn.
Toepassingsgerichte en overige verklarende teksten
Definities
(Zie Par. 12)
Beweringen
(Zie Par. 12(a))
Categorieën van beweringen worden bij het identificeren, inschatten en inspelen op de risico’s op een afwijking van materieel belang door accountants gebruikt om de verschillende soorten potentiële afwijkingen van materieel belang te overwegen. Voorbeelden van deze categorieën beweringen worden beschreven in paragraaf A190. De beweringen verschillen van de schriftelijke bevestigingen vereist door Standaard 580 om bepaalde aangelegenheden te bevestigen of andere controle-informatie te ondersteunen.
Interne beheersingsmaatregelen
(Zie Par. 12(c))
Interne beheersingsmaatregelen zijn ingebed in de componenten van het interne beheersingssys-teem van de entiteit.
Beleidslijnen worden geïmplementeerd door de handelingen van het personeel binnen de entiteit, of door de terughoudendheid van het personeel om handelingen te ondernemen die in strijd zouden zijn met dergelijke beleidslijnen.
Procedures kunnen verplicht worden gesteld door formele documentatie of andere communicatie door het management of de met governance belaste personen, of kunnen bepaald worden door de cultuur van de entiteit zonder dat er sprake is van een verplichting. Procedures kunnen worden af-gedwongen door de acties die worden toegestaan door de door de entiteit gebruikte IT-applicaties of andere aspecten van de IT-omgeving van de entiteit.
Interne beheersingsmaatregelen kunnen direct of indirect zijn. Directe interne beheersingsmaatregelen zijn interne beheersingsmaatregelen die nauwkeurig genoeg zijn om in te spelen op risico's op een afwijking van materieel belang op het niveau van beweringen. Indirecte interne beheersingsmaatregelen zijn interne beheersingsmaatregelen die directe interne beheersingsmaatregelen ondersteunen.
Interne beheersingsmaatregelen met betrekking tot informatieverwerking
(Zie Par. 12(e))
Risico's voor de integriteit van informatie zijn het gevolg van vatbaarheid voor een ineffectieve implementatie van de informatiebeleidslijnen van de entiteit; dit zijn beleidslijnen die de informatiestromen, vastleggingen en processen inzake financiële verslaggeving in het informatiesysteem van de entiteit definiëren. Interne beheersingsmaatregelen met betrekking tot informatieverwerking zijn procedures die effectieve implementatie van de informatiebeleidslijnen van de entiteit ondersteunen. Interne beheersingsmaatregelen met betrekking tot informatieverwerking kunnen geautomatiseerd zijn (d.w.z. ingebed in IT-applicaties) of handmatig (bijvoorbeeld interne beheersings-maatregelen met betrekking tot in- of uitvoer) en kunnen steunen op andere interne beheersings-maatregelen, waaronder andere interne beheersmaatregelen met betrekking tot informatieverwerking of general IT controls.
Inherente risicofactoren
(Zie Par. 12(f))
Bijlage 2 bevat verdere overwegingen met betrekking tot het verwerven van inzicht in inherente risicofactoren.
Inherente risicofactoren kunnen kwalitatief of kwantitatief zijn en de vatbaarheid van beweringen voor afwijkingen beïnvloeden. Kwalitatieve inherente risicofactoren met betrekking tot het opstellen van informatie, vereist door het van toepassing zijnde stelsel inzake financiële verslaggeving, omvatten:
complexiteit;
subjectiviteit;
wijzigingen;
onzekerheid; of
vatbaarheid voor afwijkingen als gevolg van tendentie bij het management of andere frauderisicofactoren voor zover ze het inherente risico beïnvloeden.
Andere inherente risicofactoren, die van invloed zijn op de vatbaarheid van een bewering met betrekking tot een transactiestroom, rekeningsaldo of toelichting voor een afwijking kunnen omvatten:
de kwantitatieve of kwalitatieve significantie van de transactiestroom, het rekeningsaldo of de toelichting; of
de hoeveelheid of een gebrek aan uniformiteit in de samenstelling van de elementen die moeten worden verwerkt via de transactiestroom of het rekeningsaldo, of weergegeven in de toelichting.
Relevante beweringen
(Zie Par. 12(h))
Een risico op een afwijking van materieel belang kan betrekking hebben op meer dan één bewering, in welk geval alle beweringen waarop een dergelijk risico betrekking heeft, relevante beweringen zijn. Als een bewering geen geïdentificeerd risico heeft op een afwijking van materieel belang, dan is het geen relevante bewering.
Significant risico
(Zie Par. 12(l))
Significantie kan worden omschreven als het relatieve belang van een aangelegenheid en wordt ingeschat door de accountant in de context waarin de aangelegenheid wordt overwogen. Significantie kan worden overwogen door na te gaan in hoeverre inherente risicofactoren van invloed zijn op de waarschijnlijkheid dat een afwijking voorkomt en de orde van grootte van de potentiële afwijking indien die afwijking zou voorkomen.
Risico-inschattingswerkzaamheden en daarmee verband houdende werkzaamheden
De risico’s op een afwijking van materieel belang die moeten worden geïdentificeerd en ingeschat, omvatten zowel die welke het gevolg zijn van fraude als die welke het gevolg zijn van fouten en beide worden in deze Standaard behandeld. De significantie van fraude is echter zodanig dat verdere vereisten en leidraden zijn opgenomen in Standaard 240 met betrekking tot risico-inschattingswerkzaamheden en daarmee verband houdende werkzaamheden om informatie te verkrijgen die wordt gebruikt om de risico’s op een afwijking van materieel belang als gevolg van fraude te identificeren en in te schatten. Bovendien bieden de volgende Standaarden nadere vereisten en leidraden voor het identificeren en inschatten van risico's op een afwijking van materieel belang met betrekking tot specifieke aangelegenheden of omstandigheden:
Een professioneel-kritische instelling is noodzakelijk voor de kritische evaluatie van verzamelde controle-informatie bij het uitvoeren van de risico-inschattingswerkzaamheden. Deze instelling helpt de accountant alert te blijven voor controle-informatie die geen tendentie vertoont naar alleen het bevestigen van het bestaan van risico's of juist naar het uitsluiten van tegenstrijdige informatie over het bestaan van risico's. Een professioneel-kritische instelling is een houding die door de accountant vereist wordt wanneer professionele oordeelsvormingen worden gemaakt die vervolgens de basis vormen voor de handelingen van de accountant. De accountant past professionele oordeelsvorming toe bij controle-informatie om te bepalen of die een geschikte basis verschaft voor risico-inschatting.
De accountant past professionele oordeelsvorming toe om de omvang van het vereiste inzicht te bepalen. Het belangrijkste aandachtspunt van de accountant is of het verworven inzicht volstaat om aan de in deze Standaard vermelde doelstelling te voldoen. Het algehele inzicht dat de accountant nodig heeft is minder diepgaand dan het inzicht dat het management bezit bij het leiden van de entiteit.
Waarom het verkrijgen van controle-informatie op een niet-tendentieuze manier belangrijk is
(Zie Par. 13)
Het opzetten en uitvoeren van risico-inschattingswerkzaamheden om controle-informatie te verkrijgen ter ondersteuning van de identificatie en inschatting van de risico’s op een afwijking van materieel belang op een niet-tendentieuze manier kan de accountant helpen bij het identificeren van mogelijk tegenstrijdige informatie. Dit kan de accountant helpen bij het uitoefenen van een professioneel-kritische instelling bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang.
Bronnen van controle-informatie
(Zie Par. 13)
Risico-inschattingswerkzaamheden opzetten en uitvoeren om op een niet tendentieuze manier controle-informatie te verkrijgen kan bestaan uit het verkrijgen van informatie uit meerdere bronnen binnen en buiten de entiteit. De accountant hoeft echter niet een uitputtende zoekopdracht uit te voeren om alle mogelijke bronnen van controle-informatie te identificeren. Naast informatie uit andere bronnen , kunnen informatiebronnen voor risico-inschattingswerkzaamheden omvatten:
interacties met het management, de met governance belaste personen en ander personeel van de entiteit op sleutelposities, zoals interne auditors;
bepaalde externe partijen zoals regelgevers of toezichthouders, ongeacht of de informatie direct of indirect is verkregen;
openbaar beschikbare informatie over de entiteit, bijvoorbeeld door de entiteit uitgegeven persberichten, informatie voor analisten of vergaderingen van investeerdersgroepen, analistenrapporten of informatie over handelsactiviteiten.
Ongeacht de informatiebron houdt de accountant rekening met de relevantie en betrouwbaarheid van de informatie die moet worden gebruikt als controle-informatie in overeenstemming met Standaard 500.
Schaalbaarheid
(Zie Par. 13)
De aard en omvang van risico-inschattingswerkzaamheden zullen variëren op basis van de aard en omstandigheden van de entiteit (bijvoorbeeld mate waarin de beleidslijnen, procedures, processen en systemen van de entiteit geformaliseerd zijn). De accountant past professionele oordeelsvorming toe om de aard en omvang van de risico-inschattingswerkzaamheden die moeten worden uitgevoerd om aan de vereisten van deze Standaard te voldoen, te bepalen.
Hoewel de mate waarin de beleidslijnen, procedures, processen en systemen van een entiteit zijn geformaliseerd kan variëren, wordt van de accountant nog steeds vereist om het inzicht te verwerven in overeenstemming met paragrafen 19, 21, 22, 24, 25 en 26.
Voorbeelden
Sommige entiteiten, waaronder minder complexe entiteiten, en met name door de eigenaar bestuurde entiteiten, hebben wellicht geen gestructureerde processen en systemen opgezet (bijvoorbeeld een risico-inschattingsproces of een proces om het systeem van interne beheersing te monitoren) of hebben mogelijk processen of systemen vastgesteld met beperkte documentatie of gebrek aan consistentie bij de uitvoering. Ook wanneer in dergelijke systemen en processen formalisering ontbreekt, kan de accountant nog steeds risico-inschattingswerkzaamheden uitvoeren door waarneming en verzoek om inlichtingen.
Van andere, doorgaans complexere entiteiten, wordt verwacht dat ze meer geformaliseerde en gedocumenteerde beleidslijnen en procedures hebben. De accountant kan dergelijke documentatie gebruiken bij het uitvoeren van risico-inschattingswerkzaamheden
De aard en omvang van risico-inschattingswerkzaamheden die moeten worden uitgevoerd bij de eerste keer dat een opdracht wordt uitgevoerd, kunnen uitgebreider zijn dan werkzaamheden voor een doorlopende opdracht. In opvolgende verslagperiodes kan de accountant zich richten op veranderingen die zich sinds de voorgaande verslagperiode hebben voorgedaan.
Soorten risico-inschattingswerkzaamheden
(Zie Par. 14)
Standaard 500 licht de soorten controlewerkzaamheden toe die kunnen worden uitgevoerd bij het verkrijgen van controle-informatie uit risico-inschattingswerkzaamheden en verdere controlewerkzaamheden. De aard, timing en omvang van de controlewerkzaamheden kunnen worden beïnvloed door het feit dat sommige van de administratieve gegevens en andere informatie mogelijk alleen beschikbaar zijn in elektronische vorm of alleen op bepaalde momenten. De accountant kan gegevensgerichte controles of toetsingen van interne beheersingsmaatregelen uitvoeren, in overeenstemming met Standaard 330, gelijktijdig met risico inschattingswerkzaamheden wanneer dit efficiënt is om te doen. Verkregen controle-informatie die de identificatie en inschatting van risico's op een afwijking van materieel belang ondersteunt kan ook de detectie van afwijkingen op het niveau van beweringen of de evaluatie van de effectieve werking van interne beheersingsmaatregelen ondersteunen.
Hoewel van de accountant vereist wordt om alle in paragraaf 14 beschreven risico-inschattingswerkzaamheden uit te voeren bij het verwerven van het vereiste inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het interne beheersingssysteem van de entiteit (zie paragrafen 19–26), wordt van de accountant niet vereist om ze allemaal uit te voeren voor elk onderdeel van dat inzicht. Andere werkzaamheden kunnen worden uitgevoerd wanneer de te verkrijgen informatie nuttig kan zijn bij het identificeren van risico’s op afwijkingen van materieel belang. Voorbeelden van dergelijke werkzaamheden kunnen het verzoeken om inlichtingen zijn bij de externe juridisch adviseur of externe toezichthouders van de entiteit, of van waarderingsdeskundigen die de entiteit heeft ingezet.
Geautomatiseerde hulpmiddelen en technieken
(Zie Par. 14)
Gebruikmakend van geautomatiseerde hulpmiddelen en technieken, kan de accountant algemene risico-inschattingswerkzaamheden uitvoeren op grote aantallen gegevens (van het grootboek, subgrootboeken of andere operationele gegevens) alsmede voor analyse, herberekeningen, het opnieuw uitvoeren of aansluitingen.
Verzoeken om inlichtingen bij het management en anderen binnen de entiteit
(Zie Par. 14(a))
Waarom verzoeken om inlichtingen worden gedaan bij het management en anderen binnen de entiteit
Informatie ter ondersteuning van een geschikte basis voor de identificatie en inschatting van risico's en het opzetten van verdere controlewerkzaamheden, kan worden verkregen door de accountant door middel van verzoeken om inlichtingen bij het management en degenen die verantwoordelijk zijn voor financiële verslaggeving.
Verzoeken om inlichtingen bij het management, degenen die verantwoordelijk zijn voor de financiële verslaggeving, andere geschikte personen binnen de entiteit en andere werknemers met verschillende bevoegdheidsniveaus kunnen de accountant verschillende perspectieven bieden bij het identificeren en inschatten van risico's op een afwijking van materieel belang.
Voorbeelden
Verzoeken om inlichtingen gericht aan de met governance belaste personen kunnen de accountant helpen inzicht te verwerven in de mate van toezicht door de met governance belaste personen op het opstellen van de financiële overzichten door het management. Standaard 260 onderkent het belang van effectieve wederzijdse communicatie om de accountant te helpen in dit verband informatie te verkrijgen van de met governance belaste personen.
Verzoeken om inlichtingen bij werknemers die verantwoordelijk zijn voor het initiëren, verwerken of vastleggen van complexe of ongebruikelijke transacties kunnen de accountant helpen bij het evalueren in welke mate de keuze en toepassing van bepaalde grondslagen voor financiële verslaggeving passend zijn.
Verzoeken om inlichtingen bij de interne juridische adviseur kunnen informatie verstrekken over aangelegenheden als rechtszaken, de naleving van wet- en regelgeving, kennis van fraude of vermoede fraude die de entiteit beïnvloedt, garanties, verplichtingen na verkoop, overeenkomsten (zoals joint ventures) met zakenpartners en de betekenis van contractuele bepalingen.
Verzoeken om inlichtingen bij marketing- of verkooppersoneel kunnen informatie verschaffen over wijzigingen in de marketingstrategieën van de entiteit, verkooptrends of contractuele overeenkomsten met de klanten.
Verzoeken om inlichtingen gericht op de risicomanagementfunctie (of verzoeken om inlichtingen aan personen die dergelijke rollen uitvoeren) kunnen informatie verschaffen over operationele en wettelijke risico's die van invloed kunnen zijn op de financiële verslaggeving.
Verzoeken om inlichtingen gericht aan IT-personeel kunnen informatie verschaffen over systeemwijzigingen, falen van systeem- of interne beheersing, of andere IT-gerelateerde risico's.
Overwegingen specifiek voor entiteiten in de publieke sector
Bij verzoeken om inlichtingen bij personen die informatie kunnen hebben die waarschijnlijk zal helpen bij het identificeren van risico’s op een afwijking van materieel belang, kunnen accountants van entiteiten in de publieke sector informatie verkrijgen van aanvullende bronnen zoals van de accountants die betrokken zijn bij doelmatigheids- of andere controles met betrekking tot de entiteit.
Verzoeken om inlichtingen bij de interne auditfunctie
Bijlage 4 bevat overwegingen voor het verwerven van inzicht in de interne auditfunctie van een entiteit.
Waarom verzoeken om inlichtingen worden gesteld bij de interne auditfunctie (als de functie bestaat)
Als een entiteit een interne auditfunctie heeft, kunnen verzoeken om inlichtingen bij de juiste personen binnen de interne auditfunctie de accountant helpen bij het verwerven van inzicht in de entiteit en haar omgeving en het systeem van interne beheersing van de entiteit bij het identificeren en inschatten van risico's.
Overwegingen specifiek voor entiteiten in de publieke sector
Accountants van entiteiten in de publieke sector hebben vaak extra verantwoordelijkheden met betrekking tot interne beheersing en naleving van de van toepassing zijnde wet- en regelgeving. Verzoeken om inlichtingen bij de juiste personen in de interne auditfunctie kunnen de accountants helpen bij het identificeren van het risico op niet-naleving van materieel belang van de van toepassing zijnde wet- en regelgeving en het risico op tekortkomingen in de interne beheersing met betrekking tot financiële verslaggeving.
Cijferanalyses
(Zie Par. 14(b))
Waarom cijferanalyses worden uitgevoerd als een van de risico-inschattingswerkzaamheden
Cijferanalyses helpen bij het identificeren van inconsistenties, ongebruikelijke transacties of gebeurtenissen, bedragen, ratio's en trends die wijzen op aangelegenheden die implicaties voor de controle kunnen hebben. Ongebruikelijke of onverwachte relaties die geïdentificeerd zijn, kunnen de accountant helpen bij het identificeren van risico's op een afwijking van materieel belang; met name risico's op een afwijking van materieel belang als gevolg van fraude.
Cijferanalyses die worden uitgevoerd als risico-inschattingswerkzaamheden kunnen daarom helpen bij het identificeren en het inschatten van de risico’s op een afwijking van materieel belang door aspecten van de entiteit te identificeren waarvan de accountant zich niet bewust was of niet begreep hoe inherente risicofactoren, zoals wijzigingen, de vatbaarheid van beweringen voor afwijkingen beïnvloeden.
Soorten cijferanalyses
Cijferanalyses uitgevoerd als risico-inschattingswerkzaamheden kunnen:
zowel financiële als niet-financiële informatie omvatten, bijvoorbeeld de relatie tussen verkoop en vierkante meters van verkoopruimte of hoeveelheid verkochte goederen (niet-financieel);
gegevens gebruiken die op een hoog niveau zijn samengevoegd. Dienovereenkomstig kunnen de resultaten van die cijferanalyses een eerste globale indicatie geven van de waarschijnlijkheid van een afwijking van materieel belang.
Voorbeeld
Bij de controle van veel entiteiten, waaronder die met minder complexe bedrijfsmodellen en processen en een minder complex informatiesysteem, kan de accountant een eenvoudige vergelijking van informatie uitvoeren, zoals de wijziging in tussentijdse of maandelijkse rekeningsaldi ten opzichte van saldi in eerdere verslagperiodes om een indicatie te krijgen van mogelijk hogere risicogebieden
Deze Standaard behandelt het gebruik door de accountant van cijferanalyses als risico-inschattingswerkzaamheden. Standaard 520 behandelt het gebruik door de accountant van cijferanalyses als gegevensgerichte werkzaamheden ('gegevensgerichte cijferanalyses') en de verantwoordelijkheid van de accountant om cijferanalyses aan het einde van de controle uit te voeren. Dienovereenkomstig is het niet vereist om cijferanalyses die worden uitgevoerd als risico-inschattingswerkzaamheden uit te voeren in overeenstemming met de vereisten van Standaard 520. Echter, de vereisten en toepassingsgerichte teksten in Standaard 520 kunnen bruikbare leidraden bieden aan de accountant bij het uitvoeren van cijferanalyses als onderdeel van de risico-inschattingswerkzaamheden.
Geautomatiseerde hulpmiddelen en technieken
Cijferanalyses kunnen worden uitgevoerd met behulp van een aantal hulpmiddelen of technieken, die geautomatiseerd kunnen zijn. Het toepassen van geautomatiseerde cijferanalyses op de gegevens kan worden aangeduid als data analyse.
Voorbeeld
De accountant kan een spreadsheet gebruiken om een vergelijking te maken van de werkelijk vastgelegde bedragen ten opzichte van gebudgetteerde bedragen, of kan een meer geavanceerde maatregel uitvoeren door gegevens uit het informatiesysteem van de entiteit te extraheren en deze gegevens verder te analyseren met behulp van visualisatietechnieken om transactiestromen, rekeningsaldi of toelichtingen te identificeren waarvoor verdere specifieke risico-inschattingswerkzaamheden gerechtvaardigd kunnen zijn
Waarneming en inspectie
(Zie Par. 14(c))
Waarom waarneming en inspectie worden uitgevoerd als risico-inschattingswerkzaamheden
Waarneming en inspectie kunnen verzoeken om inlichtingen bij het management en anderen ondersteunen, bevestigen of tegenspreken en kunnen ook informatie verschaffen over de entiteit en haar omgeving.
Schaalbaarheid
Wanneer beleidslijnen of procedures niet zijn gedocumenteerd of de entiteit minder geformaliseerde interne beheersingsmaatregelen heeft, kan de accountant nog steeds enige controle-informatie verkrijgen om de identificatie en inschatting van de risico’s op een afwijking van materieel belang te ondersteunen door waarneming of inspectie van de uitvoering van de interne beheersingsmaatregel.
Voorbeelden
De accountant kan inzicht verwerven in de interne beheersingsmaatregelen met betrekking tot een voorraadopname, zelfs als deze niet door de entiteit zijn gedocumenteerd, door directe waarneming.
De accountant kan in staat zijn functiescheiding waar te nemen.
De accountant kan in staat zijn waar te nemen dat wachtwoorden worden ingevoerd.
Waarneming en inspectie als risico-inschattingswerkzaamheden
Risico-inschattingswerkzaamheden kunnen waarneming of inspectie van het volgende omvatten:
de activiteiten van de entiteit;
interne documenten (zoals ondernemingsplannen en strategieën), vastleggingen en handboeken over de interne beheersing;
verslagen opgesteld door het management (zoals kwartaalverslagen van het management en tussentijdse financiële overzichten) en de met governance belaste personen (zoals notulen van de vergaderingen van de raad van bestuur);
de panden en fabrieksinstallaties van de entiteit;
informatie verkregen uit externe bronnen zoals handels- en economische tijdschriften; rapporten door analisten, banken of kredietbeoordelaars; publicaties van regelgevende of toezichthoudende instanties of financiële publicaties; of andere externe documenten over de financiële prestaties van de entiteit (zoals die waarnaar in paragraaf A79 wordt verwezen);
de gedragingen en de handelingen van het management of de met governance belaste personen (zoals de waarneming van een vergadering van het auditcomité).
Geautomatiseerde hulpmiddelen en technieken
Geautomatiseerde hulpmiddelen of technieken kunnen ook worden gebruikt om waar te nemen of te inspecteren, in het bijzonder activa, bijvoorbeeld door het gebruik van externe waarnemingshulpmiddelen (bijv. een drone).
Overwegingen specifiek voor entiteiten in de publieke sector
Risico-inschattingswerkzaamheden die worden uitgevoerd door accountants van entiteiten in de publieke sector kunnen ook waarneming en inspectie van documenten opgesteld door het management voor de wetgever omvatten, bijvoorbeeld documenten met betrekking tot verplichte prestatierapportage.
Informatie uit andere bronnen
(Zie Par. 15)
Waarom de accountant informatie uit andere bronnen overweegt
Informatie verkregen uit andere bronnen kan relevant zijn voor de identificatie en inschatting van de risico's op een afwijking van materieel belang door het verstrekken van informatie en inzichten over:
de aard van de entiteit en de bedrijfsrisico's en wat gewijzigd kan zijn ten opzichte van de vorige verslagperiodes;
de integriteit en ethische waarden van het management en de met governance belaste personen, die ook relevant kunnen zijn voor het inzicht van de accountant in de interne beheersingsomgeving;
het van toepassing zijnde stelsel inzake financiële verslaggeving en de toepassing ervangelet op de aard en omstandigheden van de entiteit.
Andere relevante bronnen
Andere relevante informatiebronnen omvatten:
de werkzaamheden van de accountant met betrekking tot aanvaarding of continuering van de cliëntrelatie of de controleopdracht in overeenstemming met Standaard 220, waaronder de conclusies die hierover zijn getrokken;
andere opdrachten voor de entiteit die door de opdrachtpartner zijn uitgevoerd. De opdrachtpartner kan kennis hebben verkregen die relevant is voor de controle, inclusief kennis over de entiteit en haar omgeving bij het uitvoeren van andere opdrachten voor de entiteit. Dergelijke opdrachten kunnen opdrachten tot het uitvoeren van overeengekomen specifieke werkzaamheden of andere controle- of assurance-opdrachten omvatten, inclusief opdrachten om te voldoen aan toenemende verslaggevingsvereisten in het rechtsgebied.
Informatie uit eerdere ervaringen van de accountant met de entiteit en eerdere controles
(Zie Par. 16)
Waarom informatie uit eerdere controles belangrijk is voor de lopende controle
De eerdere ervaring van de accountant met de entiteit en controlewerkzaamheden die zijn uitgevoerd in eerdere controles kunnen de accountant informatie verschaffen die relevant is voor de bepaling door de accountant van de aard en omvang van risico-inschattingswerkzaamheden en de identificatie en inschatting van risico’s op afwijkingen van materieel belang.
Aard van de informatie uit eerdere controles
De eerdere ervaring van de accountant met de entiteit en controlewerkzaamheden die zijn uitgevoerd bij eerdere controles kunnen de accountant informatie verstrekken over aangelegenheden als:
afwijkingen uit het verleden en of deze tijdig zijn gecorrigeerd;
de aard van de entiteit en haar omgeving en het systeem van interne beheersing van de entiteit (inclusief tekortkomingen in de interne beheersing);
significante wijzigingen die de entiteit of de activiteiten sinds de vorige financiële verslagperiode hebben ondergaan;
die bijzondere soorten transacties en andere gebeurtenissen of rekeningsaldi (en daarmee samenhangende toelichtingen) waar de accountant moeilijkheden ondervond bij het uitvoeren van de noodzakelijke controlewerkzaamheden, bijvoorbeeld vanwege hun complexiteit.
Van de accountant wordt vereist om te bepalen of informatie verkregen uit de vorige ervaring met de entiteit en van controlewerkzaamheden die bij eerdere controles zijn uitgevoerd, relevant en betrouwbaar blijft, als de accountant voornemens is die informatie te gebruiken voor de lopende controle. Als de aard of omstandigheden van de entiteit zijn gewijzigd of nieuwe informatie is verkregen, is de informatie uit voorgaande verslagperioden mogelijk niet langer relevant of betrouwbaar voor de lopende controle. Om te bepalen of er wijzigingen zijn voorgekomen die de relevantie of betrouwbaarheid van dergelijke informatie kunnen beïnvloeden, kan de accountant verzoeken om inlichtingen en andere geschikte controlewerkzaamheden uitvoeren, zoals lijncontroles van relevante systemen. Als de informatie niet betrouwbaar is, kan de accountant overwegen extra werkzaamheden uit te voeren die passend zijn in de omstandigheden.
Bespreking opdrachtteam
De bespreking binnen het opdrachtteam over de toepassing van het van toepassing zijnde stelsel inzake financiële verslaggeving en de vatbaarheid van de financiële overzichten van de entiteit voor afwijkingen van materieel belang:
biedt een kans voor meer ervaren leden van het opdrachtteam, waaronder de opdrachtpartner, om de op hun kennis van de entiteit gebaseerde inzichten te delen. Het delen van informatie draagt bij aan een verbeterd inzicht door alle leden van het opdrachtteam;
staat de opdrachtteamleden toe om informatie uit te wisselen over de bedrijfsrisico's waaraan de entiteit is blootgesteld, hoe inherente risicofactoren de vatbaarheid voor afwijkingen van transactiestromen, rekeningsaldi en toelichtingen kunnen beïnvloeden en over hoe en waar de financiële overzichten vatbaar kunnen zijn voor een afwijking van materieel belang als gevolg van fraude of fouten;
helpt de betrokken teamleden om een beter inzicht te krijgen in de mogelijkheid voor een afwijking van materieel belang in de financiële overzichten in de specifieke gebieden die aan hen zijn toegewezen en om inzicht te verwerven in hoe de resultaten van de door hen uitgevoerde controlewerkzaamheden van invloed kunnen zijn op andere aspecten van de controle, inclusief de beslissingen over de aard, timing en omvang van verdere controlewerkzaamheden. De bespreking helpt het opdrachtteam in het bijzonder tegenstrijdige informatie verder te overwegen op basis van het eigen inzicht in de aard en omstandigheden van de entiteit van elk lid van het team;
biedt een basis waarop leden van het opdrachtteam nieuwe informatie verkregen tijdens de controle en die van invloed kan zijn op de inschatting van risico’s op een afwijking van materieel belang of op de uitgevoerde controlewerkzaamheden om in te spelen op deze risico’s communiceren en delen.
Standaard 240 vereist dat de opdrachtteam bespreking bijzondere nadruk legt op hoe en waar de financiële overzichten van de entiteit mogelijk vatbaar zijn voor afwijkingen van materieel belang als gevolg van fraude, waaronder hoe fraude kan voorkomen.
Een professioneel-kritische instelling is noodzakelijk voor de kritische inschatting van controle-informatie en een robuuste en open bespreking in het opdrachtteam, ook voor doorlopende controles en kan leiden tot verbeterde identificatie en inschatting van de risico’s op een afwijking van materieel belang. Een ander resultaat van de bespreking kan zijn dat de accountant specifieke gebieden van de controle identificeert waarvoor het uitoefenen van een professioneel-kritische instelling bijzonder belangrijk is en wat kan leiden tot de betrokkenheid van meer ervaren leden van het opdrachtteam die voldoende bekwaam zijn om betrokken te zijn bij de uitvoering van controlewerkzaamheden met betrekking tot deze gebieden.
Schaalbaarheid
Wanneer de opdracht wordt uitgevoerd door een enkele persoon, zoals een zelfstandige accountant (d.w.z. waar een opdrachtteam bespreking niet mogelijk is), kan overweging van de in de paragrafen A42 en A46 genoemde aangelegenheden de accountant niettemin helpen om te identificeren waar er risico's kunnen zijn op afwijkingen van materieel belang.
Wanneer een opdracht wordt uitgevoerd door een groot opdrachtteam, zoals voor een controle van financiële overzichten van de groep, is het niet altijd noodzakelijk of praktisch uitvoerbaar dat alle leden in één bespreking worden geïnformeerd (bijvoorbeeld in een controle die meerdere locaties betreft), noch is het nodig dat alle leden van het opdrachtteam op de hoogte worden gehouden van alle beslissingen die in de bespreking zijn genomen. De opdrachtpartner kan aangelegenheden bespreken met kernleden van het opdrachtteam, met inbegrip van, indien nodig geacht, degenen met specifieke vaardigheden of kennis en degenen die verantwoordelijk zijn voor de werkzaamheden die moeten worden uitgevoerd bij groepsonderdelen, terwijl bespreking met anderen wordt gedelegeerd, rekening houdend met de omvang van communicatie die door het hele opdrachtteam noodzakelijk wordt geacht. Een door de opdrachtpartner goedgekeurd communicatieplan kan nuttig zijn.
Bespreking van toelichtingen in het van toepassing zijnde stelsel inzake financiële verslaggeving
Als onderdeel van de bespreking binnen het opdrachtteam, helpt rekening houden met de toelichtingsvereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving in het begin van de controle bij het identificeren van mogelijke risico’s op een afwijking van materieel belang met betrekking tot toelichtingen. Dit helpt zelfs in omstandigheden waarin het van toepassing zijnde stelsel inzake financiële verslaggeving alleen vereenvoudigde toelichtingen vereist. Aangelegenheden die het opdrachtteam kan bespreken omvatten:
veranderingen in financiële verslaggevingsvereisten die kunnen leiden tot significante nieuwe of herziene toelichtingen;
veranderingen in haar omgeving, financiële toestand of activiteiten van de entiteit die kunnen leiden tot significante nieuwe of herziene toelichtingen, bijvoorbeeld een significante fusie of overname in de gecontroleerde verslagperiode;
toelichtingen waarvoor het verkrijgen van voldoende en geschikte controle-informatie moeilijk kan zijn geweest in het verleden; en
toelichtingen over complexe aangelegenheden, waaronder die waarbij significante oordeelsvorming van het management betrokken is over welke informatie moet worden toegelicht.
Overwegingen specifiek voor entiteiten in de publieke sector
Als onderdeel van de bespreking binnen het opdrachtteam door accountants van entiteiten in de publieke sector, kan ook rekening worden gehouden met eventuele aanvullende bredere doelstellingen en bijbehorende risico's die voortkomen uit het controlemandaat of verplichtingen voor entiteiten in de publieke sector.
Het verwerven van inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het interne beheersingssysteem van de entiteit
(Zie Par. 19, 20, 21, 22, 23, 24, 25, 26 en 27)
In de bijlagen 1 tot en met 6 worden verdere overwegingen uiteengezet met betrekking tot het verwerven van inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het systeem van interne beheersing van de entiteit.
Het verwerven van het vereiste inzicht
Het verwerven van inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het interne beheersingssysteem van de entiteit is een dynamisch en iteratief proces van verzamelen, bijwerken en analyseren van informatie. Daarom kunnen de ver-wachtingen van de accountant veranderen als nieuwe informatie wordt verkregen.
Het inzicht van de accountant in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving kan de accountant ook helpen bij het ontwikkelen van initiële verwachtingen over de transactiestromen, rekeningsaldi en toelichtingen die significante transactiestroom, rekeningsaldi en toelichtingen kunnen zijn. Deze verwachte significante transactiestromen, rekeningsaldi en toelichtingen vormen de basis voor de reikwijdte van het inzicht van de accountant in het informatiesysteem van de entiteit.
Waarom inzicht in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving wordt vereist
Het inzicht van de accountant in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving, helpt de accountant bij het verwerven van inzicht in de gebeurtenissen en omstandigheden die relevant zijn voor de entiteit en bij het identificeren hoe inherente risicofactoren de vatbaarheid van beweringen voor afwijkingen bij het opstellen van de financiële overzichten beïnvloeden, in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving en de mate waarin zij dit doen. Dergelijke informatie vormt een referentiekader waarbinnen de accountant risico's op een afwijking van materieel belang identificeert en inschat. Dit referentiekader helpt de accountant ook bij het plannen van de controle en het uitoefenen van professionele oordeelsvorming en een professioneel-kritische instelling gedurende de gehele controle, bijvoorbeeld bij:
het identificeren en inschatten van risico's op een afwijking van materieel belang in de financiële overzichten in overeenstemming met Standaard 315 of andere relevante Standaarden (bijv. met betrekking tot risico’s op fraude in overeenstemming met Standaard 240 of bij het identificeren of inschatten van risico's met betrekking tot schattingen in overeenstemming met Standaard 540);
het uitvoeren van werkzaamheden om bij te dragen tot het identificeren van gevallen van niet-naleving van wet- en regelgeving die een invloed van materieel belang kunnen hebben op de financiële overzichten in overeenstemming met Standaard 250;
het evalueren of de financiële overzichten voldoende toelichtingen verschaffen in overeenstemming met Standaard 700;
het bepalen van materialiteit of uitvoeringsmaterialiteit in overeenstemming met Standaard 320; of
het overwegen van de geschiktheid van de keuze en toepassing van grondslagen voor financiële verslaggeving en de toereikendheid van de toelichtingen bij de financiële overzichten.
