KWALITEIT BOVEN EFFICIËNTIE? Een onderzoek naar de efficiëntie en kwaliteit van het audit risk model

Transcriptie

1 KWALITEIT BOVEN EFFICIËNTIE? Een onderzoek naar de efficiëntie en kwaliteit van het audit risk model Geert Dams Definitieve versie, 29 juni 2016 BSc Accountancy & Control Amsterdam Business School, UvA Begeleider: Ron van Loon

2 Hierbij verklaar ik, Geert Dams, dat ik deze scriptie zelf geschreven heb en dat ik de volledige verantwoordelijkheid op me neem voor de inhoud ervan. Ik bevestig dat de tekst en het werk dat in deze scriptie gepresenteerd wordt origineel is en dat ik geen gebruik heb gemaakt van andere bronnen dan die welke in de tekst en in de referenties worden genoemd. De Faculteit Economie en Bedrijfskunde is alleen verantwoordelijk voor de begeleiding tot het inleveren van de scriptie, niet voor de inhoud. 1

3 1 Abstract In de afglopen jaren is het accountantsberoep mede dankzij een aantal grote boekhoudschandalen in zwaar weer terecht gekomen. De basis van de accountantscontrole ligt tegenwoordig bij het audit risk model. Ten tijde van een aantal schandalen werd dit model al gehanteerd. In dit literatuuronderzoek staat de vraag centraal In hoeverre de efficiëntie en kwaliteit van de accountantscontrole worden beïnvloed door het gebruik van het audit risk model. Om deze vraag te beantwoorden, is eerst het ontstaan van het audit risk model uiteengezet. Vervolgens zijn de verschillende onderdelen van het audit risk model toegelicht. Daarna is beschreven wat efficiëntie en kwaliteit binnen de accountantscontrole inhouden. Aan de hand van bestaande literatuur zijn argumenten gegeven waarom het audit risk model wel of juist niet bijdraagt aan efficiëntie en kwaliteit van de accountantscontrole. Ook is er onderzocht wat een verdere ontwikkeling van het audit risk model tot de bedrijfsrisicobenadering voor invloed heeft op de kwaliteit en efficiëntie van de accountantscontrole. Op basis van dit onderzoek is geconcludeerd dat het audit risk model enorm bijdraagt aan de efficiëntie van de accountantscontrole, en dat het daarnaast bijdraagt aan kwaliteit. Wel zijn er een aantal aanpassingen voorgesteld om de kwaliteit te verbeteren. Veel van deze veranderingen moeten in de toekomst nog worden onderzocht. 2

4 2 Inhoudsopgave 1 Abstract Inleiding De ontwikkeling van de accountantscontrole Inleiding Noodzaak en doel accountantscontrole De accountantscontrole toen en nu Het audit risk model Inleiding Het ontstaan van het audit risk model Het audit risk model Auditrisico Inherent risico Het interne controlerisico Het detectierisico Efficiëntie Efficiënte audit Efficiëntie in het audit risk model Sub conclusie Kwaliteit Wat is kwaliteit Het audit risk model en kwaliteit Inherent risico Interne controlesystemen Alternatieve risicobenadering Bedrijfsrisicobenadering Sub-conclusie Discussie Efficiëntie Kwaliteit Vervolgonderzoek Conclusie Referenties

5 3 Inleiding De afgelopen jaren hebben verschillende boekhoudschandalen plaatsgevonden bij grote bedrijven waar de accountant van het bedrijf bij betrokken was. In 2001 maakte Enron bekend dat er in het derde kwartaal een verlies van 618 miljoen dollar was behaald en dat de waarde van de netto activa moesten worden bijgesteld met 1,2 miljard dollar. Als snel bleek dat Enron jarenlang verliezen buiten de boekhouding had gehouden. De accountant van Enron, Andersen, heeft deze verkeerde weergave van de cijfers niet ontdekt. Uit onderzoek van de Securities and Exchange Commission (SEC) bleek dat Andersen meer vergoedingen ontving van Enron voor adviesdiensten dan voor auditdiensten (Unerman & O Dwyer, 2004). Acht maanden later vroeg WorldCom faillissement aan. Deze organisatie had 3,85 miljard dollar aan uitgaven onterecht gekapitaliseerd. Wederom was Andersen de accountant van dienst (Unerman & O Dwyer, 2004). Na deze schandalen kwam de kwaliteit van de accountantscontrole ter discussie te staan en dat is momenteel nog steeds het geval. Om de kwaliteit van audits te verbeteren, is in de Verenigde staten in 2002 de Sarbanes-Oxley act (SOX) ingevoerd, een wetgeving voor accountantskantoren. Ook in Nederland zijn er in navolging van de hiervoor genoemde schandalen regelgevingen ingevoerd. Zo publiceerde de Nederlandse Beroepsorganisatie van Accountants (NBA) in 2014 de verordening inzake de onafhankelijkheid van accountants bij assurance-opdrachten (ViO). Accountantskantoren werken tegenwoordig volgens de op risico gebaseerde aanpak. Dit houdt in dat de intensiviteit van de controle afhangt van het risicoprofiel van de klant (Basilo, 2007). Heeft een klant op bepaalde onderdelen van de jaarrekening een hoger risico, dan worden op dat gebied meer testwerkzaamheden verricht dan op de onderdelen uit het jaarverslag met een lager risico. Een aantal risico s liggen voor de hand: zo is het risico op earnings management en fraude altijd aanwezig en is bij een retailbedrijf de voorraad vaak een risico. Maar er zijn ook klant specifieke risico s. In de planningsfase van de audit worden deze risico s door het accountantskantoor bepaald. Aangezien de rest van de controle voor een groot deel op deze risico s is gebaseerd, is het correct bepalen van de risico s van essentieel belang. Voor het bepalen van de risico s verplichten controlestandaarden de accountant om een begrip te krijgen van de van de interne controle van een klant, om op die manier het risico op een materiele foute in het jaarverslag bepalen. Hiervoor gebruiken accountants het audit risk model (Arens, Elder & Beasly, 2014). Dit model helpt de accountant te bepalen hoeveel en wat voor soort bewijs er verzameld moet worden voor elk onderdeel in de controle. Aangezien accountants een risk based approach hanteren, is het van groot belang dat de juiste de controlerisico s worden bepaald. Immers, als de risico s verkeerd worden bepaald, houdt 4

