Niet het vele is goed, maar het goede is veel

Transcriptie

1 Niet het vele is goed, maar het goede is veel De mogelijkheden tot verlaging van het detectierisico door de accountant Bachelorscriptie Accountancy & Control Leanne Hogenhout juli 2013, Definitieve versie J.J. Schipper RA Universiteit van Amsterdam, Amsterdam Business School

2 I. Abstract Het accountantsberoep ligt momenteel onder vuur vanwege een groot aantal schandalen van de afgelopen jaren. Een groot aantal fouten zijn door accountants gemaakt, zowel bewust als onbewust. Het onderliggende model dat een accountant behoort te gebruiken bij het vaststellen van de controlewerkzaamheden is het Audit Risk Model. De accountant heeft een centrale rol in het juist toepassen van het model in de praktijk, eventueel met aanvullingen op dit model. Wanneer hij dit niet goed doet, kan het zijn dat er factoren buiten beschouwing worden gelaten, waardoor hij tot een fout oordeel over de jaarrekening komt. De onderzoeksvraag is daarom als volgt: in hoeverre is het voor accountants mogelijk om aan de hand van het Audit Risk Model het detectierisico te verlagen? Het antwoord op de centrale vraag is gevonden door middel van een literatuuronderzoek. Daaruit is gebleken dat accountants zeker het detectierisico kunnen verlagen. De belangrijkste vinding is dat de accountant zelf veel in handen heeft. Daarom is zijn professional judgement van groot belang. Tevens is de specialisatie van accountants een belangrijke, op deze manier worden fouten sneller gevonden. Daarnaast zijn er ook oplossingen gevonden buiten het Audit Risk Model. Tot slot is geconcludeerd dat het interessant is om in een vervolgonderzoek de discussie rondom het Audit Risk Model te analyseren, waar in deze scriptie een aanzet toe wordt gegeven. 2

3 II. Inhoudsopgave I. Abstract... 2 II. Inhoudsopgave Inleiding Huidige accountantscontrole Introductie Doel accountantscontrole Ontstaan en ontwikkeling Synthetische aanpak Analytische aanpak Risicogebaseerde aanpak Overige begrippen Audit Risk Model Introductie Ontstaan en ontwikkeling Het Audit Risk Model Accountantscontrolerisico Inherent risico Interne controlerisico Detectierisico Aansluiting Nederlandse regelgeving Verklaringen binnen het Audit Risk Model Goede inrichting controle Samenhang tussen de variabelen Mate van belangrijkheid van de variabelen Professionele oordeelsvorming Specialisatie Steekproeven Automatisering Fraude

4 4.7 Fouten en onregelmatigheden Bedrijfsrisico Verklaringen buiten het Audit Risk Model Discussie Resultaten Vervolgonderzoek Conclusie Bibliografie Bijlage A: Methode van informatievergaring

5 1. Inleiding Door de betrokkenheid van accountants bij diverse boekhoudschandalen, ligt het accountantsberoep heden ten dage onder vuur. Zo is het bijvoorbeeld Enron gelukt om verliezen jarenlang buiten de boeken te houden, die de accountant Arthur Andersen niet heeft ontdekt. De oorzaak hiervan ligt in het werkaanbod, dat bestond uit weinig controle-, maar veel advieswerkzaamheden (Piersma, 2013). Andersen bood de controle aan tegen kostprijs en voor de advieswerkzaamheden vroeg hij wel het volle pond. Meerdere schandalen zijn voorgekomen en samen met het Enronschandaal heeft dit ervoor gezorgd dat er op internationaal niveau allerlei wetten zijn ontstaan om de kwaliteit van de accountantscontrole te behouden en zo mogelijk te vergroten (Arrunada, 2004; DeFond & Lennox, 2011; ISAAB, 2013). Daarbij speelt de uniformiteit van accountantskantoren met betrekking tot de auditkwaliteit ook een rol, aldus Kinney (1989). Het is belangrijk dat accountants voor de buitenwereld als eenheid gezien worden. Naast de nieuwe regelgeving blijft het de accountant zelf die de controle uitvoert. Een vraag die in veel in onderzoeken en krantenartikelen centraal staat, is of de fouten nu altijd terug te voeren zijn op de accountant (Warren, 1979; Nelson, 2009). Hierbij speelt de onafhankelijkheid van de accountant een rol, in hoeverre staat hij los van het bedrijf dat hij een goed oordeel kan geven over de jaarrekening (Bazerman & Moore, 2011). Daarnaast is het belangrijk dat de accountant niet zomaar wat werkzaamheden gaat uitvoeren, maar dat hij het grond op onderliggende theorieën en modellen. Een voorbeeld van een dergelijk model is het Audit Risk Model (Dusenbury, 2000; Eimers, 2006). Hierin staat de risicobenadering centraal, het denken vanuit risico s is iets wat sinds de jaren zeventig speelt (Bac et al., 2003; Kloosterman, 2004). In de Verenigde Staten is het Audit Risk Model (ARM) opgezet en inmiddels wordt dit model ook in Nederland gebruikt. De doelstelling van dit model is volgens de Statements on Accounting Standards (SAS) 39 en 47 (AICPA 1981; AICPA 1983) om het accountantscontrolerisico, dat een functie is van andere risicocomponenten, zo laag mogelijk te houden. Door de voornoemde schandalen is er in Nederland veel discussie geweest rondom dit model. Hoewel het interessant zou zijn om te kijken hoe deze discussie is gevoerd en of deze terecht is, en of dit leidt tot de goede conclusies, wordt dit in deze scriptie buiten beschouwing gelaten. Wat wel in deze scriptie behandeld wordt is de relevantie van het model. Kunnen accountants in dit model bepaalde aspecten beïnvloeden, zodat het totale risico verlaagd wordt? De onderzoeksvraag 5

6 van dit onderzoek is als volgt: in hoeverre is het voor accountants mogelijk om aan de hand van het Audit Risk Model het detectierisico te verlagen? De onderzoeksvraag wordt onderzocht door middel van een literatuuronderzoek. Daartoe beschrijft hoofdstuk twee de huidige accountantscontrole en de totstandkoming hiervan. Vervolgens wordt in hoofdstuk drie het Audit Risk Model toegelicht. In hoofdstuk vier volgen manieren om het detectierisico te verlagen, voortvloeiende uit het Audit Risk Model. Vervolgens volgen in hoofdstuk vijf manieren die buiten het model gevonden zijn en ook detectierisicoverlagend werken. In hoofdstuk zes volgt de discussie van de gevonden resultaten. Naar aanleiding van deze resultaten volgen in hoofdstuk zes ook aanbevelingen voor vervolgonderzoek. Hoofdstuk zeven geeft de conclusie weer. Tot slot licht Bijlage A de wijze van informatievergaring toe. 6

