De impact van XBRL op assurance

Transcriptie

1 De impact van XBRL op assurance Het interne beheersingsproces voor de financiële rapportage drs. Jeroen Nekeman Frank Hakkennes MSc 28 maart, 2009 Vrije Universiteit Amsterdam Postdoctoraal EDP audit Begeleider aan de VU: J. Pasmooij RE RA RO Bedrijfscoach bij Deloitte: ir. F. Geertman RE CISA

2

3 Management samenvatting Volgens velen zal XBRL in de toekomst tot algemene standaard verheven worden op het gebied van het geautomatiseerd opslaan en verwerken van bedrijfsinformatie en het rapporteren hiervan. Ook de financiële jaarrekening kan zo met behulp van XBRL worden opgesteld. Uiteindelijk zal XBRL zelfs de traditionele papieren jaarrekening zoals we die nu kennen kunnen vervangen. Twee belangrijke vragen bij het gebruik van XBRL zijn: In hoeverre heeft de overgang naar XBRL invloed op het verkrijgen van assurance over de financiële verslaglegging? En in welke mate verandert de taak van de IT auditor hierdoor? In dit onderzoek staan deze vragen centraal. Aan de hand van een risicoanalyse hebben wij beschreven welke risico s zich aandienen bij het rapporteren van financiële rapportages met behulp van XBRL. Uit literatuuronderzoek hebben wij opgemaakt dat er in hoofdlijnen vijf basiselementen aanwezig zijn ten aanzien van XBRL: Brondata Taxonomie XBRL Specificatie Instance document Style sheets De brondata zijn de financiële gegevens over welke wordt gerapporteerd. De taxonomie bepaalt welke gegevens in de rapportage worden opgenomen en wat hun betekenis is. De XBRL specificaties geven de technische richtlijnen. Het instance document is het uiteindelijke informatiedocument dat de te rapporteren gegevens en metadata hierover bevat. Tot slot kan met behulp van een style sheet de voor de specifieke situatie relevante gegevens worden omgezet naar een voor mensen leesbare presentatievorm. Nadat wij voor elke van deze elementen de specifieke risico s hebben bepaald, hebben we vervolgens een set controledoelstellingen en controleactiviteiten beschreven waarmee deze risico s afgedekt kunnen worden. Deze analyse is onder andere gebaseerd op een aantal interviews welke wij hebben afgenomen met experts op het gebied van accounting, IT audit en consulting. Het resultaat vormt een normenkader dat in hoofdlijnen beschrijft welke activiteiten ondernomen dienen te worden om assurance te kunnen verlenen op het totstandkomingproces van een financiële rapportage in XBRL. XBRL voegt een aantal nieuwe stappen toe aan het rapportageproces. Hierbij hebben wij controleactiviteiten beschreven die specifiek zijn voor het XBRL proces. Hieruit concluderen wij dat in vergelijking met de traditionele vorm van rapporteren extra of aangepaste activiteiten naadzakelijk zijn voor het verkrijgen van assurance over het XBRL totstandkomingproces. Niet voor alle risico s zal de expertise van de IT-auditor noodzakelijk zijn. Echter voor een groot deel van de beschreven activiteiten zal de IT auditor uitkomst kunnen bieden in het verlenen van zekerheid over de verschillende deelprocessen. Onze conclusie luidt dan ook dat er bij het geven van assurance over het XBRL rapportageproces een grotere rol voor de IT auditor is weggelegd, dan bij de traditionele vorm van rapporteren. Het door ons opgestelde controleraamwerk kan dienen als startpunt bij het uitvoeren van een audit naar het totstandkomingproces van een XBRL rapportage. Hierbij dient nog wel een vervolgstap te worden uitgevoerd, waarbij de beschreven controleactiviteiten vertaald dienen te worden naar een specifieke situatie. 1

4 Inhoudsopgave MANAGEMENT SAMENVATTING...1 INHOUDSOPGAVE INTRODUCTIE CONTEXT PROBLEEMSTELLING Doelstelling Vraagstelling Deelvragen KADER ONDERZOEKSMETHODE EN AANPAK OPZET VAN HET ONDERZOEK XBRL OPKOMST VAN XBRL Ontwikkelingen in de informatiebehoefte Verschillen XBRL met traditionele wijze van rapporteren Kanttekening bij de opkomst van XBRL KENMERKEN XBRL Data XBRL Specificaties Taxonomie Instance document Style sheet Samenhang elementen SCENARIO S GEBRUIK VAN XBRL TRADITIONELE VERSLAGGEVING XBRL RAPPORTAGE GEBASEERD OP TRADITIONELE VERSLAGGEVING VERSLAGGEVING IN XBRL EN TRADITIONELE VERSLAGGEVING VERSLAGGEVING IN XBRL ZONDER PRESENTATIE VERSLAGGEVING IN XBRL MET PRESENTATIE SELECTIE SCENARIO RISICO S DATA

5 4.2 XBRL SPECIFICATIES TAXONOMIE INSTANCE DOCUMENT STYLE SHEET CONCLUSIE CONTROLEAANPAK CONTROLEDOELSTELLINGEN CONTROLE ACTIVITEITEN Juiste brongegevens Integriteit gegevens XBRL specificaties Vereiste elementen en informatie Vertrouwelijkheid Beschikbaarheid GEVOLGEN TOEPASSING XBRL OP DE IT AUDIT Uit te voeren werkzaamheden IT auditor Vorm en mate van assurance Vervolgstappen CONCLUSIE...31 BRONVERMELDING...33 BIJLAGE A: XBRL TAXONOMIE JAARREKENING UNILEVER BIJLAGE B: XBRL INSTANCE DOCUMENT JAARREKENING UNILEVER BIJLAGE C: INTERVIEWS...39 BIJLAGE D: RISICO S...47 BIJLAGE E: NORMENKADER

