Al bijna 15 jaar geleden hebben we een grondige herziening ervaren van de NV Controle en Overige Standaarden 200 t/m 810 (de ‘Standaarden’). Dit was het zogenoemde ‘Clarity project’, waarmee werd beoogd de Standaarden beter leesbaar te maken. Dat is op zich wel gelukt, denk ik, maar ik merk dat de teksten in diverse Standaarden soms uitnodigen tot haarkloverij. De voorzettende discussie over de verantwoordelijkheid van de accountant met betrekking tot fraude, oftewel de toepassing van Standaard(en) 240 (en 250), getuigt hier ook van. En zodra de AFM binnenkort haar aangekondigde rapport over het thema-onderzoek Fraude heeft gepubliceerd, zal het fenomeen haarkloverij weer een nieuwe impuls krijgen, zo vermoed ik. In dit blog geef ik een voorbeeld van waar je tegenaan kunt lopen, indien je een paragraaf heel nauwgezet gaat lezen. En dit brengt mij tot de vraag of er niet een nieuw project gestart zou moeten worden, te weten het ‘Simplify project’, opdat wordt voorkomen dat verschillende accountants de vereisten uit de Standaarden verschillend interpreteren. Marianne van der Zijde (ex-AFM) signaleerde in feite dit punt eerder in 2017, getuige het volgende citaat uit een interview met het FD: “het ontbreken van normen voor de controle de olifant is in de kamer van de accountantsdiscussie in Nederland”. Er is niet voldoende duidelijkheid over de regels en de accountants en AFM vullen die daarom zelf in. De IAASB lijkt hier sinds vorig jaar op zich wel aandacht voor te hebben door bij het opstellen van concept Standaarden ‘CUSP’ te adresseren, wat staat voor ‘complexity’, ‘understandability’, ‘scalability’ en ‘proportionality’.
Het voorbeeld dat ik hierna uitwerk, is afkomstig uit Standaard 315. Deze Standaard gaat onder andere over de aandacht voor bedrijfsrisico’s. Mijn blog gaat over paragraaf 22 in Standaard 315 (paragraaf 15 in de vorige Standaard 315), die ziet op het risico-inschattingsproces van de entiteit.
Op grond van paragraaf 22 van Standaard 315 dient de accountant “inzicht te verwerven in het risico-inschattingsproces van de entiteit voor zover dat relevant is voor het opstellen van de jaarrekening.” Dit doet de accountant door een aantal werkzaamheden uit te voeren, waaronder (i) “inzicht te verwerven in het proces van de entiteit voor het identificeren van bedrijfsrisico’s die relevant zijn voor de doelstellingen van de financiële verslaggeving.” En eenmaal dit inzicht verworven, moet ook (ii) inzicht worden verworven “in het proces van de entiteit voor het inschatten van de significantie van die risico’s, inclusief de waarschijnlijkheid dat deze voorkomen.” Met ‘die risico’s’ worden de bedrijfsrisico’s bedoeld die onder werkstap (i) naar voren zijn gekomen, i.e. de bedrijfsrisico’s die relevant zijn voor de doelstellingen van de financiële verslaggeving.
Voordat ik inzoom op wat hier nu staat, sta ik stil bij de definitie van een bedrijfsrisico. Die luidt als volgt (Standaard 315.12 sub b): “Een risico dat voortkomt uit significante voorwaarden, gebeurtenissen, omstandigheden, handelingen of het achterwege laten van handelingen die een nadelig effect kunnen hebben op de mogelijkheid van een entiteit om haar doelstellingen te bereiken en de strategieën uit te voeren, of dat voortkomt uit het vaststellen van ongepaste doelstellingen en strategieën.“
Deze definitie van een bedrijfsrisico is in paragraaf 315.22 gekoppeld aan “die relevant zijn voor de doelstellingen van de financiële verslaggeving”. Uit de toelichtende paragraaf 315.A62 valt af te leiden dat de doelstelling van de financiële verslaggeving moet worden gezocht in het opstellen van een jaarrekening die vrij is van afwijkingen van materieel belang. Risico’s op een afwijking van materieel belang in de financiële overzichten worden via paragaaf 315.A62 ook geschaard onder bedrijfsrisico’s. Dit leert ons alvast twee punten:
- Alle door de entiteit onderkende risico’s op een afwijking van materieel belang kwalificeren als een bedrijfsrisico (zie Standaard 200.13 sub n. voor een definitie van een risico op een afwijking van materieel belang).