7 2. Huidige accountantscontrole 2.1 Introductie Zoals uit de inleiding blijkt, is het doel van deze scriptie het beschrijven van de mogelijkheden die accountants hebben om het detectierisico te verlagen. Dit heeft als doel om het uiteindelijke accountantscontrolerisico op een aanvaardbaar niveau te krijgen. Om te beginnen is het echter belangrijk om te kijken hoe de accountantscontrole zich ontwikkeld heeft. Hierbij speelt de discussie of de risicogebaseerde controle een logische manier is, aangezien deze pas sinds de jaren zeventig in de VS is geïntroduceerd (Warren, 1979). De focus ligt daarbij op Nederland, hoewel ontwikkelingen hier uiteindelijk allemaal gevolg zijn van zaken die zijn overgewaaid vanuit de Verenigde Staten. In de eerste plaats is daar Limperg, met zijn leer van het gewekte vertrouwen (Limperg en Groeneveld, 1976; Wallage, 2005). Limperg wordt wel beschouwd als de grondlegger van het accountantsberoep. Daarnaast geven Bac et al. (2003) een historisch verloop weer van het verloop van het accountantsberoep. Dit hoofdstuk is als volgt opgebouwd. In de eerste plaats volgt de noodzaak en het doel van de accountantscontrole. Vervolgens wordt het ontstaan en de ontwikkeling van de accountantscontrole toegelicht, door drie manieren van controle te beschrijven die door de loop der tijd gehanteerd zijn. Tot slot volgt een toelichting en afbakening van enkele begrippen die veel voorkomen in deze scriptie. 2.2 Doel accountantscontrole Limperg (1976, p. 15) geeft een heldere analyse over de accountantscontrole, beter gezegd over de noodzaak van de accountantscontrole. Hierbij gaat hij uit van het agency-probleem. Het is namelijk noodzakelijk dat er een accountantscontrole wordt toegepast wanneer er frictie is tussen de leiding (management) en de eigenaren (aandeelhouders) van een onderneming. Daarom is het noodzakelijk om een derde met voldoende kennis in de hand te nemen, in de vorm van een accountant. Deze kan op basis van een onbevooroordeelde mening zijn verklaring weergeven over de cijfers van het bedrijf (Arens et al., 2005, p. 83). 7

8 Het voorgaande vormt de aanzet tot het bespreken van het doel van de accountantscontrole. Mollema (2003, pp ) geeft aan dat het doel van auditing het geven van assurance is over de kwaliteit van een object. Een accountantscontrole heeft vaak een open einde, de staat van volledige zekerheid is vaak lastig te bereiken. Assurance is echter niet gelijk aan het volledig verschaffen van zekerheid. Mollema (2003, p. 551) geeft de volgende definitie van assurance: het geven van inzicht in inbreuken op de kwaliteitstoestand van een object en de kans dat deze inbreuken zullen optreden, zodat duidelijk wordt dat er aan een van te voren vastgestelde standaard niet is voldaan. Onder de kwaliteitstoestand van een object wordt de getrouwheid van de financiële verantwoording verstaan. Assurance is bedoeld om onzekerheid en onwetendheid te reduceren. Klijnsmit et al. (2003, p. 190) sluiten zich hierbij aan. Het is van belang om zoveel mogelijk zekerheid te geven, om de mate van zekerheid zo hoog mogelijk proberen te krijgen. Dit kan onder andere door in te spelen op een zo laag mogelijk accountantscontrolerisico, waardoor de jaarrekening een meer getrouw beeld is van de werkelijkheid. 2.3 Ontstaan en ontwikkeling In deze paragraaf worden de drie manieren van accountantscontrole in het kort besproken, zoals ze in de geschiedenis te analyseren zijn. In de eerste plaats is er de synthetische aanpak, vervolgens de analytische aanpak en tot slot de aanpak die accountants nu voornamelijk gebruiken, namelijk de risicogebaseerde aanpak Synthetische aanpak Bac et al. (2003, pp ) geven in hun pocketbundel een schets van de historische ontwikkelingen in de accountantscontrole. De schrijvers beginnen met vermelden dat het ruim 100 jaar geleden is dat het accountantsberoep is ontstaan. Degenen die als accountant optraden waren vooral administrateurs die boekhouder waren of waren geweest en veel fiscale kennis hadden. Sternheim (1924, In: Bac et al., 2003) beschrijft de werkwijze van controleren in de periode rond Er was sprake van een volledige controle, waarbij de accountants de jaarrekening zelf maakten vanuit brondocumenten. Journaalposten werden opnieuw gemaakt, de kolommenbalans eveneens en uiteindelijk rolde de jaarrekening hieruit. Deze jaarrekening werd vervolgens 8

9 vergeleken met de jaarrekening die al opgesteld was door het bedrijf. Deze wijze van controleren wordt de synthetische aanpak ofwel de bottum-up benadering genoemd Analytische aanpak De accountantscontrole ontwikkelde zich verder. Vanaf de jaren twintig werden steekproeven geïntroduceerd. Hierbij vormt de door het bedrijf opgestelde jaarrekening het uitgangspunt van de controle. Dit wordt de analytische (ofwel top-down controlemethode) genoemd, welke steunt op twee pijlers, namelijk het gebruikmaken van de interne beheersingsmaatregelen en het uitvoeren van cijferanalyses (Hulsentop, 1984, In: Bac et al., 2003). Deze laatstgenoemde methode werd niet zonder slag of stoot geaccepteerd, het is lang de vraag geweest of men wel op administratieve organisatie en interne controle (AO/IC) mocht steunen. Dit literatuuronderzoek gaat hier in het vervolg niet verder op in, deze zinsnedes dienen enkel ter verstrekking van achtergrondinformatie Risicogebaseerde aanpak In 1980 is de op risico s gebaseerde controleaanpak in Nederland geïntroduceerd, aldus Bac et al. (2003, p. 12). Dit is de controleaanpak die nu in Nederland toegepast wordt. Kort gezegd is het doel van de aanpak dat de accountant zich richt op de posten en stromen in de jaarrekening waar de kans het grootst is dat er sprake is van een materiële fout. Deze fout is gebaseerd op het risico dat hij bestaat zonder er AO/IC maatregelen zijn (inherent risico), het risico dat de AO/IC de fout niet ontdekt (intern controlerisico) en het risico dat de accountant de materiële fout niet ontdekt (detectierisico). Deze risicobenadering is overgenomen vanuit het Audit Risk Model, ontstaan in de Verenigde Staten. Dit model zal nader toegelicht worden in hoofdstuk drie. 2.4 Overige begrippen Ter afsluiting van dit hoofdstuk volgt een korte uitleg van enkele begrippen die in dit literatuuronderzoek vaak genoemd worden. Het betreft de begrippen efficiency, effectiviteit, 9