6 1 Introductie 1.1 Context Veel organisaties zouden in de huidige tijd financiële gegevens toegankelijk willen maken voor externe partijen via het Internet (Efrim Boritz and No, 2005). XBRL (Extensible Business Reporting Language) is in het leven geroepen om volgens een gestandaardiseerde wijze te werk te gaan. Heitmann en Öhling (2005) geven de volgende definitie van XBRL: XBRL is a general-purpose language for constructing and presenting documents with accepted formats and rules. It uses metadata for explaining layout and logical structure of the content, and allows for any user to extend the language for special purposes. Volgens velen zal XBRL in de toekomst tot algemene standaard verheven worden op het gebied van het geautomatiseerd opslaan en verwerken van bedrijfsinformatie en het rapporteren hiervan. XBRL kan bijvoorbeeld ingezet worden bij het voorbereiden, delen en analyseren van financiële rapportages. De financiële informatie zoals jaarrekeningen en prognoses kunnen op het Internet worden geplaatst. Bovendien zal het gebruik van XBRL zich niet beperken tot het Internet maar zal XBRL ook gebruikt worden voor overdracht van financiële gegevens tussen verschillende organisaties. Een belangrijke vraag die hierbij gesteld kan worden is hoe om te gaan met de integriteit, beschikbaarheid en vertrouwelijkheid van deze informatie en de totstandkoming hiervan. 1.2 Probleemstelling Doelstelling Sinds de invoering van XBRL zijn er in de wetenschappelijke literatuur diverse onderzoeken geweest naar de invloed die XBRL zal hebben op de financiële audit (Heitmann and Öhling, 2005; CICA, 2002). Deze onderzoeken beperken zich over het algemeen tot de verandering die XBRL met zich meebrengt ten aanzien van de werkzaamheden van de accountant. De impact die XBRL kan of zal hebben op de werkzaamheden van de IT auditor is tot op heden nauwelijks onderzocht. Het is mogelijk dat door de invoering van XBRL, deze werkzaamheden in meer of mindere mate aangepast moeten worden om bijvoorbeeld voor een financiële audit ten behoeve van de jaarrekening voldoende zekerheid te kunnen geven. 4

7 1.2.2 Vraagstelling De bovenstaande probleemstelling leidt in samenwerking met Deloitte Enterprise Risk Services (ERS) tot de volgende onderzoeksvraag: Wat is de impact van XBRL op IT-audit en assurance? Deelvragen Om het kader van het onderzoek verder af te bakenen en een heldere opbouw van de genoemde vraagstelling te kunnen uitwerken, zal het antwoord op de probleemstelling worden geformuleerd met behulp van een drietal deelvragen. 1. Wat zijn de relevante ontwikkelingen op het gebied van XBRL? 2. Welke gevolgen heeft de toepassing van XBRL op het geven van assurance? 3. Veranderen de werkzaamheden van de IT-auditor door de toepassing van XBRL? 1.3 Kader Het doel van het onderzoek is inzicht verkrijgen in de impact die XBRL heeft op het uitvoeren van een IT-audit. Dit onderzoek richt zich enkel op de ondersteuning van de uitvoering van de financiële jaarrekeningcontrole. Mogelijke andere vormen van auditing, zoals proces audits, privacy audit en reglementaire audits (bijv. SOX, SAS, BASEL) vallen buiten het kader van dit onderzoek. 1.4 Onderzoeksmethode en aanpak Om bovenstaande probleemstelling en deelvragen te kunnen beantwoorden is eerst een literatuurstudie uitgevoerd. Deze literatuurstudie is in het bijzonder gericht op de eigenschappen en mogelijkheden van XBRL, en de impact die XBRL heeft op de werkzaamheden van de IT auditor in relatie tot de jaarrekeningcontrole. Vervolgens zijn aan de hand van deze literatuurstudie en interviews met vakdeskundigen, scenario s opgesteld die beschrijven in welke vorm XBRL ingezet kan worden. Een van deze scenario s is voor het vervolg van het onderzoek als uitgangspunt genomen en verder geanalyseerd. Daarnaast zijn interviews afgenomen met vakdeskundigen die op verschillende wijzen betrokken zijn bij het gebruik van XBRL en/of het verlenen van assurance in het kader van de jaarrekeningcontrole. Zo is er gesproken met consultants welke XBRL implementaties begeleiden, accountants en IT auditors die verantwoordelijk zijn voor het uitvoeren van de jaarrekeningcontrole. Deze groep bevat zowel personen die een uitvoerende rol hebben als personen die een verantwoordelijke of management rol bekleden Deze interviews zijn gebruikt om tot een risicoanalyse te komen en om inzicht te verkrijgen over de rol van de IT auditor. 5

8 1.5 Opzet van het onderzoek De uitwerking van dit onderzoek bevat de volgende hoofdstukken: 1 Introductie 2 XBRL 3 Scenario s gebruik van XBRL 4 Risico s 5 Controleaanpak 6 Conclusie Hoofdstuk 1 bevat de inleiding van dit onderzoek en beschrijft de context, probleemstelling, onderzoeksvraag en deelvragen, het kaderen de gehanteerde methodiek. Hoofdstuk 2 beschrijft de basis kenmerken en eigenschappen van XBRL. Hierbij wordt zowel ingegaan op een de functionele aspecten van het gebruik van XBRL als de technische kenmerken. Hoofdstuk 3 geeft daarna een beschrijving van de verschillende scenario s waarin XBRL gebruikt kan worden voor het beschikbaar stellen van financiële gegevens. Op basis van een van deze scenario s wordt vervolgens in hoofdstuk vier een risico analyse beschreven voor de verschillende elementen van XBRL die zijn beschreven in hoofdstuk 2. Aan de hand van de risico s beschreven in hoofdstuk 4, wordt in hoofdstuk 5 een mogelijke controleaanpak gegeven om deze risico s te beheersen. Hierdoor wordt inzichtelijk welke risico s anders zullen zijn bij het gebruik van XBRL als dit wordt vergeleken met de traditionele aanpak van het rapporteren van financiële gegevens. Dit zal resulteren in een controleraamwerk waarin op hoog niveau risico s bij de totstandkoming van een XBRL rapportage zijn gekoppeld aan controledoelstellingen. Het raamwerk is erop gericht inzicht te geven op de risico s en controledoelstellingen zoals van toepassing op het totstandkomingproces van een XBRL rapportage. Het kan voor een auditor fungeren als startpunt voor het opstellen van een controleplan. Hiertoe dient in het raamwerk per controleactiviteit nog een vervolg stap te worden uitgevoerd waarbij voor een specifieke situatie beschreven wordt hoe kan worden vastgesteld dat aan de opgenomen norm wordt voldaan. Tenslotte bevat hoofdstuk 6 een conclusie waarin de belangrijkste bevindingen uit dit onderzoek worden samengevat en mogelijke onderwerpen worden aangedragen voor vervolgonderzoek. 6