- In paragraaf 315.22 had in plaats van “bedrijfsrisico’s die relevant zijn voor de doelstellingen van de financiële verslaggeving” ook kunnen worden vermeld risico’s op een afwijking van materieel belang.
Hoeveel entiteiten hebben een proces waarin risico’s op een afwijking van materieel belang (inzake hun eigen jaarrekening) worden geïdentificeerd? Ik vermoed vrij weinig, maar dit terzijde.
De tweede werkstap (ii) luidde “inzicht te verwerven in het proces van de entiteit voor het inschatten van de significantie van die risico’s, inclusief de waarschijnlijkheid dat deze voorkomen.”
De accountant moet dus de significantie van de door de entiteit geïdentificeerde bedrijfsrisico’s die relevant zijn voor de doelstellingen van de financiële verslaggeving inschatten. Maar wat wordt bedoeld met de ‘significantie’ van bedrijfsrisico’s? Hier ontstaat al wat ik noem ‘interpretatieruis’. Significantie kan namelijk betekenen dat het vóórkomen van iets niet vanuit toeval of willekeurige factoren kan worden verklaard (‘statistisch significant’). Maar de toevoeging “inclusief de waarschijnlijkheid dat deze voorkomen” zou er ook op kunnen wijzen dat we de ‘significantie’ van bedrijfsrisico’s zo niet moeten interpreteren, want waarom anders die toevoeging? Een andere interpretatie van de ‘significantie’ van bedrijfsrisico’s is dit uitleggen als ‘belangrijkheid’. En dan is het een kleine interpretatiestap naar ‘impact’. Samen met het tweede deel na de komma (“inclusief de waarschijnlijkheid dat deze voorkomen”) heb je dan de twee elementen van een risico (in het algemeen) te pakken, namelijk een kans of waarschijnlijkheid op het optreden van een gebeurtenis met een negatieve impact. Ook wel bekend als P (kans of waarschijnlijkheid op voordoen) en Q (negatieve impact). Maar deze interpretatie doet wel afbreuk aan de typische risicomatrix die ook is verweven in de definitie van een significant risico in 315.12 sub l met de inschatting van de kans of waarschijnlijkheid op de Y-as en de inschatting van de negatieve impact op de X-as, waarbij significantie de combinatie van de X-as en Y-as is, oftewel de positie in de risicomatrix. De ‘significantie’ van bedrijfsrisico’s is vermoedelijk dus iets anders dan de ‘significantie’ in het begrip significante risico’s. Voorlopig blijf ik voor bedrijfsrisico’s bij mijn interpretatie van significantie als negatieve impact, omdat ik dit als meest voor de hand liggende interpretatie zie.
Ik ben van mening dat het inschatten van de negatieve impact normaliter redelijk goed te doen is, zowel in het algemeen als specifiek in relatie tot een jaarrekeningcontrole. Op basis van logica en gezond (accountants)verstand is veelal een voorstelling te maken van de negatieve impact. Wat in mijn optiek niet goed mogelijk is, of alleen met een grote foutmarge, is het inschatten van de kans of waarschijnlijkheid. Die kans of waarschijnlijkheid relateert aan een gebeurtenis (die leidt tot de negatieve impact) en het aantal gebeurtenissen is in beginsel oneindig. En als je wel werkt met een enkele gebeurtenis, dan is het aantal oorzaken van of triggers voor die gebeurtenis in beginsel oneindig. Ergo, de foutmarge of onzekerheid in de inschatting van de P acht ik groot. Ik ben om die redenen dan ook allergisch voor een risicomatrix waarin de inschatting van P en Q worden vermenigvuldigd om tot een ‘berekening’ van het risico te komen. Risicomanagement moet naar mijn mening vooral gaan over het inzicht in de impact en niet of in (veel) mindere mate over het inzicht in de voorliggende gebeurtenis(sen). En voornoemde betekent ook dat paragraaf 315.22 in feite niet uitvoerbaar is.