Het inzicht van de accountant in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving, is ook de basis voor de manier waarop de accountant verdere controlewerkzaamheden plant en uitvoert, bijvoorbeeld bij:
het ontwikkelen van verwachtingen voor gebruik bij het uitvoeren van cijferanalyses in overeenstemming met Standaard 520;
het opzetten en uitvoeren van verdere controlewerkzaamheden om voldoende en geschikte controle-informatie te verkrijgen in overeenstemming met Standaard 330; en
het evalueren van de toereikendheid en geschiktheid van verkregen controle-informatie (bijv. met betrekking tot veronderstellingen of mondelinge en schriftelijke bevestigingen van het management).
Schaalbaarheid
De aard en omvang van het vereiste inzicht is een aangelegenheid van professionele oordeelsvorming door de accountant en varieert van entiteit tot entiteit gebaseerd op de aard en omstandigheden van de entiteit, waaronder:
de omvang en complexiteit van de entiteit, inclusief de IT-omgeving;
de eerdere ervaring van de accountant met de entiteit;
de aard van de systemen en processen van de entiteit, inclusief of deze al dan niet geformaliseerd zijn; en
de aard en vorm van de documentatie van de entiteit.
De risico-inschattingswerkzaamheden van de accountant om het vereiste inzicht te verwerven, kunnen minder uitgebreid zijn in controles van minder complexe entiteiten en uitgebreider voor complexere entiteiten. Het inzicht dat door de accountant wordt vereist, zal naar verwachting minder diepgaand zijn dan het inzicht dat het management bezit bij het leiden van de entiteit.
Sommige stelsels inzake financiële verslaggeving staan kleinere entiteiten toe om eenvoudigere en minder gedetailleerde toelichtingen te verschaffen in de financiële overzichten. Dit ontslaat de accountant echter niet van zijn verantwoordelijkheid om inzicht te verwerven in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving zoals het van toepassing is op de entiteit.
Het gebruik van IT door de entiteit en de aard en omvang van veranderingen in de IT-omgeving kunnen ook van invloed zijn op de specialistische vaardigheden die nodig zijn om het vereiste inzicht te verwerven.
De entiteit en haar omgeving
(Zie Par. 19(a))
De organisatiestructuur, het eigendom en de governance van de entiteit en haar bedrijfsmodel
(Zie Par. 19(a))
De organisatiestructuur en eigendom van de entiteit
Inzicht in de organisatiestructuur en eigendom van de entiteit kan de accountant in staat stellen inzicht te verwerven in aangelegenheden als:
de complexiteit van de structuur van de entiteit;
Voorbeeld
De entiteit kan een enkele entiteit zijn of de structuur van de entiteit kan dochterondernemingen, divisies of andere groepsonderdelen op meerdere locaties omvatten. Verder kan de juridische structuur verschillen van de operationele structuur. Complexe structuren introduceren vaak factoren die aanleiding kunnen geven tot hogere vatbaarheid voor risico's op een afwijking van materieel belang. Dergelijke kwesties kunnen betrekking hebben op de vraag of goodwill, joint ventures, investeringen of voor een bijzonder doel opgerichte entiteiten op de juiste wijze administratief zijn verwerkt en of adequate toelichting van dergelijke kwesties is gegeven in de financiële overzichten.
het eigendom en relaties tussen eigenaren en andere mensen of entiteiten, inclusief verbonden partijen. Dit inzicht kan helpen om te bepalen of transacties met verbonden partijen op passende wijze zijn geïdentificeerd, verantwoord en voldoende toegelicht in de financiële overzichten;
het onderscheid tussen de eigenaars, de met governance belaste personen en management;
Voorbeeld
In minder complexe entiteiten kunnen eigenaren van de entiteit betrokken zijn bij het leiden van de entiteit, daarom is daar weinig of geen onderscheid. Daarentegen kan er een duidelijk onderscheid zijn tussen het management, de eigenaren van de entiteit en de met governance belaste personen zoals in sommige oob’s of andere beursgenoteerde entiteiten.
de structuur en complexiteit van de IT-omgeving van de entiteit;
Voorbeelden
Een entiteit kan:
meerdere verouderde IT-systemen hebben in diverse bedrijfsactiviteiten die niet goed zijn geïntegreerd, resulterend in een complexe IT-omgeving.
gebruikmaken van externe of interne serviceproviders voor aspecten van de IT-omgeving (bijv. het uitbesteden van de hosting van de IT-omgeving aan een derde of een gedeeld servicecentrum voor centraal beheer van IT-processen in een groep).
Geautomatiseerde hulpmiddelen en technieken
De accountant kan geautomatiseerde hulpmiddelen en technieken gebruiken om inzicht te verwerven in transactiestromen en -verwerking als onderdeel van de werkzaamheden van de accountant om inzicht te verwerven in het informatiesysteem. Een uitkomst van deze werkzaamheden kan zijn dat de accountant informatie verkrijgt over de organisatiestructuur van de entiteit of degenen waarmee de entiteit zaken doet (bijvoorbeeld leveranciers, klanten, verbonden partijen).
Overwegingen specifiek voor entiteiten in de publieke sector
Het eigendom van een entiteit in de publieke sector heeft mogelijk niet dezelfde relevantie als in de particuliere sector omdat als gevolg van politieke processen beslissingen met betrekking tot de entiteit buiten de entiteit kunnen worden genomen. Daarom heeft het management mogelijk geen zeggenschap over bepaalde beslissingen die worden genomen. Aangelegenheden die relevant kunnen zijn omvatten onder meer inzicht in de mogelijkheid van de entiteit om eenzijdige beslissingen te nemen en de mogelijkheid van andere entiteiten in de publieke sector om het mandaat en de strategische richting van de entiteit te beheersen of te beïnvloeden.
Voorbeeld
Een entiteit in de publieke sector kan onderworpen zijn aan wetten of andere aanwijzingen van autoriteiten die dit vereisen om goedkeuring te krijgen van externe partijen van de entiteit van de strategie en doelstellingen voorafgaand aan de implementatie daarvan. Daarom kunnen aangelegenheden met betrekking tot het verwerven van inzicht in de juridische structuur van de entiteit van toepassing zijnde wet- en regelgeving omvatten en de classificatie van de entiteit (d.w.z. of de entiteit een ministerie, departement agentschap of ander type entiteit is).
Governance
Waarom de accountant inzicht in de governance verkrijgt
Inzicht in de governance van de entiteit kan de accountant helpen bij het verwerven van inzicht in de mogelijkheid om passend toezicht te houden op het interne beheersingssysteem. Dit inzicht kan echter ook informatie verschaffen inzake tekortkomingen, wat kan wijzen op een toename van de vatbaarheid van de financiële overzichten van de entiteit voor risico's op afwijkingen van materieel belang.
Inzicht in de governance van de entiteit
Aangelegenheden die relevant kunnen zijn voor de accountant om te overwegen bij het verwerven van inzicht in de governance van de entiteit omvatten:
of een of meer van de met governance belaste personen betrokken zijn bij het leiden van de entiteit;
het bestaan (en de scheiding) van een niet-uitvoerend bestuur, indien aanwezig, van een dagelijks bestuur;
of de met governance belaste personen posities bekleden die een integraal onderdeel zijn van de juridische structuur van de entiteit, bijvoorbeeld als directeur;
het bestaan van subgroepen van de met governance belaste personen, zoals een auditcomité, en de verantwoordelijkheden van een dergelijke groep;
de verantwoordelijkheden van de met governance belaste personen voor het toezicht op de financiële verslaggeving, inclusief goedkeuring van de financiële overzichten.
Het bedrijfsmodel van de entiteit
Bijlage 1 bevat aanvullende overwegingen voor het verwerven van inzicht in de entiteit en haar bedrijfsmodel, evenals aanvullende overwegingen voor het controleren van voor een bijzonder doel opgerichte entiteiten
Waarom de accountant inzicht krijgt in het bedrijfsmodel van de entiteit
Inzicht in de doelstellingen, strategie en bedrijfsmodel van de entiteit helpt de accountant om inzicht te verwerven in de entiteit op strategisch niveau en om de bedrijfsrisico's te begrijpen die de entiteit neemt en loopt. Een inzicht in de bedrijfsrisico's die van invloed zijn op de financiële overzichten helpt de accountant bij het identificeren van risico's op een afwijking van materieel belang, aangezien de meeste bedrijfsrisico's uiteindelijk financiële consequenties hebben en derhalve een effect op de financiële overzichten.
Voorbeelden
Het bedrijfsmodel van een entiteit kan op verschillende manieren steunen op het gebruik van IT:
de entiteit verkoopt schoenen uit een fysieke winkel en gebruikt een geavanceerd voorraad- en kassasysteem om de verkoop van schoenen vast te leggen; of
de entiteit verkoopt schoenen online zodat alle verkooptransacties in een IT-omgeving worden verwerkt, inclusief het initiëren van de transacties via een website.
Voor beide entiteiten zouden de bedrijfsrisico's die voortkomen uit een ander bedrijfsmodel substantieel anders zijn, ondanks dat beide entiteiten schoenen verkopen.
Inzicht in het bedrijfsmodel van de entiteit
Niet alle aspecten van het bedrijfsmodel zijn relevant voor het inzicht van de accountant. Bedrijfsrisico’s zijn breder dan de risico’s op een afwijking van materieel belang in de financiële overzichten, hoewel bedrijfsrisico's de laatste omvatten. De accountant heeft geen verantwoordelijkheid om inzicht te verwerven in alle bedrijfsrisico’s of ze te identificeren omdat niet alle bedrijfsrisico's aanleiding geven tot risico's op een afwijking van materieel belang.
Bedrijfsrisico's die de vatbaarheid voor risico's op een afwijking van materieel belang vergroten, kunnen voortkomen uit:
ongeschikte doelstellingen of strategieën, ineffectieve uitvoering van strategieën, of wijzigingen of complexiteit;
het niet onderkennen van de noodzaak voor wijzigingen, wat ook aanleiding kan geven tot bedrijfsrisico's bijvoorbeeld van:
de ontwikkeling van nieuwe producten of diensten die mogelijk geen succes zijn;
een markt die, zelfs als deze met goed gevolg is ontwikkeld, een product of dienst niet op adequate wijze ondersteunt; of
gebreken in een product of dienst die tot wettelijke aansprakelijkheid en reputatierisico kunnen leiden.
stimulansen en druk op het management, die kunnen resulteren in opzettelijke of onopzettelijke tendenties bij het management en die daarom de redelijkheid van significante veronderstellingen en de verwachtingen van het management of de met governance belaste personen beïnvloeden.
Voorbeelden van aangelegenheden die de accountant kan overwegen bij het verkrijgen van inzicht in het bedrijfsmodel, doelstellingen, strategieën en gerelateerde bedrijfsrisico's van de entiteit die kunnen leiden tot een risico van materieel belang op afwijkingen van de financiële overzichten omvatten:
ontwikkelingen in de sector, zoals het gebrek aan personeel of expertise om de veranderingen in de sector aan te pakken;
nieuwe producten en diensten die kunnen leiden tot hogere productaansprakelijkheid;
uitbreiding van de activiteiten van de entiteit, terwijl de vraag niet nauwkeurig is geschat;
nieuwe voorschriften inzake administratieve verwerking bij onvolledige of onjuiste implementatie;
vereisten op grond van regelgeving resulterend in een hoger juridisch risico;
huidige en toekomstige financieringsbehoeften, zoals verlies van financiering doordat de entiteit niet in staat is de verplichtingen na te komen;
gebruik van IT, zoals de implementatie van een nieuw IT-systeem dat gevolgen heeft voor zowel de bedrijfsvoering als financiële verslaggeving; of
de effecten van het implementeren van een strategie, met name effecten die tot nieuwe voorschriften inzake administratieve verwerking zullen leiden.
Gewoonlijk identificeert het management bedrijfsrisico's en ontwikkelt het benaderingen om hier op in te spelen. Een dergelijk risico-inschattingsproces maakt deel uit van het interne beheersingssysteem van de entiteit en wordt in paragraaf 22 en de paragrafen A109 – A113 besproken.
Overwegingen specifiek voor entiteiten in de publieke sector
Entiteiten die actief zijn in de publieke sector, kunnen op verschillende manieren waarde creëren en leveren ten opzichte van degenen die waarde creëren voor eigenaren, maar zullen nog steeds een 'bedrijfsmodel' hebben met een specifieke doelstelling. Aangelegenheden waarin accountants in de publieke sector inzicht kunnen verwerven die relevant zijn voor het bedrijfsmodel van de entiteit, omvatten:
kennis van relevante overheidsactiviteiten, inclusief gerelateerde programma's;
programmadoelstellingen en -strategieën, inclusief elementen van overheidsbeleidslijnen.
Voor de controles van entiteiten in de publieke sector kunnen ‘managementdoelstellingen’ worden beïnvloed door vereisten om publieke verantwoording aan te tonen en kunnen zij doelstellingen omvatten die hun oorsprong hebben in wet- en regelgeving of andere van kracht zijnde voorschriften.
Sectorgebonden factoren, regelgevingsfactoren en andere externe factoren
(Zie Par. 19(a)(ii))
Sectorgebonden factoren
Relevante sectorgebonden factoren zijn omstandigheden in de sector zoals de concurrentieomgeving, de relaties met leveranciers en cliënten en technologische ontwikkelingen. Aangelegenheden die de accountant kan overwegen omvatten:
de markt en concurrentie, inclusief vraag, capaciteit en prijsconcurrentie;
cyclische of seizoensgebonden activiteit;
technologie met betrekking tot de producten van de entiteit;
de energievoorziening en kosten.
De sector waarin de entiteit actief is, kan aanleiding geven tot specifieke risico’s op een afwijking van materieel belang die voortkomt uit de aard van de activiteit of de mate van regulering.
Voorbeeld
In de bouwsector kunnen langetermijncontracten significante schattingen van opbrengsten en kosten omvatten die aanleiding geven tot risico’s op een afwijking van materieel belang. In dergelijke gevallen is het belangrijk dat het opdrachtteam bestaat uit leden met passende deskundigheid en capaciteiten.
Regelgevingsfactoren
Het regelgevingskader behoort tot de relevante regelgevingsfactoren. Het regelgevingskader omvat onder meer het van toepassing zijnde stelsel inzake financiële verslaggeving en de juridische en politieke omgeving en eventuele wijzigingen daarin. Aangelegenheden die de accountant kan overwegen, omvatten:
het regelgevingskader voor een gereguleerde sector, bijvoorbeeld prudentiële vereisten, inclusief vereisten voor toelichtingen;
wet- en regelgeving die de activiteiten van de entiteit significant beïnvloedt, bijvoorbeeld op het gebied van arbeid;
fiscale wet- en regelgeving;
overheidsbeleidslijnen die op dat moment van invloed zijn op de uitvoering van de activiteiten van de entiteit, zoals het monetaire beleid, het begrotingsbeleid, financiële stimuleringsmaatregelen (bijvoorbeeld programma’s voor overheidssteun) en beleidslijnen inzake douanerechten of handelsbelemmeringen;
milieu-eisen die van invloed zijn op de activiteiten van de sector en de entiteit.
Overwegingen specifiek voor entiteiten in de publieke sector
Voor de controles van entiteiten in de publieke sector kan er bepaalde wet-of regelgeving zijn die van invloed is op de activiteiten van de entiteit. Dergelijke elementen kunnen een essentiële overweging zijn bij het verwerven van inzicht in de entiteit en haar omgeving.
Andere externe factoren
Andere externe factoren die van invloed zijn op de entiteit en die de accountant kan overwegen, omvatten onder meer de algemene economische omstandigheden, de rentevoeten, de beschikbaarheid van financiering, de inflatie of de revaluatie van een munteenheid.
Door het management gebruikte maatstaven om de financiële prestaties van de entiteit in te schatten
(Zie Par. 19(a)(iii))
Waarom de accountant inzicht verwerft in de door het management gebruikte maatstaven
Inzicht in de maatstaven van de entiteit helpt de accountant bij het overwegen of dergelijke maatstaven, extern of intern gebruikt, druk leggen op de entiteit om prestatiedoelen te bereiken. Deze druk kan het management motiveren om acties te ondernemen die de vatbaarheid voor afwijkingen als gevolg van tendentie bij het management of fraude vergroten (b.v. om de bedrijfsprestaties te verbeteren of de financiële overzichten opzettelijk verkeerd weer te geven) (zie Standaard 240 voor vereisten en leidraden met betrekking tot de risico’s op fraude).
Maatstaven kunnen de accountant ook wijzen op de waarschijnlijkheid van risico's op een afwijking van materieel belang van daarmee verband houdende informatie in de financiële overzichten. Prestatiemaatstaven kunnen bijvoorbeeld aangeven dat de entiteit een ongewoon snelle groei of winstgevendheid heeft in vergelijking met andere entiteiten in dezelfde sector.
Maatstaven die door het management worden gebruikt
Het management en anderen meten en beoordelen gewoonlijk de aangelegenheden die zij belangrijk achten. Uit verzoeken om inlichtingen bij het management kan blijken dat het management zich baseert op bepaalde belangrijke indicatoren, al dan niet openbaar beschikbaar, voor het evalueren van financiële prestaties en het nemen van actie. In dergelijke gevallen kan de accountant relevante prestatiemaatstaven identificeren, intern of extern, door de informatie die de entiteit gebruikt om de activiteiten te beheren, te overwegen. Als een dergelijk verzoek om inlichtingen duidt op een afwezigheid van prestatiemeting of beoordeling kan er een verhoogd risico zijn dat afwijkingen niet worden gedetecteerd en gecorrigeerd.
Belangrijke indicatoren die worden gebruikt voor het evalueren van financiële prestaties kunnen omvatten:
belangrijke (financiële en niet-financiële) prestatie-indicatoren en kernratio’s, trends en bedrijfsstatistieken;
vergelijkingen van financiële prestaties tussen verslagperiodes;
budgetten, prognoses, verschillenanalyses, gesegmenteerde informatie en prestatieverslagen op divisie-, afdelings- of ander niveau;
maatstaven voor de personeelsprestaties en beleidslijnen inzake op stimulansen gebaseerde beloningen;
vergelijkingen van de prestaties van een entiteit met die van concurrenten.
Schaalbaarheid
(Zie Par. 19(a)(iii))
De werkzaamheden die worden ondernomen om inzicht te verwerven in de maatstaven van de entiteit, kunnen variëren, afhankelijk van de grootte of complexiteit van de entiteit, evenals de betrokkenheid van eigenaren of de met governance belaste personen in het management van de entiteit.
Voorbeelden
Voor sommige minder complexe entiteiten kunnen de voorwaarden van de bankleningen van de entiteit (d.w.z. bankconvenanten) worden gekoppeld aan specifieke prestatiemaatstaven met betrekking tot de prestaties van de entiteit of de financiële positie (bijvoorbeeld een maximaal werkkapitaalbedrag). Het inzicht van de accountant in de prestatiemaatstaven die de bank gebruikt, kan helpen bij het identificeren van gebieden waar een hogere vatbaarheid is voor het risico op een afwijking van materieel belang.
Voor sommige entiteiten waarvan de aard en omstandigheden complexer zijn, zoals degene die actief zijn in de verzekerings- of banksector, kunnen prestaties of financiële positie gemeten worden aan wettelijke vereisten (bijv. wettelijke ratio-vereisten zoals kapitaaltoereikendheid en liquiditeitseisen). Het inzicht van de accountant in deze prestatiemaatstaven kan helpen bij het identificeren van gebieden met een hogere vatbaarheid voor het risico op een afwijking van materieel belang.
Andere overwegingen
Externe partijen kunnen ook de financiële prestaties van de entiteit beoordelen en analyseren, met name van entiteiten waar financiële informatie openbaar is. De accountant kan ook openbaar beschikbare informatie beschouwen om te helpen beter inzicht te verwerven in de activiteiten of tegenstrijdige informatie te identificeren zoals informatie van:
analisten of kredietbeoordelaars;
nieuws en andere media, inclusief sociale media;
belastingautoriteiten;
regelgevers of toezichthouders;
vakbonden;
financiers.
Dergelijke financiële informatie kan vaak worden verkregen van de gecontroleerde entiteit.
Het meten en beoordelen van financiële prestaties is niet hetzelfde als het monitoren van het systeem van interne beheersing (besproken als onderdeel van het systeem van interne beheersing in paragrafen A114 – A122), hoewel hun doelen elkaar kunnen overlappen:
de meting en beoordeling van prestaties is gericht op de vraag of bedrijfsprestaties voldoen aan de doelstellingen van het management (of van derden);
het monitoren van het systeem van interne beheersing heeft daarentegen betrekking op het monitoren van de effectiviteit van interne beheersingsmaatregelen, inclusief degenen met betrekking tot de meting en beoordeling van de financiële prestatie door het management.
In sommige gevallen bieden prestatie-indicatoren echter ook informatie die het management in staat stelt om tekortkomingen in de interne beheersing te identificeren.
Overwegingen specifiek voor entiteiten in de publieke sector
Naast het overwegen van relevante maatstaven die door een entiteit in de publieke sector worden gebruikt om de financiële prestaties van de entiteit in te schatten, kunnen accountants van entiteiten in de publieke sector ook niet-financiële informatie overwegen zoals het behalen van resultaten van algemeen nut (bijvoorbeeld het aantal mensen dat wordt bijgestaan door een specifiek ondersteuningsprogramma).
Het van toepassing zijnde stelsel inzake financiële verslaggeving
(Zie Par. 19(b))
Inzicht in het van toepassing zijnde stelsel inzake financiële verslaggeving en de grondslagen voor financiële verslaggeving van de entiteit
Aangelegenheden die de accountant kan overwegen bij het verkrijgen van inzicht in het van toepassing zijnde stelsel voor financiële verslaggeving van de entiteit en hoe dit van toepassing is in de context van de aard en omstandigheden van de entiteit en haar omgeving omvatten:
de financiële verslaggevingspraktijken van de entiteit in termen van het van toepassing zijnde stelsel inzake financiële verslaggeving, zoals:
verslaggevingsprincipes en sectorspecifieke praktijken, inclusief sectorspecifieke significante transactiestromen, rekeningsaldi en daarmee verband houdende toelichtingen in de financiële overzichten (bijvoorbeeld leningen en investeringen bij banken, of onderzoek en ontwikkeling bij farmaceutische bedrijven);
opbrengstverantwoording;
administratieve verwerking van financiële instrumenten, inclusief gerelateerde kredietverliezen;
activa, passiva en transacties in vreemde valuta;
administratieve verwerking van ongebruikelijke of complexe transacties, waaronder transacties in controversiële of nieuwe gebieden (bijvoorbeeld crypto valuta).
inzicht in de keuze en toepassing van de grondslagen voor financiële verslaggeving door de entiteit, inclusief eventuele wijzigingen daarin, evenals de redenen daarvoor, kan aangelegenheden omvatten zoals:
de methoden die de entiteit gebruikt om significante en ongebruikelijke transacties te herkennen, te waarderen, te presenteren en toe te lichten;
het effect van significante grondslagen voor financiële verslaggeving in controversiële of nieuwe gebieden waarvoor er een gebrek is aan gezaghebbende leidraden of consensus;
wijzigingen in haar omgeving, zoals wijzigingen in het van toepassing zijnde stelsel inzake financiële verslaggeving of belastinghervormingen die een wijziging in de grondslagen voor financiële verslaggeving van de entiteit noodzakelijk maken;
standaarden inzake financiële verslaggeving en wet- en regelgeving die nieuw zijn voor de entiteit en wanneer en hoe de entiteit dergelijke vereisten zal toepassen of naleven.
Het verwerven van inzicht in de entiteit en haar omgeving kan de accountant helpen bij het overwegen waar wijzigingen in de financiële verslaggeving van de entiteit (bijvoorbeeld vanuit voorgaande verslagperioden) kunnen worden verwacht.
Voorbeeld
Als de entiteit gedurende de verslagperiode een significante fusie of overname heeft gehad, zou de accountant waarschijnlijk veranderingen in transactiestromen, rekeningsaldi en daarmee verband houdende toelichtingen met betrekking tot die fusie of overname verwachten. Aan de andere kant, als er geen significante wijzigingen in het stelsel voor financiële verslaggeving waren gedurende de verslagperiode, kan het inzicht van de accountant helpen bevestigen dat het inzicht verkregen in de voorgaande verslagperiode van toepassing blijft.
Overwegingen specifiek voor entiteiten in de publieke sector
Het van toepassing zijnde stelsel voor financiële verslaggeving in een entiteit in de publieke sector wordt bepaald door de wet- en regelgevingskaders die relevant zijn voor elke jurisdictie of binnen elk geografisch gebied. Aangelegenheden die overwogen kunnen worden bij de toepassing door de entiteit van het van toepassing zijnde stelsel inzake financiële verslaggeving en hoe het van toepassing is in de context van de aard en omstandigheden van de entiteit en haar omgeving, omvatten of de entiteit financiële verslaggeving volledig op basis van een stelsel van baten en lasten of op kasbasis toepast in overeenstemming met de International Public Sector Accounting Standards, of een hybride vorm.
Hoe inherente risicofactoren de vatbaarheid van beweringen voor afwijkingen beïnvloeden
(Zie Par. 19(c))
Bijlage 2 geeft voorbeelden van gebeurtenissen en omstandigheden die aanleiding kunnen geven voor het bestaan van risico's op een afwijking van materieel belang, ingedeeld naar inherente risicofactor
Waarom de accountant inzicht verwerft in inherente risicofactoren bij het verwerven van inzicht in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving
Inzicht in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving, helpt de accountant bij het identificeren van gebeurtenissen of omstandigheden, waarvan de kenmerken de vatbaarheid van beweringen over transactiestromen, rekeningsaldi of toelichtingen voor afwijkingen beïnvloeden. Deze kenmerken zijn inherente risicofactoren. Inherente risicofactoren kunnen de vatbaarheid van beweringen voor afwijkingen beïnvloeden door de waarschijnlijkheid van het voorkomen of de orde van grootte van de afwijking als deze zich zou voordoen te beïnvloeden. Inzicht in hoe inherente risicofactoren de vatbaarheid van beweringen voor afwijkingen beïnvloeden, kan de accountant helpen met een voorlopig inzicht in de waarschijnlijkheid of orde van grootte van afwijkingen, dat de accountant helpt bij het identificeren van risico's op een afwijking van materieel belang op het niveau van beweringen in overeenstemming met paragraaf 28 (b). Inzicht in de mate waarin inherente risicofactoren de vatbaarheid van beweringen voor afwijkingen beïnvloeden, helpt de accountant ook bij het inschatten van de waarschijnlijkheid en de orde van grootte van een mogelijke afwijking bij het inschatten van het inherente risico in overeenstemming met paragraaf 31(a). Inzicht in de inherente risicofactoren kan de accountant ook helpen bij het opzetten en verder uitvoeren van controlewerkzaamheden in overeenstemming met Standaard 330.
De identificatie door de accountant van risico's op een afwijking van materieel belang op het niveau van beweringen en de inschatting van inherent risico kan ook worden beïnvloed door controle-informatie die de accountant heeft verkregen bij het uitvoeren van andere risico-inschattingswerkzaamheden, verdere controlewerkzaamheden of bij het voldoen aan andere vereisten in de Standaarden (Zie Par. A95, A103, A111, A121, A124 en A151).
Het effect van inherente risicofactoren op een transactiestroom, rekeningsaldo of toelichting
De mate van vatbaarheid voor een afwijking van een transactiestroom, rekeningsaldo of toelichting die voortkomt uit complexiteit of subjectiviteit hangt vaak nauw samen met de mate waaraan deze is onderworpen aan wijzigingen of onzekerheid.
Voorbeeld
Als de entiteit een schatting heeft die is gebaseerd op veronderstellingen, waarvan de keuze onderworpen is aan significante oordeelsvorming, zal de waardering van de schatting waarschijnlijk worden beïnvloed door zowel subjectiviteit als onzekerheid.
Hoe groter de mate waarin een transactiestroom, rekeningsaldo of toelichting vatbaar is voor een afwijking als gevolg van complexiteit of subjectiviteit, des te groter is de noodzaak voor de accountant om een professioneel-kritische instelling toe te passen. Wanneer een transactiestroom, rekeningsaldo of toelichting vatbaar is voor afwijkingen vanwege complexiteit, subjectiviteit, wijzigingen of onzekerheid, kunnen deze inherente risicofactoren mogelijkheden creëren voor tendentie bij het management, hetzij onopzettelijk of opzettelijk, en de vatbaarheid voor een afwijking als gevolg van tendentie bij het management beïnvloeden. De identificatie door de accountant van risico’s op een afwijking van materieel belang en een inschatting van het inherente risico op het niveau van beweringen worden ook beïnvloed door de onderlinge relaties tussen inherente risicofactoren.
Gebeurtenissen of omstandigheden die van invloed kunnen zijn op de vatbaarheid voor afwijkingen als gevolg van tendentie bij het management, kunnen ook van invloed zijn op de vatbaarheid voor afwijkingen als gevolg van andere frauderisicofactoren. Dit kan relevante informatie zijn om te gebruiken in overeenstemming met paragraaf 24 van Standaard 240, die van de accountant vereist om te evalueren of de informatie verkregen uit de andere risico-inschattingswerkzaamheden en daarmee verband houdende activiteiten erop duiden dat een of meer frauderisicofactoren aanwezig zijn.
Het verwerven van inzicht in het interne beheersingssysteem van de entiteit
(Zie Par. 21, 22, 23, 24, 25, 26 en 27)
Bijlage 3 beschrijft verder de aard van het systeem van interne beheersing van de entiteit en inherente beperkingen van interne beheersing. Bijlage 3 geeft ook een nadere uitleg van de componenten van een systeem van interne beheersing voor de doelstellingen van de Standaarden.
Het inzicht van de accountant in het interne beheersingssysteem van de entiteit wordt verworven door risico-inschattingswerkzaamheden die worden uitgevoerd om inzicht te verwerven in alle componenten van het systeem van interne beheersing zoals beschreven in de paragrafen 21-27 en deze te evalueren.
Voor het doel van deze Standaard, hoeven de componenten van het interne beheersingssysteem van de entiteit niet noodzakelijkerwijs te weerspiegelen hoe een entiteit het systeem van interne beheersing opzet, implementeert en onderhoudt, of hoe zij een specifieke component kan classificeren. Entiteiten kunnen verschillende terminologie of stelsels gebruiken om de verschillende aspecten van het systeem van interne beheersing te beschrijven. Voor de doelstelling van een controle kunnen accountants ook andere terminologie of stelsels gebruiken, mits alle componenten die in deze Standaard worden beschreven in aanmerking worden genomen.
Schaalbaarheid
De manier waarop het interne beheersingssysteem van de entiteit is ontworpen, geïmplementeerd en onderhouden varieert met de grootte en complexiteit van een entiteit. Minder complexe entiteiten kunnen bijvoorbeeld minder gestructureerde of eenvoudigere interne beheersingsmaatregelen (d.w.z. beleidslijnen en procedures) gebruiken om hun doelstellingen te bereiken.
Overwegingen specifiek voor entiteiten in de publieke sector
Accountants van entiteiten in de publieke sector hebben vaak aanvullende verplichtingen met betrekking tot interne beheersing, bijvoorbeeld om te rapporteren over de naleving van een vastgestelde gedragscode of om te rapporteren over uitgaven ten opzichte van het budget. Accountants van entiteiten in de publieke sector kunnen ook verantwoordelijkheden hebben om te rapporteren over naleving van wet- en regelgeving of andere van kracht zijnde voorschriften. Als gevolg hiervan, kunnen hun overwegingen over het systeem van interne beheersing breder en gedetailleerder zijn.
Informatietechnologie in de componenten van het interne beheersingssysteem van de entiteit
Bijlage 5 biedt verdere leidraden voor het verwerven van inzicht in het gebruik van IT door de entiteit in de componenten van het systeem van interne beheersing
De algehele doelstelling en reikwijdte van een controle verschilt niet bij een entiteit die hoofdzakelijk actief is in een niet-geautomatiseerde omgeving, een volledig geautomatiseerde omgeving of een omgeving met een combinatie van handmatige en geautomatiseerde elementen (d.w.z. handmatige en geautomatiseerde interne beheersingsmaatregelen en andere middelen die worden gebruikt in het interne beheersingssysteem van de entiteit).
Inzicht in de aard van de componenten van het interne beheersingssysteem van de entiteit
Bij het evalueren van de effectiviteit van de opzet van interne beheersingsmaatregelen en of deze zijn geïmplementeerd (zie paragrafen A175 tot en met A181), verschaft het inzicht van de accountant in elk van de componenten van het systeem van interne beheersing van de entiteit een voorlopig inzicht in hoe de entiteit bedrijfsrisico’s identificeert en daarop inspeelt. Het kan ook de identificatie en inschatting door de accountant van de risico’s op een afwijking van materieel belang op verschillende manieren beïnvloeden (zie paragraaf A86). Dit helpt de accountant bij het opzetten en uitvoeren van verdere controlewerkzaamheden, inclusief eventuele plannen om de effectieve werking van interne beheersingsmaatregelen te toetsen. Bijvoorbeeld:
het inzicht van de accountant in de interne beheersingsomgeving van de entiteit, het risico-inschattingsproces van de entiteit, en het proces van de entiteit om componenten van interne beheersingsmaatregelen te monitoren, heeft waarschijnlijk meer invloed op de identificatie en inschatting van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten;
het inzicht van de accountant in het informatiesysteem en de communicatie van de entiteit, en de component ‘interne beheersingsactiviteiten’ van de entiteit heeft waarschijnlijk meer invloed op de identificatie en inschatting van risico's op een afwijking van materieel belang op het niveau van beweringen.