9 2 XBRL 2.1 Opkomst van XBRL Ontwikkelingen in de informatiebehoefte De afgelopen tien jaren heeft het gebruik van Internet een enorme ontwikkeling door gemaakt. Hierdoor zijn in verschillende bedrijfstakken de verwachtingen ten aanzien van informatie sterk veranderd (Ward Hanson; 2000). Er wordt verwacht dat informatie digitaal beschikbaar is. Maar ook ten aanzien van de verwerking van informatie zijn de wensen van gebruikers toegenomen. Informatie dient steeds sneller voor gebruikers beschikbaar te zijn. Veel organisaties hebben daarom hun bedrijfsprocessen zodanig aangepast dat de informatieverwerkende processen zo veel mogelijk digitaal verlopen waardoor de omzetsnelheid van de informatie toeneemt. Ook ten aanzien van financiële informatie zijn gedurende de afgelopen periode de wensen en eisen van organisaties sterk veranderd. Dit is mede het gevolg van toenemende eisen ten aanzien van financiële informatievoorziening in het kader van Corporate governance, externe verslaglegging, toezicht en (Europese) harmonisatie (Hoekstra, D.J. en Snijders, P. 2008). Ook in Nederland wordt specifiek gewerkt aan de harmonisatie van taxonomieën om het proces van samenstellen en uitwisselen van informatie te vereenvoudigen (Pasmooij, 2009). Tegenwoordig stellen de meeste organisaties de financiële jaarverslagen en bedrijfsinformatie digitaal beschikbaar via het Internet (Boritz, J.E. en No, W.G., 2007). Deze wijzigingen maken het mogelijk om aan een deel van de verandering van de wensen van betrokken partijen, zoals inzichtelijkheid, kostenreductie en mogelijkheden voor toegang tot de financiële informatie, tegemoet te komen. Tegelijkertijd is voor de beschikbaarstelling van informatie in digitale vorm vaak veel handwerk noodzakelijk (het zogenaamde rekeyen). Dit brengt voor de organisatie geen kosten reductie met zich mee. Tevens ontstaat bij het handmatig opstellen van financiële overzichten, waarbij veel copy en paste" activiteiten worden uitgevoerd, een verhoogde kans op fouten. Hierdoor neemt de noodzaak van een betere benutting van de mogelijkheden die de IT omgeving biedt verder toe. Er ontstaat een toenemende roep om een universele digitale methode waarbij financiële informatie rechtstreeks uit de financiële systemen getrokken kan worden. Deze noodzaak voor een digitale methode vormt de basis voor het ontstaan van XBRL. Momenteel zijn voor de standaardisatie van gegevens verschillende taxonomieën beschikbaar (zoals IFRS GP en US GAAP). Daarnaast zijn op nationaal niveau taxonomieën opgesteld die rekening houden met lokale wet- en regelgeving. Met ingang van 2009 heeft de SEC het gebruik van XBRL voor beursgenoteerde organisaties in de verenigde staten verplicht gesteld. In andere landen bestaat al langer de mogelijkheid om, al dan niet verplicht, financiële rapportages in XBRL te rapporteren aan overheid of toezichthouders. Ook in Nederland wordt specifiek gewerkt aan de harmonisatie van taxonomieën om het proces van samenstellen en uitwisselen van informatie te vereenvoudigen (Pasmooij, 2009). 7

10 2.1.2 Verschillen XBRL met traditionele wijze van rapporteren Jaarlijks wordt door veel ondernemingen een verslag gemaakt van de financiële cijfers, wat in de vorm van een jaarverslag wordt gepresenteerd aan de belanghebbenden. Deze wijze van rapporteren wordt al jaren gebruikt waardoor ondernemingen, overheidsinstanties en andere belanghebbenden precies weten wat ze hier aan hebben. Belanghebbenden hechten steeds minder waarde aan het uitgegeven jaarverslag. Hier liggen verschillende redenen aan ten grondslag. Ten eerste is het totstandkomingproces erg omvangrijk. Vaak is het jaarverslag pas enkele maanden na afsluiting van het boekjaar beschikbaar. Ten tweede heeft het verslag een standaard vorm waardoor het niet altijd aansluit op de informatiebehoefte van de verschillende belanghebbenden. Verder richt het jaarverslag zich voornamelijk op de financiële gegevens waarbij een veelheid aan accounting en rapportage principes gebruikt wordt. (Nivra, 2007). Door de opkomst van het gebruik van het Internet is globalisering een feit. Mede hierdoor verandert de informatiebehoefte. Mensen raken er steeds meer aan gewend dat informatie digitaal beschikbaar is op het moment dat zij hieraan behoefte hebben. Google heeft hier handig op ingespeeld door een effectieve methode te ontwikkelen voor het indexeren van Internet sites waardoor gebruikers snel en makkelijk toegang kunnen krijgen tot informatie. Deze ontwikkelingen hebben ook de verwachtingen ten aanzien van financiële informatie van gebruikers veranderd. Dit heeft geleid tot de ontwikkeling van XBRL. XBRL maakt het mogelijk de eerder beschreven tekortkomingen van de traditionele manier van rapporteren te overwinnen. Zo zijn financiële rapportages beschikbaar met een druk op de knop en kunnen gebruikers de informatie opvragen die zij willen zien.. Dit houdt in dat overzichten niet alleen jaarlijks maar op ieder gewenst moment kunnen worden verkregen. De rapportages kunnen in meerdere vormen, zoals PDF, HTML of XML, worden aangeleverd. Daarnaast zorgt het gebruik van een taxonomie voor een harmonisatie van rapportage standaarden, waardoor vergelijking en integratie met andere standaarden eenvoudiger wordt. Ook kunnen de gegevens die nu op ieder moment beschikbaar zijn worden ingezet om bedrijfsdoelstellingen weer te geven en tijdige bijsturing te geven wanneer nodig (Nivra, 2007) Kanttekening bij de opkomst van XBRL Voordat XBRL succesvol kan worden doorgevoerd in de Nederlandse economie zullen eerst de voordelen hiervan bij ondernemingen en overheid duidelijk moeten zijn. Momenteel zijn er bij verschillende partijen behoorlijk sceptische gedachten over de invoering Momenteel staan verschillende partijen sceptisch tegenover het gebruik van XBRL. Onder andere doordat er veel onduidelijkheid is over de vraag hoe gegevens in XBRL moeten worden aangeleverd. Ondernemingen zouden XBRL wel willen implementeren maar weten door een gebrek aan handleiding Hoe implementeer ik XBRL niet hoe (Accountancy nieuws, 2008). In het vervolg van dit onderzoek geven wij een overzicht van mogelijke scenario s voor het gebruik van XBRL. Door een aanname te maken van de best mogelijke toepasbaarheid stellen wij vervolgens, door het uitvoeren van een risicoanalyse, een normenkader op dat de gebruiker van XBRL als startpunt kan gebruiken voor de implementatie van XBRL. In de politiek blijkt dat er eveneens geen overeenstemming is over het gebruik van XBRL. Dit leidt er toe dat over de (verplichte) invoering van XBRL nog geen besluiten zijn genomen in Nederland. Er ontstaat met name discussie over de noodzaak van assurance bij verantwoording van financiële cijfers in elektronische vorm en de 8