6 dat in dat dit consequenties heeft voor de gehele controle. Aangezien het audit risk model al bestond toen de bovengenoemde schandalen plaatsvonden, staat in dit onderzoek de volgende vraag centraal: In hoeverre worden de efficiëntie en kwaliteit van de accountantscontrole beïnvloed door het gebruik van het audit risk model? Deze onderzoeksvraag wordt onderzocht door middel van een literatuurstudie. In hoofdstuk vier zal worden geschetst hoe de accountantscontrole zich heeft ontwikkeld en hoe deze er hedendaags uitziet. Vervolgens zal in hoofdstuk vijf worden uiteengezet wat het audit risk model inhoudt en uit welke onderdelen het bestaat. In hoofdstuk zes wordt de efficiëntie van het audit risk model besproken. Daarna wordt in hoofdstuk zeven de kwaliteit van het audit risk model behandeld. In hoofdstuk acht volgt de discussie. Ten slotte wordt in hoofdstuk negen de conclusie weergegeven. 5

7 4 De ontwikkeling van de accountantscontrole 4.1 Inleiding Om de effectiviteit en kwaliteit van het audit risk model te kunnen beoordelen, is het nodig eerst te beschrijven hoe de accountantscontrole zich door de jaren heeft ontwikkeld en hoe deze er tegenwoordig uitziet. In dit hoofdstuk zal daarom eerst worden beschreven wat het doel is van de accountantscontrole. Vervolgens zal geschetst worden hoe de accountantscontrole zich door de jaren heeft ontwikkeld. 4.2 Noodzaak en doel accountantscontrole In deze paragraaf wordt de noodzaak en het doel van de accountantscontrole weergegeven. Volgens Limperg en Groeneveld(1976) is de accountantscontrole nodig wanneer er differentiatie ontstaat tussen de eigenaar en de leiding van het bedrijf. Dit wordt de agency theorie genoemd. Stephen Ross (1973) omschrijft de agency theorie als een relatie tussen twee partijen waarbij de een (agent) werkt voor of namens de ander (principaal) binnen een bepaalde omgeving of besluitvormingsprobleem. Er bestaat dus informatie-asymmetrie tussen de principaal en de agent. De agent werkt voor de principaal, maar de principaal kan de agent niet volledig controleren. Limperg en Groeneveld beschrijven vervolgens dat er een bezwaar bestaat om deze controle intern te laten uitvoeren. Dit heeft twee redenen, ten eerste controleert de uitvoerende controleur in zekere zin zijn eigen werk, omdat hij zelf werkzaam is bij het te controleren bedrijf. Ten tweede is er een hiërarchisch bezwaar: de contoleur moet bij deze vorm van controle namelijk de werkzaamheden van zijn meerdere beoordelen. Zodoende kan de controleur zich bezwaard voelen om fouten aan het licht te brengen. Daarnaast is er het bezwaar van te nauw contact tussen de accountant en de bedrijfsleiding. Er is dus behoefte aan onafhankelijkere controle van buiten het te controleren bedrijf (Limperg & Groeneveld, 1976). Behalve de controlefunctie van de bedrijfsleiding, fungeert de accountant ook als vertrouwenspersoon van het maatschappelijk verkeer (Limperg & Groeneveld, 1976). Het controleren van de jaarrekeningen en financiële gegevens is van groot belang voor financiers om te bepalen of ze het bedrijf het investeren waard vinden. Daarnaast de vervult de accountant een rol binnen het politieke verkeer. Hij is namelijk de vertrouwenspersoon voor spaarders, kredietverstrekkers en banken. Dit zijn partijen voor wie de accountant primair geen arbeid verricht, maar die wel een belang hebben bij zijn werk, vandaar de term politieke rol. Deze politieke rol is volgens Limperg en Groeneveld het belangrijkst. 6

8 Nu de noodzaak van de accountantscontrole controle duidelijk is, wordt het doel ervan beschreven. Mollema (2003) schrijft dat het doel van de accountantscontrole het verschaffen van assurantie over een bepaald onderdeel is. Door assurantie wordt onzekerheid verminderd. Hij benadrukt dat assurantie verlenen iets heel anders is dan zekerheid geven. Volgens Arens, Elder & Beasly (2014) is een assurantie een service waarbij een onafhankelijke partij de kwaliteit van informatie beoordeeld ten behoeve van de gebruikers ervan. Bij het verlenen van assurantie kunnen twee soorten fouten worden gemaakt: de accountant kan ten onrechte een positief oordeel uitbrengen, of ten onrechte een negatief oordeel (Mollema, 2003). 4.3 De accountantscontrole toen en nu Het accountantsberoep is ruim 100 jaar geleden ontstaan. Aan het begin van de 20 e eeuw waren accountants voornamelijk boekhouders. Zij hadden als doel de juistheid van de jaarrekening van bedrijven vast te stellen. Om hun doel te bereiken reproduceerden zij de jaarrekening in zijn totaliteit. Ze stelde journaalposten op, maakten een saldibalans en daarmee stelden ze de jaarrekening op. Deze jaarrekening werd vergeleken met de jaarrekening die het bedrijf had geproduceerd. Dit wordt de bottum-up aanpak genoemd. Hierbij werd nooit gebruik gemaakt van beschikbare interne beheersingssystemen (Bac et al., 2003). Vanaf ongeveer 1920 werd er in Amerika wel gebruikt gemaakt van systemen voor interne beheersing. De controle begon met de jaarrekening die het bedrijf zelf had geproduceerd. Naast dat er bij deze top-down aanpak gebruikt werd gemaakt van interne beheersingssystemen, voerden de accountants cijferanalyses uit. In Nederland is deze aanpak lange tijd omstreden geweest. De conservatieven vonden dat bij het controleren van de jaarrekening geen gebruikt mocht worden gemaakt van de administratieve organisatie en interne controle (AO/IC). Zij vonden dat slechts de bottum-up aanpak volstond voor de controle. De progressieveren vonden dat er juist wel gebruikt gemaakt kon worden van de AO/IC (Bac et al., 2003). Limperg en Groeneveld introduceerden in 1930 de eis van volkomenheid. Volgens hen is het lastig vast te stellen wanneer een accountantscontrole volledig is. Elke accountant zal een verschillend aantal woorden gebruiken en mededelingen toevoegen aan de verklaring, terwijl dat niet wil zeggen dat de verklaring met minder woorden onvolledig is. De eis van volkomenheid houdt in dat er geen essentiële informatie mag ontbreken aan de verklaring die de accountant afgeeft (Limperg & Groeneveld, 1976). Nadat aan het einde van de jaren 70 de risicobenadering in de Verenigde Staten werd ingevoerd, werd ook in Nederland vanaf ongeveer 1980 de op risico gebaseerde aanpak gebruikt. Bij deze aanpak worden de werkzaamheden van de controle gebaseerd op het risico van de posten en 7