Interne beheersingsomgeving, het risico-inschattingsproces van de entiteit en het proces van de entiteit om het systeem van interne beheersing te monitoren
De interne beheersingsmaatregelen in de interne beheersingsomgeving, het risico-inschattingsproces van de entiteit en het proces van de entiteit om het systeem van interne beheersing te monitoren, zijn voornamelijk indirecte interne beheersingsmaatregelen (d.w.z. interne beheersingsmaatregelen die niet voldoende nauwkeurig zijn om afwijkingen op het niveau van beweringen te voorkomen, detecteren of te corrigeren, maar die andere interne beheersingsmaatregelen ondersteunen en daarom een indirect effect kunnen hebben op de waarschijnlijkheid dat een afwijking tijdig gedetecteerd of voorkomen wordt). Sommige interne beheersingsmaatregelen binnen deze componenten kunnen echter ook directe interne beheersingsmaatregelen zijn.
Waarom van de accountant vereist wordt inzicht te verwerven in de interne beheersingsomgeving, het risico-inschattingsproces van de entiteit en het proces van de entiteit om het systeem van interne beheersing te monitoren
De interne beheersingsomgeving biedt een algemeen fundament voor de werking van de andere componenten van het systeem van interne beheersing. De interne beheersingsomgeving voorkomt, detecteert en corrigeert niet rechtstreeks afwijkingen. Het kan echter de effectiviteit van interne beheersingsmaatregelen in de andere componenten van het systeem van interne beheersing beïnvloeden. Evenzo zijn het risico-inschattingsproces van de entiteit en het proces voor het monitoren van het systeem van interne beheersing ontworpen om op een manier te werken die ook het hele systeem van interne beheersing ondersteunt.
Omdat deze componenten fundamenteel zijn voor het interne beheersingssysteem van de entiteit, kunnen tekortkomingen in hun werking gevolgen met een diepgaande invloed hebben voor het opstellen van de financiële overzichten. Daarom hebben het inzicht en de inschattingen van de accountant van deze componenten invloed op de identificatie en inschatting door de accountant van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en kan dit ook van invloed zijn op de identificatie en inschatting van risico's op een afwijking van materieel belang op het niveau van beweringen. Risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten beïnvloeden de opzet van algehele manieren van inspelen door de accountant inclusief, zoals uitgelegd in Standaard 330, invloed op de aard, timing en omvang van de verdere werkzaamheden van de accountant.
Inzicht verwerven in de interne beheersingsomgeving
(Zie Par. 21)
Schaalbaarheid
De aard van de interne beheersingsomgeving in een minder complexe entiteit zal waarschijnlijk verschillen van de interne beheersingsomgeving in een meer complexe entiteit. Zo is het bijvoorbeeld mogelijk dat zich onder de met governance belaste personen in minder complexe entiteiten geen onafhankelijk of extern lid bevindt, en dat de governancefunctie direct door de eigenaar-bestuurder wordt waargenomen als er geen andere eigenaren zijn. In die situatie zijn sommige overwegingen over de interne beheersingsomgeving van de entiteit mogelijk minder relevant of niet van toepassing.
Bovendien is het mogelijk dat controle-informatie over elementen van de interne beheersingsomgeving in minder complexe entiteiten niet beschikbaar is in de vorm van documenten, met name waar communicatie tussen management en ander personeel informeel is, maar de informatie kan nog steeds relevant en betrouwbaar zijn in de omstandigheden.
Voorbeelden
De organisatiestructuur in een minder complexe entiteit zal waarschijnlijk eenvoudiger zijn en kan een klein aantal werknemers omvatten dat betrokken is bij functies in verband met financiële verslaggeving.
Als de rol van governance rechtstreeks door de eigenaar-bestuurder wordt uitgeoefend, kan de accountant bepalen dat de onafhankelijkheid van de met governance belaste personen niet relevant is.
Minder complexe entiteiten hebben misschien geen schriftelijke gedragscode, maar ontwikkelen in plaats daarvan een cultuur die het belang van integriteit en ethisch gedrag benadrukt door mondelinge communicatie en door voorbeeldgedrag van het management. Bijgevolg zijn de houding, het bewustzijn en handelingen van het management of de eigenaar-bestuurder van bijzonder belang voor het inzicht van de accountant in de interne beheersingsomgeving van een minder complexe entiteit
Inzicht in de interne beheersingsomgeving
(Zie Par. 21(a))
Controle-informatie voor het inzicht van de accountant in de interne beheersingsomgeving kan worden verkregen via een combinatie van verzoeken om inlichtingen en andere risico-inschattingswerkzaamheden (d.w.z. bevestigende verzoeken om inlichtingen door waarneming of inspectie van documenten).
Bij het overwegen van de mate waarin het management blijk geeft van toewijding aan integriteit en ethische waarden, kan de accountant inzicht verwerven door verzoeken om inlichtingen bij het management en werknemers en door informatie uit externe bronnen te overwegen, over:
hoe het management zijn visie op bedrijfspraktijken en ethisch gedrag aan werknemers communiceert; en
inspectie van de schriftelijke gedragscode van het management en waarnemen of het management handelt op een manier die die code ondersteunt.
Evalueren van de interne beheersingsomgeving
(Zie Par. 21(b))
Waarom de accountant de interne beheersingsomgeving evalueert
De evaluatie door de accountant:
van hoe de entiteit gedrag vertoont dat consistent is met de toewijding van de entiteit aan integriteit en ethische waarden;
of de interne beheersingsomgeving een geschikte basis biedt voor de andere componenten van het interne beheersingssysteem van de entiteit; en
of geïdentificeerde tekortkomingen in de interne beheersing de andere componenten van het systeem van interne beheersing ondermijnen,
helpt de accountant bij het identificeren van potentiële kwesties in de andere componenten van het interne beheersingssysteem. Dit komt omdat de interne beheersingsomgeving fundamenteel is voor de andere componenten van het interne beheersingssysteem van de entiteit. Deze evaluatie kan de accountant ook helpen bij het verwerven van inzicht in risico’s waarmee de entiteit geconfronteerd wordt en daarom bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten en op het niveau van beweringen (zie paragraaf A86).
De evaluatie van de accountant van de interne beheersingsomgeving
De evaluatie van de accountant van de interne beheersingsomgeving is gebaseerd op het inzicht verkregen in overeenstemming met paragraaf 21(a).
Sommige entiteiten kunnen worden gedomineerd door een enkele persoon die veel zelf kan bepalen. De handelingen en houding van die persoon kunnen een diepgaande invloed hebben op de cultuur van de entiteit, die weer een diepgaande invloed kan hebben op de interne beheersingsomgeving. Een dergelijk effect kan positief of negatief zijn.
Voorbeeld
Directe betrokkenheid door een enkele persoon kan cruciaal zijn om de entiteit in staat te stellen de groei- en andere doelstellingen te realiseren en kan ook significant bijdragen aan een effectief systeem van interne beheersing. Anderzijds kan een dergelijke concentratie van kennis en autoriteit ook leiden tot een hogere vatbaarheid voor afwijkingen door het doorbreken van interne beheersmaatregelen door het management.
De accountant kan overwegen hoe de verschillende elementen van de interne beheersingsomgeving kunnen worden beïnvloed door de filosofie en werkstijl van het senior management, rekening houdend met de betrokkenheid van onafhankelijke leden van de met governance belaste personen.
Hoewel de interne beheersingsomgeving een geschikte basis kan vormen voor het systeem van interne beheersing en kan helpen het risico op fraude te verminderen, is een geschikte interne beheersingsomgeving niet noodzakelijkerwijs een effectief afschrikmiddel tegen fraude.
Voorbeeld
Personeelsbeleidslijnen en procedures gericht op het aannemen van competent financieel, administratief, en IT-personeel kunnen het risico op fouten bij het verwerken en vastleggen van financiële informatie beperken. Dergelijke beleidslijnen en procedures kunnen echter niet de doorbreking van interne beheersingsmaatregelen door senior management beperken (bijvoorbeeld om winsten te overschatten).
De evaluatie van de accountant van de interne beheersingsomgeving met betrekking tot het gebruik van IT door de entiteit kan aangelegenheden omvatten als:
de vraag of governance over IT in verhouding staat tot de aard en complexiteit van de entiteit en de bedrijfsactiviteiten mogelijk gemaakt door IT, inclusief de complexiteit of volwassenheid van het technologieplatform of architectuur van de entiteit en de mate waarin de entiteit afhankelijk is van IT-applicaties ter ondersteuning van de financiële verslaggeving;
de organisatiestructuur van het management met betrekking tot IT en de toegewezen middelen (bijvoorbeeld of de entiteit in een geschikte IT-omgeving en noodzakelijke verbeteringen heeft geïnvesteerd, of dat een voldoende aantal geschikte deskundige personen in dienst zijn, ook wanneer de entiteit commerciële software gebruikt (met geen of beperkte) modificaties)).
Verwerven van inzicht in het risico-inschattingsproces van de entiteit
Inzicht in het risico-inschattingsproces van de entiteit
(Zie Par. 22(a))
Zoals uitgelegd in paragraaf A62, geven niet alle bedrijfsrisico's aanleiding tot risico's op een afwijking van materieel belang. Bij het verwerven van inzicht in hoe het management en de met governance belaste personen bedrijfsrisico's hebben geïdentificeerd die relevant zijn voor het opstellen van de financiële overzichten en hebben besloten hoe op deze risico’s in te spelen, zijn aangelegenheden die de accountant kan overwegen onder meer hoe het management of, in voorkomend geval, de personen belast met governance:
de doelstellingen van de entiteit met voldoende precisie en duidelijkheid heeft gespecificeerd om de identificatie en inschatting van de risico's met betrekking tot de doelstellingen mogelijk te maken;
de risico's voor het bereiken van de doelstellingen van de entiteit heeft gespecificeerd en de risico’s heeft geanalyseerd als basis voor het bepalen hoe de risico's moeten worden beheerd; en
het potentieel voor fraude heeft beschouwd bij het overwegen van de risico's om de doelstellingen van de entiteit te bereiken.
De accountant kan de implicaties van dergelijke bedrijfsrisico’s voor het opstellen van de financiële overzichten van de entiteit en andere aspecten van het interne beheersingssysteem overwegen.
Evalueren van het risico-inschattingsproces van de entiteit
(Zie Par. 22(b))
Waarom de accountant evalueert of het risico-inschattingsproces van de entiteit geschikt is
De evaluatie door de accountant van het risico-inschattingsproces van de entiteit kan de accountant helpen bij het verwerven van inzicht waar de entiteit risico's heeft geïdentificeerd die zich kunnen voordoen en hoe de entiteit heeft ingespeeld op die risico's. De evaluatie van de accountant hoe de entiteit de bedrijfsrisico’s identificeert, inschat en erop inspeelt, helpt de accountant bij het inzicht of deze risico's als passend voor de aard en complexiteit van de entiteit zijn geïdentificeerd, ingeschat en hoe erop is ingespeeld. Deze evaluatie kan de accountant ook helpen bij het identificeren en inschatten van risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten en op het niveau van beweringen (Zie Par. A86).
Evalueren of het risico-inschattingsproces van de entiteit geschikt is
(Zie Par. 22(b))
De evaluatie door de accountant van de geschiktheid van het risico-inschattingsproces van de entiteit is gebaseerd op het inzicht verkregen in overeenstemming met paragraaf 22(a).
Schaalbaarheid
Of het risico-inschattingsproces van de entiteit geschikt is voor de omstandigheden gezien de aard en complexiteit van de entiteit is een kwestie van professionele oordeelsvorming door de accountant.
Voorbeeld
In sommige minder complexe entiteiten, en met name door de eigenaar bestuurde entiteiten, kan een geschikte risico-inschatting worden uitgevoerd door de directe betrokkenheid van het management of de eigenaar-bestuurder (de manager of eigenaar-bestuurder kan bijv. routinematig tijd besteden aan het monitoren van de activiteiten van concurrenten en andere ontwikkelingen in de markt om nieuwe bedrijfsrisico’s te identificeren). De informatie van deze risico-inschatting in dit soort entiteiten is vaak niet formeel gedocumenteerd, maar uit de besprekingen die de accountant heeft met het management, kan blijken dat het management in feite risico-inschattings-werkzaamheden uitvoert.
Het verwerven van inzicht in het proces van de entiteit om het interne beheersingssysteem van de entiteit te monitoren
(Zie Par. 24)
Schaalbaarheid
In minder complexe entiteiten, en met name door de eigenaar bestuurde entiteiten, is het inzicht van de accountant in het proces van de entiteit om het systeem van interne beheersing te monitoren vaak gericht op hoe het management of de eigenaar-bestuurder direct betrokken is bij activiteiten, omdat er mogelijk geen andere monitoringactiviteiten zijn.
Voorbeeld
Het management kan klachten van klanten ontvangen over onnauwkeurigheden in hun maandelijkse overzichten die de eigenaar-bestuurder alert maakt op kwesties met de tijdigheid van het moment waarop klantbetalingen zijn opgenomen in de administratieve vastleggingen.
Er zijn entiteiten die geen formeel proces voor het monitoren van het systeem van interne beheersing hebben. Bij deze entiteiten kan inzicht in dit proces verkregen worden uit het inzicht in periodieke beoordelingen van management accounting informatie die is opgezet om bij te dragen aan hoe de entiteit afwijkingen voorkomt of detecteert.
Inzicht in het proces van de entiteit om het systeem van interne beheersing te monitoren
(Zie Par. 24(a))
Aangelegenheden die relevant kunnen zijn voor de accountant om te overwegen bij het verwerven van inzicht hoe de entiteit het systeem van interne beheersing monitort, omvatten:
de opzet van de monitoringactiviteiten, bijvoorbeeld of het periodieke of doorlopende monitoring is;
de uitvoering en frequentie van de monitoringactiviteiten;
de evaluatie van de resultaten van de monitoringactiviteiten, op een tijdige basis, om te bepalen of de interne beheersingsmaatregelen effectief zijn geweest; en
hoe vastgestelde tekortkomingen zijn behandeld door passende corrigerende maatregelen, inclusief tijdige communicatie van dergelijke tekortkomingen aan degenen die verantwoordelijk zijn voor het nemen van corrigerende maatregelen.
De accountant kan ook overwegen hoe het proces van de entiteit om het systeem van interne beheersing te monitoren interne beheersingsmaatregelen met betrekking tot informatieverwerking behandelt waarbij IT wordt gebruikt. Dit kan bijvoorbeeld omvatten:
interne beheersingsmaatregelen om complexe IT-omgevingen te monitoren die:
de voortdurende effectieve opzet van interne beheersingsmaatregelen met betrekking tot informatieverwerking evalueren en deze wijzigen, voor zover van toepassing, voor veranderingen in omstandigheden; of
de effectieve werking van interne beheersingsmaatregelen met betrekking tot informatieverwerking evalueren.
interne beheersingsmaatregelen die de toegangsrechten monitoren die zijn toegepast in geautomatiseerde interne beheersingsmaatregelen met betrekking tot informatieverwerking die de functiescheiding afdwingen;
interne beheersingsmaatregelen die monitoren hoe fouten of tekortkomingen in de interne beheersing met betrekking tot de automatisering van financiële verslaggeving worden geïdentificeerd en behandeld.
Inzicht in de interne auditfunctie van de entiteit
(Zie Par. 24(a)(ii))
Bijlage 4 bevat verdere overwegingen voor het verwerven van inzicht in interne auditfunctie van de entiteit.
De verzoeken om inlichtingen van de accountant bij de juiste personen binnen de interne auditfunctie helpen de accountant inzicht te verwerven in de aard van de verantwoordelijkheden van de interne auditfunctie. Als de accountant bepaalt dat de verantwoordelijkheden van de functie verband houden met de financiële verslaggeving van de entiteit, kan de accountant nader inzicht verwerven in de activiteiten die door de interne audit zijn uitgevoerd of zullen worden uitgevoerd door het auditplan van de interne auditfunctie voor de verslagperiode te beoordelen, voor zover dit bestaat, en dat plan te bespreken met de juiste personen binnen de interne auditfunctie. Dit inzicht, samen met de informatie die verkregen is uit verzoeken om inlichtingen van de accountant, kan ook informatie verschaffen die direct relevant is voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang. Als de accountant op basis van het voorlopige inzicht in de interne auditfunctie verwacht gebruik te maken van het werk van de interne auditfunctie om de aard of timing van controlewerkzaamheden te wijzigen of de omvang daarvan te verminderen, is Standaard 610 van toepassing.
Andere informatiebronnen die worden gebruikt in het proces van de entiteit om het systeem van interne beheersing te monitoren
Inzicht verwerven in de informatiebronnen
(Zie Par. 24(b))
Tot de monitoringactiviteiten van het management kan behoren het gebruikmaken van informatie die uit communicatie met externe partijen is verkregen zoals klachten van klanten of opmerkingen van regelgevende instanties die kunnen duiden op problemen of die de aandacht vestigen op gebieden waarop verbeteringen nodig zijn.
Waarom van de accountant vereist wordt inzicht te verwerven in de informatiebronnen die worden gebruikt voor het monitoren van het systeem van interne beheersing van de entiteit
Het inzicht van de accountant in de informatiebronnen die door de entiteit worden gebruikt bij het monitoren van het systeem van interne beheersing van de entiteit, inclusief of de gebruikte informatie relevant en betrouwbaar is, helpt de accountant bij het evalueren of het proces van de entiteit om het systeem van interne beheersing van de entiteit te monitoren, geschikt is. Als het management veronderstelt dat informatie die wordt gebruikt voor monitoring relevant en betrouwbaar is, zonder een basis voor die veronderstelling te hebben, kunnen eventuele fouten in de informatie ertoe leiden dat het management verkeerde conclusies trekt uit zijn monitoringactiviteiten.
Waarom de accountant evalueert of het proces van de entiteit om het systeem van interne beheersing te monitoren, geschikt is
De evaluatie van de accountant over hoe de entiteit doorlopende en afzonderlijke evaluaties uitvoert voor het monitoren van de effectiviteit van interne beheersingsmaatregelen, helpt de accountant bij het verwerven van inzicht of de ander componenten van het interne beheersingssysteem van de entiteit aanwezig zijn en functioneren. Dit helpt daarom bij het verwerven van inzicht in de andere componenten van het interne beheersingssysteem van de entiteit. Deze evaluatie kan de accountant ook helpen bij het identificeren en inschatten van risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten en op het niveau van beweringen (zie paragraaf A86).
Evalueren van het proces van de entiteit om het systeem van interne beheersing te monitoren
(Zie Par. 24(c))
Evalueren of het proces van de entiteit om het systeem van interne beheersing te controleren, geschikt is
(Zie Par. 24(c))
De evaluatie door de accountant van de geschiktheid van het proces van de entiteit om het systeem van interne beheersing te monitoren, is gebaseerd op het inzicht van de accountant in het proces van de entiteit om het systeem van interne beheersing te monitoren.
Informatiesysteem en communicatie en interne beheersingsactiviteiten
De interne beheersingsmaatregelen in het ‘informatiesysteem en communicatie’ en ‘interne beheersingsactiviteiten’ zijn primair directe interne beheersingsmaatregelen (d.w.z. interne beheersingsmaatregelen die voldoende nauwkeurig zijn om afwijkingen op het niveau van beweringen te voorkomen, detecteren of corrigeren).
Waarom van de accountant vereist wordt inzicht te verwerven in het informatiesysteem en communicatie en interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’
Van de accountant wordt vereist om inzicht te verwerven in het informatiesysteem en de communicatie van de entiteit. Dit is nodig omdat inzicht in de beleidslijnen van de entiteit die de transactiestromen en andere aspecten van de informatieverwerkingsactiviteiten van de entiteit definiëren die relevant zijn voor het opstellen van de financiële overzichten en het evalueren of de component op passende wijze het opstellen van de financiële overzichten van de entiteit ondersteunt, de identificatie en inschatting van de accountant van risico's op een afwijking van materieel belang op het niveau van beweringen ondersteunt. Dit inzicht en deze evaluatie kunnen ook leiden tot de identificatie van risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten, wanneer de resultaten van de werkzaamheden van de accountant niet consistent zijn met verwachtingen over het systeem van interne beheersing van de entiteit die mogelijk waren gebaseerd op informatie die verkregen is tijdens het proces voor aanvaarding of continuering van de opdracht. (Zie Par. A86)
Van de accountant wordt vereist om specifieke interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ te identificeren, de opzet te evalueren en te bepalen of de interne beheersingsmaatregelen zijn geïmplementeerd, aangezien dit de accountant helpt inzicht te verwerven in de aanpak van het management om in te spelen op bepaalde risico's. Dit biedt daarom een basis voor de opzet en de uitvoering van verdere controlewerkzaamheden die inspelen op deze risico's, zoals vereist door Standaard 330. Hoe hoger in het spectrum van inherent risico een risico is ingeschat, hoe overtuigender de controle-informatie moet zijn. Zelfs wanneer de accountant niet van plan is om de effectieve werking van geïdentificeerde interne beheersingsmaatregelen te toetsen, kan het inzicht van de accountant nog steeds van invloed zijn op de opzet van de aard, timing en omvang van gegevensgerichte controlewerkzaamheden die inspelen op de daarmee samenhangende risico’s op een afwijking van materieel belang.
De iteratieve aard van het inzicht en de evaluatie van de accountant van het informatiesysteem en communicatie- en interne beheersingsactiviteiten
Zoals uitgelegd in paragraaf A49, verwerft de accountant inzicht in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving. Dit inzicht kan de accountant helpen bij het ontwikkelen van initiële verwachtingen over de transactiestromen, rekeningsaldi en toelichtingen die significante transactiestromen, rekeningsaldi en toelichtingen kunnen zijn. Bij het verwerven van inzicht in de component ‘informatie systeem en communicatie’ in overeenstemming met paragraaf 25(a), kan de accountant deze initiële verwachtingen gebruiken om de mate van inzicht in de informatieverwerkingsactiviteiten van de entiteit die moet worden verkregen, te bepalen.
Het inzicht van de accountant in het informatiesysteem omvat het verwerven van inzicht in de beleidslijnen die informatiestromen met betrekking tot de significante transactiestromen, rekeningsaldi en toelichtingen van de entiteit en andere gerelateerde aspecten van de informatieverwerkingsactiviteiten van de entiteit definiëren. Deze informatie, en de informatie verkregen uit de evaluatie van de accountant van het informatiesysteem, kan de verwachtingen van de accountant over de significante transactiestromen, rekeningsaldi en toelichtingen die aanvankelijk zijn geïdentificeerd, bevestigen of verder beïnvloeden (Zie Par. A126).
Om inzicht te verwerven in hoe informatie met betrekking tot significante transactiestromen, rekeningsaldi en toelichtingen door het informatiesysteem van de entiteit verwerkt wordt, kan de accountant ook interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ identificeren die moeten worden geïdentificeerd in overeenstemming met paragraaf 26 (a). De identificatie en evaluatie van interne beheersingsmaatregelen door de accountant in de component ‘interne beheersingsactiviteiten’ kan zich eerst richten op interne beheersingsmaatregelen op journaalboekingen en interne beheersingsmaatregelen waarvan de accountant van plan is om de effectieve werking te toetsen bij het opzetten van de aard, timing en omvang van gegevensgerichte werkzaamheden.
De inschatting door de accountant van inherent risico kan ook het onderkennen van interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ beïnvloeden. De identificatie van interne beheersingsmaatregelen door de accountant met betrekking tot significante risico’s kan bijvoorbeeld alleen te onderkennen zijn wanneer de accountant het inherente risico op het niveau van beweringen heeft ingeschat in overeenstemming met paragraaf 31. Bovendien kunnen interne beheersingsmaatregelen die inspelen op risico's waarvoor de accountant heeft vastgesteld dat gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen, (in overeenstemming met paragraaf 33), ook pas te onderkennen zijn als de inschattingen van het inherente risico door de accountant zijn uitgevoerd.
De identificatie en inschatting door de accountant van risico's op een afwijking van materieel belang op het niveau van beweringen wordt beïnvloed door zowel:
inzicht van de accountant in de beleidslijnen van de entiteit voor de informatieverwerkingsactiviteiten in de component ‘informatiesysteem- en communicatie’; en
identificatie en evaluatie van de accountant van interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’.
Inzicht verwerven in het informatiesysteem en de communicatie
Schaalbaarheid
Het informatiesysteem en gerelateerde bedrijfsprocessen in minder complexe entiteiten zullen waarschijnlijk minder geavanceerd zijn dan in grotere entiteiten, en zal waarschijnlijk een minder complexe IT-omgeving met zich meebrengen; echter, de rol van het informatiesysteem is net zo belangrijk. Minder complexe entiteiten met een directe betrokkenheid van het management hebben mogelijk geen behoefte aan uitgebreide beschrijvingen van administratieve verwerkingsprocedures, geavanceerde administratieve vastleggingen of uitgeschreven beleidslijnen. Inzicht in de relevante aspecten van het informatiesysteem van de entiteit kan daarom minder inspanning vergen bij een controle van een minder complexe entiteit en kan een groter aantal verzoeken om inlichtingen dan waarneming of inspectie van documentatie inhouden. De noodzaak om inzicht te verwerven blijft echter belangrijk om een basis te vormen voor de opzet van verdere controlewerkzaamheden in overeenstemming met Standaard 330 en kan de accountant verder helpen bij het identificeren of inschatten van risico’s op een afwijking van materieel belang. (Zie Par. A86)
Inzicht verwerven in het informatiesysteem
(Zie Par. 25(a))
In het interne beheersingssysteem van de entiteit zijn aspecten opgenomen die betrekking hebben op de verslaggevingsdoelstellingen van de entiteit, inclusief de financiële verslaggevingsdoelstellingen, maar kunnen ook aspecten omvatten die betrekking hebben op de doelstellingen op het gebied van de activiteiten of de naleving van wet- en regelgeving, wanneer dergelijke aspecten relevant zijn voor financiële verslaggeving. Inzicht in hoe de entiteit transacties initieert en informatie vastlegt als onderdeel van het inzicht van de accountant in het informatiesysteem kan informatie omvatten over de systemen van de entiteit (de beleidslijnen) die zijn opgezet om nalevings- en operationele doelstellingen te bereiken, omdat dergelijke informatie relevant is voor het opstellen van de financiële overzichten. Verder kunnen sommige entiteiten informatiesystemen hebben die in hoge mate geïntegreerd zijn zodat interne beheersingsmaatregelen op een manier kunnen worden opgezet om tegelijkertijd financiële verslaggevings-, compliance- en operationele doelstellingen en combinaties daarvan te bereiken.
Inzicht in het informatiesysteem van de entiteit omvat ook inzicht in de middelen die worden gebruikt bij de informatieverwerkingsactiviteiten van de entiteit. Informatie over de betrokken personele inzet die relevant kan zijn voor het verwerven van inzicht in risico's voor de integriteit van het informatiesysteem omvat onder meer:
de competentie van de personen die het werk uitvoeren;
of er voldoende middelen zijn; en
of er sprake is van een passende functiescheiding.
Aangelegenheden die de accountant kan overwegen bij het verwerven van inzicht in de beleidslijnen die de informatiestromen definiëren met betrekking tot de significante transactiestromen, rekeningsaldi en toelichtingen van de entiteit in de component ‘informatiesysteem en communicatie’ omvatten de aard van:
de gegevens of informatie met betrekking tot te verwerken transacties, andere gebeurtenissen en omstandigheden;
de informatieverwerking om de integriteit van die gegevens of informatie te handhaven; en
de informatieprocessen, personeel en andere middelen die bij het informatieverwerkingsproces worden gebruikt.
Verwerven van inzicht in de bedrijfsprocessen van de entiteit, waaronder hoe transacties zijn ontstaan, helpt de accountant bij het verwerven van inzicht in het informatiesysteem van de entiteit op een manier die geschikt is voor de omstandigheden van de entiteit.
Het inzicht van de accountant in het informatiesysteem kan op verschillende manieren worden verkregen en kan omvatten:
verzoeken om inlichtingen bij relevant personeel over de procedures die worden gebruikt voor het initiëren, vastleggen, verwerken en rapporteren van transacties of over het financiële verslaggevingsproces van de entiteit;
inspectie van beleidslijnen of proceshandboeken of andere documentatie van het informatiesysteem van de entiteit;
waarneming van de uitvoering van de beleidslijnen of de procedures door het personeel van de entiteit; of
transacties selecteren en traceren via het van toepassing zijnde proces in het informatiesysteem (d.w.z. een lijncontrole uitvoeren).
Geautomatiseerde hulpmiddelen en technieken
De accountant kan ook geautomatiseerde technieken gebruiken om directe toegang tot of een digitale download te verkrijgen van de databases in het informatiesysteem van de entiteit die administratieve gegevens van transacties opslaan. Door geautomatiseerde hulpmiddelen of technieken op deze informatie toe te passen, kan de accountant het verkregen inzicht bevestigen over hoe transacties door het informatiesysteem worden verwerkt door journaalboekingen of andere digitale vastleggingen met betrekking tot een bepaalde transactie of een volledige populatie van transacties, te traceren van initiatie in de administratieve vastleggingen tot opname in het grootboek. Analyse van complete of grote sets transacties kan ook leiden tot het identificeren van variaties van de normale of verwachte verwerkingsprocedures voor deze transacties, die kunnen leiden tot de identificatie van risico's op een afwijking van materieel belang.
Informatie verkregen buiten het grootboek en subgrootboeken
Financiële overzichten kunnen informatie bevatten die is verkregen buiten het grootboek en subgrootboeken. Voorbeelden van dergelijke informatie die de accountant kan overwegen omvatten:
informatie verkregen uit leaseovereenkomsten die relevant zijn voor toelichtingen in de financiële overzichten;
informatie toegelicht in de financiële overzichten die wordt gegenereerd door het risicomanagementsysteem van een entiteit;
informatie over reële waarde die door deskundigen ingeschakeld door het management is opgesteld en toegelicht in de financiële overzichten;
informatie toegelicht in de financiële overzichten die is verkregen uit modellen of uit andere berekeningen die gebruikt zijn om schattingen te ontwikkelen die zijn opgenomen of toegelicht worden in de financiële overzichten, inclusief informatie met betrekking tot de onderliggende gegevens en veronderstellingen die gebruikt zijn in die modellen, zoals:
intern ontwikkelde veronderstellingen die de gebruiksduur van een actief kunnen beïnvloeden; of
gegevens zoals rentevoeten die worden beïnvloed door factoren waarop de entiteit geen invloed heeft.
informatie toegelicht in de financiële overzichten over gevoeligheidsanalyses afgeleid van financiële modellen die aantoont dat het management alternatieve veronderstellingen heeft overwogen;
informatie opgenomen of toegelicht in de financiële overzichten die is verkregen uit de belastingaangiften en vastleggingen van de entiteit;
informatie toegelicht in de financiële overzichten die is verkregen uit analyses die zijn opgesteld om de beoordeling van het management van de mogelijkheid van de entiteit om de continuïteit te handhaven te ondersteunen, zoals eventuele toelichtingen met betrekking tot gebeurtenissen of omstandigheden die zijn geïdentificeerd die gerede twijfel kunnen doen ontstaan over de mogelijkheid van de entiteit om de continuïteit te handhaven.
Bepaalde bedragen of toelichtingen in de financiële overzichten van de entiteit (zoals toelichtingen over kredietrisico, liquiditeitsrisico en marktrisico) kunnen gebaseerd zijn op informatie verkregen uit het risicomanagementsysteem van de entiteit. De accountant hoeft echter geen inzicht te verwerven in alle aspecten van het risicomanagementsysteem, en past professionele oordeelsvorming toe bij het bepalen van het benodigde inzicht.
Het gebruik van informatietechnologie door de entiteit in het informatiesysteem
Waarom verwerft de accountant inzicht in de IT-omgeving die relevant is voor het informatiesysteem
Het inzicht van de accountant in het informatiesysteem omvat de IT-omgeving die relevant is voor de transactiestromen en informatieverwerking in het informatiesysteem van de entiteit omdat het gebruik van IT-applicaties door de entiteit of andere aspecten in de IT-omgeving aanleiding kan geven tot risico’s door het gebruik van IT.
Het inzicht in het bedrijfsmodel van de entiteit en hoe het gebruik van IT wordt geïntegreerd, kan ook nuttige context bieden voor de aard en omvang van IT die in het informatiesysteem wordt verwacht.
Inzicht in het gebruik van IT door de entiteit
Het inzicht van de accountant in de IT-omgeving kan gericht zijn op het identificeren en verwerven van inzicht in de aard en het aantal van de specifieke IT-applicaties en andere aspecten van de IT-omgeving die relevant zijn voor de stromen van transacties en informatieverwerking in het informatiesysteem. Veranderingen in de stroom van transacties of informatie binnen het informatiesysteem kunnen het gevolg zijn van programmawijzigingen in IT-applicaties of directe wijzigingen in gegevens in databases die betrokken zijn bij de verwerking of opslag van die transacties of informatie.
De accountant kan de IT-applicaties en de ondersteunende IT-infrastructuur gelijktijdig identificeren met het inzicht in hoe informatie met betrekking tot significante transactiestromen, rekeningsaldi en toelichtingen door het informatiesysteem van de entiteit verwerkt wordt.
Het verwerven van inzicht in de communicatie van de entiteit
(Zie Par. 25(b))
Schaalbaarheid
In grotere, meer complexe entiteiten, kan informatie die de accountant kan overwegen bij het verwerven van inzicht in de communicatie van de entiteit afkomstig zijn van handboeken over beleidsprocedures en over financiële verslaggeving.
In minder complexe entiteiten kan communicatie minder gestructureerd zijn (formele handboeken worden bijvoorbeeld niet gebruikt) vanwege minder verantwoordelijkheidsniveaus en een grotere zichtbaarheid en beschikbaarheid van het management. Ongeacht de grootte van de entiteit vergemakkelijken open communicatiekanalen de rapportage van uitzonderingen en het opvolgen daarvan.
Evalueren of de relevante aspecten van het informatiesysteem het opstellen van de financiële overzichten van de entiteit ondersteunen
(Zie Par. 25(c))
De evaluatie door de accountant of het informatiesysteem en de communicatie van de entiteit de opstelling van de financiële overzichten op passende wijze ondersteunt, is gebaseerd op het inzicht verkregen in paragraaf 25(a)-(b).
Interne beheersingsactiviteiten
(Zie Par. 26)
Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’
Bijlage 3, paragrafen 20 en 21 bevatten verdere overwegingen met betrekking tot interne beheersingsactiviteiten.
De component ‘interne beheersingsactiviteiten’ omvat interne beheersingsmaatregelen die zijn opgezet om te zorgen voor de juiste toepassing van beleidslijnen (die ook interne beheersingsmaatregelen zijn) in alle andere componenten van het interne beheersingssysteem van de entiteit en omvat zowel directe als indirecte interne beheersingsmaatregelen.