11 wijze waarop die kan worden gegeven. Uit de bijeenkomst georganiseerd door het Nivra van 8 januari 2009 blijkt dat er discussie is aangaande de verantwoording van financiële cijfers in elektronische vorm. (Accounts.nl, 2009). Momenteel is er nog weinig knowhow en software beschikbaar over het gebruik van XBRL. Hierdoor zullen de kosten van een implementatie voorlopig erg prijzig zijn. De verwachting is dat wanneer XBRL meer geïmplementeerd zal worden deze kosten zullen dalen. Verder blijkt dat het schrijven van een goed XBRL programma nog zo makkelijk niet is. Door de eenvoudige technische principes van XBRL denken veel ondernemingen zelf wel iets te kunnen schrijven. Maar de materie blijkt daarvoor toch te complex. Ook is er nog steeds geen duidelijkheid over welke informatie er nu moet worden doorgegeven tussen de verschillende partijen. Een oorzaak voor de onduidelijkheid over de informatie-uitwisseling is de moeilijkheid in te schatten in welke mate Assurance noodzakelijk is bij het gebruik van XBRL (Vanderhaegen, 2006). 2.2 Kenmerken XBRL Dit hoofdstuk beschrijft de kenmerken en generieke concepten van XBRL. Zoals beschreven in sectie 2.1, wordt XBRL gebruikt voor het digitaal uitwisselen van financiële informatie. XBRL is gebaseerd op XML technieken, waarbij een onderscheid wordt gemaakt tussen de daadwerkelijke gegevens en de presentatie van deze gegevens, ook wel metadata genoemd. De betekenis van gegevens wordt hierbij als tag gekoppeld aan dit gegeven. Dit is te vergelijken met het bekende HTML, waarbij met behulp van tags wordt aangegeven op welke wijze gegevens weergegeven dienen te worden. Een simpel voorbeeld van HTML is bijvoorbeeld: <u>html voorbeeld</u> Voorbeeld code 2-1: HTML voorbeeld In dit voorbeeld is de tekst HTML voorbeeld het gegeven. Door middel van de tag <u> wordt aangegeven dat dit gegeven onderstreept weergegeven dient te worden. XBRL werkt op eenzelfde manier, waarbij gegevens worden gecommuniceerd en doormiddel van tags wordt aangegeven wat de context en betekenis van deze gegevens is. Hiertoe kent XBRL een vijftal elementen welke in dit hoofdstuk zullen worden beschreven: data, XBRL specificaties, taxonomie, instance document en style sheet (Trites, 2006, Boritz, 2007). Bij de uitwerking van deze elementen wordt gerefereerd naar het volgende voorbeeld uit de XBRL jaarrekening van Unilever van 2004 (jaarverslag.info, 2004). <ifrs-gp:intangibleassetsnet contextref="bj2004" decimals="0" unitref="eur"> </ifrs-gp:intangibleassetsnet> Voorbeeld code 2-2: XBRL voorbeeld Data Het primaire doel van het gebruik van XBRL is het op een standaard wijze aanbieden en communiceren van (financiële) gegevens. Bijvoorbeeld in het kader van rapportage van de jaarrekening. Hoewel gesteld kan worden dat deze gegevens strikt genomen geen onderdeel van het XBRL mechanisme zelf vormen, nemen zij een belangrijke plaats in bij het principe van XBRL. Deze gegevens kunnen verschillende soorten informatie 9

12 bevatten die een organisatie beschikbaar wil stellen. Dit kan onder andere gegevens voor de jaarrekening, belasting of statistische gegevens betreffen, zoals beschreven in sectie 2.1. In Voorbeeld code 2-2: XBRL voorbeeld is het gegeven dat wordt gecommuniceerd XBRL Specificaties Naast enerzijds de gegevens die met XBRL beschikbaar worden gesteld, is er anderzijds het mechanisme waarmee dit gebeurd. Een van de basis elementen hiervan zijn de XBRL specificaties. Deze specificaties geven een beschrijving van de werking van XBRL en haar technische kader. Het beschrijft in detail de syntax welke gebruikt dient te worden voor de verschillende onderdelen die hieronder verder worden besproken. De huidige versie van de XBRL specificaties is versie 2.1, welke in december 2003 is uitgegeven door de XBRL Specifications Working Group. In 2005 is hier een errata aan toegevoegd welke verdere aanpassingen en aanvullingen hierop beschrijft. Deze huidige versie is beschikbaar op Taxonomie Met behulp van een taxonomie wordt beschreven welke data elementen in een XBRL document gebruikt kunnen worden. Hierbij worden verschillende taxonomieën gebruikt voor verschillende types van financiële rapportages. Een taxonomie beschrijft de verschillende data-elementen welke gebruikt kunnen worden, en welke relaties deze onderling hebben. Daarmee beschrijft de taxonomie de metadata of de definities van de gegevens beschreven in sectie Data De taxonomie zelf bevat geen data zoals financiële gegevens of toelichtingen. Gezien het open-source format van XBRL kan iedereen zelf een taxonomie beschrijven en toepassen. Het is hierbij echter van groot belang dat de instantie die de gegevens via XBRL beschikbaar stelt, dezelfde taxonomie hanteert als de ontvangende partijen, om er zo voor te zorgen dat gegevens op dezelfde manier geclassificeerd en geïnterpreteerd worden. Er zijn een aantal gangbare taxonomieën goedgekeurd door XBRL International. De twee meest gebruikte hiervan zijn die voor IFRS en US GAAP. Omdat de EU sinds 1 januari 2005 bedrijven onder haar jurisdictie verplicht heeft gesteld te rapporteren volgends de IFRS (International Financial Reporting Standards) richtlijnen, zal deze taxonomie binnen Europa een zeer belangrijke rol innemen bij het gebruik van XBRL (Pols, 2006). Het voornaamste doel van de IFRS Taxonomy Working Group is een taxonomie beschikbaar te stellen die de meest gangbare elementen bevat, die in de praktijk worden toegepast bij de rapportage van de financiële jaarrekening. Het resultaat is de IFRS-GP taxonomie, die gebruikt kan worden bij het beschikbaar stellen van XBRL rapportages voor commerciële organisaties. Hierbij biedt de taxonomie de middelen voor organisaties om hun financiële positie jaarlijks of per kwartaal inzichtelijk te maken voor de aandeelhouders en andere belanghebbenden. 10

