Arjan van den Berg

Samenwerking IT auditor en accountant (1) Deel 1. Introductie jaarrekeningcontrole en materialiteit

Doelstelling van de jaarrekeningcontrole

Het primaire doel van de controle van de jaarrekening is om vast te stellen of de jaarrekening op de balansdatum een getrouw beeld geeft van het vermogen en van het resultaat over het boekjaar. De accountant zal daarom op zoek gaan naar de onderbouwing van het getrouwe beeld dat de jaarrekening moet scheppen van de werkelijkheid en dient hiervoor een deugdelijke grondslag te verkrijgen. De deugdelijke grondslag moet aan de ene kant worden verkregen door het verrichten van toereikende werkzaamheden en anderzijds door het beschikken over voldoende deskundigheid om een oordeel te kunnen geven.

Knechel geeft in zijn beschouwing op de doelstelling van accountantscontrole een uitgebreidere opsomming van relevante doelstellingen van de accountantscontrole [1]:

  1. het evalueren of de jaarrekening voldoet aan de van toepassing zijnde grondslagen voor financiële verslaggeving;
  2. het vaststellen of er binnen de organisatie fraude plaats vindt of heeft gevonden;
  3. het evalueren of de continuïteit van de onderneming is gewaarborgd (het zogenaamde going-concern principe)
  4. het evalueren van de mogelijkheden voor de organisatie om haar concurrentiepositie te verbeteren.

Van deze opsomming wordt in het algemeen de eerstgenoemde doelstelling als het meest belangrijk beoordeeld. Immers, als niet aan deze doelstelling kan worden voldaan, is de accountant niet in staat een goedkeurende accountantsverklaring af te geven aangezien dit de hoofddoelstelling is van een accountantscontrole. De punten 2 en 4 worden in de Nederlandse controleaanpak wel meegenomen, maar zijn geen hoofddoel van de controle. Punt 3, de continuïteit en het waarderen op going-concern is steeds belangrijker, zeker sinds de crisis in 2008 uitbrak. Hier zal ik nu niet verder op ingaan.

De werkwijze van de accountant richt zich bij de jaarrekeningcontrole op het ontdekken van onvolkomenheden van voldoende belang, ook wel materieel belang genoemd. Om te kunnen bepalen welke elementen van voldoende belang zijn binnen een controle, worden enkele kenmerken benoemd: de zogenaamde materialiteit en controletolerantie gehanteerd. Op basis van deze (groten-deels kwantitatief bepaalde) grootheden kan de accountant beoordelen of de gevonden afwijkingen al dan niet van voldoende belang zijn. Van voldoende belang wordt gesproken op moment dat de ontdekte onvolkomenheid de beslissingen die de gebruiker neemt op basis van de financiële verantwoording, kan beïnvloeden.

Materialiteit en controletolerantie

Een goedkeurende controleverklaring geeft niet aan dat tot in de laatste details aan alle aspecten is voldaan. Onvolkomenheden of onjuistheden die niet van voldoende belang zijn behoeven een goedkeurende verklaring niet in de weg te staan. De reeds aangehaalde term ‘betrouwbaarheid’ heeft dan ook niet de lading van de ‘grootst denkbare mate van nauwkeurigheid’.

Alhoewel er algemene rekenregels beschikbaar zijn om te kunnen bepalen wat als materieel belang (ook wel materialiteit of jaarrekeningtolerantie genoemd) moet worden aangemerkt, komt het vaststellen van dit getal neer op de zogenaamde vakkundige oordeelsvorming, ofwel professional judgement van de accountant. Daarnaast wordt meestal een zogenaamde controletolerantie hieraan toegevoegd welke als maatstaf dient voor de controlewerkzaamheden. Beide zijn wel aan elkaar gerelateerd aangezien de controletolerantie afgeleid wordt van de materialiteit. Normaliter is de controletolerantie lager dan de materialiteit. Materialiteit is de ‘uiterste grens’ waarbinnen een geconstateerde tekortkoming of fout in de jaarrekening nog aanvaardbaar is; immers, het overschrijden van de materialiteitsgrens betekent dat de onjuiste informatie zodanig het getrouw beeld van de jaarrekening aantast, dat dit niet meer acceptabel is. De accountant hanteert een lagere controletolerantie aangezien niet alle fouten ontdekt zullen worden tijdens de jaarrekeningcontrole. Hierbij gelden een aantal overwegingen:

  1. De nauwkeurigheid van bepaalde controlewerkzaamheden is niet altijd goed vast te stellen; hierdoor kunnen gevonden afwijkingen een goede indicatie zijn van de totale fout, maar kan het getal van de fout niet precies worden bepaald.
  2. De controletolerantie wordt in de planningsfase berekend; dit betreft echter vaak geëxtrapoleerde conceptcijfers of de jaarrekeningcijfers van voorgaand jaar;
  3. Niet alle aangetroffen fouten zullen ook daadwerkelijk worden aangepast; dit heeft een versterkend effect op bovenstaande twee punten.

Ook kan het voorkomen dat de accountant door de interne gebruikers van de jaarrekening, bijvoorbeeld de commissarissen of het bestuur, gevraagd wordt de controle-tolerantie lager te stellen. Dit kan echter alleen als de accountant ook daadwerkelijk de behoefte van de beoogde gebruikers van de jaarrekening kent of redelijkerwijs kan vermoeden.

