Valkuilen bij een gegevensgerichte controleaanpak

Inleiding

In dit artikel sta ik stil bij een aantal valkuilen bij een gegevensgerichte controleaanpak. Ongetwijfeld zijn er meer te benoemen.
De trend is dat steeds vaker bij jaarrekeningcontroles bij vooral kleine organisaties wordt gekozen voor een gegevensgerichte controleaanpak. Overweging is vaak dat dit efficiënter is of dat de kwaliteit van de AOIB (administratieve organisatie/interne beheersing) een systeemgerichte aanpak niet toelaat.
Hieronder volgt per (niet limitatief opgesomde) valkuil een toelichting met tips hoe hiermee om te gaan.

Valkuilen

1- Een goede planning is het halve werk….

In de praktijk wordt te vaak te weinig aandacht besteed aan de planningsfase. Ten onrechte wordt geredeneerd dat, omdat er gegevensgericht gecontroleerd gaat worden, de planningsfase niet zo belangrijk is. Praktisch wordt bij een doorlopende opdracht de planningsfase overgenomen van het dossier van vorig jaar. Hierdoor is onvoldoende inzicht in de ontwikkelingen bij de cliënt en eventuele wijzigingen in procedures (AOIB). Dat wordt tijdens de eindejaarscontrole bij het uitvoeren van de gegevensgerichte werkzaamheden pas geconstateerd. Dit leidt tot inefficiency doordat de controleaanpak gedurende de rit, als het even tegenzit, alsnog bijgesteld moet worden op verschillende onderdelen. In plaats van ongestoord de gegevensgerichte werkzaamheden tijdens de eindejaarscontrole uit te voeren en af te ronden ontstaat een chaotische controle waarbij ook nog de gaten in de planningsfase gedicht moeten worden.
Mijn advies is te investeren in een goede controleaanpak door voldoende tijd te besteden aan de planningsfase. Dat verdien je gemakkelijk terug. Ook bij doorlopende opdrachten moet je minimaal navraag doen over ontwikkelingen in de organisatie (zoals inzake de AOIB, resultaatontwikkeling, etc.) en de impact op je controle bepalen en verwerken in het controledossier.

2- Significante risico’s

Een goede risicoanalyse is essentieel voor een goede controle. Een belangrijk type controlerisico is het significant risico. Een significant risico is een geïdentificeerd en ingeschat risico op een afwijking van materieel belang waaraan, op grond van de oordeelsvorming van de accountant, tijdens de controle bijzondere aandacht moet worden besteed. Indien een significant risico zich voordoet moet zowel de opzet worden beoordeeld als het bestaan van de AOIB worden vastgesteld, ook bij een gegevensgerichte controleaanpak. Dit in afwijking van overige risico’s waar het bestaan van de AOIB niet vastgesteld hoeft te worden bij een gegevensgerichte controle.

Een ander aandachtspunt is dat bij het vaststellen van het bestaan van de AOIB altijd een lijncontrole moet worden uitgevoerd. In de praktijk wordt soms ten onrechte volstaan met het inwinnen van inlichtingen maar dat is niet voldoende.

In de praktijk komt het (te vaak) voor dat er tekortkomingen zijn in een dossier doordat er bij significante risico’s te weinig aandacht is gegeven aan het vaststellen van het bestaan van de AOIB door middel van lijncontroles. Wees er alert op dat dit in jouw dossiers goed gaat.

3- Mix van gegevensgerichte werkzaamheden

Het is van belang om voor een efficiënte gegevensgerichte controle te zorgen door een goede mix van de gegevensgerichte werkzaamheden. De steekproefomvang kan bijvoorbeeld worden verlaagd door het uitvoeren van cijferanalyses of data-analyse. Data-analyse is vaak nog nieuw voor accountants in die zin dat het nog weinig wordt toegepast. Data-analyse kan echter erg effectief en efficiënt zijn.
Let op de relatie die deze werkzaamheden hebben en motiveer op welke manier door de combinatie van werkzaamheden de vereiste zekerheid wordt verkregen.