13 Voorbeelden van elementen die onderdeel uitmaken van de IFRS-GP taxonomie zijn weergegeven in Voorbeeld code 2-3 <element id="ifrs-gp_receiptsfromcustomers" name="receiptsfromcustomers" type="xbrli:monetaryitemtype" substitutiongroup="xbrli:item" xbrli:periodtype="duration" xbrli:balance="debit" nillable="true" /> <element id="ifrs-gp_financialriskmanagementobjectives" name="financialriskmanagementobjectives" type="xbrli:stringitemtype" substitutiongroup="xbrli:item" xbrli:periodtype="duration" nillable="true" /> Voorbeeld code 2-3: Voorbeeld elementen IFRS-GP Taxonomie Naast het gebruik van een enkele taxonomie, zoals IFRS-GP, is het ook mogelijk deze taxonomie aan te vullen met aanvullingen voor specifieke elementen voor bijvoorbeeld een specifieke industrie, of plaatselijke wetgeving. Een voorbeeld van een dergelijke aanvulling is het Nederlands Taxonomie Project (NTP) (Bal, 2008; PCAOB, 2005). Figuur 2-1 toont hoe een combinatie van gangbare taxonomieën en aanvullingen een taxonomie kan vormen voor een specifieke organisatie. Figuur 2-1: Samenstelling taxonomie Voor de totstandkoming van de jaarrekening in XBRL van Unilever in 2004 (zie Voorbeeld code 2-2) is de taxonomie gebruikt die is opgenomen in bijlage A. Uit deze taxonomie is op te maken dat de IFRS-GP taxonomie ten grondslag ligt aan de door Unilever gebruikte specifieke taxonomie Instance document Het daadwerkelijke document dat beschikbaar wordt gesteld met behulp van XBRL is het instance document. In dit document komen taxonomie en data samen. Het bevat de gegevens welke beschikbaar worden gesteld en de 11

14 bijbehorende metadata, getagd volgens de gekozen taxonomie. De tags geven de juiste betekenis en context van het gegeven zoals hierboven beschreven. Welke tags gebruikt kunnen worden is gedefinieerd in de gehanteerde taxonomie. Nadat het instance document is opgezet, kan dit op elke denkbare wijze beschikbaar worden gesteld aan belanghebbenden. Bijvoorbeeld door deze op het Internet te publiceren. Als voorbeeld is in bijlage B het instance document opgenomen van de XBRL jaarrekening van Unilever van Het Voorbeeld code 2-2 is een klein gedeelte van dit instance document. Hierbij geeft <ifrsgp:intangibleassetsnet contextref="bj2004" decimals="0" unitref="eur"> de metadata voor het gegeven Deze metadata beschrijft in dit geval dat uit de IFRS-GP taxonomie verwezen wordt naar een IntangibleAssetsNet gegeven, wat staat voor de netto waarde van de immateriële vaste activa. Als context is beschreven dat dit gegeven refereert aan het boekjaar 2004, 0 decimalen heeft en een waarde in Euro s representeert Style sheet Nadat het instance document met gegevens en metadata beschikbaar is gesteld, kunnen de belanghebbenden dit document gebruiken om de financiële gegevens van een organisatie te bekijken. Het instance document zelf is door de grote hoeveelheid metadata niet erg leesbaar voor de gebruiker. Zie bijvoorbeeld bijlage B voor een instance document van een jaarrekening in XBRL. Om er voor te zorgen dat de gegevens ook voor de gebruikers makkelijk te interpreteren zijn, dient een vertaalslag gemaakt te worden van het instance document naar een makkelijk leesbare versie. Dit kan gedaan worden met zogenaamde style sheets. Een style sheet kan aan de hand van de gehanteerde taxonomie de tags die in het instance document staan interpreteren en deze zo op de juiste wijzen presenteren. Het resultaat is een voor gebruikers makkelijk te interpreteren document, bijvoorbeeld in pdf, Word of Excel vorm, of beschikbaar gesteld via een Internet pagina. Bovendien maakt het gebruik van style sheets het mogelijk specifieke data-elementen uit het geheel te selecteren en te presenteren. Hierdoor is het mogelijk verschillende presentaties op te stellen, gebaseerd op één instance document, waarbij elke presentatie een uitwerking geeft die voor een specifieke doelgroep van belang is Samenhang elementen De elementen beschreven in de voorgaande secties geven organisaties de mogelijkheid financiële informatie digitaal beschikbaar te stellen en geeft gebruikers van XBRL de mogelijkheid die informatie in te zien die voor hen relevant is. 12

15 Figuur 2-2: Elementen XBRL 13

16 De samenhang tussen de verschillende elementen is te zien in Figuur 2-2 waarbij de positie van elk element schematisch is weergegeven. Het proces van het tot stand komen van een op XBRL gebaseerde rapportage begint met de financiële gegevens van de organisatie (1). Aan de hand van de gehanteerde taxonomie (3) worden deze gegevens voorzien van een tag die de betekenis en context van het gegeven(de data) beschrijft. Het resultaat is het instance document (4), welke alle gegevens bevat met daaraan hun metadata gekoppeld. Dit instance document wordt beschikbaar gesteld aan de belanghebbenden, bijvoorbeeld via Internet. Vervolgens kan het instance document met een style sheet (5) worden ingelezen en geïnterpreteerd. Het style sheet zorgt ervoor dat die gegevens die interessant zijn voor de belanghebbenden op een duidelijke manier worden gepresenteerd (6). Tenslotte bepalen de XBRL specificaties (2) hoe de taxonomie, het instance document en de style sheets vorm moeten worden gegeven, en welke (technische) richtlijnen hierbij gehanteerd dienen te worden. 14

17 3 Scenario s gebruik van XBRL In hoofdstuk 2 zijn de basiselementen uiteengezet welke noodzakelijk zijn voor het rapporteren van (financiële) gegevens met behulp van XBRL. In de praktijk blijkt dat er nog geen eenduidige methodiek wordt gehanteerd voor het gebruik van XBRL. In diverse publicaties (AWG, 2006; Boritz, 2007; Bal, 2008) wordt uiteengezet op welke manieren XBRL gebruikt kan worden voor het beschikbaar stellen van rapportages. In dit hoofdstuk worden de belangrijkste scenario s hiervoor beschreven. Hierbij is steeds verwezen naar de basiselementen van XBRL zoals beschreven in hoofdstuk Traditionele verslaggeving Het eerste scenario beschrijft de traditionele methode van rapporteren doormiddel van een papieren rapportage zoals de jaarrekening van een organisatie. Feitelijk is hierbij geen sprake van het gebruik van XBRL. Deze vorm van rapporteren is de huidige standaard en vormt het uitgangspunt voor elke organisatie die XBRL zal (gaan) gebruiken. In dit traditionele scenario worden de te rapporteren gegevens verzamelt en wordt hiervan een rapportage opgesteld in papieren vorm. Deze rapportage wordt vervolgens verstrekt aan de belanghebbenden of beschikbaar gesteld via bijvoorbeeld het Internet. Uit deze rapportage kunnen detail presentaties afgeleid worden door de gebruikers, dit valt buiten de verantwoordelijkheid van de organisatie. Zie voor een schematische weergave van dit scenario figuur 3-1. (1) Gegevens (2) Rapportage (3) Presentatie Figuur 3-1: Traditionele verslaggeving 3.2 XBRL rapportage gebaseerd op traditionele verslaggeving Bij de ingebruikname van XBRL kunnen organisaties er voor kiezen om de traditionele manier van rapporteren niet volledig te laten vervangen, maar deze twee vormen naast elkaar te gebruiken. In hoofdlijnen zijn hiervoor twee manieren: XBRL rapportages opstellen op basis van de rapportages die volgen uit de traditionele methode, of de twee methodes onafhankelijk van elkaar toepassen (zie scenario 3). Voor beide scenario s geldt dat de traditionele vorm van rapporteren ongewijzigd wordt voortgezet zoals beschreven in sectie 3.1. In dit scenario vormen de papieren rapportages de basis voor de rapportages in XBRL vorm, zie figuur 3-2. De gegevens uit de traditionele rapportages (2) worden getagd aan de hand van de gehanteerde taxonomie (3) en opgenomen in het instance document (4). Vervolgens wordt dit document beschikbaar gesteld aan de belanghebbende en kan dit document met behulp van een style sheet (5) worden geconverteerd naar een voor mensen leesbare presentatie (6b). Belanghebbenden hebben in dit scenario de mogelijkheid de rapportages gepresenteerd te krijgen op basis van de traditionele rapportage (6a), of op basis van het XBRL instance document (6b). Denk hierbij bijvoorbeeld aan een aandeelhouder welke graag de volledige jaarrekening wil inzien. Daarnaast kan de belastingdienst specifieke gegevens inzien uit XBRL met behulp van een specifiek style sheet 15