9 stromingen in de jaarrekening. De bedoeling hierbij is dat de kans op het afgeven van een verkeerde verklaring zo klein mogelijk wordt gehouden. Dit wordt het auditrisico genoemd (Bac et al., 2003). Volgens Mollema (2003) ontstaat het auditrisico doordat een accountant niet alles kan controleren en omdat de controlerende partij erg afhankelijk is van de participatie van het te controleren bedrijf. Om een verkeerd oordeel te voorkomen, moet de accountant voorafgaand aan de daadwerkelijke controle de risico s van het te controleren bedrijf zo overzichtelijk mogelijk in kaart brengen. Een goed uitgevoerde risicoanalyse leidt tot minder werkzaamheden tijdens de audit. Het model dat hiervoor gebruikt wordt is het audit risk model (Blokdijk, 2001). Het audit risk model zal in het volgende hoofdstuk uitgebreid worden toegelicht. 8

10 5 Het audit risk model 5.1 Inleiding In het vorige hoofdstuk is een beeld geschetst van de van de ontwikkeling van de accountantscontrole door de jaren heen. Tegenwoordig wordt door accountants gewerkt volgens de op risico gebaseerde aanpak. Zoals in het vorige hoofdstuk staat beschreven, houdt een op risico gebaseerde aanpak in dat de controle is gebaseerd op het risico van de posten en stromingen in de jaarrekening. De basis van dit model wordt gevormd door het audit risk model. Dit model staat centraal in dit onderzoek. Daarom wordt in dit hoofdstuk het audit risk model uitgebreid toegelicht. Eerst zal het ontstaan van het audit risk model worden toegelicht. Vervolgens zal er een algemene beschouwing van het audit risk model worden geven, waarna de verschillende onderdelen van het model aan bod komen. 5.2 Het ontstaan van het audit risk model Volgens Kloosterman (2004) begon Stringer in 1964 met het maken van onderscheid tussen fouten die ontstaan door de boekhouder en fouten die niet ontdekt worden. Voor de eerste categorie valt de accountant terug op het systeem van interne beheersing, terwijl hij voor de niet ontdekte fouten detailcontroles uitvoert. Hier is de term control risk uit voortgevloeid (Kloosterman, 2004). De term control risk komt later in dit hoofdstuk uitgebreid aan bod. Rond 1975 werd de cijferanalyse ingevoerd. Het hieruit ontstane analytic review risk werd door verscheidene accountants uitgebreid. Het audit risk model groeide verder toen rond 1980 het Monetary Unit Sampling (MUS) werd ontwikkeld. Dit houdt in dat een te controleren object wordt gezien als een geldhoeveelheid. Losse onderdelen van dat object waar een controle op moet worden toegepast, kan worden beschouwd als een aparte hoeveelheid geld. Op basis van de omvang van de geldhoeveelheid, kan de omvang van de streekproef worden bepaald (Kloosterman, 2004). In het begin bestond in het audit risk model geen inherent risico (Strawser, 1991). Dit eerste model bestond uit interne controlerisico (IC), het analytische-reviewrisico (AR) en het detailtestrisico (DR). Later werd in SAS 39 van de AICPA het inherente risico toegevoegd. Ook werden de AR en DR samengevoegd tot het detectierisico (Straswer, 1991). Wat deze risico s precies inhouden en wat het inherente risico is en waarom het van belang is, wordt verderop in dit hoofdstuk besproken. 9

11 5.3 Het audit risk model Het audit risk model is ontwikkeld als hulpmiddel bij het plannen van de audit. Het moet de accountants helpen het risico te verlagen dat onterecht een goedkeurende verklaring wordt afgegeven over een jaarrekening met niet-ontdekte materiële fouten. Dit risico wordt het auditrisico genoemd (Houston et al., 1999). Kloosterman voegt daaraan toe dat door middel van het audit risk model getracht wordt minder gegevensgerichte werkzaamheden te hoeven uitvoeren (Kloosterman 2004). Het audit riks model bestaat uit verschillende componenten. De afhankelijke variabele is het auditrisico, waarvan de definitie zojuist is gegeven. Het inherente risico houdt in dat een materiele fout zich voordoet in post op de jaarrekening, zonder dat er interne controlemaatregelen aanwezig zijn. Het interne controlerisico betreft het de kans dat een gemaakte fout door het interne beheersingssysteem niet wordt ontdekt en verbeterd. Het ontdekkingsrisico is het risico dat de accountant gemaakte fouten niet ontdekt (Klijnsmit, Sodekamp & Wallage, 2003). Het audit risk model ziet er met deze onderdelen als volgt uit: Auditrisico = inherent risico * interne controlerisico * detectierisico. In de volgende paragrafen worden deze componenten verder toegelicht Auditrisico Zoals in de vorige paragraaf is beschreven, is het auditrisico de afhankelijke variabele van het audit risk model. In SAS 47 (AICPA) staat dat het audit risico wordt erkend in de functieomschrijving van de accountant. Een accountant kan namelijk nooit volledige zekerheid kan geven dat er geen materiële fouten in de jaarrekening van een gecontroleerde onderneming bestaan. Er blijft dus altijd een vorm van onzekerheid bestaan. Volgens SAS No. 47 luidt de definitie van auditrisico als volgt: The risk that the auditor may unknowingly fail to appropriately modify his opinion on financial statements that are materially misstated. (Yardley, 1989, p. 111). Het auditrisico is dus het risico dat de accountant onbedoeld een passende verklaring afgeeft over een jaarverslag die materieel onjuist is. De controle van de jaarrekening moet zo worden ontworpen dat het auditrisico een bepaald maximaal niveau omvat, dit niveau wordt door de accountant zelf bepaald. Over het algemeen bepalen accountants dat het risico op een onterecht gegeven goedkeurende verklaring 1% tot 5% bedraagt (Klijnsmit, Sodekamp & Wallage, 2003). 10

12 5.3.2 Inherent risico De eerste onafhankelijke variabele is het inherente risico. SAS No. 47 omschrijft het inherente risico als volgt: The susceptibility of an account balance or class of transactions to error that could be material, when aggregated with error in other balances or classes, assuming that there were no related internal accounting controls. (Yardley, 1989, p.111). Inherent risico is dus het risico dat een balanspost of transactie een materiele fout bevat, wanneer ze in verband worden gebracht met andere balansposten of transacties, ervan uitgaande dat er geen gerelateerde interne controles plaatsvinden. Factoren die het inherente risico beïnvloeden zijn de mobiliteit van activa, waarderingsmethoden die afhankelijk zijn van schattingen, de algemene economische situatie en de technologische ontwikkeling (Wünsterman, 2004). Oftewel, het inherente risico wordt voornamelijk bepaald door de activiteiten van de te controleren onderneming, maar wordt beïnvloed door externe factoren (Blokdijk, 2004.) De accountant kan het inherente risico niet beïnvloeden, hij kan het inherente risico slechts bepalen. Dit staat letterlijk in paragraaf 42 van ISA 400. In paragraaf 47 van ISA 400 staat dat hoe hoger het inherente risico, hoe meer bewijs de accountant moet verzamelen door middel van het uitvoeren van substantieve testen (Blokdijk, 2004). Colbert (1988) stelt dat het bepalen van het inherente risico van invloed kan zijn op de efficiëntie en de effectiviteit van een accountantscontrole. De efficiëntie wordt aangetast wanneer het inherente risico op een hoger level wordt gesteld dan nodig is. Er moet dan meer werk worden uitgevoerd dan noodzakelijk is. Als het inherente risico te laag wordt ingeschat, betekent dit dat er te weinig testwerkzaamheden worden uitgevoerd, het gevolg hiervan is dat de controle ineffectief wordt. Samenvattend is het inherente risico dus het risico op fouten in het jaarverslag, ervan uitgaande dat er geen interne controle plaatsvindt. Dit risico wordt bepaald door de activiteiten van de onderneming en invloeden van buitenaf, de accountant heeft geen invloed op het inherente risico Het interne controlerisico De tweede afhankelijke factor van het audit risk model is het controlerisico. SAS no. 4 geeft voor het controlerisico de volgende omschrijving: The risk that error that could occur in an account balance or class of transactions and that could be material, when aggregated with error in other balances or classes, will not be prevented or detected on a timely basis by the system of internal accounting control. (Yardley, 1989, p. 111). Kortgezegd houdt het controlerisico dus in dat een materiële fout 11