Voorbeeld
De interne beheersingsmaatregelen die een entiteit heeft ingesteld om ervoor te zorgen dat het personeel de jaarlijkse fysieke voorraad naar behoren opneemt en vastlegt houden rechtstreeks verband met de risico's op een afwijking van materieel belang die relevant zijn voor de beweringen ‘bestaan’ en ‘volledigheid’ voor het rekeningsaldo van de voorraad.
De identificatie en evaluatie van interne beheersingsmaatregelen door de accountant in de component ‘interne beheersingsactiviteiten’ is gericht op interne beheersingsmaatregelen met betrekking tot informatieverwerking. Dit zijn interne beheersingsmaatregelen die worden toegepast tijdens de verwerking van informatie in het informatiesysteem van de entiteit die direct inspelen op risico's voor de integriteit van informatie (d.w.z. de volledigheid, nauwkeurigheid en geldigheid van transacties en andere informatie). Van de accountant wordt echter niet vereist om alle interne beheersingsmaatregelen met betrekking tot informatieverwerking te identificeren en te evalueren die verband houden met de beleidslijnen van de entiteit die de transactiestromen en andere aspecten van de informatieverwerkingsactiviteiten van de entiteit definiëren voor de significante transactiestromen, rekeningsaldi en toelichtingen.
Er kunnen ook directe interne beheersingsmaatregelen zijn die bestaan in de interne beheersingsomgeving, het risico-inschattingsproces van de entiteit of het proces van de entiteit om het systeem van interne beheersing te monitoren, die kunnen worden geïdentificeerd in overeenstemming met paragraaf 26. Hoe indirecter de relatie tussen interne beheersingsmaatregelen die andere interne beheersingsmaatregelen ondersteunen en de interne beheersingsmaatregel die worden overwogen echter is, hoe minder effectief die interne beheersingsmaatregel kan zijn bij het voorkomen, of detecteren en corrigeren van gerelateerde afwijkingen. ‘
Voorbeeld
Gewoonlijk is een beoordeling door een verkoopmanager van een samenvatting van de verkoopactiviteit voor specifieke winkels per regio alleen indirect gerelateerd aan de risico’s op een afwijking van materieel belang die relevant is voor de bewering van de volledigheid van verkoopopbrengsten. Dienovereenkomstig kan het minder effectief zijn om in te spelen op die risico's dan interne beheersingsmaatregelen die directer daaraan zijn gerelateerd, zoals de aansluiting van vervoersdocumenten met factuurdocumenten
Paragraaf 26 vereist ook dat de accountant general IT controls voor IT-applicaties en andere aspecten van de IT-omgeving identificeert en evalueert, waarvan de accountant heeft vastgesteld dat deze onderhevig zijn aan risico's die voortkomen uit het gebruik van IT, omdat general IT controls de blijvende effectieve werking van interne beheersingsmaatregelen met betrekking tot informatieverwerking ondersteunen. Een general IT-control alleen is meestal niet voldoende om in te spelen op een risico op een afwijking van materieel belang op het niveau van beweringen.
De interne beheersingsmaatregelen waarvan de accountant de opzet moet identificeren en evalueren en de implementatie daarvan moet bepalen in overeenstemming met paragraaf 26, zijn:
interne beheersingsmaatregelen waarvan de accountant van plan is om de effectieve werking te toetsen voor het bepalen van de aard, timing en omvang van gegevensgerichte werkzaamheden. De evaluatie van dergelijke interne beheersingsmaatregelen vormt de basis voor de opzet van de accountant van het toetsen van interne beheersingsmaatregelen in overeenstemming met Standaard 330. Deze interne beheersingsmaatregelen omvatten ook interne beheersingsmaatregelen die inspelen op risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen;
interne beheersingsmaatregelen die inspelen op significante risico's en interne beheersingsmaatregelen met betrekking tot journaalboekingen. De identificatie en evaluatie van dergelijke interne beheersingsmaatregelen door de accountant kunnen ook van invloed zijn op het inzicht van de accountant in de risico’s op een afwijking van materieel belang, inclusief de identificatie van aanvullende risico’s op een afwijking van materieel belang (zie paragraaf A95). Dit inzicht biedt ook de basis voor de opzet van de accountant van de aard, timing en omvang van gegevensgerichte controlewerkzaamheden die inspelen op de gerelateerde ingeschatte risico's op een afwijking van materieel belang;
andere interne beheersingsmaatregelen die de accountant overweegt en die geschikt zijn om de accountant in staat te stellen de doelstellingen van paragraaf 13 met betrekking tot risico's op het niveau van beweringen te bereiken, gebaseerd op de professionele oordeelsvorming van de accountant.
Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ moeten worden geïdentificeerd wanneer dergelijke interne beheersingsmaatregelen voldoen aan een of meer van de criteria in paragraaf 26(a). Wanneer echter meerdere interne beheersingsmaatregelen dezelfde doelstelling bereiken, is het niet nodig om elk van de interne beheersingsmaatregelen met betrekking tot een dergelijke doelstelling te identificeren.
Typen interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’
(Zie Par. 26)
Voorbeelden van interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ zijn autorisaties en goedkeuringen, aansluitingen, verificaties (zoals bewerkings- en validatie controles of geautomatiseerde berekeningen), functiescheiding en fysieke of logische interne beheersingsmaatregelen, inclusief die voor de bescherming van activa.
Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ kunnen ook interne beheersingsmaatregelen omvatten die zijn vastgesteld door het management die inspelen op risico’s op een afwijking van materieel belang in verband met toelichtingen die niet in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving zijn opgesteld. Dergelijke interne beheersingsmaatregelen kunnen betrekking hebben op informatie die is opgenomen in de financiële overzichten die is verkregen buiten het grootboek en subgrootboeken.
Ongeacht of interne beheersingsmaatregelen zich binnen de IT-omgeving of in handmatige systemen bevinden, kunnen interne beheersingsmaatregelen verschillende doelstellingen hebben en kunnen ze worden toegepast op verschillende organisatorische en functionele niveaus.
Schaalbaarheid
(Zie Par. 26)
Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ voor minder complexe entiteiten zijn waarschijnlijk vergelijkbaar met die in grotere entiteiten, maar de formaliteit waarmee ze werken kan variëren. Verder kunnen in minder complexe entiteiten meer interne beheersingsmaatregelen direct door het management worden toegepast.
Voorbeeld
De exclusieve bevoegdheid van het management om klanten krediet te verlenen en significante aankopen goed te keuren kan een effectieve interne beheersingsmaatregel bieden over significante rekeningsaldi en transacties.
Het kan minder praktisch uitvoerbaar zijn om functiescheiding in minder complexe entiteiten met minder medewerkers tot stand te brengen. In een door de eigenaar bestuurde entiteit kan de eigenaar-bestuurder echter mogelijk meer effectief toezicht uitoefenen door directe betrokkenheid dan bij een grotere entiteit, wat de over het algemeen beperktere mogelijkheden voor functiescheiding kan compenseren. Hoewel, zoals ook uitgelegd in Standaard 240, overheersing van het management door een enkel persoon kan een potentiële tekortkoming in de interne beheersing zijn, omdat er een mogelijkheid is voor het management om de interne beheersing te doorbreken.
Interne beheersingsmaatregelen die inspelen op de risico’s op een afwijking van materieel belang op het niveau van beweringen
(Zie Par. 26(a))
Interne beheersingsmaatregelen die inspelen op risico's waarvan is bepaald dat ze een significant risico zijn
(Zie Par. 26(a)(i))
Ongeacht of de accountant van plan is om de effectieve werking van interne beheersingsmaatregelen die inspelen op significante risico’s te toetsen, kan het verkregen inzicht over de aanpak van het management om in te spelen op deze risico's een basis vormen voor de opzet en de uitvoering van gegevensgerichte werkzaamheden die inspelen op significante risico's zoals vereist door Standaard 330. Hoewel risico's met betrekking tot significante niet-routinematige of oordeelsvormende aangelegenheden waarschijnlijk vaak minder onderworpen zijn aan routinematige interne beheersingsmaatregelen, is het mogelijk dat het management op een andere manier op dergelijke risico's inspeelt. Dienovereenkomstig kan het inzicht van de accountant of de entiteit interne beheersingsmaatregelen heeft opgezet en geïmplementeerd voor significante risico's die voortkomen uit niet-routinematige of oordeelsvormende aangelegenheden omvatten of en hoe het management inspeelt op de risico's. De manieren om op risico’s in te spelen kunnen omvatten:
interne beheersingsmaatregelen, zoals een beoordeling van veronderstellingen door het senior management of deskundigen;
gedocumenteerde processen voor schattingen;
goedkeuring door de met governance belaste personen.
Voorbeeld
Indien er sprake is van eenmalige gebeurtenissen, zoals de ontvangst van een kennisgeving van een significante rechtszaak, kan bij het overwegen van de manier waarop de entiteit hierop heeft ingespeeld rekening worden gehouden met aangelegenheden zoals de vragen of de entiteit al dan niet geschikte deskundigen (zoals interne of externe juridisch adviseurs) heeft ingeschakeld, of een inschatting is gemaakt van de mogelijke gevolgen en hoe wordt voorgesteld om de omstandigheden toe te lichten in de financiële overzichten.
Standaard 240 vereist dat de accountant inzicht verwerft in de interne beheersingsmaatregelen met betrekking tot ingeschatte risico’s op een afwijking van materieel belang als gevolg van fraude (die worden behandeld als significante risico's), en legt verder uit dat het belangrijk is voor de accountant om inzicht te verwerven in de interne beheersingsmaatregelen die het management heeft opgezet, geïmplementeerd en onderhouden om fraude te voorkomen en te detecteren.
Interne beheersingsmaatregelen met betrekking tot journaalboekingen
(Zie Par. 26(a)(ii))
Interne beheersingsmaatregelen die inspelen op de risico’s op een afwijking van materieel belang op het beweringenniveau die naar verwachting voor alle controles worden geïdentificeerd, zijn interne beheersingsmaatregelen met betrekking tot journaalboekingen. De manier waarop een entiteit informatie van transactieverwerking opneemt in het grootboek omvat normaal gesproken het gebruik van journaalboekingen, hetzij standaard of niet-standaard, of geautomatiseerd of handmatig. De mate waarin andere interne beheersingsmaatregelen worden geïdentificeerd, kan variëren op basis van de aard van de entiteit en de geplande aanpak van de accountant van verdere controlewerkzaamheden.
Voorbeeld
Bij een controle van een minder complexe entiteit is het informatiesysteem van de entiteit mogelijk niet complex en kan de accountant mogelijk niet van plan zijn om te steunen op de effectieve werking van interne beheersingsmaatregelen. Verder kan de accountant geen significante risico's of andere risico’s op een afwijking van materieel belang hebben geïdentificeerd waarvoor het noodzakelijk is voor de accountant om de opzet van interne beheersingsmaatregelen te evalueren en te bepalen dat deze zijn geïmplementeerd. Bij een dergelijke controle kan de accountant bepalen dat er geen andere geïdentificeerde interne beheersingsmaatregelen zijn dan de interne beheersingsmaatregelen van de entiteit met betrekking tot journaalboekingen.
Geautomatiseerde hulpmiddelen en technieken
Bij handmatige grootboeksystemen kunnen niet-standaard journaalboekingen mogelijk worden geïdentificeerd door inspectie van grootboeken, dagboeken en ondersteunende documentatie. Wanneer geautomatiseerde procedures worden gebruikt voor het bijhouden van het grootboek en het opstellen van financiële overzichten, is het mogelijk dat dergelijke boekingen alleen in elektronische vorm bestaan waardoor ze gemakkelijker zijn te identificeren door het gebruik van geautomatiseerde technieken.
Voorbeeld
Bij de controle van een minder complexe entiteit kan de accountant mogelijk een totale lijst van alle journaalboekingen in een eenvoudige spreadsheet extraheren. Het is dan mogelijk dat de accountant de journaalboekingen sorteert door verschillende filters toe te passen, zoals valutabedrag, naam van de opsteller of beoordelaar, journaalboekingen die alleen de balans en winst- en verliesrekening ophogen, of om de vermelding aan de hand van de datum waarop de journaalboeking naar het grootboek is geboekt te bekijken om de accountant te helpen bij het opzetten van manieren van inspelen op de geïdentificeerde risico's met betrekking tot journaalposten.
Interne beheersingsmaatregelen waarvoor de accountant van plan is de effectieve werking te toetsen
(Zie Par. 26(a)(iii))
De accountant bepaalt of er risico's op een afwijking van materieel belang op het niveau van beweringen bestaan waarvoor het niet mogelijk is om voldoende en geschikte controle-informatie te verkrijgen door gegevensgerichte werkzaamheden alleen. Van de accountant wordt vereist, in overeenstemming met Standaard 330, , om toetsingen van interne beheersingsmaatregelen op te zetten en uit te voeren die inspelen op dergelijke risico’s op een afwijking van materieel belang wanneer gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen op het niveau van beweringen. Als gevolg hiervan moeten, wanneer dergelijke interne beheersingsmaatregelen bestaan die inspelen op deze risico's, deze worden geïdentificeerd en geëvalueerd.
In andere gevallen, wanneer de accountant van plan is rekening te houden met de effectieve werking van interne beheersingsmaatregelen bij het bepalen van de aard, timing en omvang van gegevensgerichte werkzaamheden in overeenstemming met Standaard 330, moeten dergelijke interne beheersingsmaatregelen ook worden geïdentificeerd omdat Standaard 330 vereist dat de accountant toetsingen van die interne beheersingsmaatregelen opzet en uitvoert.
Voorbeelden
De accountant kan van plan zijn om de effectieve werking van interne beheersingsmaatregelen te toetsen:
met betrekking tot routinematige transactiestromen omdat dergelijke toetsingen effectiever of efficiënter kunnen zijn voor grote hoeveelheden homogene transacties.
met betrekking tot de volledigheid en nauwkeurigheid van informatie die afkomstig is van de entiteit (bijvoorbeeld interne beheersingsmaatregelen met betrekking tot het opstellen van door het systeem gegenereerde rapporten), om de betrouwbaarheid van die informatie te bepalen, wanneer de accountant van plan is rekening te houden met de effectieve werking van die interne beheersingsmaatregelen bij het opzetten en uitvoeren van verdere controlewerkzaamheden.
met betrekking tot doelstellingen op het gebied van de bedrijfsactiviteiten en de naleving van wet- en regelgeving wanneer deze betrekking hebben op gegevens die de accountant evalueert of gebruikt bij het toepassen van controlewerkzaamheden.
De plannen van de accountant om de effectieve werking van interne beheersingsmaatregelen te toetsen kunnen ook worden beïnvloed door de geïdentificeerde risico's op een afwijking van materieel belang op het niveau van de financiële overzichten. Bijvoorbeeld als tekortkomingen zijn geïdentificeerd met betrekking tot de interne beheersingsomgeving, kan dit de algemene verwachtingen van de accountant met betrekking tot de effectieve werking van directe interne beheersingsmaatregelen beïnvloeden.
Andere interne beheersingsmaatregelen die de accountant geschikt acht
(Zie Par. 26(a)(iv))
Andere interne beheersingsmaatregelen die de accountant kan overwegen die geschikt zijn om de opzet te identificeren en te evalueren en om de implementatie te bepalen, kunnen omvatten:
interne beheersingsmaatregelen die inspelen op risico's die als hoger worden ingeschat in het spectrum van inherent risico maar die niet als significant risico aangemerkt zijn;
interne beheersingsmaatregelen met betrekking tot het aansluiten van gedetailleerde vastleggingen met het grootboek; of
aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie bij gebruik van een serviceorganisatie.
Identificatie van IT-applicaties en andere aspecten van de IT-omgeving, risico's die voortkomen uit het gebruik van IT en general IT controls
(Zie Par. 26(b) en (c))
Bijlage 5bevat voorbeeldkenmerken van IT-applicaties en andere aspecten van de IT-omgeving en leidraden met betrekking tot die kenmerken, die relevant kunnen zijn bij het identificeren van IT-applicaties en andere aspecten van de IT-omgeving die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT.
Het identificeren van IT-applicaties en andere aspecten van de IT-omgeving
(Zie Par. 26(b))
Waarom de accountant risico's identificeert die voortkomen uit het gebruik van IT en general IT controls met betrekking tot geïdentificeerde IT-applicaties en andere aspecten van de IT-omgeving
Inzicht in de risico's die voortkomen uit het gebruik van IT en de general IT controls die door de entiteit zijn geïmplementeerd om in te spelen op deze risico's, kan van invloed zijn op:
de beslissing van de accountant over het al dan niet toetsen van de effectieve werking van de interne beheersingsmaatregelen die inspelen op risico’s op een afwijking van materieel belang op het niveau van beweringen;
Voorbeeld
Wanneer general IT controls niet effectief zijn opgezet of niet passend zijn geïmplementeerd om in te spelen op risico's die voortkomen uit het gebruik van IT (bijvoorbeeld interne beheersingsmaatregelen voorkomen of detecteren niet op een passende manier ongeautoriseerde programmawijzigingen of ongeautoriseerde toegang tot IT-applicaties), kan dit gevolgen hebben voor de beslissing van de accountant om te steunen op geautomatiseerde interne beheersingsmaatregelen binnen de betrokken IT-applicaties.
de inschatting door de accountant van het interne beheersingsrisico op het niveau van beweringen;
Voorbeeld
De blijvende effectieve werking van een interne beheersingsmaatregel met betrekking tot informatieverwerking kan afhangen van bepaalde general IT controls die ongeautoriseerde programmawijzigingen in de interne beheersingsmaatregel voor IT informatieverwerking voorkomen of detecteren (d.w.z., interne beheersingsmaatregelen inzake programmawijzigingen over de gerelateerde IT-applicatie). In dergelijke omstandigheden kan de verwachte effectieve werking (of het ontbreken daarvan) van de general IT controls de inschatting door de accountant van het interne beheersingsrisico beïnvloeden (het interne beheersingsrisico kan bijvoorbeeld hoger zijn wanneer wordt verwacht dat dergelijke general IT controls niet effectief zijn of als de accountant niet van plan is om de general IT controls te toetsen).
de strategie van de accountant voor het toetsen van informatie afkomstig van de entiteit die wordt gegenereerd door of informatie betreft uit de IT-applicaties van de entiteit;
Voorbeeld
Wanneer informatie afkomstig van de entiteit om te gebruiken als controle-informatie gegenereerd is door IT-applicaties, kan de accountant bepalen om interne beheersingsmaatregelen met betrekking tot door het systeem gegenereerde rapporten te toetsen, inclusief identificatie en toetsing van de general IT controls die inspelen op risico’s van ongepaste of ongeautoriseerde programmawijzigingen of directe gegevenswijzigingen in de rapporten.
de inschatting door de accountant van inherent risico op het niveau van beweringen;
Voorbeeld
Wanneer er significante of uitgebreide programmeringswijzigingen in een IT-applicatie zijn om nieuwe of herziene rapportagevereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving te adresseren, kan dit een indicator zijn voor de complexiteit van de nieuwe vereisten en hun effect op de financiële overzichten van de entiteit. Wanneer dergelijke uitgebreide programmering of veranderingen in gegevens voorkomen, is de IT-applicatie waarschijnlijk ook onderhevig aan risico's die voortkomen uit het gebruik van IT.
de opzet van verdere controlewerkzaamheden.
Voorbeeld
Wanneer er significante of uitgebreide programmeringswijzigingen in een IT-applicatie zijn om nieuwe of herziene rapportagevereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving te adresseren, kan dit een indicator zijn voor de complexiteit van de nieuwe vereisten en hun effect op de financiële overzichten van de entiteit. Wanneer dergelijke uitgebreide programmering of veranderingen in gegevens voorkomen, is de IT-applicatie waarschijnlijk ook onderhevig aan risico's die voortkomen uit het gebruik van IT.
Het identificeren van IT-applicaties die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT
Voor de IT-applicaties die relevant zijn voor het informatiesysteem, kan inzicht in de aard en complexiteit van de specifieke IT-processen en general IT controls van de entiteit , de accountant helpen bij het bepalen op welke IT-applicaties de entiteit steunt voor het nauwkeurig verwerken en handhaven van de integriteit van informatie in het informatiesysteem. Dergelijke IT-applicaties kunnen onderhevig zijn aan risico’s die voortkomen uit het gebruik van IT.
Bij het identificeren van de IT-applicaties die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT, moet rekening worden gehouden met interne beheersingsmaatregelen die door de accountant zijn geïdentificeerd omdat dergelijke interne beheersingsmaatregelen het gebruik van IT of het steunen op IT kunnen inhouden. De accountant kan zich concentreren op de vraag of een IT-applicatie geautomatiseerde interne beheersingsmaatregelen bevat waarop het management steunt en die de accountant heeft geïdentificeerd, inclusief interne beheersingsmaatregelen die inspelen op risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen. De accountant kan ook overwegen hoe informatie wordt opgeslagen en verwerkt in het informatiesysteem met betrekking tot significante transactiestromen, rekeningsaldi en toelichtingen en of het management steunt op general IT controls om de integriteit van die informatie te handhaven.
De door de accountant geïdentificeerde interne beheersingsmaatregelen kunnen afhankelijk zijn van door het systeem gegenereerde rapporten, in welk geval de IT-applicaties die deze rapporten genereren onderhevig kunnen zijn aan risico's die voortkomen uit het gebruik van IT. In andere gevallen is het mogelijk dat de accountant niet van plan is om te steunen op interne beheersingsmaatregelen met betrekking tot de door het systeem gegenereerde rapporten en van plan is om direct de invoer en uitvoer van dergelijke rapporten te toetsen, in welk geval de accountant mogelijk niet de gerelateerde IT-applicaties identificeert als onderhevig aan risico's die voortkomen uit IT.
Schaalbaarheid
De mate van inzicht van de accountant in de IT-processen, inclusief de mate waarin de entiteit beschikt over general IT controls, zal variëren met de aard en de omstandigheden van de entiteit en haar IT-omgeving, evenals op basis van de aard en omvang van de interne beheersingsmaatregelen die door de accountant zijn geïdentificeerd. Het aantal IT-applicaties dat onderhevig is aan risico's die voortkomen uit het gebruik van IT zal ook variëren op basis van deze factoren.
Voorbeelden
Een entiteit die commerciële software gebruikt en geen toegang heeft tot de broncode om programmawijzigingen aan te brengen, heeft waarschijnlijk geen proces voor programmawijzigingen, maar kan een proces of procedures hebben om de software te configureren (bijvoorbeeld het rekeningschema, rapportage parameters of drempels). Bovendien kan de entiteit een proces of procedures hebben om toegang tot de applicatie te beheren (bijv. een aangewezen persoon met beheerderstoegang voor de commerciële software). In dergelijke omstandigheden is het onwaarschijnlijk dat de entiteit geformaliseerde general IT controls heeft of nodig heeft.
Een grotere entiteit daarentegen kan in hoge mate op IT steunen en de IT-omgeving kan betrekking hebben op meerdere IT-applicaties en de IT-processen voor het beheer van de IT-omgeving kunnen complex zijn (er bestaat bijvoorbeeld een speciale IT-afdeling die programmawijzigingen ontwikkelt en implementeert en toegangsrechten beheert), inclusief dat de entiteit geformaliseerde general IT -controls met betrekking tot de IT-processen heeft geïmplementeerd.
Wanneer het management niet steunt op geautomatiseerde interne beheersingsmaatregelen of general IT controls om transacties te verwerken of de gegevens bij te houden en de accountant geen geautomatiseerde interne beheersingsmaatregelen of andere interne beheersingsmaatregelen met betrekking tot informatieverwerking (of die afhankelijk zijn van general IT controls) heeft geïdentificeerd, kan de accountant van plan zijn om alle informatie die door de entiteit met IT is gegenereerd rechtstreeks te toetsen en kan de accountant mogelijk geen IT-applicaties identificeren die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT.
Wanneer het management steunt op een IT-applicatie om gegevens te verwerken of te onderhouden, de hoeveelheid gegevens significant is en het management steunt op de IT-applicatie om geautomatiseerd interne beheersingsmaatregelen uit te voeren die de accountant ook heeft geïdentificeerd, zal de IT-applicatie waarschijnlijk onderhevig zijn aan risico’s die voortkomen uit het gebruik van IT.
Wanneer een entiteit een grotere complexiteit in de IT-omgeving heeft, vereist het identificeren van de IT-applicaties en andere aspecten van de IT-omgeving, het bepalen van de gerelateerde risico's die voortkomen uit het gebruik van IT en het identificeren van general IT-controls waarschijnlijk de betrokkenheid van teamleden met gespecialiseerde IT-vaardigheden. Een dergelijke betrokkenheid is waarschijnlijk essentieel en moet mogelijk uitgebreid zijn voor complexe IT-omgevingen.
Identificeren van andere aspecten van de IT-omgeving die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT
De andere aspecten van de IT-omgeving die onderhevig kunnen zijn aan risico's die voortkomen uit het gebruik van IT, omvatten het netwerk, besturingssysteem en databases en, in bepaalde omstandigheden, interfaces tussen IT-applicaties. Andere aspecten van de IT-omgeving worden over het algemeen niet geïdentificeerd wanneer de accountant geen IT-applicaties identificeert die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT. Wanneer de accountant IT-applicaties heeft geïdentificeerd die onderhevig zijn aan risico's die voortkomen uit IT, worden andere aspecten van de IT-omgeving (bijvoorbeeld database, besturingssysteem, netwerk) waarschijnlijk geïdentificeerd omdat dergelijke aspecten de geïdentificeerde IT-applicaties ondersteunen en daarmee interactie hebben.
Identificeren van risico's die voortkomen uit het gebruik van IT en general IT controls
Bij het identificeren van de risico's die voortkomen uit het gebruik van IT, kan de accountant rekening houden met de aard van de geïdentificeerde IT-applicatie of een ander aspect van de IT-omgeving en de redenen waarom risico's kunnen ontstaan uit het gebruik van IT. Voor sommige geïdentificeerde IT-applicaties of andere aspecten van de IT-omgeving, kan de accountant van toepassing zijnde risico's identificeren die voortkomen uit het gebruik van IT en die voornamelijk betrekking hebben op niet-geautoriseerde toegang of ongeautoriseerde programmawijzigingen, evenals risico's die verband houden met ongepaste gegevenswijzigingen (bijvoorbeeld het risico op ongepaste wijzigingen in de gegevens door directe databasetoegang of de mogelijkheid om informatie rechtstreeks te manipuleren).
De omvang en aard van de van toepassing zijnde risico's die voortkomen uit het gebruik van IT variëren afhankelijk van de aard en kenmerken van de geïdentificeerde IT-applicaties en andere aspecten van de IT-omgeving. Van toepassing zijnde IT-risico's kunnen ontstaan wanneer de entiteit voor geïdentificeerde aspecten van de IT-omgeving (bijvoorbeeld het uitbesteden van de hosting van de IT-omgeving aan een derde of het gebruikmaken van een shared service center voor centraal beheer van IT-processen in een groep) externe of interne dienstverleners gebruikt. Van toepassing zijnde risico's die voortkomen uit het gebruik van IT kunnen ook worden geïdentificeerd met betrekking tot cybersecurity. Het is waarschijnlijker dat er meer risico’s zullen voortkomen uit het gebruik van IT wanneer de hoeveelheid of de complexiteit van geautomatiseerde application controls hoger is en het management meer steunt op deze interne beheersingsmaatregelen voor de effectieve verwerking van transacties of het effectieve onderhoud van de integriteit van onderliggende informatie.
Evalueren van de opzet en het bepalen van de implementatie van geïdentificeerde interne beheersings-maatregelen met betrekking tot de component ‘interne beheersingsactiviteiten’
(Zie Par. 26(d))
Bij het evalueren van de opzet van een geïdentificeerde interne beheersingsmaatregel overweegt de accountant of de interne beheersingsmaatregel, afzonderlijk of in combinatie met andere interne beheersingsmaatregelen, in staat is om effectief afwijkingen van materieel belang te voorkomen of te detecteren en te corrigeren van (d.w.z. de interne beheersingsdoelstelling).
De accountant bepaalt de implementatie van een geïdentificeerde interne beheersingsmaatregel door vast te stellen dat de interne beheersingsmaatregel bestaat en dat de entiteit deze toepast. Het heeft weinig zin dat de accountant de implementatie beoordeelt van een interne beheersingsmaatregel die niet effectief is opgezet. Daarom evalueert de accountant de opzet van een interne beheersingsmaatregel eerst. Een niet-adequaat opgezette interne beheersingsmaatregel kan een tekortkoming in de interne beheersing vormen.
Risico-inschattingswerkzaamheden om controle-informatie te verkrijgen over de opzet en de implementatie van geïdentificeerde interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ kunnen omvatten:
verzoeken om inlichtingen bij personeel van de entiteit;
waarneming van de toepassing van specifieke interne beheersingsmaatregelen;
inspectie van documenten en rapporten.
Verzoek om inlichtingen alleen is echter niet voldoende voor dergelijke doeleinden.
De accountant kan verwachten, op basis van ervaring uit de vorige controle of op basis van de risico-inschattingswerkzaamheden in de huidige verslagperiode, dat het management geen effectieve interne beheersingsmaatregelen heeft opgezet of geïmplementeerd om in te spelen op een significant risico. In dergelijke gevallen kunnen de werkzaamheden die worden uitgevoerd om het vereiste in paragraaf 26 (d) te adresseren, bestaan uit het vaststellen dat dergelijke interne beheersingsmaatregelen niet effectief zijn opgezet of geïmplementeerd. Als de resultaten van de werkzaamheden aangeven dat interne beheersingsmaatregelen nieuw zijn opgezet of geïmplementeerd, dan moet de accountant de werkzaamheden in paragraaf 26(b)-(d) uitvoeren voor de nieuw opgezette of geïmplementeerde interne beheersingsmaatregelen.
De accountant kan concluderen dat een interne beheersingsmaatregel, die effectief is opgezet en geïmplementeerd, geschikt kan zijn om de effectieve werking te toetsen, zodat de accountant de effectieve werking in overweging kan nemen bij het opzetten van gegevensgerichte werkzaamheden. Als een interne beheersingsmaatregel echter niet effectief is opgezet of geïmplementeerd, heeft het geen zin om deze te toetsen. Wanneer de accountant van plan is een interne beheersingsmaatregel te toetsen, is de informatie die verkregen is over de mate waarin de interne beheersingsmaatregel inspeelt op risico(s) op een afwijking van materieel belang, een factor voor de risico-inschatting van de accountant van de interne beheersingsmaatregel op het niveau van beweringen.
Het evalueren van de opzet en het bepalen van de implementatie van geïdentificeerde interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ is niet voldoende om hun effectieve werking te toetsen. Voor geautomatiseerde interne beheersingsmaatregelen kan de accountant echter van plan zijn om de effectieve werking van geautomatiseerde interne beheersingsmaatregelen te toetsen door general IT controls, die zorgen voor de consistente werking van een geautomatiseerde controle, te identificeren en te toetsen. Dit in plaats van het direct toetsen van de effectieve werking van de geautomatiseerde interne beheersingsmaatregelen. Het verkrijgen van controle-informatie over de implementatie van een handmatige interne beheersingsmaatregel op een bepaald tijdstip levert geen controle-informatie op over de effectieve werking van de interne beheersingsmaatregel op andere tijdstippen tijdens de gecontroleerde periode. Toetsingen van de effectieve werking van interne beheersingsmaatregelen, inclusief toetsingen van indirecte interne beheersingsmaatregelen, zijn verder beschreven in Standaard 330.
Wanneer de accountant niet van plan is om de effectieve werking van geïdentificeerde interne beheersingsmaatregelen te toetsen, kan het verworven inzicht van de accountant nog steeds helpen bij de opzet van de aard, timing en omvang van gegevensgerichte controlewerkzaamheden die inspelen op de gerelateerde risico’s op een afwijking van materieel belang.
Voorbeeld
De resultaten van deze risico-inschattingswerkzaamheden kunnen een basis vormen voor de overweging van de accountant van mogelijke deviaties in een populatie bij het opzetten van steekproeven bij een controle.
Tekortkomingen in interne beheersing binnen het interne beheersingssysteem van de entiteit
(Zie Par. 27)
Bij het uitvoeren van de evaluaties van elk van de componenten van het interne beheersingssysteem van de entiteit, kan de accountant vaststellen dat bepaalde beleidslijnen van de entiteit in een component niet geschikt zijn voor de aard en omstandigheden van de entiteit. Een dergelijke vaststelling kan een indicator zijn die de accountant helpt bij het identificeren van tekortkomingen in de interne beheersing. Als de accountant een of meer tekortkomingen in de interne beheersing heeft geïdentificeerd, kan de accountant het effect van die tekortkomingen in de interne beheersing overwegen bij het opzetten van verdere controlewerkzaamheden in overeenstemming met Standaard 330.
Als de accountant een of meer tekortkomingen in de interne beheersing heeft geïdentificeerd, vereist Standaard 265 van de accountant om te bepalen of de tekortkomingen, afzonderlijk of in combinatie, een significante tekortkoming vormen.
De accountant past professionele oordeelsvorming toe om te bepalen of een tekortkoming een significante tekortkoming in de interne beheersing vormt.
Voorbeelden
Omstandigheden die kunnen wijzen op een significante tekortkoming in de interne beheersing omvatten aangelegenheden zoals:
de identificatie van fraude van elke omvang waarbij het senior management betrokken is;
geïdentificeerde interne processen die inadequaat zijn met betrekking tot de rapportage en communicatie van tekortkomingen die zijn opgemerkt door de interne audit;
eerder gecommuniceerde tekortkomingen die niet tijdig door het management worden gecorrigeerd;
het niet inspelen door het management op significante risico's, bijvoorbeeld door geen interne beheersingsmaatregelen te implementeren met betrekking tot significante risico's; en
de aanpassing van eerder gepubliceerde financiële overzichten.
Risico's op een afwijking van materieel belang identificeren en inschatten
Waarom de accountant de risico's op een afwijking van materieel belang identificeert en inschat
Risico’s op het niveau van de financiële overzichten kunnen in het bijzonder het gevolg zijn van een tekortschietende interne beheersingsomgeving (hoewel deze risico's ook verband kunnen houden met andere factoren, zoals verslechterende economische omstandigheden.) Zo is het mogelijk dat tekortkomingen, zoals een gebrek aan competentie van het management of een gebrek aan toezicht op het opstellen van de financiële overzichten, een diepgaander effect op de financiële overzichten hebben en een algehele aanpak van de accountant vereisen.