18 Figuur 3-2: XBRL rapportage gebaseerd op traditionele verslaggeving 3.3 Verslaggeving in XBRL en traditionele verslaggeving Evenals in het voorgaande scenario, wordt XBRL in dit scenario gebruikt naast de traditionele methode. De traditionele methode wordt onveranderd toegepast zoals beschreven in sectie 3.1.Onafhankelijk van deze rapportage wordt een XBRL rapport opgesteld. Het verschil met het voorgaande scenario is dat de gegevens die worden opgenomen in het instance document niet zijn gebaseerd op de papieren rapportage, maar op de (financiële) data uit de organisatie en haar verschillende informatiesystemen. Evenals in het vorige scenario kan de organisatie haar gegevens met behulp van beide methodes beschikbaar stellen. Figuur 3-3: Verslaggeving in XBRL en traditionele verslaggeving 3.4 Verslaggeving in XBRL zonder presentatie In dit vierde scenario wordt de traditionele methode van verslaggeving volledig vervangen door XBRL. Hierbij worden de rapportages beschikbaar gesteld zoals beschreven in hoofdstuk 2. De gegevens van de organisatie, bijvoorbeeld uit de informatiesystemen, worden aan de hand van de gehanteerde taxonomie opgenomen in het instance document. Dit document wordt vervolgens beschikbaar gesteld aan de belanghebbenden, bijvoorbeeld via het Internet. De belanghebbenden kunnen met behulp van een style sheet de specifieke elementen laten presenteren in bijvoorbeeld een tekst of spreadsheet bestand. In dit scenario ligt de interpretatie van het instance document bij de belanghebbenden in plaats van de organisatie. Een andere mogelijkheid van dit scenario is dat 16

19 het instance document bij de belanghebbenden direct digitaal kan worden ingelezen door haar informatiesystemen. Hierdoor kan een automatische koppeling tot stand komen zonder dat hier nog interventie door mensen bij noodzakelijk is. Zie figuur 3-4 voor een schematische weergave van dit scenario. Figuur 3-4: Verslaggeving in XBRL zonder presentatie 3.5 Verslaggeving in XBRL met presentatie Het laatste scenario vormt een variant op scenario s 2,3 en 4, waarbij enkel het moment van overdracht van de gegevens anders is. In de voorgaande scenario s is beschreven dat de organisatie het instance document beschikbaar stelt aan de belangstellende. Laatstgenoemde kunnen hier vervolgens de voor hen relevante gegevens uit extraheren met behulp van een style sheet. Dit style sheet kan bijvoorbeeld door de organisatie beschikbaar zijn gesteld, maar kan ook van een derde partij komen. Indien de organisatie dit extractieproces in eigen beheer wil houden, kan zij er ook voor kiezen om het instance document niet direct te delen, maar hier eerst zelf een of meerdere presentaties voor te creëren. Deze presentaties kunnen vervolgens beschikbaar worden gesteld aan de belanghebbenden. In figuur 3-5 wordt dit schematisch weergegeven. Het gedeelte tussen de stippellijnen refereert aan scenario 3. Niet weergegeven is de uitgangssituatie van scenario 2, deze volgt exact dezelfde opzet. Figuur 3-5: Verslaggeving in XBRL met presentatie 17

20 3.6 Selectie scenario De verschillende scenario s zoals in de eerdere secties van hoofdstuk drie beschrijven verschillen in brondata, te gebruiken middelen en uit te voeren activiteiten en zullen daardoor verschillende risico s kennen. Deze risico s zullen in hoofdstuk 4 worden beschreven. In het kader van assurance betekent dit ook dat maatregelen om deze risico s te mitigeren kunnen verschillen per scenario. In dit onderzoek wordt een van de bovenstaande scenario s verder uitgewerkt. In een recente publicatie van het Securities and Exchange Comission (SEC, 2008) wordt aangegeven dat steeds meer organisaties naast de traditionele papieren publicaties informatie digitaal beschikbaar stellen. Ook een publicatie van de Assurance Working Group van XBRL International geeft ditzelfde beeld (Trites, 2006). Een volledige overgang naar XBRL waarbij de traditionele rapportages vervallen wordt echter op de korte termijn nog niet verwacht. In lijn met de genoemde publicaties wordt verwacht dat het gebruik van XBRL stapsgewijs zal worden ingevoerd, waarbij XBRL rapportages eerst naast bestaande traditionele rapportages beschikbaar worden gesteld. Dit komt overeen met scenario s 2 of 3 zoals in secties 3.2 en 3.3 beschreven. Zoals in hoofdstuk 2.1 beschreven werd zal de grootste meerwaarde van het gebruik van XBRL ontstaan als deze rechtstreeks wordt aangesloten op de informatiesystemen van de organisatie. Het vervolg van dit onderzoek richt zich op scenario 3. In dit scenario worden XBRL rapportages naast de traditionele rapportages opgesteld, waarbij de brongegevens rechtstreeks uit de informatiesystemen van de organisatie komen. 18