Maar ik dwaal af. Terug naar Standaard 315 paragraaf 22. Wat wil je als accountant nu eigenlijk? Je wilt inzicht in de entiteit, en onderdeel van dat inzicht is onder andere inzicht in de bedrijfsrisico’s, want die kunnen soms worden vertaald naar risico’s op een afwijking van materieel belang in de jaarrekening. En als accountant wil je inzicht in het proces van het opstellen van de jaarrekening, inclusief de voorliggende processen tot aan inzicht in de wijze waarop de financiële administratie wordt gevoerd. Kunnen we dan paragraaf 315.22, en vermoedelijk nog veel meer paragrafen, ook in andere Standaarden, niet vereenvoudigen door ze anders op te schrijven? Ik zal een poging doen voor paragraaf 22 van Standaard 315. In onderstaande tabel zie je links de oorspronkelijke tekst en rechts mijn voorstel.
| Oorspronkelijke tekst 315.22 | Voorgestelde tekst 315.22 |
|---|---|
| De accountant dient door het uitvoeren van risico-inschattingswerkzaamheden inzicht te verwerven in het risico-inschattingsproces van de entiteit dat relevant is voor het opstellen van de financiële overzichten, door: 1. inzicht te verwerven in het proces van de entiteit voor (Zie Par. A109-A110): – het identificeren van bedrijfsrisico’s die relevant zijn voor de doelstellingen van de financiële verslaggeving; (Zie Par. A62) – het inschatten van de significantie van die risico’s, inclusief de waarschijnlijkheid dat deze voorkomen; – en het inspelen op die risico’s; 2. en te evalueren of het risico-inschattingsproces van de entiteit geschikt is voor de omstandigheden van de entiteit gezien de aard en complexiteit van de entiteit (Zie Par. A111 , A112 , A113). | De accountant dient door het uitvoeren van risico-inschattingswerkzaamheden inzicht te verwerven in de bedrijfsrisico’s die de leiding van de entiteit heeft geïdentificeerd. Daarbij dient de accountant te beoordelen of die bedrijfsrisico’s ook kunnen kwalificeren als of kunnen leiden tot een risico op een afwijking van materieel belang in de financiële overzichten. Als dat het geval is, dan dient de accountant die bedrijfsrisico’s te kwalificeren als een risico op een afwijking van materieel belang in de financiële overzichten. Hiermee versterkt of verrijkt de accountant zijn eigen risicoanalyse. |
In mijn voorgestelde tekst ontbreekt het element “die relevant zijn voor de doelstellingen van de financiële verslaggeving”. Ik zou ook liever een breed inzicht in de bedrijfsrisico’s willen verkrijgen, om vervolgens de vertaalslag te maken naar de eigen (voor de controle benodigde) risicoanalyse van de accountant.
We moeten accountants niet primair een taalkundige willen laten zijn. Voor de goede orde, ik heb het niet over situaties waarin een accountant niet de juiste werkzaamheden uitvoert. Het gaat mij om situaties waarin accountants en toezichthouders redelijkerwijs tot verschillende interpretaties van Standaarden kunnen komen dan wel dat vereisten door interpretatieruis niet goed uitvoerbaar zijn. Bovenstaande is een voorbeeld van één paragraaf die naar mijn mening kan worden vereenvoudigd. Maar er zijn diverse andere paragrafen die zich ook goed lenen voor vereenvoudiging, zonder dat de doelstelling van die paragraaf of van die Standaard wordt aangetast. Zoals in de inleiding aangegeven is dat te bereiken door de Standaarden te herschrijven (geen sinecure, dat besef ik) dan wel via jurisprudentie een interpretatie afdwingen. Dat is overigens ook geen fijne route waarbij iemand bereid moet zijn die stap te zetten (en te betalen). Wellicht is er een derde optie, namelijk dat een werkgroep stapsgewijs tot diverse interpretaties komt van Standaarden en paragrafen. De vierde optie is natuurlijk niets doen, met als gevaar dat accountantsorganisaties en AFM niet nader tot elkaar komen of dat niet goed uitvoerbare vereisten blijven bestaan. Van die status quo heeft de AFM het minste last en dus is het aan de sector zelf om stappen te zetten.
drs. AS. (Albert) Bosch RA
1 mei 2023