10 systeemgerichte controle en gegevensgerichte controle. Al deze begrippen zullen worden toegelicht in het kader van de accountantscontrole. Volgens Majoor en Kollenburg (2011b, p. 10) kenmerkt de efficiency van het controleproces zich door een gesteld doel met zo min mogelijk middelen te bereiken. Onder effectiviteit van de controle wordt verstaan of de juiste controlewerkzaamheden zijn gekozen en of deze op de juiste wijze zijn uitgevoerd zodat het gewenste resultaat bereikt wordt. Om een zo efficiente en effectieve controle te bereiken, is het van belang dat de risico s voorafgaand aan de controle juist en volledig ingeschat worden, aldus Gafford en Carmichael (1984, In: Dusenbury et al., 1996). Alleen dan kan het gewenste resultaat bereikt worden, namelijk het vaststellen van de getrouwheid van de jaarrekening (Majoor & Kollenburg, 2011b, p. 10). Vervolgens is er sprake van een onderscheid tussen gegevensgericht en systeemgericht controleren. Gegevensgerichte werkzaamheden zijn werkzaamheden die een accountant bij iedere controle uitvoert, ongeacht de risico s (Majoor & Kollenburg, 2011a, p. 165). De voornoemde auteurs omschrijven systeemgerichte werkzaamheden als werkzaamheden die dienen voor het testen van interne beheersingsmaatregelen. Deze controles vormen een aanvulling op de gegevensgerichte werkzaamheden (Majoor & Kollenburg, 2011a, p. 164). 10

11 3. Audit Risk Model 3.1 Introductie Het vorige hoofdstuk beschrijft in het kort de noodzaak en het doel van de accountantscontrole. Ook geeft hoofdstuk 2 inzicht in het ontstaan en de ontwikkeling van de accountantscontrole, aan de hand van de verschillende methodieken die kunnen dienen ter uitvoering van de controle. Een aanzet is gegeven met betrekking tot de risicoanalyse, wat in dit hoofdstuk verder uitgewerkt zal worden. Zoals al eerder vermeld, is het idee van de risicogebaseerde controle afkomstig uit het Audit Risk Model (ARM). Dit model vormt de basis van dit literatuuronderzoek. In paragraaf 3.2 volgt het ontstaan en de ontwikkeling van het model. In paragraaf 3.3 volgt de beschrijving van het model en de toelichting van de componenten. Dit hoofdstuk sluit af met een analyse van de verwerking van het ARM in de Nederlandse wet- en regelgeving. 3.2 Ontstaan en ontwikkeling Het Audit Risk Model is ontstaan in de jaren zeventig en tachtig van de vorige eeuw (Kloosterman, 2004, p. 572). Het toevoegen van wiskunde aan de controleaanpak heeft geleid tot steekproeven, en deze steekproeven worden vervolgens gebruikt als basis voor de ontwikkeling van de controleaanpak. De genoemde steekproeven vinden hun oorsprong in de Bayesiaanse statistiek 1. 1 Dit is afgeleid van het Bayes theorema, aldus Schilder et al. (1990). Dit is een methode waarmee de toekenning van waarschijnlijkheden aan het voorkomen van gebeurtenissen kan worden bijgesteld op basis van additionele informatie (Schilder et al., 1990, p. 70). Oftewel, de kans dat A optreedt, gegeven het optreden van gebeurtenis B, is het product van de kans dat B optreedt wanneer A gegeven is en de kans op gebeurtenis A, gedeeld door de kans op gebeurtenis B. In formulevorm is dit het volgende: P(A B) = P (B A) * P (A) / P (B). 11

12 De steekproefcontrole als onderdeel van het Audit Risk Model heeft een enorme boost gekregen door de ontwikkeling van het zogenaamde Monetary Unit Sampling oftewel (tegenwoordig) de eurosteekproefmethode (Leslie, Teitlebaum en Anderson, In: Kloosterman, 2004). Ieder element uit de steekproef heeft op deze manier dezelfde trekkingskans, dus de kans om meegenomen te worden in de controle. Dit in tegenstelling tot de eerdere (analytische) aanpak, waarbij men een aantal te controleren posten koos, om op basis daarvan een oordeel te vormen. Hierbij deed men de detailcontroles vaak integraal. In de aanpak conform het Audit Risk Model is er op dit punt dus al een sprong gemaakt wat efficiency en effectiviteit betreft. Het Audit Risico Model heeft een ontwikkeling doorgemaakt. In eerste instantie, in SAS 39 (AICPA, 1981), werd het inherent risico buiten beschouwing gelaten (Strawser, 1991). De volgende formule werd hierbij gebruikt: AR = IC * DR ( SR * OR ) 2. Later is het inherent risico wel als onderdeel van het model opgenomen, dit is gebeurd in SAS 47 (AICPA, 1983). Hierdoor ontstond het volgende model: AR = IR * IC * DR ( SR * OR ). 3.3 Het Audit Risk Model Het Audit Risk Model (ARM) is een model dat internationaal gebruikt wordt om de risico s van een bedrijf in te schatten, te beoordelen en zo mogelijk te mitigeren. Het model wordt ook wel het Audit Assurance Model genoemd (Kloosterman, 2004, p. 571). Het doel van het model is dat de accountant de hoeveelheid gegevensgerichte werkzaamheden beperkt. Hij dient zich meer te richten tot de risico s, die hij mitigeert door het uitvoeren van systeemgerichte werkzaamheden, aldus Klijnsmit et al. (2003, p. 190). Het doel hiervan is om het audit risk ofwel accountantscontrolerisico naar een aanvaardbaar niveau terug te brengen. Het Audit Risk Model (ARM) bestaat uit diverse componenten, aldus de literatuur. In dit hoofdstuk is een selectie van de literatuur gemaakt om het model te beschrijven. De formule die het 2 De afkortingen worden in het vervolg nader toegelicht, het gaat hier even kort om de introductie van de formules, zoals deze opgenomen zijn in de literatuur (SAS 39 en 47, AICPA 1981; AICPA, 1983). Hier wordt de opmerking geplaatst dat er in zowel de internationale als Nederlandse literatuur verschillende afkortingen worden gebruikt voor de onderdelen van het Audit Risk Model. Voor de helderheid zullen in deze scriptie de afkortingen worden gebruikt zoals ze hier staan genoemd. 12