Informatie die wordt verzameld door het uitvoeren van risico-inschattingswerkzaamheden wordt gebruikt als controle-informatie om de basis voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang te verschaffen. De controle-informatie verkregen bij het evalueren van de opzet van geïdentificeerde interne beheersingsmaatregelen en het bepalen of die interne beheersingsmaatregelen zijn geïmplementeerd in de component ‘interne beheersingsactiviteiten’, wordt bijvoorbeeld als controle informatie gebruikt om de risico-inschatting te ondersteunen. Dergelijke informatie biedt ook een basis voor de accountant om algehele manieren op te zetten om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten, evenals het opzetten en uitvoeren van verdere controlewerkzaamheden waarvan de aard, timing en omvang inspelen op de ingeschatte risico’s op een afwijking van materieel belang op het niveau van beweringen, in overeenstemming met Standaard 330.
Identificeren van risico's op een afwijking van materieel belang
(Zie Par. 28)
De identificatie van risico's op een afwijking van materieel belang wordt uitgevoerd voordat rekening wordt gehouden met eventuele daarop betrekking hebbende interne beheersingsmaatregelen (d.w.z. het inherente risico) en is gebaseerd op de voorlopige overweging van de accountant van afwijkingen die een redelijke mogelijkheid hebben om zowel voor te komen als om van materieel belang te zijn als ze voorkomen.
Het identificeren van de risico’s op een afwijking van materieel belang vormt ook de basis voor de vaststelling door de accountant van relevante beweringen, die de accountant helpen bij het bepalen van de significante transactiestromen, rekeningsaldi en toelichtingen.
Beweringen
Waarom de accountant beweringen gebruikt
Bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang gebruikt de accountant beweringen om rekening te houden met de verschillende soorten potentiële afwijkingen die kunnen voorkomen. Beweringen waarvoor de accountant gerelateerde risico’s op een afwijking van materieel belang heeft geïdentificeerd, zijn relevante beweringen.
Het gebruik van beweringen
Bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang kan de accountant de categorieën van beweringen gebruiken zoals beschreven in paragraaf A190 (a) - (b) hieronder of kan deze anders weergeven mits alle hieronder beschreven aspecten zijn behandeld. De accountant kan ervoor kiezen om de beweringen over transactiestromen en gebeurtenissen en daarop betrekking hebbende toelichtingen te combineren met de beweringen over rekeningsaldi en daarop betrekking hebbende toelichtingen.
Beweringen die door de accountant worden gebruikt bij het overwegen van de verschillende soorten potentiële afwijkingen die kunnen voorkomen, kunnen in de volgende categorieën vallen:
Beweringen over transactiestromen en gebeurtenissen en daarop betrekking hebbende toelichtingen tijdens de gecontroleerde periode:
Voorkomen - de vastgelegde of toegelichte transacties en gebeurtenissen hebben inderdaad plaatsgevonden en dergelijke transacties en gebeurtenissen hebben betrekking op de entiteit.
Volledigheid - alle transacties en gebeurtenissen die hadden moeten worden vastgelegd, zijn ook vastgelegd en alle daarop betrekking hebbende toelichtingen die hadden moeten worden opgenomen in de financiële overzichten, zijn opgenomen.
Nauwkeurigheid - bedragen en andere gegevens die betrekking hebben op vastgelegde transacties en gebeurtenissen zijn op de juiste wijze vastgelegd en daarop betrekking hebbende toelichtingen zijn op de juiste wijze vastgelegd en beschreven.
Afgrenzing - transacties en gebeurtenissen zijn in de juiste verslagperiode vastgelegd.
Classificatie - transacties en gebeurtenissen zijn op de juiste rekeningen vastgelegd.
Presentatie - transacties en gebeurtenissen zijn op de juiste wijze samengevoegd of uitgesplitst en duidelijk beschreven, en daarop betrekking hebbende toelichtingen zijn relevant en begrijpelijk in de context van de vereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving.
Beweringen over rekeningsaldi en daarop betrekking hebbende toelichtingen aan het einde van de verslagperiode:
Bestaan - activa, passiva en eigenvermogensbelangen bestaan.
Rechten en verplichtingen - de entiteit bezit of heeft zeggenschap over de rechten op activa, en de verplichtingen zijn de verplichtingen voor de entiteit.
Volledigheid: - alle activa, passiva en eigenvermogensbelangen die hadden moeten worden vastgelegd, zijn ook vastgelegd en alle daarop betrekking hebbende toelichtingen die hadden moeten worden opgenomen in de financiële overzichten, zijn ook opgenomen.
Nauwkeurigheid, waardering en toerekening - activa, passiva en eigenvermogensbelangen zijn voor de juiste bedragen in de financiële overzichten opgenomen en de daaruit voortvloeiende waarderings- en toerekeningscorrecties zijn juist vastgelegd en daarop betrekking hebbende toelichtingen zijn juist vastgelegd en beschreven.
Classificatie - activa, passiva en eigenvermogensbelangen zijn vastgelegd op de juiste rekeningen.
Presentatie - activa, passiva en eigenvermogensbelangen zijn op juiste wijze samengevoegd of uitgesplitst en duidelijk beschreven en daarop betrekking hebbende toelichtingen zijn relevant en begrijpelijk in de context van de vereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving.
De beweringen beschreven in paragraaf A190(a)-(b) hierboven, zo nodig aangepast, kunnen ook worden gebruikt door de accountant bij het overwegen van de verschillende soorten afwijkingen die kunnen voorkomen in toelichtingen die niet direct verband houden met vastgelegde transactiestromen, gebeurtenissen of rekeningsaldi.
Voorbeeld
Als voorbeeld van een dergelijke toelichting, kan van de entiteit vereist worden door het van toepassing zijnde stelsel inzake financiële verslaggeving om zijn blootstelling aan risico's die voortkomen uit financiële instrumenten te beschrijven, inclusief hoe de risico's ontstaan; de doelstellingen, beleidslijnen en processen voor het beheren van de risico's; en de methoden die worden gebruikt om de risico's te meten.
Overwegingen specifiek voor entiteiten in de publieke sector
Bij het maken van beweringen over de financiële overzichten van entiteiten in de publieke sector, in aanvulling op die beweringen die uiteengezet zijn in paragraaf A190 (a) - (b), kan het management vaak beweren dat transacties en gebeurtenissen zijn uitgevoerd in overeenstemming met wet- en regelgeving of andere van kracht zijnde voorschriften. Dergelijke beweringen kunnen binnen de reikwijdte van de controle van de financiële overzichten vallen.
Risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten
Waarom de accountant risico's op een afwijking van materieel belang op het niveau van de financiële overzichten identificeert en inschat
De accountant identificeert de risico's op een afwijking van materieel belang op het niveau van de financiële overzichten om te bepalen of de risico's een diepgaande invloed hebben op de financiële overzichten en daarom een algehele manier van inspelen vereisen in overeenstemming met Standaard 330.
Bovendien kunnen risico's op een afwijking van materieel belang op het niveau van de financiële overzichten ook individuele beweringen beïnvloeden en het identificeren van deze risico's kan de accountant helpen bij het inschatten van risico’s op een afwijking van materieel belang op het niveau van beweringen en bij het opzetten van verdere controlewerkzaamheden om in te spelen op de geïdentificeerde risico's.
Het identificeren en inschatten van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten
Risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten betreffen risico's die een diepgaande invloed hebben op de financiële overzichten als geheel en hebben mogelijk invloed op een groot aantal beweringen. Risico’s van deze aard zijn niet noodzakelijkerwijs risico's die in verband kunnen worden gebracht met specifieke beweringen op het niveau van transactiestromen, rekeningsaldi of toelichtingen (bijv. het risico dat het management de interne beheersingsmaatregelen doorbreekt). Ze vertegenwoordigen eerder omstandigheden die de risico's op een afwijking van materieel belang op het niveau van beweringen diepgaand kunnen vergroten. De evaluatie door de accountant van de vraag of geïdentificeerde risico's diepgaand verband houden met de financiële overzichten ondersteunt de inschatting door de accountant van de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten. In andere gevallen kan een aantal beweringen ook worden geïdentificeerd als vatbaar voor het risico en kan daarom van invloed zijn op de risico-identificatie en inschatting van de accountant van risico's op een afwijking van materieel belang op het niveau van beweringen.
Voorbeeld
De entiteit wordt geconfronteerd met operationele verliezen en liquiditeitsproblemen en is afhankelijk van financiering die nog niet is veilig gesteld. In een dergelijke omstandigheid kan de accountant bepalen dat de continuïteitsveronderstelling aanleiding geeft tot een risico op een afwijking van materieel belang op het niveau van de financiële overzichten. In deze situatie moet het stelsel inzake financiële verslaggeving mogelijk worden toegepast met gebruik van een liquidatiebasis, wat waarschijnlijk een diepgaande invloed zal hebben op alle beweringen.
De identificatie en inschatting door de accountant van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten wordt beïnvloed door het inzicht van de accountant in het interne beheersingssysteem van de entiteit, in het bijzonder het inzicht van de accountant in de interne beheersingsomgeving, het risico-inschattingsproces van de entiteit en het proces van de entiteit om het systeem van interne beheersing te monitoren, en:
het resultaat van de bijbehorende evaluaties vereist op grond van paragrafen 21(b), 22(b), 24(c) en 25(c); en
eventuele tekortkomingen in de interne beheersing die zijn geïdentificeerd in overeenstemming met paragraaf 27.
In het bijzonder kunnen risico's op het niveau van de financiële overzichten voortkomen uit tekortkomingen in de interne beheersingsomgeving of uit externe gebeurtenissen of omstandigheden zoals verslechterende economische omstandigheden.
Risico’s op een afwijking van materieel belang als gevolg van fraude kunnen met name relevant zijn voor de overweging van de accountant van de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten.
Voorbeeld
De accountant begrijpt uit verzoeken om inlichtingen bij het management dat de financiële overzichten van de entiteit gebruikt worden in besprekingen met kredietverschaffers om verdere financiering veilig te stellen om werkkapitaal te behouden. De accountant kan daarom bepalen dat er een grotere vatbaarheid voor afwijkingen is vanwege frauderisicofactoren die het inherente risico beïnvloeden (d.w.z. de vatbaarheid van de financiële overzichten voor afwijkingen van materieel belang vanwege het risico op frauduleuze financiële verslaggeving, zoals te hoge opgave van activa en opbrengsten en te lage opgave van verplichtingen en kosten om ervoor te zorgen dat financiering zal worden verkregen).
Door het inzicht van de accountant, inclusief de bijbehorende evaluaties, van de interne beheersingsomgeving en andere componenten van het systeem van interne beheersing kan twijfel ontstaan over de mogelijkheid van de accountant om controle-informatie te verkrijgen waarop het controleoordeel kan worden gebaseerd of kan reden zijn om de opdracht terug te geven indien dat onder de van toepassing zijnde wet- of regelgeving mogelijk is.
Voorbeelden
Als gevolg van de evaluatie van de interne beheersingsomgeving van de entiteit kunnen de twijfels van de accountant over de integriteit van het management van de entiteit zo ernstig zijn dat de accountant tot de conclusie komt dat het risico dat het management in de financiële overzichten een opzettelijke onjuiste voorstelling van zaken geeft dermate groot is dat geen controle kan worden uitgevoerd.
Als gevolg van het evalueren van het informatiesysteem en de communicatie van de entiteit, bepaalt de accountant dat significante wijzigingen in de IT-omgeving slecht zijn beheerd met weinig toezicht van het management en de met governance belaste personen. De accountant concludeert dat er significante twijfels zijn over de toestand en betrouwbaarheid van de administratieve vastleggingen van de entiteit. In dergelijke omstandigheden kan de accountant bepalen dat het onwaarschijnlijk is dat voldoende en geschikte controle-informatie beschikbaar zal zijn ter onderbouwing van een goedkeurend oordeel over de financiële overzichten.
Standaard 705 stelt eisen en geeft leidraden bij het bepalen of het nodig is voor de accountant om een oordeel met beperking te geven of een oordeelonthouding af te geven of, indien vereist in sommige gevallen, om de opdracht terug te geven indien dat onder de van toepassing zijnde wet of regelgeving mogelijk is.
Overwegingen specifiek voor entiteiten in de publieke sector
Voor entiteiten in de publieke sector kan de identificatie van risico's op het niveau van de financiële overzichten overweging van aangelegenheden omvatten die verband houden met het politieke klimaat, het publieke belang en de programmagevoeligheid.
Risico’s op een afwijking van materieel belang op het niveau van beweringen
Bijlage 2 geeft voorbeelden, in de context van inherente risicofactoren, van gebeurtenissen of omstandigheden die kunnen duiden op een vatbaarheid voor afwijkingen die van materieel belang kunnen zijn.
Risico’s op afwijkingen van materieel belang die geen diepgaande invloed hebben op de financiële overzichten zijn risico’s op afwijkingen van materieel belang op het niveau van beweringen.
Relevante beweringen en significante transactiestromen, rekeningsaldi en toelichtingen
(Zie Par. 29)
Waarom relevante beweringen en significante transactiestromen, rekeningsaldi en toelichtingen worden bepaald
Bepaling van relevante beweringen en de significante transactiestromen, rekeningsaldi en toelichtingen vormen de basis voor de reikwijdte van het inzicht van de accountant in het informatiesysteem van de entiteit zoals vereist in overeenstemming met paragraaf 25 (a). Dit inzicht kan de accountant verder helpen bij het identificeren en inschatten van risico's op een afwijking van materieel belang (Zie Par. A86).
Geautomatiseerde hulpmiddelen en technieken
De accountant kan geautomatiseerde technieken gebruiken om te helpen bij de identificatie van significante transactiestromen, rekeningsaldi en toelichtingen.
Voorbeelden
Een volledige populatie van transacties kan worden geanalyseerd met gebruik van geautomatiseerde hulpmiddelen en technieken om hun aard, bron, grootte en hoeveelheid te begrijpen. Door geautomatiseerde technieken toe te passen, kan de accountant bijvoorbeeld identificeren dat een rekening met een nul-saldo aan het einde van de verslagperiode bestond uit talrijke compenserende transacties en journaalboekingen die plaatsvonden tijdens de verslagperiode, wat aangeeft dat het rekeningsaldo of de transactiestroom significant kan zijn (bijvoorbeeld een salarisrekening). Deze zelfde salarisrekening kan ook onkostenvergoedingen aan het management (en andere werknemers) identificeren, die een significante toelichting kunnen zijn als gevolg van betalingen aan verbonden partijen.
Door de stromen van een hele populatie van opbrengsttransacties te analyseren, kan de accountant eenvoudiger een significante transactiestroom identificeren die nog niet eerder was geïdentificeerd.
Toelichtingen die significant kunnen zijn
Significante toelichtingen omvatten zowel kwantitatieve als kwalitatieve toelichtingen waarvoor er een of meer relevante beweringen zijn. Voorbeelden van toelichtingen die kwalitatieve aspecten hebben en die mogelijk relevante beweringen hebben en die daarom door de accountant als significant kunnen worden beschouwd, omvatten toelichtingen over:
liquiditeits- en schuldconvenanten van een entiteit in financiële nood;
gebeurtenissen of omstandigheden die hebben geleid tot de verantwoording van een bijzondere waardevermindering;
belangrijkste bronnen van schattingsonzekerheid, inclusief veronderstellingen over de toekomst;
de aard van een wijziging in de grondslagen voor financiële verslaggeving en andere relevante toelichtingen vereist door het van toepassing zijnde stelsel inzake financiële verslaggeving, waar bijvoorbeeld nieuwe vereisten inzake financiële verslaggeving naar verwachting een significante invloed op de financiële positie en de financiële prestaties van de entiteit zullen hebben;
op aandelen gebaseerde betalingsregelingen, inclusief informatie over hoe alle opgenomen bedragen werden bepaald, en andere relevante toelichtingen;
verbonden partijen en transacties met verbonden partijen;
gevoeligheidsanalyse, inclusief de effecten van veranderingen in veronderstellingen die in de waarderingsmethoden van de entiteit gebruikt worden met de bedoeling om gebruikers in staat te stellen de onderliggende waarderingsonzekerheid van een vastgelegd of toegelicht bedrag te begrijpen.
Inschatting van risico's op een afwijking van materieel belang op het niveau van beweringen
Inschatting van het inherente risico
(Zie Par. 31-33)
Inschatting van de waarschijnlijkheid en de orde van grootte van een afwijking
(Zie Par. 31)
Waarom de accountant de waarschijnlijkheid en de orde van grootte van een afwijking inschat
De accountant beoordeelt de waarschijnlijkheid en de orde van grootte van afwijkingen voor geïdentificeerde risico’s op een afwijking van materieel belang. De significantie van de combinatie van de waarschijnlijkheid dat een afwijking voorkomt en de orde van grootte van de mogelijke afwijking waar de afwijking zou voorkomen, bepaalt waar op het spectrum van het inherente risico het geïdentificeerde risico wordt ingeschat, hetgeen de opzet van verdere controlewerkzaamheden van de accountant om in te spelen op risico’s aangeeft.
Het inschatten van het inherente risico op geïdentificeerde risico’s op een afwijking van materieel belang helpt de accountant ook bij het bepalen van significante risico's. De accountant bepaalt significante risico's omdat specifieke manieren van inspelen op significante risico's vereist zijn in overeenstemming met Standaard 330 en andere Standaarden.
Inherente risicofactoren beïnvloeden de inschatting van de accountant van de waarschijnlijkheid en de orde van grootte van afwijking voor de geïdentificeerde risico’s op een afwijking van materieel belang op het niveau van beweringen. Hoe groter de mate waarin een transactiestroom, rekeningsaldo of toelichting gevoelig is voor een afwijking van materieel belang, hoe hoger de inherente risico-inschatting waarschijnlijk is. Overwegen van de mate waarin inherente risicofactoren de vatbaarheid van een bewering voor afwijking beïnvloeden, helpt de accountant bij een passende inschatting van het inherente risico voor risico’s op een afwijking van materieel belang op het niveau van beweringen en op een nauwkeurigere manier van inspelen op een dergelijk risico.
Spectrum van inherent risico
Bij het inschatten van het inherente risico past de accountant professionele oordeelsvorming toe bij het bepalen van de significantie van de combinatie van de waarschijnlijkheid en de orde van grootte van een afwijking.
Het ingeschatte inherente risico met betrekking tot een bepaald risico op een afwijking van materieel belang op het niveau van beweringen betekent een oordeelsvorming binnen een interval van lager naar hoger in het spectrum van inherent risico. De oordeelsvorming over waar in het interval het inherente risico wordt ingeschat, kan variëren op basis van de aard, omvang en complexiteit van de entiteit en houdt rekening met de geschatte waarschijnlijkheid en orde van grootte van de afwijkingen en inherente risicofactoren.
Bij het overwegen van de waarschijnlijkheid van een afwijking, overweegt de accountant de mogelijkheid dat er een afwijking kan voorkomen, rekening houdend met de inherente risicofactoren.
Bij het overwegen van de orde van grootte van een afwijking beschouwt de accountant de kwalitatieve en kwantitatieve aspecten van de mogelijke afwijking (d.w.z. afwijkingen in beweringen over transactiestromen, rekeningsaldi of toelichtingen kunnen als van materieel belang worden beoordeeld vanwege de omvang, aard of omstandigheden).
De accountant gebruikt de significantie van de combinatie van de waarschijnlijkheid en de orde van grootte van een mogelijke afwijking bij het bepalen waar op het spectrum van inherent risico (d.w.z. het interval) het inherente risico is ingeschat. Hoe hoger de combinatie van waarschijnlijkheid en orde van grootte, hoe hoger de inschatting van inherent risico; hoe lager de combinatie van waarschijnlijkheid en orde van grootte, hoe lager de inschatting van inherent risico.
Voor een risico dat als hoger wordt ingeschat in het spectrum van inherent risico, betekent dit niet dat zowel orde van grootte als waarschijnlijkheid als hoog moeten worden ingeschat. Het is eerder het kruispunt van de grootte en waarschijnlijkheid van de afwijking van materieel belang in het spectrum van inherent risico dat zal bepalen of het ingeschatte inherente risico hoger of lager is in het spectrum van inherent risico. Een hogere inherente risico-inschatting kan ook voortkomen uit verschillende combinaties van waarschijnlijkheid en orde van grootte. Een hogere inherente risico-inschatting zou bijvoorbeeld kunnen resulteren uit een lagere waarschijnlijkheid maar een zeer hoge orde van grootte.
Om geschikte strategieën te ontwikkelen om te reageren op risico's op een afwijking van materieel belang, kan de accountant risico’s op een afwijking van materieel belang aanduiden binnen categorieën in het spectrum van inherent risico, op basis van hun inschatting van inherent risico. Deze categorieën kunnen op verschillende manieren worden beschreven. Ongeacht de gebruikte methode van categorisatie, is de inschatting door de accountant van inherent risico passend wanneer de opzet en de uitvoering van verdere controlewerkzaamheden om de geïdentificeerde risico’s op een afwijking van materieel belang op het niveau van beweringen te behandelen, adequaat inspelen op de inschatting van inherent risico en de redenen voor die inschatting.
Risico’s met een diepgaande invloed op een afwijking van materieel belang op het niveau van beweringen
(Zie Par. 31(b))
Bij het inschatten van de geïdentificeerde risico's op een afwijking van materieel belang op het niveau van beweringen, kan de accountant concluderen dat sommige risico's op een afwijking van materieel belang meer diepgaand verband houden met de financiële overzichten als geheel en mogelijk van invloed zijn op een groot aantal beweringen, in welk geval de accountant de identificatie van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten bijwerkt.
In omstandigheden waarin risico's op een afwijking van materieel belang worden geïdentificeerd als risico’s op het niveau van de financiële overzichten vanwege hun diepgaande invloed op een aantal beweringen en die tevens identificeerbaar zijn met specifieke beweringen, is van de accountant vereist om rekening te houden met die risico's bij het inschatten van het inherente risico voor risico’s op een afwijking van materieel belang op het niveau van beweringen.
Overwegingen specifiek voor entiteiten in de publieke sector
Bij het uitoefenen van professionele oordeelsvorming over de inschatting van het risico op een afwijking van materieel belang, kunnen accountants in de publieke sector rekening houden met de complexiteit van wet- en regelgeving en andere voorschriften , en met de risico’s op niet-naleving van autoriteiten.
Significante risico's
(Zie Par. 32)
Waarom significante risico's worden bepaald en de implicaties voor de controle
De bepaling van significante risico's stelt de accountant in staat om meer aandacht te besteden aan die risico’s die zich aan de bovengrens van het spectrum van inherent risico bevinden door de uitvoering van bepaalde vereiste manieren van inspelen, waaronder:
Interne beheersingsmaatregelen die inspelen op significante risico's, moeten worden geïdentificeerd in overeenstemming met paragraaf 26(a)(i), met een vereiste om te evalueren of de interne beheersingsmaatregel effectief is opgezet en geïmplementeerd in overeenstemming met paragraaf 26(d).
Standaard 330 vereist dat interne beheersingsmaatregelen die inspelen op significante risico's, worden getoetst in de huidige verslagperiode (wanneer de accountant voornemens is te steunen op de effectieve werking van dergelijke interne beheersingsmaatregelen) en om gegevensgerichte werkzaamheden te plannen en uit te voeren die specifiek inspelen op het geïdentificeerde significante risico.
Standaard 330 vereist dat de accountant meer overtuigende controle-informatie verkrijgt naarmate de risico-inschatting van de accountant hoger is.
Standaard 260 vereist communicatie met de met governance belaste personen over de significante risico's geïdentificeerd door de accountant.
Standaard 701 vereist dat de accountant bij het bepalen van significante risico's rekening houdt met die aangelegenheden die significante aandacht van de accountant vereisen, hetgeen aangelegenheden zijn die kernpunten van controle kunnen zijn.
Tijdige beoordeling van controledocumentatie door de opdrachtpartner in de geschikte fasen tijdens de controle maakt het mogelijk dat significante aangelegenheden, waaronder significante risico's, tijdig kunnen worden opgelost tot tevredenheid van de opdrachtpartner op of vóór de datum van de controleverklaring.
Standaard 600 vereist van de groepsaccountant om de geschiktheid te evalueren van de opzet en de uitvoering van verdere controlewerkzaamheden voor gebieden met hoger ingeschatte risico’s op een afwijking van materieel belang in de financiële overzichten van een groep, of significante risico’s, waarvoor een accountant van een groepsonderdeel de verdere uit te voeren controlewerkzaamheden bepaalt.
Bepaling van significante risico's
Bij het bepalen van significante risico's kan de accountant eerst die ingeschatte risico’s op een afwijking van materieel belang identificeren die hoger zijn ingeschat op het spectrum van inherent risico om de basis te vormen voor het overwegen welke risico's dicht bij de bovengrens kunnen liggen. Dit zal verschillen van entiteit tot entiteit, en zal niet noodzakelijk hetzelfde zijn voor een entiteit van verslagperiode op verslagperiode. Het kan afhankelijk zijn van de aard en omstandigheden van de entiteit waarvoor het risico ingeschat wordt.
De bepaling van welke van de ingeschatte risico's op een afwijking van materieel belang dicht bij de bovengrens van het spectrum van inherent risico ligt, en daarom significante risico's zijn, is een kwestie van professionele oordeelsvorming, tenzij het risico moet worden behandeld als een significant risico in overeenstemming met de vereisten van een andere Standaard. Standaard 240 biedt verdere vereisten en leidraden met betrekking tot de identificatie en inschatting van de risico’s op een afwijking van materieel belang als gevolg van fraude.
Voorbeeld
Gewoonlijk wordt contant geld bij een supermarkt als een grote waarschijnlijkheid op mogelijke afwijkingen bepaald (vanwege het risico dat geld wordt verduisterd), maar de orde van grootte is meestal erg laag (vanwege de lage niveaus van fysiek contant geld verwerkt in de winkels). De combinatie van deze twee factoren op het spectrum van inherent risico zou er waarschijnlijk niet toe leiden om het bestaan van contant geld als een significant risico te bepalen.
Een entiteit is in onderhandeling om een bedrijfssegment te verkopen. De accountant overweegt het effect op bijzondere waardevermindering van goodwill, en kan bepalen dat er een grotere waarschijnlijkheid is op mogelijke afwijking en een grotere omvang als gevolg van de impact van inherente risicofactoren van subjectiviteit, onzekerheid en vatbaarheid voor tendentie bij het management of andere frauderisicofactoren. Dit kan ertoe leiden dat een bijzondere waardevermindering van goodwill als een significant risico wordt aangemerkt.
De accountant houdt bij de inschatting ook rekening met de relatieve effecten van inherente risicofactoren bij het inschatten van inherent risico. Hoe lager het effect van inherente risicofactoren, hoe lager het ingeschatte risico waarschijnlijk zal zijn. Risico’s op een afwijking van materieel belang kunnen zijn ingeschat als een hoger inherent risico en daarom mogelijk als een significant risico worden beschouwd, als gevolg van de volgende aangelegenheden:
transacties waarvoor meerdere aanvaardbare wijzen van administratieve verwerking bestaan, zodat sprake is van subjectiviteit;
schattingen met een hoge schattingsonzekerheid of complexe modellen;
complexiteit in gegevensverzameling en -verwerking ter ondersteuning van rekeningsaldi;
rekeningsaldi of kwantitatieve toelichtingen met complexe berekeningen;
verslaggevingsprincipes die mogelijk op verschillende manieren worden geïnterpreteerd;
wijzigingen in de bedrijfsactiviteiten van de entiteit die veranderingen in de administratieve verwerking met zich meebrengen, bijvoorbeeld fusies en overnames.
Risico's waarvoor gegevensgerichte werkzaamheden alleen geen voldoende en geschikte controle-informatie verschaffen
(Zie Par. 33)
Waarom risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen, moeten worden geïdentificeerd
Vanwege de aard van een risico op een afwijking van materieel belang en de interne beheersingsactiviteiten die inspelen op dat risico, is in sommige omstandigheden het toetsen van de effectieve werking van interne beheersingsmaatregelen de enige manier om voldoende en geschikte controle-informatie te verkrijgen. Dienovereenkomstig is er een vereiste voor de accountant om dergelijke risico’s te identificeren vanwege de implicaties voor de opzet en de uitvoering van verdere controlewerkzaamheden in overeenstemming met Standaard 330 om in te spelen op risico's op een afwijking van materieel belang op het niveau van beweringen.
Paragraaf 26(a)(iii) vereist ook de identificatie van interne beheersingsmaatregelen die inspelen op risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie kunnen verschaffen omdat van de accountant wordt vereist, in overeenstemming met Standaard 330 , om dergelijke toetsingen van interne beheersingsmaatregelen op te zetten en uit te voeren.
Bepalen van risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie bieden
Waar routinematige zakelijke transacties worden onderworpen aan hoog geautomatiseerde verwerking met weinig of geen handmatige interventie, is het niet altijd mogelijk om alleen gegevensgerichte werkzaamheden uit te voeren met betrekking tot het risico. Dit kan het geval zijn in omstandigheden waarin een significante hoeveelheid informatie van een entiteit alleen in elektronische vorm is geïnitieerd, vastgelegd, verwerkt of gerapporteerd zoals in een informatiesysteem dat een hoge mate van integratie in al de IT-applicaties bevat. In dergelijke gevallen:
is controle-informatie mogelijk alleen beschikbaar in elektronische vorm en is de toereikendheid en geschiktheid ervan gewoonlijk afhankelijk van de effectiviteit van interne beheersingsmaatregelen met betrekking tot de nauwkeurigheid en volledigheid ervan;
is de mogelijkheid dat onjuiste informatie tot stand wordt gebracht of gewijzigd zonder dat de fout wordt gedetecteerd mogelijk groter als geschikte interne beheersingsmaatregelen niet effectief werken.
Voorbeeld
Het is doorgaans niet mogelijk om voldoende en geschikte controle-informatie te verkrijgen met betrekking tot opbrengsten voor een telecommunicatie-entiteit alleen op basis van gegevensgerichte werkzaamheden. Dit komt omdat de informatie van oproep- of gegevensactiviteit niet bestaat in een vorm die waarneembaar is. In plaats daarvan wordt het toetsen van substantiële interne beheersingsmaatregelen meestal uitgevoerd om te bepalen dat de oorsprong en voltooiing van oproepen en gegevensactiviteit correct wordt vastgelegd (bijv. minuten van een oproep of volume van een download) en correct vastgelegd in het factureringssysteem van de entiteit.
Standaard 540 biedt verdere leidraden met betrekking tot schattingen van risico’s waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie bieden. In relatie tot schattingen is dit mogelijk niet beperkt tot geautomatiseerde verwerking, maar kan dit ook van toepassing zijn op complexe modellen.
Inschatting van het interne beheersingsrisico
De plannen van de accountant om de effectieve werking van interne beheersingsmaatregelen te toetsen zijn gebaseerd op de verwachting dat interne beheersingsmaatregelen effectief werken en dit zal de basis vormen voor de inschatting door de accountant van het interne beheersingsrisico. De aanvankelijke verwachting van de effectieve werking van interne beheersingsmaatregelen is gebaseerd op de evaluatie van de accountant van de opzet en het vaststellen van de implementatie van de geïdentificeerde interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’. Zodra de accountant de effectieve werking van de interne beheersingsmaatregelen heeft getoetst in overeenstemming met Standaard 330 zal de accountant de aanvankelijke verwachting over de effectieve werking van interne beheersingsmaatregelen kunnen bevestigen. Als de interne beheersingsmaatregelen niet effectief werken zoals verwacht, dan moet de accountant de controle van het interne beheersingsrisico herzien in overeenstemming met paragraaf 37.
De inschatting door de accountant van het interne beheersingsrisico kan op verschillende manieren worden uitgevoerd, afhankelijk van de voorkeurscontroletechnieken of -methodologieën, en kan op verschillende manieren worden uitgedrukt.
Als de accountant van plan is om de effectieve werking van interne beheersingsmaatregelen te toetsen, kan het nodig zijn om een combinatie van interne beheersingsmaatregelen te toetsen om de verwachting van de accountant dat de interne beheersingsmaatregelen effectief werken te bevestigen. De accountant kan van plan zijn om zowel directe als indirecte interne beheersingsmaatregelen te toetsen, met inbegrip van general IT-controls, en, zo ja, bij de inschatting van het interne beheersingsrisico rekening te houden met het gecombineerde verwachte effect van de interne beheersingsmaatregelen. Naar de mate waarin de te toetsen interne beheersingsmaatregel niet volledig inspeelt op het ingeschatte inherente risico, zal de accountant de implicaties bepalen voor de opzet van verdere controlewerkzaamheden om het controlerisico terug te brengen tot een aanvaardbaar laag niveau.
Wanneer de accountant van plan is om de effectieve werking van een geautomatiseerde interne beheersingsmaatregel te toetsen, kan de accountant ook van plan zijn om de effectieve werking van de relevante general IT-controls die de voortdurende werking van die geautomatiseerde controle ondersteunen, te toetsen om in te spelen op de risico's die voortkomen uit het gebruik van IT en een basis vormen voor de verwachting van de accountant dat de geautomatiseerde interne beheersingsmaatregel effectief werkte gedurende de verslagperiode. Wanneer de accountant verwacht dat gerelateerde general IT-controls niet effectief zijn, kan deze bepaling van invloed zijn op de inschatting van de accountant van het interne beheersingsrisico op het niveau van beweringen en moeten de verdere controlewerkzaamheden van de accountant mogelijk gegevensgerichte werkzaamheden omvatten om in te spelen op de van toepassing zijnde risico's die voortkomen uit het gebruik van IT. Verdere leidraden over de werkzaamheden die de accountant kan uitvoeren in deze omstandigheden zijn vermeld in Standaard 330.
Evalueren van de controle-informatie verkregen uit de risico-inschattingswerkzaamheden
(Zie Par. 35)
Waarom de accountant de controle-informatie evalueert op basis van de risico-inschattingswerkzaamheden
Controle-informatie verkregen bij het uitvoeren van risico-inschattingswerkzaamheden vormt de basis voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang. Dit vormt de basis voor de opzet van de accountant van de aard, timing en omvang van verdere controlewerkzaamheden die inspelen op de ingeschatte risico's op een afwijking van materieel belang op het niveau van beweringen in overeenstemming met Standaard 330. Dienovereenkomstig vormt de controle-informatie verkregen uit de risico-inschattingswerkzaamheden een basis voor de identificatie en inschatting van risico’s op een afwijking van materieel belang als gevolg van fraude of fouten, op het niveau van de financiële overzichten en beweringen.
De evaluatie van de controle-informatie
Een professioneel-kritische instelling
Bij het evalueren van de controle-informatie uit de risico-inschattingswerkzaamheden overweegt de accountant of voldoende inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het interne beheersingssysteem van de entiteit is verkregen om de risico's op een afwijking van materieel belang te kunnen identificeren, evenals of er enige informatie is die tegenstrijdig is en die kan duiden op een risico op een afwijking van materieel belang.