De controletolerantie bepaalt of een fout feitelijk gecorrigeerd dient te worden of dat deze getolereerd kan worden. In het laatste geval maakt de accountant wel melding van de gevonden afwijking in zijn dossier, maar is aanpassing niet noodzakelijk. Zie onderstaande figuur:

materialiteit

De begrippen materieel belang en controletolerantie worden gedurende het gehele controleproces gehanteerd. Deze beide begrippen zijn van belang bij het opzetten van het controleplan en het uitvoeren van de risicoanalyse. Daarnaast spelen zij een rol bij het beoordelen van de controlebevindingen en voordat de verklaring kan worden afgegeven, dient het ingeschatte materieel belang te worden beoordeeld ten opzichte van de conclusies en bevindingen. Daarbij moet de accountant ook letten op het feit dat bevindingen individueel bekeken wellicht niet materieel zijn, maar cumulatief wel de materialiteitsgrens overschrijden. In dat geval dienen (een aantal) bevindingen alsnog tot correctie te leiden, anders heeft dit alsnog gevolgen voor de af te geven controleverklaring.

Materialiteit vanuit IT-audit perspectief

De accountant schat dus in welke bevindingen uit de controle een zodanig effect hebben op de jaarrekening, dat de getrouwheid wordt aangetast. Hoewel het in de literatuur niet concreet omschreven is hoe materialiteit daadwerkelijk tot stand dient te komen – er is namelijk altijd sprake van bijzondere factoren waardoor de accountant een professionele inschatting dient te maken van de te hanteren materialiteit – zijn er toch een aantal vuistregels welke als aanvaardbaar worden geacht. Zo zijn er basisrekenregels voor het bepalen van de materialiteit, bijvoorbeeld 5% van de netto-omzet, of 10% van het eigen vermogen. Het type controles dat de accountant uitvoert, gericht op de vaststelling van de in de jaarrekening verantwoorde bedragen, lenen zich hier prima voor. Wat lastiger wordt het al met het beoordelen van ontbrekende of onvolledige toelichting. Maar ook hierbij is vaak nog wel een inschatting te maken.

De IT-auditor, die binnen de jaarrekeningcontrole zijn aandeel voornamelijk levert in het beoordelen van de algemene beheersmaatregelen rondom de IT en het bestaan van de application controls, kan vaak alleen constateren dat een onderdeel werkt of niet werkt zoals bedoeld. Het inschatten van het maximale risico en/of bedrag wat hiermee gemoeid is, is vaak zeer omslachtig te bepalen of zelfs onmogelijk te kwantificeren. Een voorbeeld hiervan is de geconstateerde onjuist werking van het zogenaamde change management proces, waarmee de organisatie op gecontroleerde wijze wijzigingen aanbrengt in haar programmatuur en IT infrastructuur. Wanneer de IT-auditor constateert dat dit niet aan de verwachtingen voldoet, hoe kan deze bevinding dan voor de jaarrekeningcontrole worden gekwantificeerd?

In een IS guideline van de Amerikaanse beroepsorganisatie van IT-auditors en informatiebeveiligers ISACA (Information Systems Audit and Control Association) wordt een oplossing hiervoor geboden; de guideline schetst dat “the IS auditor should determine whether any IT general deficiency could potentially become material. The significance of such deficient IT general controls should be evaluated in relation to their effect on application controls, i.e., whether the associated application controls are also ineffective. If the application deficiency is caused by the IT general control, then they are material. For example, if an application-based tax calculation is materially wrong and was caused by poor change controls to tax tables, then the application-based control (calculation) and the general control (changes) are materially weak.

De IT-auditor dient dus het effect te bekijken welke de geconstateerde tekortkomingen hebben en kan dan -nog steeds gebaseerd op professional judgement!- wel aangeven of de bevindingen al dan niet materieel zijn voor de controle. Meetpunten zijn dan ook de bekende gevolgen zoals financiële schade en imagoschade en bijvoorbeeld het niet-naleven van relevante wet- en regelgeving.

De conclusie vanuit dit perspectief geeft dan ook duidelijk aan, dat de IT-auditor en de accountant dienen te overleggen over de bevindingen om op deze wijze de samenwerking goed te laten verlopen. De IT-auditor zal dus goed moeten onderbouwen waarom bepaalde bevindingen een effect van materieel belang op de verantwoorde cijfers in de jaarrekening hebben. De accountant vanuit zijn kant zal daarbij moeten beoordelen op welke wijze de geconstateerde problemen kunnen worden weggenomen, bijvoorbeeld door het uitvoeren van diepgaande cijferbeoordelingen en steekproeven. Wellicht kan het geconstateerde probleem zelfs worden weggenomen door integraal de gegevensstroom te controleren, bijvoorbeeld door middel van auditsoftware. In dat geval wordt de geconstateerde zwakheid omzeilt en kan de juistheid van de jaarrekeningpost alsnog worden bepaald. Uitgangspunt blijft echter de communicatie tussen IT-auditor en accountant en het gezamenlijk zoeken naar een oplossing.