13 accountantscontrolerisico (AR) weergeeft, is aan het einde van hoofdstuk twee reeds geïntroduceerd. Volgens SAS 47 paragraaf 20 (AICPA, 1983) bestaat het AR uit het risico dat de balans een fout van materieel belang bevat (inherent- en controlerisico). Het tweede onderdeel van het AR is het risico dat de accountant deze fout niet ontdekt, het detectierisico. Deze opdeling van het accountantscontrolerisico in twee onderdelen is veelal te vinden in de literatuur, gebaseerd op SAS 47 (Dusenbury, 2000; Klijnsmit et al., 2003 enz.). Zoals al weergegeven, bestaat het risico dat de jaarrekening een materiële fout bevat, uit het inherent risico (IR) en het interne controle risico (IC). Daarnaast is er sprake van een detectierisico (DR), dit is opgebouwd uit een ontdekkingsrisico (OR) en een steekproefrisico (SR) (AICPA, 1981; AICPA, 1983). Volgens Strawser (1991, p. 126) helpt deze opdeling de accountant in het plannen van de controlewerkzaamheden. In paragraaf zal dit nader toegelicht worden. In de volgende paragrafen worden de onderdelen van het ARM weergegeven. Als eerste volgt een toelichting op de uitkomst van het model, het accountantscontrolerisico. In de tweede plaats volgt een toelichting op het inherent risico, vervolgens op het intern controlerisico, tot slot komt het detectierisico aan bod Accountantscontrolerisico Allereerst komt hier de definitie van het accountantscontrolerisico 3 aan bod. Diverse studies (Strawser, 1991; Dusenbury et al., 2000) halen het volgende citaat aan uit de Statement on Auditing Standards 47 (AICPA, 1983): audit risk is the risk that the auditor may unknowingly fail to appropriately modify his opinion on financial statements that are materially misstated. Concreet houdt dit in dat een accountant ten onrechte een goedkeurende verklaring afgeeft bij een jaarrekening die materiële onjuistheden bevat. Klijnsmit et al. (2003) en Dusenbury et al. (2000) geven ook aan dat het genoemde model een op risico gebaseerde benadering heeft om een audit effectief (=doeltreffend) te laten zijn. Daarbij is het zeer van belang dat de accountant ook efficiënt (doelmatig) te werk gaat om het beste resultaat te bereiken. Het uiteindelijke accountantscontrolerisico mag maximaal 5% bedragen 3 Dit is de vertaling van de engelse term audit risk. In dit onderzoek vormen audit risk en accountantscontrolerisico daarom synoniemen. 13

14 (Dusenbury, 2000; Klijnsmit, 2003; Knechel, 2007). Dit betekent concreet dat er maximaal bij een risico van 5% een goedkeurende verklaring mag worden afgegeven, in het geval van een materiële onjuistheid in een jaarrekening. Het accountantscontrolerisico omvat niet het risico dat er foutief een afkeurende verklaring wordt afgegeven, in de veronderstelling dat er een materiële onjuistheid is, aldus de Statement 47 on Accounting Standards (AICPA, 1983). In een dergelijke situatie komt de controlerend accountant alsnog tot een goed oordeel, omdat er dan vaak extra werkzaamheden worden verricht. De cliënt staat hier welwillend tegenover, aangezien er als gevolg van deze werkzaamheden wel een goedkeurende verklaring komt. Klijnsmit et al. (2003, p. 192) geven nog een heldere analyse op dit gebied. Het inherente en interne controlerisico kunnen in principe niet door de accountant worden beïnvloed. Ze stellen dat het detectierisico juist gerelateerd is aan de effectiviteit van de werkzaamheden van de accountant. Als de accountant dan vaststelt wat het aanvaardbare risico volgens hem is, en hij schat het inherente risico en het interne controlerisico in, dan kan hij aan de hand hiervan het ontdekkingsrisico vaststellen, als afhankelijke variabele in de bovengenoemde vergelijking. In het slot van paragraaf zal hier nog enige aandacht aan geschonken worden Inherent risico De eerste component van het ARM is het inherent risico. De literatuur verstaat onder inherent risico de vatbaarheid voor materiële fouten van bepaalde jaarrekeningposten of stromen, wanneer ze in relatie met andere posten en stromen worden gezien (AICPA, 1983). Belangrijk hierbij is dat er verondersteld wordt dat er geen interne controles plaatsvinden. Dusenbury (2000, p. 107) vat het inherent risico kernachtig samen door het te omschrijven als het risico dat er een fout bestaat, als er geen interne controle is. Messier en Austen (2000, p. 120) draaien de zaak echter om, door te zeggen dat het inherent risico ontstaat als gevolg van het ontbreken van interne beheersingsmaatregelen. De accountant kan deze risicofactor niet beïnvloeden, hij is hierin volledig afhankelijk van de gegevens van het bedrijf (Warren, 1979, p. 68). Knechel (2001, p. 334) geeft een aantal factoren die het inherent risico bepalen. Dit zijn achtereenvolgens de aard van het bedrijf, de integriteit van het management, de motivatie van de cliënt, het bestaan van externe belanghebbenden, de frequentie van transacties, de subjectiviteit van transactiewaarden, de vatbaarheid voor verduistering, de grootte van de balans en 14

15 resultatenrekening, de resultaten van vorige controles en tot slot de lengte van de auditorcliëntrelatie. Het is essentieel dat de accountant een goede inschatting kan maken van het inherent risico aan de hand van bovengenoemde factoren, aldus Colbert (1988, pp ). Wanneer de accountant dit risico te hoog inschat, dan worden er mogelijk teveel werkzaamheden verricht om het detectierisico lager te krijgen zodat het accountantscontrolerisico op een aanvaardbaar niveau blijft. Het omgekeerde is eveneens het geval, het risico kan te laag ingeschat worden, waardoor het oordeel over de jaarrekening mogelijk niet de juiste is. Concluderend kan gesteld worden dat inherente risico s natuurlijke risico s zijn die voorvloeien uit de bedrijfsvoering, zonder dat er interne controlemaatregelen bij komen kijken. De accountant heeft geen invloed op deze risicofactor, maar wel een belangrijke rol in het vaststellen van de risico s. Het voorgaande is belangrijk in het kader van het bepalen van het interne controlerisico en het detectierisico Interne controlerisico De tweede component van het Audit Risk Model is het intern controlerisico (IR). Volgens SAS 47 is het interne controlerisico het risico dat er een materiele fout ontstaat op beweringsniveau, die niet voorkomen, gedetecteerd of gecorrigeerd is door de onderneming. Het interne controlerisico als onderdeel van het ARM is daarbij een functie van de effectiviteit van de interne beheersingsmaatregelen van een onderneming, aldus SAS 47 (AICPA, 1983). Dusenbury et al. (2000, p. 114) geven aan dat er wel een maatregel kan zijn, maar dat hoeft niet te impliceren dat deze maatregel daadwerkelijk werkt. Mollema (2003, p. 554) voegt toe dat het intern controlerisico de waarschijnlijkheid laat zien van interne controlemissers. De belangrijkste factor in het bepalen van het interne controlerisico is de mate van interne controle die door het bedrijf wordt verricht (Warren, 1979, p. 68). De betrouwbaarheid van het systeem van interne controle (van de onderneming) is daarbij een voorname determinant van de betrouwbaarheid van de jaarrekening. Net zoals bij inherent risico kan de accountant deze risicofactor niet beïnvloeden (Warren, 1979, p. 72). Daarom is het zeer zeker ook heel erg belangrijk dat hij een goede inschatting van dit risico maakt. De accountant kan dit risico het best beoordelen te kijken naar de gevonden resultaten van vorig jaar betreffende de interne controle, door bijvoorbeeld te kijken of de gegeven adviezen opgevolgd zijn. 15