13 niet wordt ontdekt door het interne beheersingssysteem. Factoren die het controlerisico beïnvloeden zijn de medewerkers van de boekhoudafdeling, de kwaliteit van de interne accountant, de kwaliteit en veiligheid van het Electronic Data Processing systeem en de verkregen managementinformatie om de bedrijfsactiviteiten te identificeren (Bedard & Lynford, 2002). Waar de accountant geen invloed kan uitoefenen op het inherente risico, kan hij dat gedeeltelijk wel op het controlerisico. Het controlerisico is afhankelijk van de het interne beheersingssysteem dat bij de onderneming aanwezig is. De accountant kan het management van de te controleren onderneming adviseren welke interne controlemaatregelen zij moet invoeren. Op die manier heeft de accountant een zeer geringe invloed op het controlerisico. Wanneer het controlerisico is bepaald, moet de accountant de aard, de timing en de omvang van de substantieve testwerkzaamheden bepalen (Blokdijk, 2004). Volgens paragraaf 47 van ISA geldt ook voor het controlerisico dat hoe hoger het risico wordt ingeschat, hoe meer controlebewijs de accountant moet verzamelen door het uitvoeren van de testwerkzaamheden. Het controlerisico is dus het risico dat een materiele fout niet wordt ontdekt door het beschikbare interne beheersingssysteem. Het risico wordt beïnvloed door een aantal factoren binnen de organisatie. De accountant heeft een beperkte mogelijkheid dit risico te beïnvloeden Het detectierisico De derde onafhankelijke factor is het detectierisico. SAS No. 4 geeft de volgende betekenis aan het detectierisico: The risk that an auditor s procedures will lead him to conclude that error in an account balance or class of transactions that could be material, when aggregated with error in other balances or classes, does not exist when in fact such error does exist. (Yardley 1989, p. 111). Het detectierisico houdt dus in dat de accountant een materiële fout niet ontdekt. De volgende factoren zijn van invloed op het detectierisico: Het selecteren van het onjuiste controle proces, verwerkingsfouten, het verkeerd implementeren van de controle resultaten en het gebruik van willekeurig onderzoek. Waar het inherente risico en controlerisico vooral bepaald worden door de te controleren onderneming en invloeden van buitenaf, wordt het detectierisico volledig door de accountant bepaald (Blokdijk, 2004). Volgens ISA 520 paragraaf 10 kan de accountant om het detectierisico te verlagen door het uitvoeren van detailtesten of analytische procedures, of een combinatie van beide. Er wordt een onderscheid gemaakt tussen twee soorten substantieve procedures. De eerste is de selectieve procedure is dat de te controleren objecten worden geselecteerd op bepaalde eigenschappen, zoals de waarde of omdat er bij het object eerder fouten zijn opgetreden. De andere soort is de random procedure: het object wordt willekeurig geselecteerd, zonder te kijken naar bepaalde eigenschappen (Blokdijk, 2004). Dusenbury, Reimers en 12

14 Wheeler (2000) splitsen het detectierisico op in het risico van analytische procedures en het risico van toegestane detailtesten. Het eerste behelst het risico dat materiele fouten die niet zijn gecorrigeerd door middel van interne controle door de accountant niet worden ontdekt tijdens het uitvoeren van analytische procedures. Het risico van toegestane detailtesten houdt de hoogte van de toegestane risico in om het gewenste auditrisico te bereiken, gegeven de andere risico s. Samenvattend is het detectierisico dus het risico dat de accountant een materiele fout niet ontdekt. Dit risico wordt volledig bepaald door de accountant zelf. Vaak wordt het gewenste auditrisico van tevoren door de accountant vastgesteld. In dat geval wordt het detectierisico de afhankelijke variabele. De formule ziet er dan als volgt uit: detectierisico = auditrisico / (inherent risico * controlerisico). Echter zorgt deze manier ervoor dat het model nu niet meer gebruikt wordt om het auditrisico af te leiden (Mollema, 2003). 13

15 6 Efficiëntie In dit hoofdstuk wordt de efficiëntie van het audit risk model besproken. Eerst wordt beschreven hoe efficiëntie in een audit gemeten kan worden. Vervolgens wordt aan de hand bestaande literatuur onderzocht in hoeverre het audit risk model inhoudelijk efficiënt is. Ten slotte wordt bekeken of het audit risk model ook kostenefficiënt is. 6.1 Efficiënte audit Pincus, Bernadi en Ludwig (1999) schrijven dat efficiëntie in economische zin behaald wordt door het minimaliseren van de input, het minimaliseren van verspilling en door het gebruik maken van de goedkoopste productiemethoden. In audit-lesmateriaal wordt efficiëntie op gelijke wijze beschreven, namelijk als het reduceren van kosten. Accountants definiëren efficiëntie als het uitvoeren van de accountantscontrole in zo min mogelijk tijd, om op die manier de winst zo groot mogelijk te maken. Kang et al. (2015) schrijven dat auditefficiëntie voornamelijk bereikt wordt door het gebruik maken van zo min mogelijk uren om een bepaalde controlekwaliteit te bereiken. Zij voegen daar echter aan toe dat bij accountantskantoren met de minste controle-uren de kwaliteit van de controle kan worden aangetast. Pincus, Bernadi en Ludwig (1999) beschrijven een tweetal onderzoeken die zijn gedaan naar de efficiëntie van de accountantscontrole, waarvan één relevant is voor dit onderzoek. McDaniel (in Pincus, Bernadi & Ludwig, 1999) heeft onderzoek gedaan naar de invloed van tijdsdruk op de efficiëntie. Daartoe liet hij verschillende groepen accountants met twee jaar auditervaring een experiment uitvoeren. Ze moesten bewijs verzamelen om fouten in de vier soorten voorraad te ontdekken. Elke groep had een verschillend tijdsbudget. Effectiviteit werd hierbij gemeten aan de hand van de hoeveelheid verzameld bewijsmateriaal ten opzichte van het totaal beschikbare bewijsmateriaal. Alleen bij de groep met de meest extreme tijdsdruk werd een hogere efficiëntie gemeten. Resumerend kan worden gesteld dat efficiëntie in de audit kan worden bereikt door het reduceren van de kosten. Dit wordt voornamelijk bereikt door het verminderen van de arbeidsuren die worden gebruikt bij het uitvoeren van de controle. 6.2 Efficiëntie in het audit risk model In deze paragraaf wordt beschreven in hoeverre de efficiëntie van een audit wordt beïnvloed door het audit risk model. 14