Transactiestromen, rekeningsaldi en toelichtingen die niet significant zijn, maar wel van materieel belang
(Zie Par. 36)
Zoals uitgelegd in Standaard 320, worden materialiteit en controlerisico in overweging genomen bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang in transactiestromen, rekeningsaldi en toelichtingen. De bepaling van de materialiteit door de accountant is een kwestie van professionele oordeelsvorming en wordt beïnvloed door de perceptie van de accountant van de financiële informatiebehoeften van gebruikers van de financiële overzichten. Voor de doelstelling van deze Standaard en paragraaf 18 van Standaard 330, zijn transactiestromen, rekeningsaldi of toelichtingen van materieel belang als het weglaten, onjuist weergeven of verhullen van informatie daarover naar verwachting redelijkerwijs de economische beslissingen van gebruikers zou kunnen beïnvloeden gebaseerd op de financiële overzichten als geheel.
Er kunnen transactiestromen, rekeningsaldi of toelichtingen zijn die van materieel belang zijn maar die niet zijn vastgesteld als significante transactiestromen, rekeningsaldi of toelichtingen (d.w.z. er zijn geen relevante beweringen geïdentificeerd).
Voorbeeld
De entiteit kan een toelichting hebben over de beloning van bestuurders waarvoor de accountant geen risico op een afwijking van materieel belang heeft geïdentificeerd. De accountant kan echter bepalen dat deze toelichting van materieel belang is op basis van de overwegingen in paragraaf A233.
Controlewerkzaamheden om transactiestromen, rekeningsaldi of toelichtingen te behandelen die van materieel belang zijn, maar waarvan niet is vastgesteld dat ze significant zijn, worden behandeld in Standaard 330. Wanneer een transactiestroom, rekeningsaldo of toelichting wordt geacht significant te zijn zoals vereist door paragraaf 29, is de transactiestroom, rekeningsaldo of toelichting ook een transactiestroom, rekeningsaldo of toelichting van materieel belang voor de doeleinden van paragraaf 18 van Standaard 330.
Herziening van de risico-inschatting
(Zie Par. 37)
Tijdens de controle kan nieuwe of andere informatie onder de aandacht van de accountant komen die significant verschilt van de informatie waarop de risico-inschatting was gebaseerd.
Voorbeeld
De risico-inschatting van de entiteit kan gebaseerd zijn op een verwachting dat bepaalde interne beheersingsmaatregelen effectief werken. Bij het uitvoeren van toetsingen van die interne beheersingsmaatregelen kan de accountant controle-informatie verkrijgen dat deze op de relevante tijdstippen tijdens de controle niet effectief werkten. Evenzo bij het uitvoeren van gegevensgerichte werkzaamheden kan de accountant afwijkingen in bedragen of frequenties detecteren die groter zijn dan consistent is met de risico-inschattingen van de accountant. In dergelijke omstandigheden kan de risico-inschatting niet de juiste omstandigheden van de entiteit weerspiegelen en kunnen de verdere geplande controlewerkzaamheden mogelijk niet effectief zijn bij het detecteren van afwijkingen van materieel belang. Paragrafen 16 en 17 van Standaard 330 bieden verdere leidraden voor het evalueren van de effectieve werking van interne beheersingsmaatregelen.
Documentatie
(Zie Par. 38)
Voor doorlopende controles kan bepaalde documentatie worden overgedragen, zo nodig bijgewerkt om veranderingen in de activiteiten of processen van de entiteit te weerspiegelen.
Standaard 230 geeft aan dat, hoewel er misschien geen standaard manier is waarop de uitoefening van een professioneel-kritische instelling door de accountant is gedocumenteerd, de controledocumentatie niettemin informatie kan leveren over de uitoefening van een professioneel-kritische instelling van de accountant. Bijvoorbeeld wanneer de controle-informatie verkregen uit risico-inschattingswerkzaamheden informatie omvat die zowel beweringen van het management bevestigt als tegenspreekt, kan de documentatie omvatten hoe de accountant evalueerde dat informatie inclusief de professionele oordeelsvorming bij het evalueren of de controle-informatie een geschikte basis biedt voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang door de accountant. Voorbeelden van andere vereisten in deze Standaard waarvoor documentatie informatie kan leveren over de uitoefening van een professioneel-kritische instelling door de accountant zijn onder andere:
paragraaf 13, die van de accountant vereist dat de accountant risico-inschattingswerkzaamheden opzet en uitvoert op een manier die niet geen tendentie vertoont naar het verkrijgen van controle-informatie die alleen het bestaan van risico's kan bevestigen of juist om controle-informatie uit te sluiten die mogelijk het bestaan van risico's tegenspreekt;
paragraaf 17, die een bespreking vereist onder de kernleden van het opdrachtteam van de toepassing van het van toepassing zijnde stelsel inzake financiële verslaggeving en de vatbaarheid van financiële overzichten van de entiteit voor afwijkingen van materieel belang;
paragraaf 19 (b) en 20, die van de accountant vereisen dat de accountant inzicht heeft in de redenen voor eventuele wijzigingen in de grondslagen voor de financiële verslaggeving van de entiteit en om te evalueren of de grondslagen voor de financiële verslaggeving van de entiteit geschikt en consistent zijn met het van toepassing zijnde stelsel inzake financiële verslaggeving;
paragrafen 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) en 27, die vereisen dat de accountant evalueert, op basis van de vereiste verkregen inzichten, of de componenten van het systeem van interne beheersing van de entiteit passend zijn bij de omstandigheden van de entiteit, gezien de aard en complexiteit van de entiteit en om te bepalen of een of meer tekortkomingen in de interne beheersing zijn geïdentificeerd;
paragraaf 35, die vereist dat de accountant rekening houdt met alle controle-informatie verkregen uit de risico-inschattingswerkzaamheden, hetzij bevestigend of in tegenspraak met beweringen van management en om te evalueren of de controle-informatie verkregen uit de risico-inschattingswerkzaamheden een passende basis biedt voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang; en
paragraaf 36, die vereist dat de accountant, indien van toepassing, evalueert of bepaling van de accountant dat er geen risico's zijn op een afwijking van materieel belang zijn voor een materiële transactiestroom, rekeningsaldo of toelichting passend blijft.
Schaalbaarheid
De accountant bepaalt met behulp van professionele oordeelsvorming de manier waarop de vereisten van paragraaf 38 zijn gedocumenteerd.
Meer gedetailleerde documentatie, die voldoende is om een ervaren accountant, die geen eerdere ervaring heeft met de controle in staat te stellen om inzicht te krijgen in de aard, timing en omvang van de uitgevoerde controlewerkzaamheden, kan nodig zijn om de beweegreden voor moeilijke oordeelsvormingen te ondersteunen.
Voor de interne beheersingsmaatregelen van minder complexe entiteiten kan de vorm en omvang van documentatie eenvoudig en relatief kort zijn. De vorm en omvang van de documentatie van de accountant wordt beïnvloed door de aard, omvang en complexiteit van de entiteit en het systeem van interne beheersing, beschikbaarheid van informatie van de entiteit en de controlemethodologie en -technologie die tijdens de controle is gebruikt. Het is niet nodig om het geheel van het inzicht van de accountant in de entiteit en aangelegenheden die daarmee verband houden te documenteren. Kernelementen van inzicht die door de accountant zijn gedocumenteerd, kunnen diegenen omvatten waarop de accountant de inschatting van de risico’s op een afwijking van materieel belang heeft gebaseerd. De accountant is echter niet verplicht elke inherente risicofactor waarmee rekening is gehouden bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang op het niveau van beweringen te documenteren.
Voorbeeld
Bij controles van minder complexe entiteiten kan controledocumentatie van de accountant worden opgenomen in zijn documentatie van de algemene strategie en het controleplan. Evenzo kunnen bijvoorbeeld de resultaten van de risico inschatting van de accountant afzonderlijk worden gedocumenteerd, of kunnen deze worden gedocumenteerd als onderdeel van de documentatie van verdere controlewerkzaamheden van de accountant.
Bijlage 1: Overwegingen voor het verwerven van inzicht in de entiteit en haar bedrijfsmodel
(Zie Par. A61, A62, A63, A64, A65, A66 en A67))
Deze bijlage legt de doelstellingen en reikwijdte van het bedrijfsmodel van de entiteit uit en geeft voorbeelden van aangelegenheden die de accountant kan overwegen bij het verwerven van inzicht in de activiteiten van de entiteit die kunnen worden opgenomen in het bedrijfsmodel. Het inzicht van de accountant in het bedrijfsmodel van de entiteit en hoe dit wordt beïnvloed door de bedrijfsstrategie en bedrijfsdoelstellingen, kan de accountant helpen bij het identificeren van bedrijfsrisico's die invloed kunnen hebben op de financiële overzichten. Bovendien kan dit de accountant helpen bij het identificeren van risico’s op een afwijking van materieel belang.
Doelstellingen en reikwijdte van het bedrijfsmodel van een entiteit
Het bedrijfsmodel van een entiteit beschrijft hoe een entiteit bijvoorbeeld de organisatiestructuur, activiteiten of reikwijdte van activiteiten, productlijnen(inclusief concurrenten en klanten daarvan), processen, groeimogelijkheden, globalisering, wettelijke vereisten en technologieën overweegt. Het bedrijfsmodel van de entiteit beschrijft hoe de entiteit financiële of bredere waarde creëert, behoudt en opbrengt voor de belanghebbenden.
Strategieën zijn de benaderingen waarmee het management plannen heeft om de doelstellingen van de entiteit te bereiken, inclusief hoe de entiteit van plan is om in te spelen op de risico's en kansen waarmee zij wordt geconfronteerd. De strategieën van een entiteit worden in de loop van de tijd door het management gewijzigd om te reageren op wijzigingen in haar doelstellingen en in de interne en externe omstandigheden waarin de entiteit actief is.
Een beschrijving van een bedrijfsmodel omvat doorgaans:
de reikwijdte van de activiteiten van de entiteit, en waarom zij deze onderneemt;
de structuur en schaal van de activiteiten van de entiteit;
de markten of geografische of demografische gebieden en delen van de waardeketen, waarin het werkt, hoe het omgaat met die markten of gebieden (hoofdproducten, klantsegmenten en distributiemethoden), en de basis waarop het concurreert;
de bedrijfs- of operationele processen van de entiteit (bijvoorbeeld investeringen, financiering en operationele processen) die worden ingezet bij de uitvoering van de activiteiten, gericht op die delen van de bedrijfsprocessen die belangrijk zijn bij het creëren, behouden of vastleggen van waarde;
de middelen (bijvoorbeeld financiële, menselijke, intellectuele, milieu en technologische) en andere factoren en relaties (bijvoorbeeld klanten, concurrenten, leveranciers en werknemers) die noodzakelijk of belangrijk zijn voor het succes ervan;
hoe het bedrijfsmodel van de entiteit het gebruik van IT integreert in de interacties met klanten, leveranciers, kredietverschaffers en andere belanghebbenden via IT-interfaces en andere technologieën.
Een bedrijfsrisico kan een onmiddellijk gevolg hebben voor het risico op een afwijking van materieel belang voor transactiestromen, rekeningsaldi en toelichtingen op het niveau van beweringen of het niveau van de financiële overzichten. Bijvoorbeeld het bedrijfsrisico dat voortkomt uit een significante daling van de marktwaarde van onroerend goed kan het risico op een afwijking van materieel belang die verband houdt met de bewering van de waardering voor een kredietverstrekker van leningen op middellange termijn met vastgoed als onderpand verhogen. Hetzelfde risico, met name in combinatie met een ernstige economische neergang die tegelijkertijd het onderliggende risico op levenslange kredietverliezen op de leningen verhoogt, kan echter ook gevolgen op langere termijn hebben. De resulterende netto blootstelling aan kredietverliezen kan gerede twijfel doen ontstaan over de mogelijkheid van de entiteit om de continuïteit te handhaven. Als dit zo is, zou dit implicaties kunnen hebben voor de conclusie van het management en van de accountant met betrekking tot de geschiktheid van het gebruik van de continuïteitsveronderstelling van de entiteit en de bepaling of er een materiële onzekerheid bestaat. Of een bedrijfsrisico kan leiden tot een risico op een afwijking van materieel belang wordt daarom overwogen in het licht van de omstandigheden van de entiteit. Voorbeelden van gebeurtenissen en omstandigheden die aanleiding kunnen geven tot het bestaan van risico's op een afwijking van materieel belang worden vermeld in bijlage 2.
Activiteiten van de entiteit
Voorbeelden van aangelegenheden die de accountant kan overwegen bij het verwerven van inzicht in de activiteiten van de entiteit (opgenomen in het bedrijfsmodel van de entiteit) omvatten:
Bedrijfsactiviteiten zoals:
aard van opbrengstenbronnen, producten of diensten en markten, inclusief betrokkenheid bij elektronische handel zoals verkoop- en marketingactiviteiten via internet;
de uitoefening van activiteiten (bijvoorbeeld productiefasen en -methoden of activiteiten blootgesteld aan milieurisico's);
samenwerkingsverbanden, joint ventures en uitbesteding van activiteiten;
geografische spreiding en sectorsegmentatie;
locatie van productiefaciliteiten, magazijnen en kantoren, en locatie en hoeveelheden van voorraden;
belangrijkste klanten en belangrijke leveranciers van goederen en diensten, arbeidsovereenkomsten (inclusief het bestaan van cao’s, pensioenrechten en andere vergoedingen na uitdiensttreding, aandelenoptie- of bonusregelingen en overheidsvoorschriften met betrekking tot arbeidsaangelegenheden);
activiteiten en kosten in verband met onderzoek en ontwikkeling;
transacties met verbonden partijen.
Investeringen en investeringsactiviteiten zoals:
geplande of recent uitgevoerde overnames of desinvesteringen;
investeringen in en verkoop van effecten en leningen;
kapitaalinvesteringen;
investeringen in niet-geconsolideerde entiteiten, inclusief deelnemingen zonder zeggenschap, joint ventures en voor een bijzonder doel opgerichte entiteiten.
Financiering en financieringsactiviteiten zoals:
eigendomsstructuur van belangrijke dochterondernemingen en verbonden entiteiten, inclusief geconsolideerde en niet-geconsolideerde structuren;
structuur van de schulden en bijbehorende voorwaarden, inclusief niet in de balans opgenomen financierings-en leaseovereenkomsten;
uiteindelijk gerechtigden (bijvoorbeeld lokale, buitenlandse, zakelijke reputatie en ervaring) en verbonden partijen;
gebruik van afgeleide financiële instrumenten.
Aard van voor een bijzonder doel opgerichte entiteiten
Een voor een bijzonder doel opgerichte entiteit (ook wel special purpose entity of special-purpose vehicle genoemd) is een entiteit die doorgaans voor een beperkt en duidelijk omschreven doel wordt opgericht, zoals het aangaan van een leaseovereenkomst of een securitisatie van financiële activa, of om onderzoeks- en ontwikkelingsactiviteiten uit te voeren. Zij kan de vorm aannemen van een vennootschap, een trust, een maatschap of een entiteit zonder rechtspersoonlijkheid. Vaak is het zo dat de entiteit namens welke de voor een bijzonder doel opgerichte entiteit tot stand is gebracht activa transfereert naar deze laatste (bijvoorbeeld als onderdeel van een transactie waarbij financiële activa van de balans worden gehaald), het recht verkrijgt om de activa van de voor een bijzonder doel opgerichte entiteit te gebruiken, of diensten uitvoert voor de voor een bijzonder doel opgerichte entiteit, terwijl andere partijen mogelijk financiering verschaffen aan de voor een bijzonder doel opgerichte entiteit. Zoals Standaard 550 aangeeft, kan een voor een bijzonder doel opgerichte entiteit in bepaalde omstandigheden een verbonden partij van de entiteit zijn.
Stelsels inzake financiële verslaggeving specificeren vaak gedetailleerde voorwaarden die geacht worden te bepalen wanneer sprake is van zeggenschap, of omstandigheden waaronder moet worden overwogen om de voor een bijzonder doel opgerichte entiteit in de consolidatiekring op te nemen. De interpretatie van de door dergelijke stelsels gestelde vereisten vergt vaak een gedetailleerde kennis van de relevante overeenkomsten waarbij de voor een bijzonder doel opgerichte entiteit is betrokken.
Bijlage 2: Inzicht verwerven in inherente risicofactoren
Zie Par. 12(f), 19(c), A7, A8, A85, A86, A87, A88 en A89)
Deze bijlage geeft nadere uitleg over de inherente risicofactoren, evenals aangelegenheden die de accountant kan overwegen bij het verwerven van inzicht in en toepassen van de inherente risicofactoren bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang op het niveau van beweringen.
De inherente risicofactoren
Inherente risicofactoren zijn kenmerken van gebeurtenissen of omstandigheden die de vatbaarheid van een bewering met betrekking tot een transactiestroom, rekeningsaldo of toelichting voor een afwijking beïnvloeden, die het gevolg zijn van fraude of fouten en voordat er rekening wordt gehouden met interne beheersingsmaatregelen. Dergelijke factoren kunnen kwalitatief of kwantitatief zijn en omvatten complexiteit, subjectiviteit, wijzigingen, onzekerheid of vatbaarheid voor afwijkingen als gevolg van tendentie bij het management of andere frauderisicofactoren voor zover deze het inherente risico beïnvloeden. Bij het verwerven van inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en de grondslagen voor financiële verslaggeving van de entiteit, in overeenstemming met paragraaf 19(a)-(b), verwerft de accountant ook inzicht in de manier waarop inherente risicofactoren van invloed zijn op de vatbaarheid van beweringen voor afwijkingen bij het opstellen van de financiële overzichten.
Inherente risicofactoren met betrekking tot het opstellen van informatie vereist door het van toepassing stelsel inzake financiële verslaggeving (in deze paragraaf aangeduid als ‘vereiste informatie’) omvatten:
Complexiteit - komt voort uit de aard van de informatie of de manier waarop de vereiste informatie wordt opgesteld, inclusief wanneer dergelijke opstellingsprocessen inherent moeilijker toe te passen zijn. Er kan bijvoorbeeld complexiteit ontstaan:
bij het berekenen van voorzieningen voor leverancierskorting omdat het nodig kan zijn om rekening te houden met verschillende commerciële voorwaarden bij veel verschillende leveranciers of veel onderling verbonden commerciële voorwaarden die allemaal relevant zijn voor de berekening van de verschuldigde kortingen; of
wanneer er veel potentiële gegevensbronnen zijn met verschillende kenmerken gebruikt bij het maken van een schatting, de verwerking van die gegevens betrekking heeft op veel met elkaar verbonden stappen en de gegevens daarom inherent moeilijker te identificeren, vast te leggen, toegang te krijgen, te begrijpen of te verwerken zijn.
Subjectiviteit - komt voort uit inherente beperkingen in de mogelijkheid om vereiste informatie op een objectieve manier op te stellen, vanwege beperkingen in de beschikbaarheid van kennis of informatie, zodanig dat het management mogelijk een keuze of een subjectieve oordeelsvorming moet maken over de juiste benadering om de resulterende informatie op te nemen in de financiële overzichten. Vanwege verschillende benaderingen bij het opstellen van de vereiste informatie, zouden verschillende uitkomsten kunnen voortkomen uit de juiste toepassing van de vereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving. Naarmate beperkingen in kennis of gegevens toenemen, neemt de subjectiviteit in de oordeelsvormingen gemaakt door redelijk bekwame en onafhankelijke personen en de diversiteit in mogelijke uitkomsten van die oordeelsvormingen ook toe.
Wijzigingen – Resulteren uit gebeurtenissen of omstandigheden die in de loop van de tijd van invloed zijn op de activiteiten van de entiteit of de economische, administratieve, regelgevende, sectorspecifieke of andere aspecten van haar omgeving waarin zij actief is, wanneer de effecten van die gebeurtenissen of omstandigheden worden weerspiegeld in de vereiste informatie. Dergelijke gebeurtenissen of omstandigheden kunnen zich voordoen tijdens of tussen de financiële verslagperiodes in. Wijzigingen kunnen bijvoorbeeld het gevolg zijn van ontwikkelingen in de vereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving, of in de entiteit en haar bedrijfsmodel, of in haar omgeving waarin de entiteit actief is. Een dergelijke wijziging kan de veronderstellingen en oordeelsvormingen van het management beïnvloeden, inclusief als deze betrekking hebben op de selectie van het management van grondslagen voor financiële verslaggeving of hoe schattingen worden gemaakt of toelichtingen daarop worden bepaald.
Onzekerheid - treedt op wanneer de vereiste informatie niet alleen kan worden opgesteld op basis van voldoende precieze en uitgebreide gegevens die verifieerbaar zijn door directe waarneming. In deze omstandigheden kan een aanpak nodig zijn die de beschikbare kennis toepast om de informatie op te stellen met behulp van voldoende precieze en uitgebreide waarneembare gegevens, voor zover beschikbaar, en redelijke veronderstellingen ondersteund door de meest geschikte beschikbare gegevens, wanneer dit niet het geval is. Beperkingen op de beschikbaarheid van kennis of gegevens die niet binnen de invloed van het management vallen (onderhevig aan kostenbeperkingen waar van toepassing) zijn bronnen van onzekerheid en hun effect op het opstellen van de vereiste informatie kan niet worden weggenomen. Schattingsonzekerheid ontstaat bijvoorbeeld wanneer het vereiste geldbedrag niet met precisie kan worden bepaald en de uitkomst van de schatting niet bekend is vóór de datum dat de financiële overzichten zijn voltooid.
Vatbaarheid voor afwijkingen als gevolg van tendentie bij het management of andere frauderisicofactoren voor zover ze inherent risico beïnvloeden ―vatbaarheid voor tendentie bij het management komt voort uit omstandigheden die vatbaarheid creëren voor opzettelijk of onopzettelijk falen door het management om neutraliteit te handhaven bij het opstellen van de informatie. Tendentie bij het management wordt vaak geassocieerd met bepaalde voorwaarden die ertoe kunnen leiden dat het management geen neutraliteit behoudt bij het uitoefenen van oordeelsvorming (indicatoren van mogelijke tendentie bij het management), die kunnen leiden tot een afwijking van materieel belang in de informatie die frauduleus zou zijn als het opzettelijk is. Dergelijke indicatoren omvatten stimulansen of druk voor zover ze inherent risico beïnvloeden (bijvoorbeeld als gevolg van motivatie om een gewenst resultaat te bereiken, zoals een gewenste winstdoelstelling of kapitaalratio) en gelegenheid om neutraliteit niet te behouden. Factoren die relevant zijn voor de vatbaarheid voor afwijkingen als gevolg van fraude in de vorm van frauduleuze financiële verslaggeving of oneigenlijke toe-eigening van activa worden beschreven in de paragrafen A1 tot en met A5 van Standaard 240.
Wanneer complexiteit een inherente risicofactor is, kan er een inherente behoefte zijn aan complexere processen bij het opstellen van de informatie en dergelijke processen kunnen inherent moeilijker toe te passen zijn. Als gevolg hiervan kan het toepassen van gespecialiseerde vaardigheden of kennis vereist zijn en kan het nodig zijn om gebruik te maken van een deskundige ingeschakeld door het management.
Wanneer de oordeelsvorming van het management subjectiever is, kan de vatbaarheid voor afwijkingen als gevolg van tendentie bij het management, hetzij onopzettelijk of opzettelijk, ook toenemen. Bijvoorbeeld significante oordeelsvormingen van het management kunnen een rol spelen bij het maken van schattingen die zijn geïdentificeerd als dat zij hoge schattingsonzekerheid hebben en conclusies met betrekking tot methoden, gegevens en veronderstellingen kunnen onopzettelijke of opzettelijke tendentie bij het management weerspiegelen.
Voorbeelden van gebeurtenissen of omstandigheden die aanleiding kunnen geven tot het bestaan van risico’s op een afwijking van materieel belang
Hierna volgen voorbeelden van gebeurtenissen (inclusief transacties) en omstandigheden die kunnen wijzen op de het bestaan van risico's op een afwijking van materieel belang in de financiële overzichten, op het niveau van de financiële overzichten of het niveau van beweringen.
De voorbeelden van inherente risicofactoren bevatten een breed scala aan gebeurtenissen en omstandigheden. Niet alle gebeurtenissen en omstandigheden zijn echter relevant voor elke controleopdracht en de lijst met voorbeelden is niet noodzakelijk volledig. De gebeurtenissen en omstandigheden zijn gecategoriseerd door de inherente risicofactor die in de gegeven omstandigheden het grootste effect kan hebben. Belangrijk is dat vanwege de onderlinge relaties tussen inherente risicofactoren, de voorbeelden van gebeurtenissen en omstandigheden waarschijnlijk ook in verschillende mate onderhevig zijn aan of beïnvloed worden door andere inherente risicofactoren.
Relevante inherente risicofactor | Voorbeelden van gebeurtenissen of omstandigheden die kunnen wijzen op het bestaan van risico's op afwijkingen van materieel belang op het niveau van beweringen |
Complexiteit | Regelgeving:
Bedrijfsmodel:
Van toepassing zijnde stelsel inzake financiële verslaggeving:
Transacties:
|
Subjectiviteit | Van toepassing zijnde stelsel inzake financiële verslaggeving:
|
Wijzigingen | Economische omstandigheden:
Markten:
Klantverlies:
Sectormodel:
Bedrijfsmodel:
Geografie:
Structuur van de entiteit:
Personeelscompetentie:
IT:
Van toepassing zijnde stelsel inzake financiële verslaggeving:
Kapitaal:
Regelgeving:
|
Onzekerheid | Rapportage:
|
Gevoeligheid voor een afwijking door tendentie bij het management of andere fraude risicofactoren voor zover zij het inherente risico beïnvloeden | Rapportage:
Transacties:
|
Andere gebeurtenissen of omstandigheden die kunnen wijzen op risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten:
een tekort aan personeel met de nodige vaardigheden op het gebied van administratieve verwerking en financiële verslaggeving;
tekortkomingen in de interne beheersing - met name in de interne beheersingsomgeving, het risico-inschattingsproces en het proces voor monitoring, en met name die niet door het management worden aangepakt;
afwijkingen in het verleden, een verleden van fouten of een significant aantal correcties aan het einde van de verslagperiode.
Bijlage 3: Inzicht in het systeem van interne beheersing van de entiteit
(Zie Par. 12(m), 21-26 en A90‒A181)
Het interne beheersingssysteem van de entiteit kan worden weergegeven in handboeken over beleidslijnen en procedures, systemen en formulieren, en de daarin ingebedde informatie, en wordt door mensen beïnvloed. Het systeem van interne beheersing van de entiteit wordt geïmplementeerd door het management, de met governance belaste personen en ander personeel op basis van de structuur van de entiteit. Het systeem van interne beheersing van de entiteit kan worden toegepast op basis van de beslissingen van het management, de met governance belaste personen of ander personeel en in de context van vereisten op grond van wet- en regelgeving, voor het operationele model van de entiteit, de juridische structuur van de entiteit, of een combinatie hiervan.
In deze bijlage worden de componenten van, evenals de beperkingen van, het systeem interne beheersing van de entiteit nader toegelicht zoals uiteengezet in paragrafen 12(m), 21–26 en A90–A181, aangezien deze betrekking hebben op een controle van financiële overzichten.
In het interne beheersingssysteem van de entiteit zijn aspecten opgenomen die betrekking hebben op de verslaggevingsdoelstellingen van de entiteit, inclusief de doelstellingen voor financiële verslaggeving, maar het kan ook aspecten omvatten die betrekking hebben op de doelstellingen op het gebied van de activiteiten of naleving van wet- en regelgeving, wanneer dergelijke aspecten relevant zijn voor financiële verslaggeving. VoorbeeldInterne beheersingsmaatregelen met betrekking tot de naleving van wet- en regelgeving kunnen relevant zijn voor financiële verslaggeving wanneer dergelijke interne beheersingsmaatregelen relevant zijn voor het opstellen door de entiteit van toelichtingen van voorwaardelijke gebeurtenissen in de financiële overzichten.
Componenten van het interne beheersingssysteem van de entiteit
Interne beheersingsomgeving
De interne beheersingsomgeving omvat de governance- en managementfuncties en de houding, bewustzijn en handelingen van de met governance belaste personen en het management met betrekking tot het systeem van interne beheersing van de entiteit, en het belang ervan in de entiteit. De interne beheersingsomgeving zet de toon van een organisatie, beïnvloedt het bewustzijn van de interne beheersing van de mensen en zorgt voor een algemene basis voor de werking van de andere componenten van het interne beheersingssysteem van de entiteit.
Het bewustzijn van de interne beheersing van een entiteit wordt beïnvloed door de met governance belaste personen, omdat een van hun rollen eruit bestaat om een tegenwicht te vormen tegen de druk op het management met betrekking tot de financiële verslaggeving die kan voortkomen uit marktverwachtingen of beloningsregelingen. De effectiviteit van de opzet van de interne beheersingsomgeving in relatie tot de betrokkenheid van de met governance belaste personen wordt daarom beïnvloed door aangelegenheden als:
hun onafhankelijkheid van het management en hun bekwaamheid om de handelingen van management te evalueren;
of ze inzicht hebben in de zakelijke transacties van de entiteit;
de mate waarin zij evalueren of de financiële overzichten zijn opgesteld in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving, inclusief of de financiële overzichten adequate toelichtingen bevatten.
De interne beheersingsomgeving omvat de volgende elementen:
Hoe de verantwoordelijkheden van het management worden uitgevoerd, zoals het creëren en onderhouden van de cultuur van de entiteit en het tonen van de toewijding van het management aan integriteit en ethische waarden. De effectiviteit van interne beheersingsmaatregelen kan niet boven de integriteit en ethische waarden van de mensen uitstijgen die ze creëren, uitvoeren en monitoren. Integriteit en ethisch gedrag zijn het product van de ethische en gedragsnormen of gedragscodes van de entiteit, hoe deze worden gecommuniceerd (bijvoorbeeld via uiteenzettingen over het beleid) en hoe deze in de praktijk worden versterkt (bijvoorbeeld via handelingen van het management om stimulansen of verleidingen die werknemers tot oneerlijke, onwettige of onethische handelingen zouden kunnen aanzetten, te elimineren of te verminderen). De communicatie van het beleid van de entiteit inzake integriteit en ethische waarden kan de communicatie van gedragsnormen aan personeel omvatten via uiteenzettingen van het beleid en gedragscodes en door het goede voorbeeld te geven.
Wanneer de met governance belaste personen gescheiden zijn van het management, hoe de met governance belaste personen onafhankelijkheid van het management aantonen en toezicht uitoefenen op het interne beheersingssysteem van de entiteit. Het bewustzijn van de interne beheersing van een entiteit wordt beïnvloed door de met governance belaste personen. Overwegingen kunnen omvatten of er voldoende personen zijn die onafhankelijk zijn van management en die objectief zijn in hun evaluaties en besluitvorming; hoe de met governance belaste personen de verantwoordelijkheden voor het toezicht identificeren en aanvaarden en of de met governance belaste personen verantwoordelijkheid behouden voor toezicht op de opzet, implementatie en uitvoering door het management van het interne beheersingssysteem van de entiteit. Het belang van de verantwoordelijkheden van de met governance belaste personen wordt erkend in praktijkcodes en andere wet- en regelgeving of leidraden opgesteld ten behoeve van de met governance belaste personen. Andere verantwoordelijkheden van de met governance belaste personen omvatten toezicht op de opzet en effectieve werking van klokkenluidersprocedures.
Hoe de entiteit autoriteit en verantwoordelijkheid toekent bij het nastreven van haar doelstellingen. Dit kan overwegingen omvatten over:
belangrijke bevoegdheids- en verantwoordelijkheidsgebieden en geschikte rapportagelijnen;
beleidslijnen met betrekking tot passende handelspraktijken, kennis en ervaring van personeel op sleutelposities en middelen die voor het uitvoeren van taken beschikbaar worden gesteld; en
beleidslijnen en communicatie gericht op het waarborgen dat al het personeel de doelstellingen van de entiteit begrijpt, weet hoe hun individuele handelingen samenhangen en bijdraagt aan die doelstellingen, en herkent hoe en waarvoor ze verantwoordelijk worden gehouden.
Hoe de entiteit competente personen aantrekt, ontwikkelt en behoudt in overeenstemming met haar doelstellingen. Dit omvat hoe de entiteit ervoor zorgt dat de personen de noodzakelijke kennis en vaardigheden hebben om de taken uit te voeren die het werk van de persoon definiëren, zoals:
normen voor het werven van de meest gekwalificeerde personen - met de nadruk op opleiding, eerdere werkervaring, prestaties uit het verleden en informatie over integriteit en ethisch gedrag;
trainingsbeleidslijnen die toekomstige rollen en verantwoordelijkheden communiceren, inclusief praktijken zoals opleidingsscholen en seminars die de verwachte niveaus van prestaties en gedrag aangeven; en
periodieke functioneringsgesprekken die promoties stimuleren die de toewijding van de entiteit voor de bevordering van gekwalificeerd personeel naar hogere verantwoordelijkheidsniveaus aantonen.
Hoe de entiteit personen verantwoording laat afleggen over hun verantwoordelijkheden bij het nastreven van de doelstellingen van het interne beheersingssysteem van de entiteit. Dit kan bijvoorbeeld worden bereikt door:
mechanismen om te communiceren en personen verantwoordelijk te houden voor de uitvoering van verantwoordelijkheden inzake interne beheersing en corrigerende maatregelen te implementeren indien nodig;
prestatiemaatstaven, stimulansen en beloningen vast te stellen voor degenen die verantwoordelijk zijn voor het systeem van interne beheersing van de entiteit, inclusief hoe de maatregelen worden geëvalueerd en hun relevantie behouden;
hoe druk geassocieerd met het behalen van interne beheersingsdoelstellingen invloed heeft op de verantwoordelijkheden en prestatiemaatstaven van de personen; en
hoe de personen zo nodig worden gedisciplineerd.
De geschiktheid van bovenstaande aangelegenheden zal voor elke entiteit verschillen, afhankelijk van de grootte, de complexiteit van de structuur en de aard van de activiteiten.
Het risico-inschattingsproces van de entiteit
Het risico-inschattingsproces van de entiteit is een iteratief proces voor het identificeren en analyseren van risico’s voor het bereiken van de doelstellingen van de entiteit en vormt de basis voor hoe het management of de met governance belaste personen de te beheersen risico's bepaalt.