16 Ter conclusie is het intern controlerisico het risico dat een materiële fout niet door het bedrijf zelf gedetecteerd wordt. Ook in het vaststellen van deze risicofactor is de accountant volledig afhankelijk van de gegevens van de cliënt Detectierisico De derde en laatste component van het Audit Risk Model is het detectierisico (DR), ook wel ontdekkingsrisico genoemd. SAS 47 (AICPA, 1983) omschrijft detectierisico als het risico dat de accountant in zijn controle een materiële fout in de cijfers niet ontdekt. Het detectierisico is een functie van de effectiviteit (doelmatigheid) van het controleproces én van de toepassing hiervan door de accountant. Dusenbury (1996) vult nog aan met de volgende definitie: het risico dat een materiele fout die al niet gecorrigeerd is door interne controles ook niet door de accountantscontrole gesignaleerd wordt. In de genoemde definitie staat de accountant centraal, in tegenstelling tot het inherent- en intern controlerisico. Op deze component van het ARM kan de accountant invloed uitoefenen, alleen zal hij nooit dit risico naar het nulpunt kunnen leiden. Op basis van de risico s maakt de accountant namelijk een inschatting van de te verrichten werkzaamheden, maar dan kan er alsnog iets over het hoofd worden gezien (AICPA, 1983). Het detectierisico wordt in de literatuur nog gesplitst in een steekproefrisico en een ontdekkingsrisico (Dusenbury et al., 2000; Kloosterman, 2004). Onder steekproefrisico wordt verstaan het risico dat de accountant, wanneer hij steekproeven uitvoert, hierdoor toch nog een bepaalde materiële fout niet constateert (Warren, 1979, p. 70). Factoren die de mate van aanwezigheid van deze risicofactor bepalen zijn audit materialiteit, audit precisie, steekproefgrootte en het betrouwbaarheidsniveau. Dit onderdeel van de risicoanalyse betreft de gegevensgerichte werkzaamheden. Daarnaast is er een ontdekkingsrisico (OR). Dit is het risico dat men met systeemgerichte werkzaamheden, het uitvoeren en toepassen cijferanalyses ook bepaalde fouten niet ontdekt, aldus SAS 47 (AICPA, 1983). Het detectierisico als geheel wordt vaak bepaald als afhankelijke variabele zoals al eerder beschreven, in navolging van SAS 39 en 47 (AICPA, 1981; AICPA, 1983). De volgende formule is dan zichtbaar: Dectectierisico = Accountantscontrolerisicio (5%)/(Inherent risico x Interne Controlerisico). 16

17 Het motief hierachter is dat het detectierisico de belangrijkste speelvariabele is, aldus Mollema (2003, p. 555). Het accountantscontrolerisico daarentegen is een variabele die vooraf door de auditor wordt vastgesteld. Het gevaar hierachter is echter dat het schrijven van de formule op deze manier mogelijk afleidt van de hoofdzaak, namelijk het analyseren van het accountantscontrolerisico. Voor de principes van de toepassing is er echter geen verschil. Concluderend is het detectierisico het risico dat een accountant een materiële fout in zijn jaarrekening niet ontdekt. Factoren die het detectierisico beïnvloeden zullen besproken worden in de volgende hoofdstukken. 3.4 Aansluiting Nederlandse regelgeving De Nederlandse regelgeving met betrekking tot de accountantscontrole en alles wat daarmee samenhangt, is geregeld in de Nadere Voorschriften Controle- en Overige Standaarden (NV COS), opgenomen in de Handleiding Regelgeving Accountants (HRA). Voorheen waren dit de richtlijnen voor de accountantscontrole (RAC), maar deze zijn per 1 februari 2007 omgezet in de controle- en overige standaarden (COS) zoals ze nu in de praktijk gehanteerd worden (NBA, 2012). De nieuwe invulling is voor het eerst geïntroduceerd in de RAC 2005, nog in de oude benaming van de richtlijnen. Eimers (2006)) geeft een aantal kenmerken van deze controlestandaarden weer, de belangrijkste zullen in de volgende alinea worden toegelicht. Ten eerste stellen de nieuwe standaarden de professionele oordeelsvorming centraal, het vaststellen van de risico s is een vakkundig beslissingsproces. Ten tweede is een goede kennisuitwisseling binnen het team van cruciaal belang. Ten derde is het belangrijk dat er een relatie is tussen het identificeren van risico s, de interne beheersingsmaatregelen die daarop zijn getroffen en de werkzaamheden die de accountant er vervolgens op gaat verrichten. Hierbij is de keuze van gegevensgericht of systeemgericht controleren niet relevant. Tot slot is het van belang dat de accountant goed onderbouwt en documenteert waarom hij bepaalde werkzaamheden heeft verricht. Laatstgenoemde is van belang, omdat hij op deze manier zijn standpunt met betrekking tot de jaarrekening kan onderbouwen (Eimers, 2006, pp ) De risico s zijn dus sinds 2005 expliciet weergegeven in de Nederlandse regelgeving. Het beslissingsproces is echter niet veranderd, het ARM bestaat al jaren (Eimers, 2006, p. 82). Belangrijk is dat er nu wel concrete invulling wordt gegeven aan het model, dat mede veroorzaakt is door de steeds complexer geworden wereld. De risico s staan heden ten dage centraal, in tegenstelling tot 17

18 de vorig eeuw. Op basis van de risicogebaseerde aanpak dient de accountant effectieve en efficiënte controlemaatregelen vast te stellen en uit te voeren, zodat het accountantscontrolerisico naar een aanvaardbaar niveau teruggebracht wordt. Hierin blijft de rol van professionele oordeelsvorming heel belangrijk (Eimers, 2006, p. 82). De professionele oordeelsvorming zal in paragraaf 4.2. nog nader toegelicht worden. 18