16 Blokdijk (2004) behandelt in zijn artikel het audit risk model inhoudelijk. Hij schrijft dat, voor bepalen van het controlerisico, de accountant de interne controle systemen van de te controleren organisatie moet leren kennen. De Internationale Standaarden voor Auditing (ISA), maken een onderscheid tussen het ontwerp van de interne controlesystemen en de werking ervan. Om een begrip te krijgen van het ontwerp, moet de accountant eerst een walk-through uitvoeren. Daarna moet de accountant controletesten uitvoeren om de werking te controleren. Echter, later licht Blokdijk toe dat deze structuur niet toereikend genoeg is. Volgens hem zijn er drie aspecten aan de orde: het ontwerp van het systeem, waarvan de accountant een begrip kan krijgen door beschrijvingen te lezen, het testen bestaan van de systemen en de daadwerkelijke werking van de systemen wat getest kan worden door controletest werkzaamheden. Als accountants deze drie stappen zouden volgens, is het niet nodig om elk jaar een walk-through uit te voeren (Blokdijk, 2004). Interne controles zijn aan verandering onderhevig. Wanneer een interne controle verandert, moet deze opnieuw getest worden. Het traceren van deze veranderingen is lastig, omdat een walkthrough vrijwel onmogelijk uitgevoerd kan worden gevoerd op een automatisch systeem (Blokdijk, 2004). Vaak worden er controle testen uitgevoerd om de veranderingen te traceren en te testen. Deze testen kosten vaak veel tijd, zeker wanneer binnen een intern controlesysteem de paramaters kunnen worden aangepast, de systemen kunnen hierdoor continu veranderen. Volgens Blokdijk (2004) kan hier efficiëntie worden gewonnen wanneer er selectieve substantieve testen worden uitgevoerd in plaats controle testen. Ten slotte heeft Blokdijk kritiek op de efficiëntie van de gebruikerscontrole van het interne controle systeem. Controle op de gebruikers van een systeem is nodig omdat wanneer medewerkers die geen autoriteit binnen het systeem horen te hebben, er wel gebruik van kunnen maken, het controle systeem niet naar behoren functioneert. Gebruikerscontrole kan worden uitgevoerd door het controleren van computer gegenereerde rapporten met onderliggende documentatie. Deze controletest heeft de eigenschappen van de bottum-up approach, die in hoofdstuk twee is besproken. Echter, in hoofdstuk twee is aangegeven dat de bottum-up benadering niet efficiënt is. Blokdijk (2004) schrijft daarom dat voor het controleren van de gebruikers substantieve testen moeten worden gebruikt (top-down benadering). Hoewel Blokdijk veel kritiek heeft op de efficiëntie binnen het audit risk model, zijn Bel et al. (2008) juist positief. Zij hebben onderzoek gedaan naar de relatie tussen arbeidskosten en het gebruik van business risk auditing (bedrijfsrisicobenadering). Hoewel de bedrijfsrisicobenadering niet exact hetzelfde is als het audit risk model, delen ze wel dezelfde principes. Zo schrijft Knechel (2007) dat het auditrisico wordt bepaald door de bedrijfsrisco s van de klant. Elk risico dat ervoor zorgt dat een organisatie haar doelstellingen niet haalt, verhoogt het auditrisico. De bedrijfsrisicobenadering is ontstaan in het verlengde van de het audit risk model, toen in de jaren 80 de marges op de 15

17 accountantscontrole terugliepen. Omdat bij methoden op dezelfde pilaren steunen, kan het onderzoek van Bell, Doogar en Solomon (2008) gebruikt worden om de efficiëntie van het audit risk model te analyseren. Om de relatie tussen arbeidskosten van een accountantscontrole en bedrijfsrisicocontrole te onderzoeken, selecteerde de auteurs 165 bruikbare controles uitgevoerd door een big-4 kantoor. De data die onderzoekers hebben gebruikt zijn de arbeidsuren per audit onderverdeeld per functie, de audit fee die betaald is voor de controle, informatie over de eigenschappen van de controle en de belangrijkste risicobeoordelingen. Met deze variabelen berekende ze de verwachte gebruikte arbeidsuren voordat de bedrijfsrisicocontrole werd toegepast (pre-bra benchmark). Daarna vergeleken ze de gebruikte uren van accountantscontroles waarbij gebruikt is gemaakt van de bedrijfsrisicocontrole met de verwachte gebruikte uren. Uit de resultaten komt naar voren dat onder de bedrijfsrisicocontrole 10% minder arbeidsuren zijn gebruikt dan onder de pre-bra benchmark. Daarnaast blijkt dat de honoraria die zijn betaald voor de bedrijfsrisicocontrole 25% lager dan het pre-bra benchmark (Bell, Doogar & Solomon, 2008). Hieruit kan geconcludeerd worden dat wanneer men een op risico gebaseerde aanpak gebruikt voor de accountantscontrole, dit kostenefficiëntie met zich meebrengt. Deze tijdsbesparing kan verband houden met de efficiëntie als gevolg van tijdsdruk, waar McDaniel onderzoek naar heeft gedaan (zie vorige paragraaf). Knechel (2007) schrijft immers dat de bedrijfsrisicobenadering ontstaan is toen de marges in de in de auditsector afnamen, en wanneer marges afnemen, dalen budgetten. MacDaniel (in Pincus, Bernadi & Ludwig, 1999) schrijft dat bij een extreme versie van tijdsdruk te wijten aan lagere budgetten, de efficiëntie in de accountantscontrole stijgt. Wellicht dat deze druk mede heeft gezorgd voor de toename van de efficiëntie binnen het audit risk model en de bedrijfsrisicobenadering. Dat uit het onderzoek van Bell, Doogar en Solomon (2008) blijkt dat het gebruik van de risicobenadering efficiënt is, wil niet zeggen dat de kritiek van Blokdijk (2004) onterecht is. Uit de argumenten van Blokdijk blijkt dat de wijze waarop de risicobenadering wordt toegepast volgens hem nog efficiënter kan. Zoals in hoofdstuk drie valt te lezen, wordt er in het audit risk model gebruik gemaakt van steekproeven (samples). Veenstra en Heertje (2006) schrijven dat het gebruik van steekproeven zorgt voor een efficiëntere accountantscontrole. Door het toepassen van steekproeven hoeft niet de hele populatie getest te worden, hierdoor wordt de tijd die nodig is voor een controle beperkt. De invoering van de Monetary Unit Sampling methode, die gebruikt wordt in het audit risk model, heeft gezorgd voor nog meer efficiëntie. Bij de voorgaande steekproefmethoden moest voor elke klasse een andere steekproef worden gemaakt, de voorbewerking hiervan was erg tijdsintensief. Omdat bij de MUS methode elke monetaire eenheid (bijvoorbeeld elke euro) een rangnummer krijgt, weegt 16