4- Evaluatie steekproefuitkomsten

Steekproeven uitvoeren is een manier om op een gestructureerde en onderbouwde manier te bepalen hoeveel waarnemingen plaats moeten vinden bij de controle van een massa en daarover een conclusie te trekken. In standaard 530 Het gebruiken van steekproeven bij een controle is dit nader belicht.

Gevonden fouten mogen niet een op een worden overgenomen op de foutenlijst bij de evaluatie van controleverschillen. De fouten worden eerst geëxtrapoleerd en op basis daarvan kan pas een conclusie getrokken worden over het wel of niet goedkeuren van de massa (en of er eventueel een nieuwe steekproef uitgevoerd moet worden), behalve als er sprake is van een atypische fout. Evaluatie van steekproefafwijkingen is bijzonder belangrijk en blijkt in de praktijk nog te vaak mis te gaan.
Door te zorgen voor voldoende interne instructies bij het gebruikmaken van steekproeven en evaluatie van de uitkomsten kan voorkomen worden dat het mis gaat bij de evaluatie. Je kunt hier denken aan (interne of externe) cursussen over dit onderwerp en het maken van afspraken over het gebruikmaken van standaard steekproefmodellen.

5- Gegevensgerichte cijferanalyse

Belangrijk is het onderscheid goed voor ogen te houden tussen een gegevensgerichte cijferanalyse (standaard 520 cijferanalyses) en een cijferbeoordeling. Een gegevensgerichte cijferanalyse levert zekerheid op en een cijferbeoordeling is richtinggevend voor de controle en levert geen zekerheid op. Bij het uitvoeren van een gegevensgerichte cijferanalyse is bovendien essentieel dat een goede verwachting opgebouwd kan worden op basis van betrouwbare gegevens. Door een vergelijking van realisatie en opgebouwde verwachting en analyse van het verschil wordt een conclusie getrokken over de post. Afwijkingen mogen alleen geaccepteerd worden indien die binnen een bepaalde marge (de drempelwaarde) vallen.
In de praktijk komt het voor dat cijferanalyses vaktechnisch onvoldoende worden uitgevoerd. De werkzaamheden blijken meer het karakter te hebben van cijferbeoordelingen. Hierdoor wordt het vereiste zekerheidsniveau niet behaald leidend tot onvoldoende controlewerkzaamheden. Door te zorgen voor voldoende interne instructies hierover door middel van bijvoorbeeld richtlijnen en (interne of externe) cursussen en het hanteren van standaard cijferanalysemodellen kan geborgd worden dat cijferanalyses worden uitgevoerd zoals het hoort.

6- Documentatie, documentatie, documentatie…

Wellicht een open deur. Net als bij alle overige type werkzaamheden is het belangrijk om de werkzaamheden goed vast te leggen. Hoe ver ga je?
Leg je alle 100 facturen die in een steekproef vallen vast in het dossier? Dat lijkt me een beetje overdreven. En de 4 facturen met bevindingen dan? Die zou ik zeker vastleggen ter onderbouwing van de conclusie. Wat in elk geval van belang is, is dat uit het dossier blijkt wat je hebt gedaan, wat de uitkomsten zijn en wat de bevindingen zijn en de conclusie is. Vaak zie je een Excelsheet met de uitkomsten per geselecteerd item bij een steekproef.
Bij een gegevensgerichte cijferanalyse wordt een verwachting opgebouwd. Deze verwachting dient gebaseerd te zijn op betrouwbare informatie. Het is van belang dat uit het dossier blijkt hoe de verwachting is opgebouwd.

Mochten de hierboven opgenomen valkuilen en onderwerpen vragen oproepen, dan hoor ik het graag. Bovendien hebben wij diverse trainingen ontwikkeld ter lering, zoals onlangs gegeven op het gebied van data-analyse.

Drs. Yahya Latif RA