19 4. Verklaringen binnen het Audit Risk Model Dit hoofdstuk beschrijft manieren om het accountantscontrolerisico te verlagen binnen het theoretisch model. Hierbij gaat het om de mogelijkheden die de accountant heeft om het detectierisico te verlagen, op basis van het Audit Risk Model. In de eerste plaats komt naar voren dat een goede inrichting van de controle belangrijk is. Vervolgens komt de professional judgement van accountants aan de orde in paragraaf 4.2, gevolgd door de specialisatie van accountants in paragraaf 4.3. In de daaropvolgende paragrafen volgen overige middelen die accountants kunnen helpen bij het verlagen van het detectierisico. Tot slot volgt in paragraaf 4.8 de bedrijfsrisicobenadering. 4.1 Goede inrichting controle Samenhang tussen de variabelen De componenten van het Audit Risk Model hangen onderling sterk samen. Deze samenhang tussen de variabelen wordt door diverse onderzoekers als belangrijk ervaren. Dusenbury et al. (2000) hebben onderzoek gedaan naar de onderliggende samenhang tussen de drie onderdelen van het Audit Risk Model. Hierbij is hun uitkomst dat het inherent risico het interne controlerisico beïnvloedt. Op haar beurt beïnvloedt het interne controlerisico weer het detectierisico, maar het inherent risico zorgt niet voor een directe beïnvloeding van het controlerisico (Dusenbury et al., 2000, p. 114). Deze visie wordt niet door iedereen gedeeld. Zo blijkt uit het onderzoek van Hirst & Koonce (2006) dat het detectierisico wel direct wordt beïnvloed door het inherent risico, zonder tussenkomst van interne controle. Dusenbury et al. (2000) zeggen echter dat wanneer men de methode van Hirst & Koonce hanteert, waarbij het inherent- en detectierisico als aparte variabelen worden gezien, zonder de interne controle, dan ontbreekt er een stukje voor de accountant om zijn oordeel te vormen. Immers, hij kan niet vertrouwen op de interne controle van een bedrijf, waardoor het op deze manier meer geld zou kosten om de controle uit te voeren. De manier om het accountantscontrolerisico zo laag mogelijk te krijgen ligt daarom in de sequentiële en afhankelijke benadering van het ARM model (Dusenbury, 2000, p. 114). Allereerst is er sprake van risico s (inherent risico). Deze leiden tot maatregelen die een onderneming treft (intern controlerisico) en vervolgens dient de accountant werkzaamheden uit te voeren, die dienen 19

20 ter verlaging van het accountantscontrolerisico. Alleen deze relatie tussen de variabelen leiden tot een zo laag mogelijk accountantscontrolerisico volgens Dusenbury et al. (2000, p. 114) Mate van belangrijkheid van de variabelen Volgens Strawser (1991, p. 126) geven de Standards 39 en 47 ons het idee dat de verschillende componenten van het Audit Risk Model hetzelfde (i.e. evenveel) effect hebben op het totale accountantscontrolerisico. Strawser constateert dat in eerdere onderzoeken is gevonden dat het Audit Risico Model in de praktijk anders toegepast wordt. Hij concludeert eveneens dat er geen onderzoek verricht is naar het effect van alle verschillende componenten op het totale risico (accountantscontrolerisico) (Strawser, 1991, p. 126). In zijn onderzoek analyseert Strawser (1991) daarom de bijdrage van de verschillende componenten van het Audit Risk Model op het totale risico en daarbij trekt hij de volgende conclusies. Strawser (1991, p. 126) stelt dat accountants verschillende niveaus van accountantscontrolerisico waarnemen bij bedrijven die het zelfde totaalrisico hebben. Dit komt doordat alle componenten van het Audit Risk Model per bedrijf andere waarden aannemen. Daarbij is de relatieve belangrijkheid van de componenten afhankelijk van de grootte van het accountantskantoor en of de risico s als hoog of laag worden gekwalificeerd. Accountants van de grootste kantoren associëren een hoog risiconiveau met ineffectieve analytische controles, met andere woorden ineffectieve accountantswerkzaamheden, waardoor het detectierisico hoog blijft. De accountants van de kleinere kantoren denken echter dat een hoog risiconiveau wordt veroorzaakt doordat steekproeven in detailcontroles verkeerd uitgevoerd worden. Deze resultaten ondersteunen de stelling dat het Audit Risk Model per cliënt anders toegepast dient te worden, met in het achterhoofd de relatieve belangrijkheid van de componenten voor de cliënt (Strawser, 1991, p. 134). Dit sluit aan bij bijvoorbeeld Dusenbury et al. (2000) zoals dit in paragraaf is besproken, waarbij waar men het detectierisico bepaalt als afhankelijke variabele. Het is per situatie en per bedrijf afhankelijk hoe hoog de risico s zijn. Als er in een bedrijf sprake is van een hoog inherent risico en een hoog intern controle risico, dan zal het detectierisico heel laag moeten zijn, aangezien anders niet aan de eis voldaan wordt van 5%. De accountant dient zijn werkzaamheden aanpassen op de situatie om een zo laag mogelijk detectierisico te verkrijgen. Een speciale rol voor de accountant, die ook de aandacht zal krijgen in de volgende paragraaf. 20

21 4.2 Professionele oordeelsvorming De (misschien) meest belangrijke factor in de analyse van het detectierisico is professional judgement of professionele oordeelsvorming. Wanneer er namelijk verkeerde risico s worden ingeschat in de planningsfase, dan kan dit leiden tot de verkeerde werkzaamheden, waardoor het gewenste resultaat niet bereikt wordt. Er is dan sprake van ineffecientie en ineffectiviteit (Chang et al., 2008, p. 1055). Het is van belang dat de accountant in de planningsfase een goede inschattting van de te verrichten werkzaamheden maakt, zodat hij op basis van de uitgevoerde werkzaamheden een oordeel kan geven over de jaarrekening. Het voorgaande wordt ondersteund door Eimers (2006, p. 76), die in zijn artikel een toelichting geeft over de nieuwe standaarden in Nederland. Deze benadrukken dat de jaarrekeningcontrole een ingewikkeld proces is, waarbij de accountant steeds professionele afwegingen moet maken en hij moet deze ook kunnen documenteren. Om het professionele gedrag meetbaar te maken, worden er in de literatuur diverse criteria gebruikt (Eimers, 2006, pp ). Deze zijn reeds opgesomd in paragraaf 3.4. Volgens Arens et al. (2005; Chang et al, 2008) beïnvloeden de volgende factoren het professioneel gedrag van de accountant: de werkomgeving, de eigenschappen van het personeel dat de controle uitvoert, de ervaring van de accountants, de auditkwaliteit en het besluitvormingsproces in zijn geheel. Warren (1979, p. 71) geeft een aantal aspecten die bijdragen aan professional judgement. In de eerste plaats moet de planning van de werkzaamheden adequaat geschieden en eventueel correct gecontroleerd worden. Dit is uitgewerkt in de SAS 22, 77 en 108. SAS 22 (AICPA, 1978) geeft begeleiding voor het planningsproces, geeft tevens aan dat de accountant kennis moet vergaren over de bedrijfstak van de cliënt en geeft aan hoe hij met verschillende beweringen van cliënten dient om te gaan. Dit heeft een directe werking op het detectierisico, aldus Warren (1979, p. 71). Wanneer deze zaken dus niet op de goede manier uitgevoerd worden, zal het detectierisico verhoogd in plaats van verlaagd worden. Het tweede punt van professional judgement is integriteit. Dit is gekoppeld met zorgvuldigheid, van de accountant wordt verwacht dat hij de controle uitvoert met zorgvuldigheid. Het mag niet zo zijn dat hij vanwege een strak budget bepaalde onderdelen van de controle laat zitten. Het derde item wat bijdraagt aan de professionaliteit volgens Warren is deskundigheid. Wanneer iemand immers niet deskundig is, zou het kunnen voorkomen dat hij problemen niet detecteert en dan is de controle ook zinloos. Het vierde punt dat Warren maakt is het samenwerken in teams. De accountant kan nooit overal de perfecte oplossing voor hebben, 21