18 elke eenheid even zwaar mee voor de uitkomst. De steekproefmethode is hierdoor een stuk eenvoudiger en efficiënter geworden (Veenstra en Heertje, 2006). 6.3 Sub conclusie In dit hoofdstuk is de efficiëntie van het audit risk model aan bod gekomen. Eerst is beschreven dat de efficiëntie van een audit voornamelijk gemeten kan worden aan gemaakte kosten en gebruikte arbeidsuren. Vervolgens is er onderzocht of het audit risk model inhoudelijk efficiënt is. Hieruit valt te concluderen dat er bij het bepalen van de interne controles efficiëntie gewonnen kan worden. Daarna is beschreven dat het gebruik van steekproeven binnen het audit risk model leidt tot een efficiëntere controle. Ten slotte is op basis van een onderzoek van Bell, Doogar en Solomon (2008) geconcludeerd dat de op risico gebaseerde aanpak leidt tot een reductie in benodigde arbeidsuren. In tabel 6.1 staan de behandelde auteurs bij elkaar. Nu de efficiëntie is onderzocht, wordt in het volgende hoofdstuk onderzocht of het audit risk model niet ten kosten gaat van de kwaliteit van de accountantscontrole. Schrijver Onderwerp Resultaat Positief of negatief Blokdijk (2004) Interne controlesystemen Het beheersen/testen van interne controlesystemen gebeurt niet efficiënt binnen het audit risk model. Bell, Doogar en Solomon. Arbeidskosten Het gebruik van de (2008) risicobenadering zorgt voor een afname van de gebruikte arbeidsuren en leidt dus tot een efficiëntere accountantscontrole. Veenstra en Heertje (2006) Steekproeven Het gebruik van steekproeven zorgt voor een tijdsbesparing en levert dus efficiëntie op. Tabel 6.1 Negatief Positief Positief 17

19 7 Kwaliteit In dit hoofdstuk wordt de kwaliteit van het audit risk model besproken. Eerst wordt beschreven waaraan de kwaliteit van de accountantscontrole gemeten kan worden. Vervolgens wordt aan de hand van bestaande literatuur onderzocht in hoeverre het audit risk model bijdraagt aan de kwaliteit van de accountantscontrole. 7.1 Wat is kwaliteit De perceptie over wat de kwaliteit van een audit inhoudt hang erg af van door welke ogen ernaar gekeken wordt. Gebruikers van de jaarverslagen vinden wellicht dat dat de kwaliteit van een accountantscontrole betekent dat een jaarverslag geen materiele fouten bevat, een accountant kan vinden dat kwaliteit inhoudt dat hij alle taken heeft uitgevoerd tijdens de controle die horen bij de methodologie van zijn kantoor en wetgevers beschouwen een controle die volledig in lijn is met de wetgeving als een kwalitatief goede audit. Al deze beschouwingen zijn juist, maar ook incompleet. (Knechel, 2013). DeAngelo (1981, p. 186) omschrijft audit kwaliteit als de door de markt vastgestelde waarschijnlijkheid dat een gegeven accountant een inbreuk vindt in een accounting systeem van de klant en deze inbreuk tevens rapporteert. Deze definitie kan worden opgesplitst in twee delen: enerzijds de kans dat een accountant bestaande fouten in de verslaggeving ontdekt en anderzijds een gepaste reactie op de identificatie van de fout. Deze twee onderdelen tonen aan dat er verschillende aspecten invloed hebben op de auditkwaliteit. Voor het ontdekken van de fout zijn geschikte bronnen nodig (input) die op juiste wijze worden gebruikt (het proces). Voor het rapporteren van de fouten moet de accountant juiste stappen ondernemen die passen binnen de context (output en context) (Knechel et al, 2013). De kwaliteit van een audit is erg afhankelijk van de kwaliteit van de input. Welke input nodig is voor een goede audit, verschilt per opdracht. Er is daarom geen strikte omschrijving voor welke input er gebruikt moet worden bij een accountantscontrole. De accountant moet op basis van professionele oordeelsvorming bepalen welke input hij gebruikt. Als de accountant professioneel kritisch is en kennis en expertise heeft, zal dit de kwaliteit van de audit bevorderen (Knechel et al, 2013). De kwaliteit van het auditproces is afhankelijk van de beoordeling van de accountant tijdens de fases van het proces. Bij het bepalen van het risico zijn een aantal factoren die de kwaliteit van de controle aantasten, zo leiden verschillende benaderingen tot verschillende risico s. Daarnaast 18

20 hebben accountants moeite met het bepalen van de juiste controle procedures bij de geïdentificeerde risico s (Knechel et al., 2013). Bij het uitvoeren van analytische procedures zijn een aantal zaken die de kwaliteit kunnen aantasten. Zo kan de informatie die de accountant krijgt van het management en andere accountants de mogelijkheid van de accountant om de verwachte fouten te bepalen negatief beïnvloeden. Bij het verzamelen en evalueren van bewijs kunnen controleprogramma s van het accountantskantoor de beoordeling van fouten door de accountant beperken (Knechel et al., 2013). De kwaliteit van de audit neemt toe als negatieve uitkomsten uitblijven of als positieve uitkomsten optreden. Een negatieve uitkomst is bijvoorbeeld een boekhoudkundige aanpassing, een positieve uitkomst is bijvoorbeeld het terecht geven van een going concern verklaring (Knechel et al, 2013). Er zijn een aantal contextuele eigenschappen die de kwaliteit van een accountantscontrole beïnvloeden. Voorbeelden hiervan zijn de compensatie voor de partner, betaling voor non-audit diensten en de periode dat een accountant een klant in zijn portefeuille heeft. In deze paragraaf is beschreven wat de kwaliteit van een audit bepaalt. Een hoge kwaliteit wordt bereikt als de er goede bronnen (input) op juiste wijze worden gebruikt (proces) om fouten te ontdekken. Voor het rapporteren van deze fouten (output) moet de accountant stappen nemen die passen binnen de context. In de volgende paragraaf wordt onderzocht in hoeverre het audit risk model bijdraagt aan goede kwaliteit van de accountantscontrole. 7.2 Het audit risk model en kwaliteit In deze paragraaf zal aan de hand van bestaande literatuur worden onderzocht in hoeverre het audit risk model bijdraagt aan de kwaliteit van de accountantscontrole Inherent risico Zoals in hoofdstuk drie valt te lezen is het inherente risico het risico op een materiele fout zonder dat er rekening wordt gehouden met interne controles. In de SAS no. 109 van de ASB staat zelfs dat het inherente risico bepaald moet worden voordat de accountant naar de interne controles kijkt. Wanneer accountants bij het bepalen van het inherente risico wel de interne controle van de klant in overweging nemen, gaat dit ten koste van de kwaliteit van het audit risk model. Alleen bij het interne controlerisico moet rekening worden gehouden met de interne controle. Wanneer de interne controle wel in overweging wordt genomen bij het bepalen van het inherente risico, kan het zijn dat, doordat de accountant vindt dat een bepaalde interne controlemaatregel een mogelijk inherent risico elimineert, het inherente risico te laag wordt ingeschat (Miller & Ramsay, 2012). Zoals in 19