21 4 Risico s Om de impact van het gebruik van XBRL op de werkzaamheden van de IT auditor te kunnen bepalen is het noodzakelijk eerst vast te stellen welke risico s er zijn bij het gebruik van XBRL in het kader van een (financiële) rapportage. Aan het totstandkomingproces zijn een aantal risico s verbonden die een auditor in acht zou moeten nemen bij het geven van assurance over dit proces. In dit hoofdstuk worden deze risico s in kaart gebracht aan de hand van de elementen beschreven in hoofdstuk twee. Hierbij worden de geïdentificeerde risico s per XBRL element besproken. Om de volledigheid van deze risico s te toetsen en de relevantie hiervan vast te stellen zijn diverse interviews afgenomen. Allereerst met mensen die ervaring hebben met het gebruik van XBRL. Vervolgens met mensen die naar verwachting in de toekomst te maken zullen gaan krijgen met XBRL, zoals IT auditors en accountants. De geïnterviewde personen hebben verschillende achtergronden en werkgebieden en zullen zo op verschillende wijzen met XBRL in aanraking komen. Zo is er gesproken met personen met een accountancy achtergrond, een consultancy achtergrond en een IT achtergrond. Door de verschillende achtergronden van de geïnterviewden worden de risico s van het XBRL totstandkomingproces vanuit verschillende perspectieven bekeken. Twee van de geïnterviewden beschikken over zowel een accountancy (RA) als IT audit (RE) achtergrond. Een overzicht van alle geïnterviewde personen is opgenomen in bijlage C. 4.1 Data Gegevens gebruikt voor het samenstellen van een jaarrekening kunnen uit verschillende bronnen komen. Dit kunnen verschillende systemen zijn waaruit XBRL de data verzameld door bijvoorbeeld een script te gebruiken. Het kan ook mogelijk zijn dat gegevens worden gebruikt die niet in een informatiesysteem zijn vastgelegd maar die bijvoorbeeld hardcopy zijn opgeslagen. In dit geval dienen deze gegevens eerst gedigitaliseerd te worden, wat over het algemeen een handmatige activiteit is. Bij deze handmatige acties bestaat het risico dat er fouten worden gemaakt waardoor de juistheid of volledigheid van gegevens onvoldoende gewaarborgd is. Daarnaast kan het voorkomen dat de gegevens, welke wel in de verschillende informatiesystemen beschikbaar zijn, niet direct gebruikt kunnen worden voor rapportage in XBRL. Deze gegevens dienen eerst geconverteerd of verrijkt te worden, alvorens ze gebruikt kunnen worden voor XBRL rapportages. Evenals het eerste risico bestaat bij deze extra conversiestap de kans op fouten, waardoor het risico bestaat dat informatie onjuist of onvolledig wordt geconverteerd. Hierdoor is er bij gebruik van XBRL ook een risico dat niet alle relevante data wordt opgenomen in het uiteindelijke instance document. Een aandachtspunt dat hierbij aansluit is het onderzoeksgebied van de IT auditor. Deze zal voor de jaarrekeningcontrole assurance afgeven over de interne controlemaatregelen voor de diverse systemen die relevante (financiële) gegevens verwerken en/of opslaan. Een voorbeeld is een business warehouse applicatie die buiten de scope van de audit valt. Indien deze applicatie echter wordt gebruikt voor de genoemde conversie naar door XBRL bruikbare gegevens, zal over dit systeem/proces ook assurance verleend moeten worden. Gebeurd dit niet, dan bestaat het risico dat de resultaten van de conversie niet juist of onvolledig zijn. 19

22 Tot slot dient de data welke als input gebruikt wordt voor de XBRL rapportage beschikbaar te zijn wanneer de organisatie deze rapportage wil genereren. Indien deze informatie (systemen) niet beschikbaar is kan de conversie naar het XBRL instance document niet to stand komen. Dit brengt het risico met zich mee dat de uiteindelijke presentatie niet tijdig beschikbaar kan worden gesteld. 4.2 XBRL Specificaties Zoals in paragraaf besproken is geeft de XBRL specificatie de richtlijnen waaraan de verschillende elementen, zoals taxonomie en instance document, moeten voldoen. Feitelijk bepaald de specificatie daarmee de werking van XBRL. Het is essentieel dat een juiste versie van de specificatie wordt gebruikt. Momenteel is XBRL international de partij die duidelijkheid zal moeten geven over de specificatie die gebruikt dient te worden voor het opstellen van jaarrekeningen met behulp van XBRL, en stelt deze dan ook beschikbaar op haar website. XBRL software gebruikt door organisaties en intermediairs dient conform deze richtlijnen te werken. Het niet gebruiken van XBRL volgens deze richtlijnen leidt tot het risico dat XBRL rapportages op een onjuiste manier worden opgesteld, beschikbaar gesteld of verkeerd worden uitgelezen en geïnterpreteerd. Naast het verkeerd gebruiken van XBRL, bestaat ook het risico dat voor de verschillende elementen een verschillende versie van de specificaties wordt gebruikt. Het kan bijvoorbeeld voorkomen dat de taxonomie is opgesteld conform specificatie versie X, maar het instance document volgens versie Y. Dit kan er toe leiden dat deze elementen niet goed op elkaar zijn afgestemd, verkeerd opgebouwd zijn, of dat gegevens niet of verkeerd zijn geïnterpreteerd. 4.3 Taxonomie Taxonomieën worden gebruikt, zoals in paragraaf is beschreven, om informatie en context over gegevens vast te leggen. Er zijn een aantal standaard taxonomieën beschikbaar. Daarnaast zijn taxonomieën ontwikkeld specifiek voor een bepaald, land, sector of onderneming. Het succes van XBRL hangt voor een groot deel samen met het gebruik van de juiste taxonomieën en een kwalitatief hoogstaande inrichting daarvan. Aan het gebruik van taxonomieën zijn een aantal risico s verbonden. Ten eerste moet zekerheid verkregen worden over het gebruik van de juiste taxonomie. Criteria hiervoor zijn onder andere het doel van de rapportage (jaarrekening, fiscaal, statistisch, etc.), de te hanteren wetgeving en richtlijnen en industrie of sector en specifieke wensen van de onderneming zelf. Indien een onjuiste taxonomie wordt gehanteerd bestaat het risico dat niet alle relevante gegevens worden opgenomen in de rapportage, dat de waarden van posten over- of onder gewaardeerd worden gerapporteerd of gegevens onjuist worden gerapporteerd. Vanuit dit oogpunt dient ook rekening gehouden te worden met de mogelijkheid verschillende taxonomieën te hanteren en uit te breiden met extensies (zie sectie 2.2.3). Doorgaans voorziet een standaard taxonomie niet in de rapportage behoeften van ondernemingen. XBRL maakt gebruik van open source principes. Hierdoor kunnen ondernemingen zelfstandig aanvullende taxonomieën ontwikkelen. In het bijzonder wanneer ondernemingen zelfstandig aanvullingen op standaard taxonomieën ontwikkelen en gebruiken, bestaat het risico dat deze onvolledig zijn, of juist te veel gegevens bevatten. 20