22 waneer er sprake is van een audit team, kan een ieder op basis van zijn (specifieke) kennis en ervaring over een lastige zaak een oordeel geven. Tot slot is er de eis van overzicht. Het kan voorkomen dat een accountant toch iets over het hoofd gaat zien, daarbij is dus de rol van het samenwerken in teams heel belangrijk. Aan de hand van deze paragraaf is helder dat profesionele oordeelsvorming heel belangrijk is, de accountant is hier het subject van. Wanneer de accountant in de planningsfase op basis van zijn deskundigheid en zorgvuldigheid de juiste keuzes maakt met betrekking tot de uit te voeren controlewerkzaamheden, zal het detectierisico verlaagd worden. 4.3 Specialisatie Low (2004, p. 201) heeft onderzocht in hoeverre kennis over de bedrijfstak van de cliënt ervoor zorgt dat accountants hun controles zo efficient en effectief mogelijk kunnen inrichten. Wanneer een accountant zich specialiseert in een bepaalde bedrijfstak zorgt dit er enerzijds voor dat hij minder breed georiënteerd is. Anderzijds doet de accountant juist een stap in het diepe, als hij zich specialiseert in het uitvoeren van controles binnen een bepaalde bedrijfstak. Low (2004, p. 214) constateert dat door specialisatie van accountants de effectiviteit van de accountantscontrole stijgt. De reden hiervoor is dat accountants met branchekennis beter konden inschatten welke onderdelen van een bedrijf de aandacht nodig hadden dan accountants zonder branchekennis. De vindingen van Low (2004) vinden hun ondersteuning door eerder onderzoek van Owhoso et al. (2002). Laatstgenoemden hebben in hun onderzoek gevonden dat accountants bij de controle sneller fouten vinden in hun specialisatievakgebied, dan wanneer hij een controle uitvoert op een ander gebied. Onder kennis van een vakgebied wordt dan verstaan de kennis van de accountant met betrekking tot de accounting, auditing and business environment (Low, 2004, p. 202). Dit wordt ondersteund door Bell et al. (1997). Wanneer accountants zijn gespecialiseerd binnen een bepaald vakgebied, kunnen ze sneller anamolieen detecteren. Naar aanleiding van het vorgaande kan gesteld worden dat de kennis van zaken ertoe leidt dat de risico s beter ingeschat kunnen worden. Dit is positief voor de kwaliteit van de auditplanning en de tijd die voor een controle nodig is. Verder, als men ergens goed in is, gaan de zaken ook sneller goed. De resultaten uit dit onderzoek hebben positieve gevolgen voor de efficiency en de effectiviteit van de risicobeoordeling, de kwaliteit en risicogevoeligheid van de beslissingen die in de 22

23 planningsfase gemaakt worden (Bell et al., 1997; Low, 2004). Dit zorgt voor een afname van het detectierisico, als accountants binnen een bepaald vakgebied gefocust zijn en zo snel fouten kunnen vinden. Ook zorgt dit voor een afname van het uiteindelijke accountantscontrolerisico. 4.4 Steekproeven Zoals al eerder aan de orde gekomen, spelen ook steekproeven een rol binnen de accountancy. Deze paragraaf licht toe waarom steekproeven het accountantscontrolerisico mogelijk kunnen verlagen. Zo betogen Veenstra en Heertje (2006, p. 611) dat administratieve controle door middel van steekproeven de doeltreffendheid (effectiviteit), doelmatigheid (efficiency) en beheersing van waarde- en informatiestromen aanzienlijk verbetert. Veenstra en Heertje stellen echter dat het gebruik van steekproeven nog onvoldoende geïntegreerd is binnen de accountancywereld. Op dit moment is het vaak alleen de eurosteekproefmethode die gebruikt wordt om grote massa s te controleren. Ook De Swart (2003) pleit voor het gebruik van steekproeven in de accountancy. Een tegenargument kan zijn de toename van de automatiseringsgraad. Hierdoor is het vaker mogelijk om grote hoeveelheden in één keer te controleren, steekproeven zijn dan niet nodig (Swart, 2003, p. 67). Dit ontkracht de Swart vervolgens door te zeggen dat deze twee zaken alleen maar complementair werken. Als men uitgaat van steekproeven, zijn de volgende stappen te onderscheiden: planning, trekking, uitvoering en evaluatie. Doordat alles behalve de uitvoering te controleren is door middel van het interne controlesysteem, kunnen steekproeven dienen als aanvulling op de automatisering. Ook is een dergelijke controlemethode relatief eenvoudig en zo ook te gebruiken voor accountants die statistisch niet onderlegd zijn. Een tegenstander van de steekproefmethode is Blokdijk (2001). Hij geeft aan dat de zogenaamde tests of control niet bijdragen aan het verlagen van het detectierisico. Hij noemt het wel een verbetering dat de risicoanalyse systematisch wordt benaderd (2001, p. 79). De steekproeven, die vervat zitten in het steekproefrisico, als onderdeel van het ARM, passen volgens hem niet bij de werkelijkheid van de accountantscontrole. Dit biedt dan ook geen mogelijkheden om het accountantscontrolerisico te verkleinen. Hier zal in de volgende paragraaf op door worden gegaan. 23