21 hoofdstuk vijf is beschreven, leidt het te laag inschatten van het inherente risico tot het uitvoeren van te weinig controlewerkzaamheden door de accountant. Dit zorgt ervoor dat de kans op een verkeerde verklaring toeneemt, het tast dus de kwaliteit van de accountantscontrole aan (Colbert, 1988). Bij het bepalen van audit risk wordt het inherente risico vermenigvuldigd met het controlerisico. Omdat het inherente risico altijd eerst bepaald moet worden en omdat het controlerisico nooit groter kan zijn dan 100%, betekent dit dat het controlerisico het auditrisico verlaagt nadat het inherente risico is bepaald (Miller & Ramsay, 2012). Miller en Ramsay (2012) hebben onderzocht of accountants inderdaad het inherente risico bepalen zonder dat ze naar de interne controles kijken. Hiervoor hebben zij accountants van een big- 4 kantoor ondervraagd. De ondervraging bestond uit twee fases. In de eerste fase werden aan de accountants vier risicofactoren die het inherente risico bepalen en vier risicofactoren die het controlerisico bepalen voorgelegd. Voor elk van de factoren moesten de accountants aangeven in hoeverre zij verwachtten dat deze factoren, zonder voorkennis van het bedrijf te hebben, het auditrisico zouden beïnvloeden. In de tweede fase werd de combinatie van het inherente risico en het controlerisico getest, waarbij wel achtergrondinformatie van het bedrijf werd gegeven. Dezelfde acht risicofactoren werden in twee verschillende casussen gegeven. Met de factoren moesten de accountants het auditrisico bepalen. In het eerste deel van het onderzoek werd in 45% van de gevallen het auditrisico verhoogd door de controlerisicofactoren. In het tweede deel werd in 48% van de gevallen het auditrisico verhoogd door het controlerisico (Miller & Ramsay, 2012). Hieruit valt op te maken dat accountants het audit risk model anders gebruiken dan door de wetgevers is bedoeld Interne controlesystemen Voor het bepalen van het controlerisico moet de accountant de interne controle van de klant testen, waaronder het bestaan en de werking van de interne controle. Hiervoor worden door verschillende wetgevingen test of controls geadviseerd. Deze controles kunnen bestaan uit het bestuderen van documenten die betrokken zijn bij transacties, het observeren van maatregelen van interne controle en het reproduceren van maatregelen (Blokdijk, 2001). Test of controls zijn bij twee fases relevant, namelijk wanneer gebeurtenissen worden vastgelegd en wanneer van gegevens een product gemaakt wordt, zoals een balans. Wat betreft de eerste fase kan de accountant volgens Blokdijk slechts uiterlijke kenmerken controleren. De accountant kan een gebrekkige uitvoering van de interne controle niet herstellen. Deze interne controles worden daarom onvervangbare controles genoemd. Volgens Blokdijk is het veel effectiever deze controles testen bij gegevensgerichte werkzaamheden. 20

22 Wat betreft de tweede fase moet voor het testen van het bestaan van de interne controle de wijzingen in dat systeem worden getest. Volgens Blokdijk is het in een geautomatiseerde omgeving onmogelijk test of controls uit te voeren. Zo kan volgens hem de controle op gewijzigde parameters worden uitgevoerd door middel van systeemgerichte werkzaamheden. Behalve dat een systeemgerichte controle vaak de enige mogelijke manier is om controles uit te voeren, kunnen systeemgerichte werkzaamheden problemen voorkomen in plaats van oplossen. Blokdijk stelt dus voor om de test of controls uit het auditrisico model te halen, in plaats daarvan stelt hij voor om de tests of controls te gebruiken bij de analytische procedures (Blokdijk, 2001). De Koning (2002) is het hier niet mee eens. Hij schrijft dat wanneer het lastig is om test of controls uit te voeren, dit geen reden is om het niet te doen. Hij schrijft ook dat het onderscheid tussen vervangbare en onvervangbare maatregelen van interne controle niet meer van deze tijd is. Waar Blokdijk stelde dat het controleren van uiterlijke kenmerken van documenten ontoereikend is, zegt de Koning dat bij systeemgerichte controle ter vervanging van de test of controls doormiddel van de documenten de accountant over te weinig deskundigheid beschikt om vast te stellen of de interne controle goed is uitgevoerd. Bij het testen van interne controlesystemen zullen altijd onzekerheden blijven bestaan (de Koning, 2002). Tevens spreekt de Koning tegen dat wijzingen in geautomatiseerde interne controlesystemen niet door middel van tests of controls kunnen worden getest. Dit is volgens hem wel degelijk mogelijk, maar er moet dan bij het opzetten van het systeem rekening worden gehouden met de accountantscontrole. Het systeem moet een log bijhouden van alle wijzingen die in het systeem worden gemaakt (de Koning, 2002). Eimers (2006) voegt daar nog aan toe dat systeemgerichte werkzaamheden pas zin hebben als er eerst een risicoanalyse is toegepast. Volgens hem zijn auditsoftware en wiskundige en statistieke toepassingen nuttig in een audit, maar speelt het geen rol binnen het auditproces. Hij geeft het voorbeeld dat als een accountant inkoopfacturen gegevensgericht test terwijl de directie van de klant de boekingsgang kan bewerken, kan het zijn dat de controleaanpak niet toereikend is geweest Alternatieve risicobenadering Smieliauskas (2007) schrijft dat er geen groot verschil zit tussen de auditliteratuur en de boekhoudliteratuur. Veel cijfers in de jaarverslagen zijn gebaseerd op schattingen van het management, het zijn juist deze voorspellingen die zorgen voor onnauwkeurigheden. Accounting risk is het risico dat er fouten in de boekhouding ontstaan door onjuiste voorspellingen. In het huidige audit risk model zijn alle componenten er echter op gericht om voldoende bewijs te verzamelen om de afgegeven verklaring te ondersteunen. Door deze focus op het risico van de bewijsverzameling, 21