Voor financiële verslaggevingsdoeleinden omvat het risico-inschattingsproces van de entiteit hoe het management bedrijfsrisico’s identificeert die relevant zijn voor het opstellen van de financiële overzichten in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving van de entiteit, hun significantie inschat, de waarschijnlijkheid van hun voorkomen inschat, en beslist over handelingen om ze te beheersen en de resultaten daarvan. Het risico-inschattingsproces van de entiteit kan bijvoorbeeld ingaan op hoe de entiteit de mogelijkheid van niet-vastgelegde transacties overweegt of significante schattingen die zijn vastgelegd in de financiële overzichten identificeert en analyseert.
Risico's die relevant zijn voor betrouwbare financiële verslaggeving omvatten externe en interne gebeurtenissen, transacties of omstandigheden die kunnen voorkomen en die een negatieve invloed hebben op de mogelijkheid van een entiteit om financiële informatie te initiëren, vast te leggen, te verwerken en te rapporteren die consistent is met de beweringen van het management in de financiële overzichten. Het management kan plannen, programma's of handelingen initiëren om in te spelen op specifieke risico's of kan besluiten om een risico te nemen vanwege kosten of andere overwegingen. Risico's kunnen ontstaan of veranderen als gevolg van omstandigheden zoals de volgende:
Veranderingen in de operationele omgeving. Veranderingen in de regelgeving, economische of operationele omgeving kunnen leiden tot veranderingen in de concurrentiedruk en significante veranderingen in de risico's.
Nieuw personeel. Nieuw personeel kan een andere focus op of begrip van het systeem van interne beheersing van de entiteit hebben.
Nieuw of vernieuwd informatiesysteem. Significante en snelle veranderingen in het informatiesysteem kunnen het risico met betrekking tot het interne beheersingssysteem van de entiteit veranderen.
Snelle groei. Significante en snelle uitbreiding van de activiteiten kunnen de interne beheersingsmaatregelen onder druk zetten en het risico op falen van de interne beheersingsmaatregelen doen toenemen.
Nieuwe technologie. De invoering van nieuwe technologieën in productieprocessen of het informatiesysteem kan het risico met betrekking tot het interne beheersingssysteem van de entiteit veranderen.
Nieuwe bedrijfsmodellen, producten of activiteiten. Het ondernemen van activiteiten of het aangaan van transacties waarmee een entiteit weinig ervaring heeft, kan leiden tot nieuwe risico’s met betrekking tot de interne beheersing.
Reorganisaties. Reorganisaties kunnen gepaard gaan met personeelsvermindering en wijzigingen in toezicht en functiescheiding die het risico met betrekking tot het systeem van interne beheersing van de entiteit kunnen veranderen.
Uitbreiding van activiteiten in het buitenland. De uitbreiding of overname van buitenlandse activiteiten brengt nieuwe en vaak unieke risico's met zich mee die van invloed kunnen zijn op de interne beheersing, bijvoorbeeld aanvullende of gewijzigde risico’s op transacties in vreemde valuta.
Nieuwe verslaggevingsregels. De toepassing van nieuwe verslaggevingsprincipes of wijzigingen daarin kunnen van invloed zijn op risico's bij het opstellen van de financiële overzichten.
Gebruik van IT. Risico's met betrekking tot:
handhaving van de integriteit van gegevens en informatieverwerking;
de bedrijfsstrategie van de entiteit die zich voordoen als de IT-strategie van de entiteit niet effectief de bedrijfsstrategie van de entiteit ondersteunt; of
veranderingen of onderbrekingen in de IT-omgeving van de entiteit of verloop van IT-personeel of wanneer de entiteit geen noodzakelijke updates aan de IT-omgeving uitvoert of dergelijke updates niet op tijd uitvoert.
Het proces van de entiteit om het systeem van interne beheersing te monitoren
Het proces van de entiteit om het systeem van interne beheersing te monitoren is een continu proces om de effectiviteit van het interne beheersingssysteem van de entiteit te evalueren en om noodzakelijke corrigerende maatregelen tijdig te nemen. Het proces van de entiteit om het interne beheersingssysteem van de entiteit te monitoren kan bestaan uit doorlopende activiteiten, afzonderlijke evaluaties (periodiek uitgevoerd) of een combinatie van beide. Doorlopende monitoringactiviteiten zijn vaak in de normale terugkerende activiteiten van een entiteit geïntegreerd en kunnen reguliere management- en toezichthoudende activiteiten omvatten. Het proces van de entiteit zal waarschijnlijk variëren in reikwijdte en frequentie afhankelijk van de inschatting van de risico's door de entiteit.
De doelstellingen en reikwijdte van interne auditfuncties omvatten doorgaans activiteiten die zijn opgezet om de effectiviteit van het interne beheersingssysteem van de entiteit te evalueren of te monitoren. Het proces van de entiteit om het systeem van interne beheersing van de entiteit te monitoren kan activiteiten omvatten zoals de beoordeling door het management of aansluitingen van banksaldi tijdig worden opgesteld, dat interne auditors evalueren of de verkoopmedewerkers het beleid van de entiteit met betrekking tot de voorwaarden van verkoopcontracten naleven en dat een juridische afdeling toeziet op de naleving van de beleidslijnen van de entiteit inzake ethische of handelspraktijken. Monitoring moet er ook voor zorgen dat de interne beheersingsmaatregelen effectief blijven werken in de loop van de tijd. Bijvoorbeeld als de tijdigheid en de nauwkeurigheid van aansluitingen van banksaldi niet wordt gemonitord, zal het personeel waarschijnlijk stoppen met het opstellen hiervan.
Interne beheersingsmaatregelen met betrekking tot het proces van de entiteit om het systeem van interne beheersing van de entiteit te monitoren, inclusief die welke onderliggende geautomatiseerde interne beheersingsmaatregelen monitoren, kunnen geautomatiseerd of handmatig zijn, of een combinatie van beide. Een entiteit kan bijvoorbeeld geautomatiseerde interne beheersingsmaatregelen voor monitoring gebruiken voor de toegang tot bepaalde technologie met geautomatiseerde rapportages aan het management van ongebruikelijke activiteiten, dat handmatig geïdentificeerde afwijkingen onderzoekt.
Wanneer onderscheid wordt gemaakt tussen een monitoringactiviteit en een interne beheersingsmaatregel met betrekking tot het informatiesysteem, worden de onderliggende details van de activiteit in overweging genomen, vooral wanneer de activiteit een bepaald niveau van beoordeling door een leidinggevende omvat. Beoordelingen door een leidinggevende worden niet automatisch geclassificeerd als monitoringactiviteiten en het kan een kwestie van oordeelsvorming zijn of een beoordeling is geclassificeerd als een interne beheersingsmaatregel met betrekking tot het informatiesysteem of een monitoringactiviteit. Bijvoorbeeld het doel van een maandelijkse interne beheersingsmaatregel op volledigheid zou zijn om fouten te detecteren en te corrigeren, waarbij een monitoringactiviteit zou vragen waarom fouten optreden en het management de verantwoordelijkheid toewijzen om het proces te repareren om toekomstige fouten te voorkomen. In eenvoudige termen, een interne beheersingsmaatregel met betrekking tot het informatiesysteem speelt in op een specifiek risico, terwijl een monitoringactiviteit inschat of interne beheersingsmaatregelen binnen elk van de vijf componenten van het interne systeem van de entiteit werken zoals bedoeld.
Monitoringactiviteiten kunnen het gebruik van informatie uit mededelingen van externe partijen omvatten die op problemen kunnen wijzen of de aandacht vestigen op gebieden die moeten worden verbeterd. Klanten bevestigen impliciet facturatiegegevens door hun facturen te betalen of te klagen over de in rekening gebrachte bedragen. Bovendien kunnen regelgevers of toezichthouders met de entiteit aangelegenheden bespreken die de werking van het systeem van interne beheersing van de entiteit beïnvloeden, bijvoorbeeld mededelingen met betrekking tot onderzoeken door regelgevende of toezichthoudende instanties voor de banksector. Ook kan het management bij het uitvoeren van monitoringactiviteiten rekening houden met mededelingen door accountants met betrekking tot het systeem van interne beheersing van de entiteit.
Het informatiesysteem en de communicatie
Het informatiesysteem dat relevant is voor het opstellen van de financiële overzichten bestaat uit activiteiten en beleidslijnen en administratieve en ondersteunende vastleggingen, opgezet en ingericht om:
transacties van de entiteit te initiëren, vastleggen en verwerken (evenals vastleggen, verwerken en toelichten van informatie over andere gebeurtenissen en omstandigheden dan transacties) en om verantwoording af te leggen voor de daarmee verband houdende activa, passiva en eigen vermogen;
onjuiste verwerking van transacties op te lossen, bijvoorbeeld geautomatiseerde tussenrekeningen en procedures die worden gevolgd om elementen op deze tussenrekeningen tijdig uit te zoeken;
het doorbreken van het systeem of het omzeilen van interne beheersingsmaatregelen te verwerken en te verantwoorden;
informatie van transactieverwerking opnemen in het grootboek (bijv. overdracht van geaccumuleerde transacties uit een subgrootboek);
informatie verzamelen en verwerken die relevant is voor het opstellen van de financiële overzichten voor andere gebeurtenissen en omstandigheden dan transacties, zoals de afschrijving van activa en veranderingen in de inbaarheid van activa; en
ervoor te zorgen dat informatie die moet worden toegelicht in het van toepassing zijnde stelsel inzake financiële verslaggeving, wordt verzameld, vastgelegd, verwerkt, samengevat en op passende wijze gerapporteerd in de financiële overzichten.
De bedrijfsprocessen van een entiteit omvatten de activiteiten die zijn opgezet om:
de producten en diensten van een entiteit te ontwikkelen, kopen, produceren, verkopen en distribueren;
te zorgen voor naleving van wet- en regelgeving; en
informatie vast te leggen, inclusief boekhoudkundige en financiële verslaggevingsinformatie.
Bedrijfsprocessen resulteren in de transacties die worden vastgelegd, verwerkt en gerapporteerd door het informatiesysteem.
De kwaliteit van informatie is van invloed op de mogelijkheid van het management om juiste beslissingen te nemen bij het leiden en beheersen van de activiteiten van de entiteit en om betrouwbare financiële verslagen op te stellen.
Communicatie, waarbij inzicht wordt verkregen in individuele rollen en verantwoordelijkheden met betrekking tot het systeem van interne beheersing van de entiteit, kan de vorm aannemen van handboeken over beleidslijnen, administratieve verwerking en financiële verslaggeving en memoranda. Communicatie kan ook elektronisch, mondeling en door de handelingen van het management plaatsvinden.
Communicatie door de entiteit van de financiële verslaggevingsrollen en -verantwoordelijkheden en van significante aangelegenheden met betrekking tot financiële verslaggeving omvat het verschaffen van inzicht in individuele rollen en verantwoordelijkheden met betrekking tot het systeem van interne beheersing van de entiteit dat relevant is voor financiële verslaggeving. Het kan aangelegenheden omvatten als de mate waarin het personeel begrijpt hoe hun activiteiten in het informatiesysteem betrekking hebben op het werk van anderen en de middelen om uitzonderingen op een passend hoger niveau binnen de entiteit te rapporteren.
Interne beheersingsactiviteiten
Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ worden geïdentificeerd in overeenstemming met paragraaf 26. Dergelijk interne beheersingsmaatregelen omvatten interne beheersingsmaatregelen met betrekking tot informatieverwerking en general IT controls, beide kunnen handmatig of geautomatiseerd van aard zijn. Hoe groter de mate van geautomatiseerde interne beheersingsmaatregelen, of interne beheersingsmaatregelen met geautomatiseerde aspecten, die het management gebruikt en waarop het steunt met betrekking tot de financiële verslaggeving, hoe belangrijker het voor de entiteit kan worden om general IT controls te implementeren die de voortdurende werking van de geautomatiseerde aspecten van interne beheersingsmaatregelen met betrekking tot informatieverwerking behandelen. Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ kunnen betrekking hebben op:
Autorisatie en goedkeuringen. Een autorisatie bevestigt dat een transactie geldig is (d.w.z. vertegenwoordigt een feitelijke economische gebeurtenis of valt binnen de beleidslijnen van een entiteit). Meestal neemt een autorisatie de vorm aan van een goedkeuring door een hoger managementniveau of van verificatie en een bepaling of de transactie geldig is. Een leidinggevende keurt bijvoorbeeld een onkostendeclaratie goed na beoordeling of de kosten redelijk en binnen de beleidslijnen lijken. Een voorbeeld van een geautomatiseerde goedkeuring is wanneer de kosten per eenheid op de factuur automatisch worden vergeleken met de gerelateerde kosten per eenheid op de inkooporder binnen een vooraf vastgesteld tolerantieniveau. Facturen binnen het tolerantie niveau worden automatisch goedgekeurd voor betaling. Die facturen buiten het tolerantieniveau zijn gemarkeerd voor aanvullend onderzoek.
Aansluitingen- Aansluitingen vergelijken twee of meer gegevenselementen. Als verschillen zijn geïdentificeerd, wordt actie ondernomen om de gegevens in overeenstemming te brengen. Aansluitingen hebben meestal betrekking op de volledigheid of nauwkeurigheid van de verwerking van transacties.
Verificaties- Verificaties vergelijken twee of meer elementen met elkaar of vergelijken een element met een beleidslijn, en zullen waarschijnlijk een vervolgactie inhouden wanneer de twee elementen niet overeenkomen of het element niet in overeenstemming is met beleidslijnen. Verificaties hebben meestal betrekking op de volledigheid, nauwkeurigheid, of geldigheid van verwerking van transacties.
Fysieke of logische interne beheersingsmaatregelen, inclusief die waarmee de beveiliging van activa tegen ongeautoriseerde toegang, verwerving, gebruik of verwijdering wordt behandeld. Deze interne beheersingsmaatregelen omvatten:
de fysieke beveiliging van activa, inclusief adequate waarborgen zoals beveiligde faciliteiten over toegang tot activa en vastleggingen;
de autorisatie voor toegang tot computerprogramma's en gegevensbestanden (d.w.z. logische toegang);
de periodieke tellingen en vergelijkingen met bedragen in controlebestanden (bijvoorbeeld het vergelijken van de resultaten van tellingen van contant geld, effecten en voorraden met de administratieve vastleggingen).
De mate waarin fysieke interne beheersingsmaatregelen ter voorkoming van diefstal van activa relevant zijn voor de betrouwbaarheid van de opstelling van de financiële overzichten hangt af van omstandigheden zoals wanneer activa zeer vatbaar zijn voor oneigenlijke toe-eigening.
Functiescheiding. De toewijzing aan verschillende personen van de verantwoordelijkheden voor het autoriseren van transacties, het vastleggen van transacties en het bewaren van activa. Functiescheiding is bedoeld om beperkingen aan te brengen in de mogelijkheden voor wie dan ook om bij de uitoefening van zijn normale taken fouten te maken en te verhullen of fraude te plegen en te verhullen.
Een manager die creditnota’s autoriseert, is bijvoorbeeld niet verantwoordelijk voor het bijhouden van debiteurenrekeningen of afhandeling van contante betalingen. Als één persoon al deze activiteiten kan uitvoeren, zou de persoon bijvoorbeeld een fictieve verkoop kunnen creëren die onopgemerkt kan blijven. Evenzo mogen verkopers niet in staat zijn prijsbestanden of commissietarieven te wijzigen.
Soms is functiescheiding niet praktisch uitvoerbaar, kosteneffectief of haalbaar. Kleinere en minder complexe entiteiten kunnen wellicht onvoldoende middelen hebben om een ideale functiescheiding te bereiken en de kosten van het inhuren van extra personeel kunnen belemmerend zijn. In deze situaties kan het management alternatieve interne beheersingsmaatregelen instellen. Als in het bovenstaande voorbeeld de verkoper prijsbestanden kan wijzigen, kan een detecterende interne beheersingsmaatregel worden ingesteld om personeel dat niet betrokken is bij de verkoopfunctie periodiek te laten beoordelen of en onder welke omstandigheden de verkoper de prijzen heeft gewijzigd.
Bepaalde interne beheersingsmaatregelen kunnen afhankelijk zijn van het bestaan van passende toezichthoudende interne beheersingsmaatregelen die zijn vastgesteld door het management of de met governance belaste personen. Autorisatiecontroles kunnen bijvoorbeeld zijn gedelegeerd volgens vastgestelde richtlijnen, zoals investeringscriteria die door de met governance belaste personen zijn vastgesteld; anderzijds kunnen niet-routinematige transacties zoals significante overnames of desinvesteringen specifieke goedkeuring op hoog niveau vereisen, waaronder in sommige gevallen die van aandeelhouders.
Beperkingen van interne beheersing
Hoe effectief het interne beheersingssysteem van een entiteit ook is, het kan een entiteit slechts een redelijke mate van zekerheid verschaffen over het behalen van de doelstellingen inzake financiële verslaggeving van de entiteit. De waarschijnlijkheid van het behalen ervan wordt beïnvloed door de inherente beperkingen van interne beheersing. Deze omvatten de realiteit dat mensen bij hun besluitvorming foutieve beoordelingen kunnen maken en dat verstoringen in het systeem van interne beheersing van de entiteit als gevolg van menselijke fouten kunnen voorkomen. Er kan bijvoorbeeld een fout optreden in de opzet of wijziging van een interne beheersingsmaatregel. Eveneens is het mogelijk dat een interne beheersingsmaatregel niet effectief werkt, bijvoorbeeld als informatie die wordt verzameld ten behoeve van het interne beheersingssysteem van de entiteit (bijvoorbeeld een uitzonderingsrapport) niet effectief wordt gebruikt omdat de persoon die verantwoordelijk is voor het beoordelen van de informatie het doel ervan niet begrijpt of nalaat passende maatregelen te nemen.
Bovendien kunnen interne beheersingsmaatregelen worden omzeild door samenspanning van twee of meer mensen of doordat het management op ongepaste wijze interne beheersingsmaatregelen doorbreekt. Het management kan bijvoorbeeld nevenovereenkomsten sluiten met klanten die de algemene bepalingen en voorwaarden van de standaardverkoopcontracten van de entiteit wijzigen, wat tot een onjuiste opbrengstverantwoording kan leiden. Ook kunnen de wijzigingscontroles in een IT-applicatie, die gericht zijn op het identificeren en rapporteren van transacties die gespecificeerde kredietlimieten overschrijden, worden doorbroken of uitgeschakeld.
Verder kan het management bij het opzetten en implementeren van interne beheersingsmaatregelen oordeelsvormingen maken over de aard en de omvang van de interne beheersingsmaatregelen die het wil implementeren en de aard en de omvang van de risico's die het wenst te aanvaarden.
Bijlage 4: Overwegingen voor het verwerven van inzicht in de interne auditfunctie van een entiteit
(Zie Par. 14(a), 24(a)(ii) en A25, A26, A27 en A28, A118)
Deze bijlage geeft verdere overwegingen met betrekking tot het verwerven van inzicht in de interne auditfunctie van de entiteit wanneer een dergelijke functie bestaat.
Doelstellingen en reikwijdte van de interne auditfunctie
De doelstellingen en reikwijdte van een interne auditfunctie, de aard van de verantwoordelijkheden en de status binnen de organisatie, inclusief de bevoegdheid en verantwoordingsplicht van de functie, variëren in grote mate en zijn afhankelijk van de omvang, complexiteit en structuur van de entiteit en de vereisten van het management en, waar van toepassing, de met governance belaste personen. Deze aangelegenheden kunnen uiteengezet worden in een internal audit charter of taakomschrijving.
De verantwoordelijkheden van een interne auditfunctie kunnen het uitvoeren van werkzaamheden en de evaluatie van de resultaten hiervan omvatten om aan het management en aan de met governance belaste personen een bepaalde mate van zekerheid te verschaffen met betrekking tot de opzet en effectiviteit van risicobeheersing, het systeem van interne beheersing en governance-processen van de entiteit. Wanneer dit het geval is, kan de interne auditfunctie een belangrijke rol spelen in het proces van monitoren van het systeem van interne beheersing van de entiteit. De verantwoordelijkheden van de interne auditfunctie kunnen echter zijn gericht op het evalueren van kostenefficiëntie, doelmatigheid en doeltreffendheid van activiteiten en, wanneer dit het geval is, kunnen de werkzaamheden van de functie niet direct gerelateerd zijn aan de financiële verslaggeving van de entiteit.
Verzoeken om inlichtingen bij de interne auditfunctie
Als een entiteit een interne auditfunctie heeft, kunnen verzoeken om inlichtingen bij de juiste personen binnen de functie informatie verschaffen die nuttig is voor de accountant bij het verwerven van inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het systeem van interne beheersing van de entiteit en bij het identificeren en inschatten van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en beweringen. Bij de uitvoering van de werkzaamheden heeft de interne auditfunctie waarschijnlijk inzicht verkregen in de activiteiten en bedrijfsrisico’s van de entiteit en kan bevindingen hebben op basis van de werkzaamheden, zoals geïdentificeerde tekortkomingen in de interne beheersing of risico's, die een waardevolle input kunnen vormen voor het inzicht van de accountant in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving, het systeem van interne beheersing van de entiteit, de risico-inschattingen van de accountant of andere aspecten van de controle. Verzoeken om inlichtingen van de accountant worden daarom gedaan ongeacht of de accountant verwacht gebruik te maken van het werk van de interne auditfunctie om de aard of timing van uit te voeren controlewerkzaamheden te wijzigen of de omvang daarvan te verminderen. Verzoeken om inlichtingen die in het bijzonder relevant zijn, kunnen zowel aangelegenheden betreffen die de interne auditfunctie heeft besproken met de met governance belaste personen als de uitkomsten van het eigen risico-inschattingsproces van de interne auditfunctie.
Indien op basis van de reacties op de verzoeken om inlichtingen van de accountant blijkt dat er bevindingen zijn die relevant kunnen zijn voor de financiële verslaggeving van de entiteit en voor de controle van de financiële overzichten, kan de accountant het als passend beschouwen om daaraan gerelateerde rapporten van de interne auditfunctie te lezen. Voorbeelden van rapportages van de interne auditfunctie die relevant kunnen zijn, omvatten de strategie- en planningsdocumenten van de functie en rapportages die zijn opgesteld voor het management of voor de met governance belaste personen, waarin de bevindingen van de onderzoeken van de interne auditfunctie zijn beschreven.
Bovendien, in overeenstemming met Standaard 240, als de interne auditfunctie informatie verschaft aan de accountant met betrekking tot feitelijke, vermoedelijke of vermeende fraude, houdt de accountant hier rekening mee bij het door de accountant identificeren van het risico op een afwijking van materieel belang als gevolg van fraude.
Geschikte personen binnen de interne auditfunctie bij wie verzoeken om inlichtingen worden gedaan, zijn degenen die, naar het oordeel van de accountant, over passende kennis, ervaring en autoriteit beschikken, zoals de chief internal audit executive of, afhankelijk van de omstandigheden, overige medewerkers binnen de functie. De accountant kan het ook passend achten om met deze personen periodiek overleg te plegen.
Overweging van de interne auditfunctie bij het verwerven van inzicht in de interne beheersingsomgeving
Bij het verwerven van inzicht in de interne beheersingsomgeving kan de accountant overwegen hoe het management heeft gereageerd op de bevindingen en aanbevelingen van de interne auditfunctie met betrekking tot geïdentificeerde tekortkomingen in de interne beheersing die relevant zijn voor het opstellen van de financiële overzichten, inclusief of en hoe dergelijke reacties zijn geïmplementeerd en of ze vervolgens zijn geëvalueerd door de interne audit functie.
Inzicht in de rol die de interne auditfunctie speelt in het proces van de entiteit om het systeem van interne beheersing te monitoren
Indien de aard van de verantwoordelijkheden en van de assurance-activiteiten van de interne auditfunctie verband houden met de financiële verslaggeving van de entiteit, kan de accountant tevens gebruikmaken van de werkzaamheden van de interne auditfunctie om de aard of timing van controlewerkzaamheden die door de accountant zelf worden uitgevoerd bij het verkrijgen van controle-informatie aan te passen, of de omvang hiervan te verminderen. Het is waarschijnlijker dat accountants in staat zullen zijn om gebruik te maken van het werk van een interne auditfunctie van de entiteit wanneer bijvoorbeeld blijkt dat, op basis van ervaring in voorgaande controles of de risico-inschattingswerkzaamheden van de accountant, de entiteit over een interne auditfunctie beschikt die adequate en gepaste middelen heeft die in verhouding staan tot de complexiteit van de entiteit en de aard van de activiteiten en die een directe rapportagelijn heeft met de met governance belaste personen.
Indien op basis van het voorlopige inzicht van de accountant in de interne auditfunctie, de accountant verwacht om gebruik te maken van de werkzaamheden van de interne auditfunctie om de aard of timing van de uit te voeren controlewerkzaamheden te wijzigen of om de omvang daarvan te verminderen, is Standaard 610 van toepassing.
Zoals verder in Standaard 610 wordt besproken, verschillen de werkzaamheden van een interne auditfunctie van andere op monitoring gerichte interne beheersingsmaatregelen die relevant kunnen zijn voor de financiële verslaggeving, zoals de beoordelingen door management van accounting informatie die zijn opgezet om bij te dragen aan de manier waarop de entiteit afwijkingen voorkomt of detecteert.
Het vroegtijdig in de opdracht tot stand brengen van communicatie met de juiste personen binnen de interne auditfunctie van een entiteit en het onderhouden van dergelijke communicatie gedurende de opdracht, kan het effectief delen van informatie bevorderen. Het creëert een omgeving waarin de accountant kan worden geïnformeerd over significante aangelegenheden die onder de aandacht van de interne auditfunctie kunnen komen wanneer dergelijke aangelegenheden de werkzaamheden van de accountant kunnen beïnvloeden. Standaard 200 behandelt het belang van de accountant om de controle te plannen en uit te voeren met een professioneel-kritische instelling, inclusief alert te zijn op informatie die de betrouwbaarheid van documenten en reacties op verzoeken om inlichtingen die als controle-informatie worden gebruikt, ter discussie stelt. Dienovereenkomstig kan overleg met de interne auditfunctie gedurende de opdracht aan de interne auditors de gelegenheid bieden om dergelijke informatie onder de aandacht van de accountant te brengen. De accountant is dan in staat om dergelijke informatie in overweging te nemen bij zijn identificatie en inschatting van risico's op een afwijking van materieel belang.
Bijlage 5: Overwegingen voor het verwerven van inzicht in informatietechnologie (IT)
(Zie Par. 25(a), 26(b)(c), A94 en A166, A167, A168, A169, A170, A171 en A172)
Deze bijlage geeft verdere aangelegenheden die de accountant kan overwegen bij het verwerven van inzicht in het gebruik van IT door de entiteit in haar systeem van interne beheersing.
Inzicht in het gebruik van informatietechnologie door de entiteit in de componenten van het systeem van interne beheersing van de entiteit
Het interne beheersingssysteem van een entiteit bevat handmatige elementen en geautomatiseerde elementen (dat wil zeggen, handmatige en geautomatiseerde interne beheersingsmaatregelen en andere middelen die worden gebruikt in het interne beheersingssysteem van de entiteit). De combinatie van handmatige en geautomatiseerde elementen van een entiteit is afhankelijk van de aard en complexiteit van het gebruik van IT door de entiteit. Het gebruik van IT door een entiteit beïnvloedt de manier waarop de informatie die relevant is voor het opstellen van de financiële overzichten in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving, wordt verwerkt, opgeslagen en gecommuniceerd en beïnvloedt daarom de manier waarop het interne beheersingssysteem van de entiteit is opgezet en geïmplementeerd. Elke component van het interne beheersingssysteem van de entiteit kan een zekere mate van IT gebruiken.
Over het algemeen komt IT het interne beheersingssysteem van een entiteit ten goede omdat het een entiteit in staat stelt om:
vooraf gedefinieerde bedrijfsregels consistent toe te passen en complexe berekeningen uit te voeren bij de verwerking van grote hoeveelheden transacties of gegevens;
de tijdigheid, beschikbaarheid en nauwkeurigheid van informatie te verbeteren;
aanvullende analyse van informatie te vergemakkelijken;
de uitvoering van de activiteiten en de beleidslijnen en procedures beter te monitoren;
het risico te beperken dat interne beheersingsmaatregelen worden omzeild; en
de mogelijkheid te verbeteren om effectieve functiescheiding te bereiken door beveiligingsmaatregelen te implementeren in IT-applicaties, databases en besturingssystemen.
De kenmerken van handmatige of geautomatiseerde elementen zijn relevant voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang door de accountant en verdere daarop gebaseerde controlewerkzaamheden. Geautomatiseerde interne beheersingsmaatregelen kunnen betrouwbaarder zijn dan handmatige interne beheersingsmaatregelen omdat ze niet zo gemakkelijk kunnen worden omzeild, genegeerd of doorbroken en ze zijn ook minder gevoelig voor eenvoudige fouten en vergissingen. Geautomatiseerde interne beheersingsmaatregelen kunnen in de volgende omstandigheden effectiever zijn dan handmatige interne beheersingsmaatregelen:
grote aantallen van terugkerende transacties, of in situaties waarin te voorziene of te voorspellen fouten kunnen worden voorkomen, of gedetecteerd en gecorrigeerd door automatisering;
interne beheersingsmaatregelen waarbij de specifieke manieren voor de uitvoering daarvan adequaat kunnen worden opgezet en geautomatiseerd.
Inzicht in het gebruik van informatietechnologie door de entiteit in het informatiesysteem(Zie Par. 25(a))
Het informatiesysteem van de entiteit kan het gebruik van handmatige en geautomatiseerde elementen omvatten, die ook invloed hebben op de manier waarop transacties worden geïnitieerd, vastgelegd, verwerkt en gerapporteerd. Met name procedures voor het initiëren, vastleggen, verwerken en rapporteren van transacties kunnen via de door de entiteit gebruikte IT-applicaties worden afgedwongen en de manier waarop de entiteit die applicaties heeft geconfigureerd. Daarnaast kunnen vastleggingen in de vorm van digitale informatie, vastleggingen in de vorm van papieren documenten vervangen of aanvullen.
Bij het verwerven van inzicht in de IT-omgeving die relevant is voor de transactiestromen en informatieverwerking in het informatiesysteem, verzamelt de accountant informatie over de aard en kenmerken van de gebruikte IT-applicaties, evenals de ondersteunende IT-infrastructuur.
De volgende tabellen bevatten voorbeelden van aangelegenheden die de accountant kan overwegen bij het verwerven van inzicht in de IT-omgeving en bevat voorbeelden van typische kenmerken van IT-omgevingen op basis van de complexiteit van IT-applicaties die worden gebruikt in het informatiesysteem van de entiteit. Dergelijke kenmerken zijn echter richtinggevend en kunnen verschillen, afhankelijk van de aard van de specifieke IT-applicaties die door een entiteit worden gebruikt.
Voorbeelden van typische kenmerken van: | |||
Niet complexe commerciële software | Middelgrote en redelijk complexe commerciële software of IT-applicaties | Grote of complexe IT-applicaties (bijvoorbeeld ERP systemen) | |
Aangelegenheden die verband houden met de IT-applicaties en IT infrastructuur: | |||
Het type applicatie (bijv. een commerciële toepassing met weinig of geen maatwerk, of een sterk aangepaste of in hoge mate geïntegreerde applicatie die mogelijk is gekocht en aangepast, of in eigen huis ontwikkeld). | Gekochte applicatie met weinig of geen maatwerk | Gekochte applicatie of eenvoudige verouderde of low-end ERP-applicaties met weinig of geen maatwerk | Op maat ontwikkelde applicaties of complexere ERP's met significant maatwerk |
De complexiteit van de aard van de IT-applicaties en de onderliggende IT infrastructuur | Kleine, eenvoudige laptop of client server gebaseerde oplossing | Volwassen en stabiel mainframe, kleine of eenvoudige client server, software als een service cloud | Complex mainframe, grote of complexe client server, web-gerichte, infrastructuur als een service cloud |
Of er sprake is van third partyhosting of uitbesteding van IT | Indien uitbesteed, competente, volwassen, bewezen leverancier (bijv. cloud provider) | Indien uitbesteed, competente, volwassen, bewezen provider (bijv. cloud provider) | Competente, volwassen bewezen leverancier voor bepaalde applicaties en nieuwe of startup provider voor anderen |
Of de entiteit nieuwe technologieën gebruikt die invloed hebben op de financiële verslaggeving | Geen gebruik van nieuwe technologieën | Beperkt gebruik van nieuwe technologieën in sommige applicaties | Gemengd gebruik van nieuwe technologieën over platforms heen |
Voorbeelden van typische kenmerken van: | |||
Niet complexe commerciële software | Middelgrote en redelijk complexe commerciële software of IT-applicaties | Grote of complexe IT-applicaties (bijvoorbeeld ERP systemen) | |
Aangelegenheden gerelateerd aan IT processen: | |||
| Weinig personeel met beperkte IT-kennis om leveranciers upgrades te verwerken en toegang te beheren | Beperkt personeel met IT-vaardigheden / gewijd aan IT | Toegewijde IT afdelingen met bekwaam personeel, inclusief programmeervaardigheden |
| Een enkel persoon met beheerderstoegang beheert toegangsrechten | Beperkt aantal personen met beheerderstoegang beheren toegangsrechten | Complexe processen beheerd door IT afdeling voor toegangsrechten |
| Eenvoudige toegang ter plaatse zonder externe web-gerichte elementen | Sommige web-gebaseerde applicaties met voornamelijk eenvoudige, rol-gebaseerde beveiliging | Meerdere platforms met web-gebaseerde toegang en complexe beveiligings- modellen |
| Commerciële software zonder geïnstalleerde broncode | Enkele commerciële applicaties zonder broncode en andere volwassen applicaties met een klein aantal of eenvoudige veranderingen; traditionele levenscyclus van systeemontwikkeling | Nieuw of groot aantal of complexe veranderingen, verschillende ontwikkelingscycli elk jaar. |
| Wijzigingen beperkt tot versie-upgrades van commerciële software | Wijzigingen bestaan uit commerciële software upgrades, ERP versie-upgrades, of verbeteringen aan verouderde systemen | Nieuwe, groot aantal of complexe veranderingen, verschillende ontwikkelingscycli elk jaar, forse ERP-aanpassing |
| Software-upgrades geleverd door de leverancier; geen gegevensconversie kenmerken voor upgrade | Kleine versie upgrades voor commerciële software applicaties met beperkte gegevens conversie | Aanzienlijke versie upgrade, nieuwe release, platform verandering |
Nieuwe technologieën
Entiteiten kunnen nieuwe technologieën gebruiken (bijv. blockchain, robotica of kunstmatige intelligentie) omdat dergelijke technologieën specifieke kansen kunnen bieden om de operationele efficiëntie te verhogen of de financiële verslaggeving te verbeteren. Wanneer nieuwe technologieën gebruikt worden in het informatiesysteem van de entiteit dat relevant is bij het opstellen van de financiële overzichten, kan de accountant dergelijke technologieën meenemen bij de identificatie van IT-applicaties en andere aspecten van de IT-omgeving die onderhevig zijn aan risico’s die voortkomen uit het gebruik van IT. Terwijl nieuwe technologieën wellicht als geavanceerder of complexer worden beschouwd in vergelijking met bestaande technologieën, blijven de verantwoordelijkheden van de accountant met betrekking tot IT-applicaties en geïdentificeerde general IT controls in overeenstemming met paragraaf 26 (b)-(c) ongewijzigd.