24 4.5 Automatisering De automatisering wordt in de literatuur in relatie gebracht met de steekproeven die uitgevoerd kunnen worden, zoals in de vorige paragraaf al is gebleken. Zo geeft bijvoorbeeld De Koning (naschrift bij Blokdijk, 2002) aan dat je steekproefgewijs kan vaststellen dat het model goed heeft gefunctioneerd, in het kader van efficiency. Hierbij doelt hij met name op de inmiddels geautomatiseerde omgeving, die voldoende mogelijkheden biedt om steeksproefsgewijs betrouwbaar te controleren. Hier sluiten ook Bell et al. (1997) bij aan. Doordat de automatisering van bedrijfsprocessen een hoge vlucht heeft genomen, kunnen we ook meer vertrouwen op de betrouwbaarheid van deze routinematige processen. Ook Kloosterman (2004, p. 574) schrijft een belangrijke taak toe aan de informatisering. Het is belangrijk dat de IT, doordat de informatisering zo is toegenomen, de IT de interne controle moet vervangen. De implicatie hiervan is, als dit goed gebeurt, dat het detectierisico lager kan worden ingeschat. Echter, een belangrijk risico dat hierbij wel gemitigeerd moet worden is dat gegevensverdamping ook snel kan gaan, zodat controle onmmogelijk wordt. Hierbij geldt dat het ARM niets bevat over IT, maar wel dat de gegevens over de IT bruikbaar zijn in het ARM model. Concluderend kan gesteld worden dat steekproeven en automatisering elkaar aan kunnen vullen, wanneer dit op de juiste wijze gebeurt. Hierbij speelt dus ook de deskundigheid van de accountant een rol, of hij de juiste koppelingen kan maken tussen de systemen en de steekproeven. 4.6 Fraude Een belangrijk onderdeel van het detectierisico omvat fraude. Fraude wordt bij iedere controle gewoonlijk als een significant risico aangemerkt, volgens standaard 315 paragraaf 28 van de NV COS. (NBA, 2012). Deze standaard is afgeleid uit SAS 82 (In: Newman et al., 2001). Newman et al. (2001) hebben onderzoek gedaan naar de controleaanpak van accountant. Hierbij is als uitgangspunt genomen dat de accountant in de planningsfase de cijfers met betrekking tot de omzet krijgt, om op basis hiervan zijn controle in te richten. Een kritische noot hierbij is, dat wanneer een bedrijf veel inkomsten heeft, een accountant ook meer werkzaamheden gaat verrichten, aldus de voornoemde onderzoekers. 24

25 Opvallend, zo omschrijven Newman et al., (2001, p. 74) is de ontdekking dat door het van te voren bekijken van de cijfers het accountantscontrolerisico toeneemt. Oorzaak is dat het inherent-, intern controle- en het detectierisico allemaal stijgen. Wanneer je de omzet niet van te voren bekijkt, blijft het risico gelijk. Hiermee willen de auteurs niet zeggen dat je het rapport moet negeren, maar het is daarom nog wel steeds een opvallende ontdekking. Ook waarschuwen ze tegen het argument van overschatting, als er geen fraude is, dan moet het ook niet gecreeërd worden. Newman et al. (2001, p. 59) concluderen dat de procedures die gevolgd worden om de controlewerkzaamheden (met betrekking tot fraude) er niet voor zorgen dat het risico afneemt. Deze risicoanalyse op fraude dient wel altijd meegenomen te worden, waardoor er meer werkzaamheden uitgevoerd dienen te worden. 4.7 Fouten en onregelmatigheden Een andere mogelijke oorzaak in het onderzoek naar factoren die mogelijk het accountantscontrolerisico beïnvloeden, zijn fouten en onregelmatigheden. Belangrijk is hierin het verschil tussen fouten en onregelmatigheden. Fouten zijn onbedoelde onjuistheden, terwijl onregelmatigheden bewust zijn (Shibano, 1990, p. 110). In SAS 53 (AICPA, 1988) staat beschreven dat de accountant in zijn risicoanalyse ook mogelijke fouten en onregelmatigheden moet meenemen, die mogelijk voor een materiële fout in de jaarrekening zorgen. Shibano (1990, p. 111) betoogt dat het Audit Risk Model de juiste handvatten biedt om fouten op te sporen. Echter, in het model zijn niet de onregelmatigheden begrepen. Daarbij kan het zijn dat audit procedures effectief zijn om een fout op te sporen, maar dit kan een ineffectief middel zijn om een onregelmatigheid op te sporen. De onregelmatigheden staan niet specifiek genoemd in de theorie achter het ARM, maar ze worden in de controle wel vaak meegenomen. Het accountants controlerisico wordt dus beïnvloed door de fouten en onregelmatigheden die er bij een bedrijf zijn. Het onderscheid zit hem in het feit dat bij onregelmatigheden de cliënt weet wat er fout zit, maar bij een echte fout weet de cliënt dat niet. De overeenkomst is dat beiden (mochten ze er dus niet uitgefilterd worden) de accountant en de gebruikers van de jaarrekening misleiden (Shibano, 1990, p. 111). De praktijk wijst uit dat accountants, om het accountantscontrolerisico te verkleinen, kiezen voor de controle op onregelmatigheden als er de motivatie en gedachte is om cijfers te manipuleren. In het andere geval test hij op fouten. 25

26 De resultaten uit het onderzoek van Shibano (1990) zijn als volgt. Als de accountant op fouten controleert, dan kan een stijging van het inherente risico indirect leiden tot een stijging van het detectierisico, wanneer je niet de juiste werkzaamheden uitvoert. Voor onregelmatigheden geldt het tegenovergestelde. Wanneer er bij een bedrijf minder incentives zijn om de cijfers anders voor te stellen dan ze zijn, dan is er een daling van het inherent risico. Het detectierisico zal dan wel hoger zijn. 4.8 Bedrijfsrisico Aansluitend bij de specialisatie van accountants en de toename van de automatisering is de benadering vanuit de bedrijfsrisico s. De bedrijfsrisico s zijn te splitsen in bedrijfsricio s voor de cliënt en bedrijfsrisico s voor de accountant. Aangezien Klijnsmit et al. (2003, pp ) concluderen dat het bedrijfsrisico van de cliënt vaak verweven is met het inherent risico, vormt het bedrijfsrisico in dezen een onderdeel van het Audit Risk Model. Het bedrijfsrisico van de accountant vinden we ten eerste terug in het vaktechnisch risico. Dit wordt veroorzaakt door het ten onrechte afgeven van een goedkeurende verklaring (accountantscontrolerisico). De tweede vorm van bedrijfsrisico van een accountant is financieel verlies, in de vorm van boetes, schadevergoedingen en reputatieschade. Laatstgenoemde onderdeel komt niet expliciet in het ARM tot uitdrukking 4. De vraag die speelt is in hoeverre het inspelen op het bedrijfsrisico er ook voor kan zorgen dat het accountantscontrolerisico vermindert, aldus Van Buuren en Van Nieuw Amerongen (2011, p. 516). De controlbenadering waar het nu over gaat is de Business Risk Audit (BRA) benadering. Evenals het Audit Risk Model staat deze benadering ter discussie. 4 In dit onderzoek is ervoor gekozen om de bedrijfsrisicobenadering te bespreken in dit hoofdstuk, verklaringen binnen het Audit Risk Model. De reden hiervoor is omdat het bedrijfsrisico deels af te leiden is uit het ARM. Het zou echter ook een onderdeel kunnen vormen van hoofdstuk vijf, verklaringen die buiten het model gevonden kunnen. Deze paragraaf vormt daarmee een overgang van de beide hoofdstukken, om een aanzet te geven voor verklaringen buiten het model. De bedrijfsrisicobenadering is namelijk ontstaan, omdat het huidige Audit Risk Model niet expliciet genoeg de verschillende vormen van bedrijfsrisico weergeeft, aldus Knechel (2007). Dit zal in het vervolg kort aangestipt worden. 26