23 bevat het audit risk model geen aspect dat het accountingrisico weergeeft. Toch wordt er steeds meer gebruik gemaakt van schattingen binnen de boekhouding, bijvoorbeeld bij het testen van impairments en pensioenwaarderingen. Het ontbreken van het accountingrisico leidt tot beperkingen van het audit risk model. Immers bestaat binnen het audit risk model geen risico op schattingsfouten (Smieliauskas, 2007). Smieliauskas stelt voor om een risicomodel te maken dat zowel voor de audittheorie als de accountingtheorie kan dienen, dit kan door het risico op schattingsfouten aan het audit risk model toe te voegen (Smieliauskas, 2007). Het risicomodel komt er dan als volgt uit te zien: PMM = AudR + [(1-AudR) x AccR]. In dit model is PMM de kans op een materiele fout, AudR is het auditrisico en AccR is het accounting risico. PMM kan per rekening in de boekhouding verschillen. Behalve dat er in het audit risk model geen rekening wordt gehouden met accounting risico s, schrijven Klijnsmit, Sodekamp en Wallage (2003) dat er ook geen rekening wordt gehouden met de bedrijfsrisico s van de accountant. Er is een duidelijk onderscheid tussen bedrijfsrisico s van de klant en bedrijfsrisico s van de accountant. Een bedrijfsrisico voor de klant is dat doelstelling niet worden bereikt waardoor de onderneming schade lijdt en op den duur zelfs failliet kan gaan. Een bedrijfsrisico voor de accountant is dat het accountantskantoor schade lijdt doordat het een verkeerde verklaring heeft afgegeven over de jaarrekening van een klant. Het risico van de klant komt terug in het inherente risico (Klijnsmit, Sodekamp & Wallage, 2003). Zoals in hoofdstuk drie is beschreven is het inherente risico, het risico op fouten in het jaarverslag zonder dat er interne controle plaatsvindt en wordt dit risico onder andere bepaald door activiteiten van de onderneming zelf. Het bedrijfsrisico van de accountant is voor een deel verweven in het toegestane auditrisico, immers is in hoofdstuk drie beschreven dat het auditrisico het risico omvat dat een accountant onterecht een goedkeurende verklaring afgeeft. Maar een accountant loopt ook niet-vaktechnische risico s (bedrijfsrisico s). Zo kan een accountant boetes krijgen van wetgevers of kan een accountant reputatieschade oplopen als het een klant bijstaat waarover negatieve berichtgeving naar buiten komt. Klijnsmit, Sodekamp en Wallage (2003) stellen daarom een audit risk model voor waarin bedrijfsrisico s worden opgenomen. Het risico model ziet er als volgt uit: MAVV = ABR(1) x AAR + ABR(2) X p.e. Hierin is de AAR het auditrisico zoals beschreven in hoofdstuk drie. MAVV is het maximaal aanvaardbaar te verwachten verlies. ABR(1) is het vaktechnische accountantsbedrijfsrisico, oftewel de schade die de accountant oploopt bij het afgeven van een verkeerde verklaring. ABR(2) is het nietvaktechnische bedrijfsrisico van de accountant, oftewel de schade ten gevolgen van reputatieschade. AAR (aanvaardbaar auditrisico) staat voor de kans dat ABR(1) optreedt. P.e. staat voor de kans dat de 22

24 accountant in verband wordt gebracht met negatieve publiciteit omtrent de klant. Klijnsmit, Sodekamp en Wallage (2003) hebben dit model getoetst. Daartoe hebben zij vragenlijsten uitgedeeld aan 104 registeraccounts waarin gevraagd werd of de accountant bij een bepaald bedrijfsrisico het aantal detailwerkzaamheden zou verhogen. Bij politiekgevoelige kwesties zou 28% van de registeraccounts het aantal detailwerkzaamheden opschroeven. Bij het risico op een aanklacht zou 59% meer detailwerkzaamheden uitvoeren. Deze resultaten duiden erop dat, ondanks de bedrijfsrisico s niet in het huidige audit risk model zijn opgenomen, accountants de intensiviteit van de controle er wel van zou laten afhangen (Klijnsmit, Sodekamp & Wallage, 2003). Hierbij dient wel opgemerkt te worden dat dit onderzoek te gering is voor statische relevantie Bedrijfsrisicobenadering Zoals in hoofdstuk vier is beschreven, ligt de bedrijfsrisicobenadering in het verlengde van het audit risico model. Daarom wordt in deze paragraaf de kwaliteit van bedrijfsrisicobenadering onderzocht. Allen et al. (2006) beschrijven een aantal voordelen van de bedrijfsrisicobenadering. Wanneer een accountant gebruikt maakt van de bedrijfsrisicobenadering, zal hij zich niet alleen op de balans oriënteren, maar hij zal een bredere focus over de hele organisatie krijgen. Ook zal het voor een accountant makkelijker worden om een verwachting voor jaarcijfers te maken en zal hij de belangrijkste prestatie indicatoren begrijpen. Accountants die gebruik maken van de bedrijfsrisicobenadering, verwerken meer bedrijfsrisico in hun controle en zien een sterkere relatie tussen de controleomgeving en het risico op materiële fouten. Ook Van Leeuwen en Wallage (2002) zijn positief over de bedrijfsrisicobenadering. Zij schrijven dat je een onderneming pas goed kan begrijpen als het gehele systeem wordt bestudeerd. Zo wordt de positie van het te controleren bedrijf mede bepaald door leveranciers, investeerders, klanten en de overheid. Waar het auditrisico model zich vooral richt op transactiestromen en posten in de jaarrekening, wordt bij de bedrijfsrisicobenadering ook gekeken naar informatiestromen die betrekking houden op de bedrijfsstrategie en de markt, om op die manier een totaalbeeld te vormen. Het beoordelen van de werkelijke processen bevordert de kwaliteit van de accountantscontrole (van Leeuwen en Wallage, 2002). Het proces begint met het identificeren van de bedrijfsrisico s. Het inherente risico is onderdeel van het bedrijfsrisico, maar ook risico s met betrekking tot de naleving van wetten en effectiviteit en efficiëntie horen bij de bedrijfsrisico s. Van Leeuwen en Wallage (2002) stellen het belang van begrip van het gehele bedrijf en haar omgeving onmisbaar, blijkt uit de Enroncase die in de inleiding is beschreven. Zij stellen vervolgens voor om in de bedrijfsrisicobenadering het controlerisico uit het audit risk model te vervangen door het interne beheersingsrisico, wat 23