Schaalbaarheid
Het verwerven van inzicht in de IT-omgeving van de entiteit kan gemakkelijker worden bereikt voor een minder complexe entiteit die commerciële software gebruikt en wanneer de entiteit geen toegang heeft tot de broncode om programmawijzigingen aan te brengen. Dergelijke entiteiten hebben misschien geen specifieke IT-middelen, maar kan een persoon toegewezen hebben in een beheerdersrol met als doel het verlenen van toegang voor werknemers of installeren van door de leverancier geleverde updates voor de IT-applicaties. Specifieke aangelegenheden die de accountant kan overwegen om inzicht te verwerven in de aard van een commercieel boekhoudsoftwarepakket dat de enige IT-applicatie kan zijn die door een minder complexe entiteit in zijn informatiesysteem wordt gebruikt, kunnen omvatten:
de mate waarin de software goed ontwikkeld is en een reputatie van betrouwbaarheid heeft;
de mate waarin het voor de entiteit mogelijk is om de broncode van de software te wijzigen om extra modules (bijv. add-ons) toe te voegen aan de basissoftware, of om directe wijzigingen aan gegevens aan te brengen;
de aard en omvang van wijzigingen die in de software zijn aangebracht. Hoewel een entiteit mogelijk niet in staat is om de broncode van de software te wijzigen, laten veel softwarepakketten configuratie toe (bijvoorbeeld het instellen of wijzigen van rapportageparameters). Meestal gaat het hier niet om wijzigingen in de broncode; de accountant kan echter overwegen in hoeverre de entiteit de software kan configureren wanneer de accountant de volledigheid en nauwkeurigheid beschouwt van informatie gegenereerd door de software die wordt gebruikt als controle-informatie; en
de mate waarin gegevens met betrekking tot het opstellen van de financiële overzichten direct kunnen zijn benaderd (d.w.z. directe toegang tot de database zonder de IT-applicatie te gebruiken) en de hoeveelheid gegevens die wordtt verwerkt. Hoe groter de hoeveelheid gegevens, hoe groter de kans dat de entiteit interne beheersingsmaatregelen nodig heeft die gericht zijn op het handhaven van de integriteit van de gegevens, waaronder general IT-controls met betrekking tot ongeautoriseerde toegang en wijzigingen in de gegevens.
Complexe IT-omgevingen kunnen sterk aangepaste of in hoge mate geïntegreerde IT-applicaties omvatten en het kan daarom meer moeite vereisen om deze te begrijpen. Financiële verslaggevingsprocessen of IT-applicaties kunnen worden geïntegreerd met andere IT-applicaties. Een dergelijke integratie kan betrekking hebben op IT-applicaties die worden gebruikt in de bedrijfsactiviteiten van de entiteit en die informatie verstrekken aan de IT-applicaties die relevant zijn voor de transactiestromen en informatieverwerking in het informatiesysteem van de entiteit. In zulke omstandigheden kunnen bepaalde IT-applicaties die worden gebruikt in de bedrijfsactiviteiten van de entiteit ook relevant zijn bij het opstellen van de financiële overzichten. Complexe IT-omgevingen vereisen mogelijk ook specifieke IT-afdelingen met gestructureerde IT-processen, ondersteund door personeel dat vaardigheden heeft op het gebied van software ontwikkeling en onderhoud van de IT-omgeving. In andere gevallen kan een entiteit interne of externe service providers gebruiken om bepaalde aspecten van, of IT-processen in, haar IT-omgeving te beheren (bijvoorbeeld hosting door derden).
Het identificeren van IT-applicaties die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT
Door inzicht in de aard en complexiteit van de IT-omgeving van de entiteit, inclusief de aard en omvang van interne beheersingsmaatregelen met betrekking tot informatieverwerking, kan de accountant bepalen op welke IT-applicaties de entiteit steunt om de integriteit van financiële informatie nauwkeurig te verwerken en te handhaven. De identificatie van IT-applicaties waarop de entiteit steunt, kan van invloed zijn op de beslissing van de accountant om de geautomatiseerde interne beheersingsmaatregelen binnen dergelijke IT-applicaties te toetsen, ervan uitgaande dat dergelijke geautomatiseerde interne beheersingsmaatregelen inspelen op geïdentificeerde risico's op een afwijking van materieel belang. Omgekeerd, als de entiteit niet steunt op een IT-applicatie, is het onwaarschijnlijk dat de geautomatiseerde interne beheersingsmaatregelen binnen een dergelijke IT-applicatie geschikt of voldoende nauwkeurig zijn ten behoeve van het toetsen van de effectieve werking. Geautomatiseerde interne beheersingsmaatregelen die kunnen worden geïdentificeerd in overeenstemming met paragraaf 26(b) kunnen bijvoorbeeld geautomatiseerde berekeningen of interne beheersingsmaatregelen met betrekking tot invoer, verwerking en uitvoer omvatten, zoals een aansluiting tussen een inkooporder, verzending van een vervoersdocument en een leveranciersfactuur. Wanneer geautomatiseerde interne beheersingsmaatregelen door de accountant worden geïdentificeerd en de accountant bepaalt door het inzicht in de IT-omgeving dat de entiteit steunt op de IT-applicatie die deze geautomatiseerde interne beheersingsmaatregelen bevat, is het waarschijnlijker dat de accountant de IT-applicatie identificeert als een die onderhevig is aan risico's die voortkomen uit het gebruik van IT.
Bij het overwegen of de IT-applicaties waarvoor de accountant geautomatiseerde interne beheersingsmaatregelen heeft geïdentificeerd, onderhevig zijn aan risico's die voortkomen uit het gebruik van IT, zal de accountant waarschijnlijk overwegen of en de mate waarin de entiteit mogelijk toegang heeft tot de broncode waarmee het management programma wijzigingen kan maken in dergelijke interne beheersingsmaatregelen of de IT-applicaties. De mate waarin de entiteit programma- of configuratiewijzigingen maakt en de mate waarin de IT-processen met betrekking tot dergelijke wijzigingen zijn geformaliseerd, kunnen ook relevante overwegingen zijn. De accountant zal waarschijnlijk ook het risico op ongepaste toegang tot of wijzigingen in gegevens overwegen.
Door het systeem gegenereerde rapporten die de accountant voornemens is te gebruiken als controle-informatie, kunnen bijvoorbeeld een rapport over de ouderdom van debiteuren of een rapport over de waardering van voorraden omvatten. Voor dergelijke rapporten kan de accountant controle-informatie verkrijgen over de volledigheid en nauwkeurigheid van de rapporten door gegevensgerichte werkzaamheden op de invoer en uitvoer van het rapport. In andere gevallen kan de accountant van plan zijn de effectieve werking van de interne beheersingsmaatregelen met betrekking tot het opstellen en het onderhoud van het rapport te toetsen, in welk geval de IT-applicatie waaruit het is gegeneerd, waarschijnlijk onderhevig is aan risico's die voortkomen uit het gebruik van IT. Naast het toetsen van de volledigheid en nauwkeurigheid van het rapport, kan de accountant van plan zijn om de effectieve werking van general IT controls die inspelen op risico's die verband houden met ongepaste of ongeautoriseerde programmawijzigingen of gegevenswijzigingen in het rapport, te toetsen.
Sommige IT-applicaties kunnen een functie voor het genereren van rapporten bevatten, terwijl sommige entiteiten ook afzonderlijke applicaties voor het genereren van rapporten (d.w.z. rapportgenerators) kunnen gebruiken. In dergelijke gevallen kan het nodig zijn dat de accountant de bronnen van door het systeem gegenereerde rapporten bepaalt (d.w.z. de applicatie die het rapport opstelt en de gegevensbronnen die door het rapport worden gebruikt) om de IT-applicaties te bepalen die aan risico's onderhevig zijn die voortkomen uit het gebruik van IT.
De gegevensbronnen die door IT-applicaties worden gebruikt, kunnen databases zijn die bijvoorbeeld alleen toegankelijk zijn via de IT-applicatie of door IT-personeel met database beheerrechten. In andere gevallen kan de gegevensbron een datawarehouse zijn dat zelf kan worden beschouwd als een IT-applicatie onderhevig aan risico's die voortkomen uit het gebruik van IT.
De accountant kan een risico geïdentificeerd hebben waarvoor gegevensgerichte werkzaamheden alleen niet voldoende zijn vanwege het gebruik van in hoge mate geautomatiseerde en papierloze verwerking van transacties door de entiteit, wat betrekking kan hebben op meerdere geïntegreerde IT-applicaties. In dergelijke omstandigheden omvatten de door de accountant geïdentificeerde interne beheersingsmaatregelen waarschijnlijk geautomatiseerde interne beheersingsmaatregelen. Verder kan de entiteit steunen op general IT-controls om de integriteit van de verwerkte transacties en andere informatie die gebruikt is in de verwerking, te handhaven. In dergelijke gevallen zijn de IT-applicaties die betrokken zijn bij de verwerking en de opslag van de informatie waarschijnlijk onderhevig aan risico's die voortkomen uit het gebruik van IT.
Computergebruik door eindgebruikers
Hoewel controle-informatie ook kan bestaan uit door het systeem gegenereerde output die wordt gebruikt in een berekening uitgevoerd in een computerhulpmiddel voor eindgebruikers (bijv. spreadsheetsoftware of eenvoudige databases), worden dergelijke hulpmiddelen doorgaans niet geïdentificeerd als IT-applicaties in de context van paragraaf 26(b). Het opzetten en implementeren van interne beheersingsmaatregelen rond toegang en wijziging van computerhulpmiddelen voor eindgebruikers kan uitdagend zijn en dergelijke interne beheersingsmaatregelen zijn zelden gelijk aan of even effectief als general IT controls. In plaats daarvan kan de accountant een combinatie van beheersingsmaatregelen met betrekking tot informatieverwerking overwegen, rekening houdend met het doel en de complexiteit van het betreffende computergebruik door eindgebruikers, zoals:
interne beheersingsmaatregelen met betrekking tot informatieverwerking inzake de initiatie en verwerking van de brongegevens, inclusief relevante geautomatiseerde interne beheersingsmaatregelen of via interfaces tot het punt van waaruit de gegevens worden geëxtraheerd (dat wil zeggen het datawarehouse);
interne beheersingsmaatregelen om te controleren of de logica werkt zoals bedoeld, bijvoorbeeld interne beheersingsmaatregelen die het extraheren van gegevens 'bewijzen', zoals het aansluiten van het rapport op de gegevens waarvan het is afgeleid, het vergelijken van de individuele gegevens uit het rapport met de bron en vice versa, en interne beheersingsmaatregelen die de formules of macro's controleren; of
gebruik van validatie softwarehulpmiddelen, die formules of macro's controleren, zoals spreadsheet integriteitshulpmiddelen.
Schaalbaarheid
De mogelijkheid van de entiteit om de integriteit te handhaven van de informatie die in het informatiesysteem is opgeslagen en verwerkt, kan variëren op basis van de complexiteit en het aantal gerelateerde transacties en andere informatie. Hoe groter de complexiteit en de hoeveelheid gegevens dat een significante transactiestroom, rekeningsaldo of toelichting ondersteunt, hoe minder waarschijnlijk het wordt dat de entiteit de integriteit van die informatie handhaaft via interne beheersingsmaatregelen met betrekking tot informatieverwerking alleen (bijvoorbeeld interne beheersingsmaatregelen met betrekking tot input en output of interne beheersingsmaatregelen voor beoordeling). Het wordt ook minder waarschijnlijk dat de accountant controle-informatie zal kunnen verkrijgen over de volledigheid en nauwkeurigheid van dergelijke informatie door gegevensgerichte werkzaamheden alleen wanneer dergelijke informatie wordt gebruikt als controle-informatie. In sommige omstandigheden, wanneer het aantal en de complexiteit van transacties lager is, kan het management een interne beheersingsmaatregel met betrekking tot informatieverwerking hebben die voldoende is om de nauwkeurigheid en volledigheid van de gegevens te verifiëren (bijv. individueel verwerkte en gefactureerde verkooporders kunnen worden aangesloten met de hard copy die oorspronkelijk in de IT-applicatie is ingevoerd). Wanneer de entiteit steunt op general IT-controls om de integriteit van bepaalde informatie die door IT-applicaties wordt gebruikt, te handhaven, kan de accountant bepalen dat de IT-applicaties die die informatie bevatten, onderhevig zijn aan risico's die voortkomen uit het gebruik van IT.
Voorbeeldkenmerken van een IT-applicatie die waarschijnlijk niet onderhevig is aan risico's die voortkomen uit IT | Voorbeeldkenmerken van een IT-applicatie die waarschijnlijk onderhevig is aan risico's die voortkomen uit IT |
Elke transactie wordt ondersteund door originele hard copy documentatie. |
|
De IT-applicatie is waarschijnlijk niet onderhevig aan risico’s op IT omdat:
| De IT-applicatie is waarschijnlijk onderhevig aan risico’s op IT omdat:
|
Andere aspecten van de IT-omgeving die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT
Wanneer de accountant IT-applicaties identificeert die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT, zijn andere aspecten van de IT-omgeving doorgaans ook onderhevig aan risico's die voortkomen uit het gebruik van IT. De IT infrastructuur omvat de databases, het besturingssysteem en het netwerk. Databases slaan de gegevens die gebruikt worden door IT-applicaties op en kunnen bestaan uit vele onderling verbonden gegevenstabellen. Gegevens in databases kunnen ook rechtstreeks toegankelijk zijn via database managementsystemen door IT of ander personeel met database beheerrechten. Het besturingssysteem is verantwoordelijk voor het beheer van de communicatie tussen hardware, IT-applicaties en andere software die in het netwerk worden gebruikt. Als zodanig kunnen IT-applicaties en databases direct toegankelijk zijn via het besturingssysteem. Een netwerk wordt gebruikt in de IT infrastructuur om gegevens te verzenden en informatie, middelen en diensten te delen via een gemeenschappelijke communicatielink. Het netwerk brengt doorgaans ook een logische beveiligingslaag tot stand (ingeschakeld via het besturingssysteem) voor toegang tot de onderliggende middelen.
Wanneer IT-applicaties door de accountant worden geïdentificeerd als onderhevig aan risico's die voortkomen uit IT, word(t)(en) de database(s) die de gegevens opslaat(n) die worden verwerkt door een geïdentificeerde IT-applicatie, meestal ook geïdentificeerd. Omdat de mogelijkheid voor de werking van een IT-applicatie vaak afhankelijk is van het besturingssysteem en de IT-applicaties en databases direct toegankelijk kunnen zijn vanuit het besturingssysteem, is het besturingssysteem op een gelijke manier meestal onderhevig aan risico's die voortkomen uit het gebruik van IT. Het netwerk kan worden geïdentificeerd wanneer het een centraal toegangspunt is voor de geïdentificeerde IT-applicaties en gerelateerde databases of wanneer een IT applicatie interactie heeft met leveranciers of externe partijen via het internet, of wanneer web-gerichte IT-applicaties worden geïdentificeerd door de accountant.
Identificeren van risico's die voortkomen uit het gebruik van IT en general IT-controls
Voorbeelden van risico's die voortkomen uit het gebruik van IT omvatten risico's die verband houden met een ongepast steunen op IT-applicaties die onnauwkeurig gegevens verwerken, onnauwkeurige gegevens verwerken, of beide, zoals:
onbevoegde toegang tot gegevens die kan leiden tot vernietiging van gegevens of ongepaste wijzigingen in gegevens, inclusief het opnemen van ongeautoriseerde of niet-bestaande transacties of het onjuist vastleggen van transacties. Bijzondere risico's kunnen ontstaan wanneer meerdere gebruikers toegang hebben tot een gemeenschappelijke database;
de mogelijkheid voor IT-personeel om toegangsrechten te verkrijgen die verder gaan dan nodig is om hun toegewezen taken uit te voeren waardoor functiescheiding wordt doorbroken.
onbevoegde wijzigingen in gegevens in hoofdbestanden;
onbevoegde wijzigingen in IT-applicaties of andere aspecten van de IT-omgeving;
het niet aanbrengen van noodzakelijke wijzigingen in IT-applicaties of andere aspecten van de IT-omgeving;
ongepaste handmatige interventie;
potentieel verlies van gegevens of onmogelijkheid om toegang te krijgen tot gegevens zoals vereist.
De overweging van de accountant van onbevoegde toegang kan risico's met betrekking tot onbevoegde toegang omvatten door interne of externe partijen (vaak aangeduid als cybersecurity-risico's). Dergelijke risico's hoeven niet noodzakelijkerwijs invloed te hebben op de financiële verslaggeving, aangezien de IT-omgeving van een entiteit ook IT-applicaties en aanverwante gegevens kan omvatten die betrekking hebben op operationele of nalevingsbehoeften. Het is belangrijk op te merken dat cyberincidenten meestal eerst voorkomen via het datacenter en interne netwerklagen, die de neiging hebben verder verwijderd te zijn van de IT-applicatie, database en besturingssystemen die van invloed zijn op het opstellen van de financiële overzichten. Dienovereenkomstig, als informatie over een inbreuk op de beveiliging is geïdentificeerd, overweegt de accountant gewoonlijk in hoeverre een dergelijke inbreuk op de beveiliging de financiële verslaggeving zou kunnen beïnvloeden. Als de financiële verslaggeving hierdoor kan worden beïnvloed, kan de accountant besluiten inzicht te verwerven in de interne beheersingsmaatregelen en deze te toetsen om de mogelijke impact of reikwijdte van mogelijke afwijkingen in de financiële overzichten te bepalen of kan de accountant bepalen dat de entiteit voldoende toelichting heeft verstrekt over een dergelijke inbreuk op de beveiliging.
Wet- en regelgeving die een direct of indirect effect op de financiële overzichten van de entiteit heeft, kan bovendien gegevensbeschermingswetgeving omvatten. Overweging van de naleving van dergelijke wet- of regelgeving door een entiteit, in overeenstemming met Standaard 250 , kan inzicht in de IT processen van de entiteit en general IT controls die de entiteit heeft geïmplementeerd om de relevante wet- of regelgeving te adresseren, omvatten.
General IT-controls worden geïmplementeerd om in te spelen op risico's die voortkomen uit het gebruik van IT. Dienovereenkomstig gebruikt de accountant het verkregen inzicht in de geïdentificeerde IT-applicaties en andere aspecten van de IT-omgeving en de van toepassing zijnde risico's die voortkomen uit het gebruik van IT bij het bepalen van de te identificeren general IT controls. In sommige gevallen kan een entiteit gemeenschappelijke IT-processen rondom de IT-omgeving of tussen bepaalde IT-applicaties gebruiken, in welk geval gemeenschappelijke risico's die voortkomen uit het gebruik van IT en gemeenschappelijke general IT controls kunnen worden geïdentificeerd.
In het algemeen kan waarschijnlijk een groter aantal general IT controls met betrekking tot IT-applicaties en databases worden geïdentificeerd dan voor andere aspecten van de IT-omgeving. Dit komt omdat deze aspecten het meest betrokken zijn bij de informatieverwerking en opslag van informatie in het informatiesysteem van de entiteit. Bij het identificeren van general IT controls kan de accountant de interne beheersing van handelingen van zowel eindgebruikers als van het IT-personeel van de entiteit of IT-serviceproviders overwegen.
Bijlage 6 geeft een nadere toelichting op de aard van de general IT controls doorgaans geïmplementeerd voor verschillende aspecten van de IT-omgeving. Daarnaast worden voorbeelden van general IT controls voor verschillende IT-processen gegeven.
Bijlage 6: Overwegingen voor het verwerven van inzicht in general IT controls
(Zie Par. 25 (c)(ii) en A173 en A174)
Deze bijlage bevat verdere aangelegenheden die de accountant kan overwegen bij het verwerven van inzicht in general IT controls.
-
De aard van de general IT controls die doorgaans worden geïmplementeerd voor elk aspect van de IT-omgeving:
-
Applicaties
General IT-controls op de IT-applicatielaag hangen samen met de aard en omvang van applicatiefunctionaliteit en de toegangspaden die zijn toegestaan in de technologie. Bijvoorbeeld meer interne beheersingsmaatregelen zullen relevant zijn voor in hoge mate geïntegreerde IT-applicaties met complexe beveiligingsopties dan een verouderde IT-applicatie die een klein aantal rekeningsaldi ondersteunt met uitsluitend wachtwoordbeveiliging. -
Database
General IT-controls op de databaselaag spelen normaliter in op de risico's die voortkomen uit het gebruik van IT gerelateerd aan ongeautoriseerde updates van financiële verslaggevingsinformatie in de database via directe toegang tot de database of uitvoering van een script of programma. -
Besturingssysteem
General IT-controls op de laag van het besturingssysteem spelen doorgaans in op risico's die voortkomen uit het gebruik van IT met betrekking tot beheerderstoegang, dat het doorbreken van andere interne beheersingsmaatregelen mogelijk kan maken. Dit omvat handelingen zoals het in gevaar brengen van de inloggegevens van andere gebruikers, het toevoegen van nieuwe, ongeautoriseerde gebruikers, laden van malware of uitvoeren van scripts of andere ongeautoriseerde programma's. -
Netwerk
General IT-controls op de netwerklaag spelen doorgaans in op risico’s die voortkomen uit het gebruik van IT gerelateerd aan netwerksegmentatie, toegang op afstand en authenticatie. Netwerk beheersmaatregelen kunnen relevant zijn wanneer een entiteit web-gerichte applicaties heeft die worden gebruikt voor financiële verslaggeving. Netwerk beheersmaatregelen kunnen ook relevant zijn wanneer de entiteit significante relaties met zakenpartners heeft of gebruik maakt van serviceorganisaties, waardoor gegevensoverdracht en de noodzaak van toegang op afstand kunnen toenemen.
-
-
Voorbeelden van general IT-controls die kunnen bestaan, georganiseerd door IT-processen, omvatten:
-
Proces om toegang te beheren:
-
Authenticatie
Interne beheersingsmaatregelen die ervoor zorgen dat een gebruiker die toegang heeft tot de IT-applicatie of een ander aspect van de IT-omgeving, de eigen inloggegevens van de gebruiker gebruikt (dat wil zeggen, de gebruiker geen inloggegevens van andere gebruikers gebruikt). -
Autorisatie
Interne beheersingsmaatregelen die gebruikers toestaan om toegang te hebben tot de informatie die nodig is voor hun taakverantwoordelijkheden en verder niet, wat een passende functiescheiding mogelijk maakt. -
Toegang verlenen
Interne beheersingsmaatregelen om nieuwe gebruikers en wijzigingen in de toegangsrechten van bestaande gebruikers te autoriseren. -
Toegang opheffen
Interne beheersingsmaatregelen om gebruikerstoegang te verwijderen bij beëindiging dienstverband of functieverandering. -
Toegangsprivileges
Interne beheersingsmaatregelen met betrekking tot de toegang van beheerders of krachtige gebruikers. -
Beoordelingen van gebruikerstoegang
Interne beheersingsmaatregelen om gebruikerstoegang opnieuw te certificeren of te evalueren voor doorlopende autorisatie in de loop van de tijd. -
Interne beheersingsmaatregelen met betrekking tot beveiligingsconfiguratie
Elke technologie heeft over het algemeen belangrijke configuratie-instellingen die helpen de toegang tot haar omgeving te beperken. -
Fysieke toegang
Interne beheersingsmaatregelen met betrekking tot fysieke toegang tot het datacenter en hardware, omdat dergelijke toegang gebruikt kan worden om andere interne beheersingsmaatregelen te doorbreken.
-
-
Proces om programma- of andere wijzigingen in de IT-omgeving te beheren:
-
Change management proces
Interne beheersingsmaatregelen met betrekking tot het ontwikkelen, testen en doorvoeren van wijzigingen naar een productie omgeving (d.w.z. eindgebruiker). -
Functiescheiding over wijzigingsmigratie
Interne beheersingsmaatregelen die toegang scheiden om wijzigingen in een productieomgeving aan te brengen. -
Systeemontwikkeling of acquisitie of implementatie
Interne beheersingsmaatregelen met betrekking tot de initiële ontwikkeling of implementatie van IT-applicaties (of in relatie tot andere aspecten van de IT-omgeving). -
Data conversie
Interne beheersingsmaatregelen met betrekking tot de conversie van gegevens tijdens ontwikkeling, implementatie of upgrades naar de IT-omgeving. Proces om IT-activiteiten te beheren -
Taakplanning
Interne beheersingsmaatregelen met betrekking tot de toegang om taken of programma’s te plannen en te initiëren die gevolgen kunnen hebben voor de financiële verslaggeving. -
Taakmonitoring
Interne beheersingsmaatregelen om financiële verslaggevingstaken of -programma's te monitoren voor succesvolle uitvoering. -
Back-up en herstel
Interne beheersingsmaatregelen om ervoor te zorgen dat back-ups van financiële verslaggevingsgegevens plaatsvinden zoals gepland, zodat gegevens beschikbaar zijn en kunnen worden geraadpleegd voor tijdig herstel in geval van een storing of aanval. -
Indringersdetectie
Interne beheersingsmaatregelen om te monitoren op kwetsbaarheden en/of inbraken in de IT-omgeving.
-
-
De onderstaande tabel illustreert voorbeelden van general IT controls om in te spelen op voorbeelden van risico's die voortkomen uit het gebruik van IT, inclusief verschillende IT-applicaties op basis van hun aard.
Proces |
Risico’s |
Interne beheersings-maatregelen |
IT-applicaties |
||
IT-proces |
Voorbeeld-risico's die voortkomen uit het gebruik van IT |
Voorbeeld general IT-controls |
Niet complexe commerciële software |
Middelgrote en matig complexe commerciële software of IT-applicaties - Van toepassing (Ja/ nee) |
Grote of complexe IT-applicaties (bijvoorbeeld ERP systemen) - Van toepassing (Ja/ nee) |
Toegang beheren |
Gebruikers-toegangs- privileges: Gebruikers hebben toegangs- privileges die verder gaan dan nodig om hun toegewezen taken uit te voeren, hetgeen ongepaste functiescheiding kan creëren. |
Management keurt de aard en omvang van gebruikers toegangs-privileges voor nieuwe en aangepaste gebruikers-toegang goed, inclusief standaard applicatie profielen / rollen, kritische financiële verslaggevings- transacties, en functiescheiding. |
Ja - in plaats van beoordelingen van gebruikers-toegang hieronder. |
Ja |
Ja |
Toegang voor beëindigde of overgedragen gebruikers is tijdig verwijderd of gewijzigd. |
Ja - in plaats van beoordelingen van gebruikerstoegang hieronder. |
Ja |
Ja |
||
Gebruikers-toegang wordt periodiek beoordeeld. |
Ja - in plaats van interne beheersingsmaat-regelen over toegang verlenen /opheffen hierboven. |
Ja voor bepaalde applicaties. |
Ja |
||
Functiescheiding wordt gemonitord en conflicterende toegang wordt verwijderd of toegewezen aan mitigerende interne beheersingsmaat-regelen, die zijn gedocumenteerd en getoetst. |
Nvt – geen systeem ingeschakelde scheiding. |
Ja voor bepaalde applicaties |
Ja |
||
Toegang op Privilege-niveau (bijv. configuratie, gegevens en veiligheids- beheerders) is geautoriseerd en op gepaste wijze beperkt. |
Ja - waarschijnlijk alleen bij IT-applicatie-laag |
Ja - bij IT applicatie en bepaalde lagen van IT-omgeving voor een platform. |
Ja bij alle lagen van IT-omgeving voor een platform. |
||
Toegang beheren |
Directe gegevens toegang: Ongepaste veranderingen zijn rechtstreeks gemaakt in financiële data door andere middelen dan applicatie transacties. |
Toegang tot applicatie gegevensbestanden of database objecten / tabellen / gegevens is beperkt tot geautoriseerd personeel op basis van hun taakverantwoordelijkheden en toegewezen rol, en dergelijke toegang is goedgekeurd door het management. |
nvt |
Ja voor bepaalde applicaties en databases |
Ja |
Toegang beheren |
Systeem instellingen: Systemen zijn niet voldoende geconfigureerd of bijgewerkt om systeemtoegang te beperken tot naar behoren geautoriseerde en geschikte gebruikers. |
Toegang is geverifieerd door unieke gebruikers-ID's en wachtwoorden of andere methoden zoals een mechanisme voor het valideren dat gebruikers geautoriseerd zijn om toegang te krijgen tot het systeem. Wachtwoord parameters voldoen aan de bedrijfs- of sector normen (bijv. minimum lengte wachtwoord en complexiteit, vervaldatum, account-vergrendeling). |
Ja – alleen wachtwoord authenticatie |
Ja - mix van wachtwoord en multi-factor authenticati |
Ja |
De belangrijkste kenmerken van de bewakings- configuratie zijn op gepaste wijze geïmplementeerd. |
Nvt – er bestaan geen technische veiligheids- configuraties. |
Ja voor bepaalde applicaties en databases. |
Ja |
||
Wijzigingen beheren. |
Applicatie wijzigingen: Ongepaste wijzigingen zijn doorgevoerd aan applicatie- systemen of programma’s die relevante geautomatiseerde interne beheersingsmaat-regelen (d.w.z. configureerbare instellingen, geautomatiseerde algoritmen, geautomatiseerde berekeningen en geautomatiseerde data-extractie) of rapport logica bevatten. |
Applicatie wijzigingen zijn op gepaste wijze getest en goedgekeurd voordat ze doorgevoerd worden naar de productie omgeving. |
Nvt – zou verifiëren dat er geen broncode is geïnstalleerd. |
Ja - voor niet-commerciële software. |
Ja |
Toegang tot het doorvoeren van wijzigingen in de applicatie productie omgeving is op gepaste wijze beperkt en gescheiden van de ontwikkelomgeving. |
Nvt |
Ja - voor niet-commerciële software. |
Ja |
||
Wijziging beheren |
Database wijzigingen: Ongepaste wijzigingen zijn doorgevoerd in de database structuur en relaties tussen de gegevens. |
Database wijzigingen zijn op gepaste wijze getoetst en goedgekeurd voordat ze verplaatst worden naar de productie omgeving. |
Nvt – geen database veranderingen gemaakt bij de entiteit. |
Ja - voor niet-commerciële software. |
Ja |
Wijzigingen beheren. |
Systeem software wijzigingen: Ongepaste wijzigingen zijn gemaakt in systeem software (bijv. besturings- systeem, netwerk, change management software, toegangscontrole software). |
Systeem software wijzigingen zijn op gepaste wijze getest en goedgekeurd voordat ze worden doorgevoerd naar de productie. |
Nvt – geen systeem software wijzigingen zijn gemaakt bij entiteit. |
Ja |
Ja |
Wijzigingen beheren. |
Gegevens conversie: Gegevens geconverteerd uit verouderde systemen of voorgaande versies introduceren fouten in gegevens als de conversie incomplete, overtollige, verouderde, of onnauwkeurige gegevens overbrengt. |
Management keurt de resultaten van de conversie van gegevens goed (bijvoorbeeld balans-opmakende en aansluitings- activiteiten) van het oude applicatie systeem of de gegevens structuur naar het nieuwe applicatiesysteem of de gegevensstructuur en monitort dat de conversie is uitgevoerd in overeenstemming met vastgestelde conversiebeleidslijnen en procedures. |
Nvt – behandeld door handmatige interne beheersingsmaat-regelen. |
Ja |
Ja |
IT-activiteiten |
Netwerk: het netwerk voorkomt onvoldoende dat onbevoegde gebruikers ongepast toegang verkrijgen tot informatie systemen. |
Toegangsauthenticatie door unieke gebruikers-ID's en wachtwoorden of andere methoden zoals een mechanisme voor het valideren dat gebruikers geautoriseerd zijn om toegang te krijgen tot het systeem. Wachtwoord parameters voldoen aan bedrijfs- of professionele beleidslijnen en normen (bijv. min. lengte wachtwoord en complexiteit, vervaldatum, accountvergrendeling). |
Nvt – er bestaat geen aparte netwerk authenticatie methode. |
Ja |
Ja |
Het netwerk is zodanig gesegmenteerd dat web-gerichte applicaties gescheiden zijn van het interne netwerk. |
Nvt – geen netwerk segmentatie toegepast. |
Ja – met oordeels-vorming. |
Ja – met oordeels-vorming. |
||
Kwetsbaarheids-scans van de netwerk omgeving worden periodiek uitgevoerd door het netwerk management team (beveiligingscentrum), dat ook potentiële kwetsbaarheden onderzoekt. |
Nvt |
Ja – met oordeels-vorming. |
Ja – met oordeels-vorming. |
||
Waarschuwingen worden periodiek gegenereerd om bedreigingen die zijn geïdentificeerd door de inbreuk detectiesystemen te communiceren. Deze bedreigingen zijn onderzocht door het netwerk management team (beveiligingscentrum). |
Nvt. |
Ja – met oordeelsvorming. |
Ja – met oordeelsvorming. |
||
Interne beheersingsmaat-regelen zijn geïmplementeerd om toegang tot Virtual Private Network (VPN) te beperken tot geautoriseerde en geschikte gebruikers. |
Nvt - geen VPN. |
Ja – met oordeelsvorming. |
Ja – met oordeelsvorming. |
||
IT-activiteiten |
Gegevens back-up en herstel: Financiële gegevens kunnen niet tijdig worden hersteld of benaderd bij een verlies van gegevens. |
Er wordt regelmatig een back-up gemaakt van financiële gegevens volgens een vastgesteld schema en frequentie. |
Nvt – steunend op handmatige back-ups door het financiële team. |
Ja. |
Ja. |
IT-activiteiten |
Taakplanning: Productie systemen, programma's, of taken resulteren in onnauwkeurig, onvolledig, of ongeautoriseerd verwerken van gegevens. |
Alleen geautoriseerde gebruikers hebben toegang om de batch taken bij te werken (inclusief interface-taken) in de taakplannings- software. |
Nvt - geen batch taken. |
Ja voor bepaalde applicaties. |
Ja. |
Kritische systemen, programma's of taken worden gemonitord en verwerkings-fouten worden gecorrigeerd om te zorgen voor succesvolle implementatie. |
Nvt - geen taakmonitoring. |
Ja voor bepaalde applicaties. |
Ja |