23 Naast de juistheid van de te hanteren taxonomie, dient de organisatie die rapporteert en de gebruikers die deze informatie ontvangen en interpreteren, over dezelfde taxonomie te beschikken. Is dit niet het geval, dan bestaat het risico dat de ontvangende partijen gegevens verkeerd interpreteren, omdat zij een andere en onjuiste taxonomie gebruiken en daarmee de gegevens verkeerd interpreteren. Niet alleen dienen de organisatie en de ontvangende partijen de data met dezelfde taxonomie te interpreteren, deze taxonomie dient ook van dezelfde versie te zijn. Indien de organisatie rapporteert op basis van taxonomie versie X, en de ontvangers interpreteren deze met versie Y, bestaat het risico dat interpretatiefouten worden gemaakt en informatie zo onvolledig of onjuist wordt geïnterpreteerd. 4.4 Instance document Voordat het instance document opgesteld kan worden, dient er eerst een mapping plaats te vinden tussen de in de taxonomie gedefinieerde data elementen, en de gegevens uit de bron systemen welke deze data bevatten. Indien deze mapping niet goed wordt uitgevoerd, bestaat het risico dat verkeerde informatie wordt opgehaald om de verschillende data elementen in het instance document te vullen. John Turner geeft in zijn artikel Assusrance Considerations for Interactive Data het volgende voorbeeld: een blik totmaten dat als label aardappels mee krijgt. Hieruit blijkt welke gevolgen het verkeerd taggen van data kan hebben. Deze (verkeerde of onvolledige) gegevens worden opgenomen in het instance document en daarmee (foutief) gerapporteerd. Een ander aandachtsgebied bij het verkrijgen van de benodigde gegevens uit de bron systemen, is dat informatie over de juiste periode wordt gebruikt. Wordt bijvoorbeeld over een boekjaar gerapporteerd, dan dient alle relevante informatie voor dat boekjaar meegenomen te worden, en niet de informatie over het voorgaande boekjaar (J. Turner, 2007). Naast het invoeren van verkeerde data, bestaat ook het risico dat verkeerde metadata wordt opgenomen in het instance document. Dit kan gebeuren als de data elementen gedefinieerd in de taxonomie niet op de juiste wijze worden overgenomen. Het risico bestaat dat tags onjuist of niet worden gebruikt, terwijl zij voor de rapportage noodzakelijk zijn. Als bijvoorbeeld een noodzakelijke tag voor valuta wordt weggelaten en verschillende valuta voor verschillende gegevens worden gebruikt, kan niet meer worden herleid welke cijfers in welke valuta worden gerapporteerd. Naast gegevens en meta data kunnen er ook opmerkingen worden opgenomen in het instance document, bijvoorbeeld als verklarende tekst. Het gebruik van commentaar brengt echter twee risico s met zich mee. Allereerst kan het zijn dat bepaalde begeleidende teksten enkel voor intern gebruik bedoeld zijn. Indien deze niet worden verwijderd voor publicatie, bestaat het risico dat derden kennis van de inhoud vernemen. Het tweede risico geldt andersom, wanneer teksten ter verklaring van gegevens gebruikt worden, maar de ontvanger de rapportage zonder deze informatie ontvangt. Als het instance document eenmaal is opgesteld en de juiste gegevens bevat, is het zaak dat deze niet meer kunnen worden aangepast door ongeautoriseerde personen. Kan dit wel, dan bestaat het risico dat gegevens bewust of onbewust worden aangepast, waardoor de juistheid en volledigheid van de inhoud van het instance document in het geding komt. 21

24 Na het opstellen, dient het instance document beschikbaar te worden gesteld aan de belanghebbende partij(en). Hierbij dienen enkel deze partijen toegang tot de rapportage te hebben. Hebben derden ook toegang, dan bestaat het risico dat ongeautoriseerde personen toegang hebben tot gevoelige informatie. Ook wanneer derden geen directe toegang tot de rapportages hebben bestaat het risico dat zij ongeautoriseerd kennis van de rapportage kunnen nemen, bijvoorbeeld door de communicatie op te vangen of door een zogenaamde man-in-the-middle attack. Indien het document via het Internet beschikbaar wordt gesteld, is het ook noodzakelijk dat dit tijdig beschikbaar is en opgevraagd kan worden. Indien dit niet het geval is, bestaat het risico dat belanghebbenden niet op tijd de door hen benodigde informatie ontvangen. 4.5 Style sheet Wanneer het instance document is opgesteld kan dit met behulp van style sheets worden uitgelezen om hier een presentatie van te geven. Bijvoorbeeld in een spreadsheet of tekstbestand. Zie ook sectie Om de gerapporteerde gegevens op de juiste manier te interpreteren is het noodzakelijk dat zowel de organisatie die de gegevens beschikbaar stelt als de ontvangende partij dezelfde context aan de gegevens geeft. Hierbij bestaat het risico dat het beschikbaar gestelde instance document met een andere taxonomie is opgesteld dan is gebruikt voor de style sheet. Hierdoor kan het voorkomen dat aan gegevens een verkeerde interpretatie wordt gegeven, omdat een verkeerde betekenis aan een tag wordt gegeven. Tevens kan het gebeuren dat het instance document tags bevat die niet terugkomen in de style sheet, terwijl de gegevens voor de rapportage wel relevant zijn. Ook als zowel de rapporterende als ontvangende partij dezelfde taxonomie gebruikt bestaat er het risico dat het instance sheet niet juist wordt ingelezen en/of geïnterpreteerd. Leesfouten kunnen optreden in de gebruikte software, data-elementen kunnen worden overgeslagen of foutief worden weergegeven. Tevens bestaat bij het converteren van het instance document naar een presentatievorm het risico dat gegevens aan de presentatie worden toegevoegd die niet in het instance document zijn opgenomen. Het risico bestaat dat deze verrijking niet strookt met de gegevens zoals gepubliceerd door de rapporterende organisatie. 4.6 Conclusie Zoals in dit hoofdstuk beschreven, brengt rapportage met behulp van XBRL een aantal risico s met zich mee welke specifiek van toepassing zijn voor XBRL. Op hoofdlijnen zijn deze risico s gelijk aan die bij een traditionele rapportage in papieren vorm, namelijk schending van de integriteit en vertrouwelijkheid van de te publiceren gegevens. Deze risico s manifesteren zich bij de verschillende XBRL elementen of processen, welke in het traditionele scenario niet aanwezig zijn. Hieruit kunnen wij concluderen dat het gebruik van XBRL nieuwe risico s met zich mee brengt welke afgedekt dienen te worden alvorens assurance gegeven kan worden over de integriteit en vertrouwelijkheid van het totstandkomingproces van de XBRL rapportage. In hoofdstuk 5 gaan wij verder in op de normen die getoetst kunnen worden om deze risico s te beperken en in hoeverre de expertise van de IT auditor kan bijdragen of noodzakelijk is voor de beoordeling van deze normen. Een overzicht van de geïdentificeerde risico s is gegeven in bijlage D. 22