INTERNATIONALE CONTROLESTANDAARD 330 DE DOOR DE AUDITOR UIT TE VOEREN WERKZAAMHEDEN IN FUNCTIE VAN ZIJN GEMAAKTE RISICO-INSCHATTING INHOUDSOPGAVE Paragrafen Inleiding...1-3 Algehele benadering...4-6 Controlewerkzaamheden gericht op het risico van een afwijking van materieel belang op beweringniveau...7-65 De evaluatie van de verkregen controle-informatie naar het voldoende en geschikt zijn daarvan...66-72 Documentatie... 73 Ingangsdatum... 74 Internationale Controlestandaard (International Standaard on Auditing, ISA) 330 De door de auditor uit te voeren werkzaamheden in functie van zijn gemaakte risico-inschatting, dient te worden gelezen in de context van het Voorwoord tot de internationale standaarden voor kwaliteitsbeheersing, controle-, assurance-opdrachten en verwante diensten waarin het toepassen en de autoriteit van de ISA s worden bepaald. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 1/31
Inleiding 1. Deze Internationale Controlestandaard (International Standard on Auditing, ISA) heeft ten doel grondbeginselen en essentiële werkzaamheden vast te stellen en aanwijzingen te geven voor het bepalen van een algehele benadering en het opzetten en uitvoeren van verdere controlewerkzaamheden in functie van de inschatting van het risico van een afwijking van materieel belang op het niveau van de financiële overzichten of van de beweringen daarin, in het kader van een controle van financiële overzichten. De kennis die de auditor van de entiteit en haar omgeving, met inbegrip van de interne beheersing heeft, en de inschatting van het risico van een afwijking van materieel belang zijn beschreven in ISA 315 Kennis van de entiteit en haar omgeving en het inschatten van het risico van een afwijking van materieel belang. 2. Hierna volgt een overzicht van de belangrijkste bepalingen van deze ISA: - algehele benadering. Dit gedeelte vereist dat de auditor een algehele benadering uitwerkt om zich te richten op het risico van een afwijking van materieel belang in de financiële overzichten en geeft aanwijzingen ten aanzien van de aard van deze benadering; - controlewerkzaamheden naar aanleiding van risico s van een afwijking van materieel belang op beweringniveau. Dit gedeelte vereist dat de auditor controlewerkzaamheden opzet en uitvoert. Hiertoe behoren ondermeer controlewerkzaamheden gericht op het beoordelen van de effectieve werking van de beheersingsmaatregelen voor zover relevant en noodzakelijk, alsmede gegevensgerichte controles. De aard, tijdsfasering en omvang van deze beide soorten controlewerkzaamheden worden bepaald in functie van het ingeschatte risico van een afwijking van materieel belang op beweringniveau. In aanvulling daarop bevat dit gedeelte factoren die de auditor in aanmerking neemt bij het bepalen van de aard, tijdsfasering en omvang van dergelijke controlewerkzaamheden; - evaluatie van het voldoende en geschikt zijn van de verkregen controle-informatie. Dit gedeelte vereist dat de auditor evalueert of de risico-inschatting nog juist is en dat hij nagaat of voldoende en geschikte controle-informatie werd verkregen; - documentatie. Dit gedeelte bepaalt de documentatievereisten. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 2/31
3. Om het controlerisico tot een aanvaardbaar laag niveau terug te brengen, dient de auditor een algehele benadering uit te werken gericht op de ingeschatte risico s op het niveau van de financiële overzichten en dient hij verdere controlewerkzaamheden op te zetten en uit te voeren, waardoor wordt ingespeeld op de ingeschatte risico s op beweringniveau. De algehele benadering en de aard, tijdsfasering en omvang van verdere controlewerkzaamheden zijn een kwestie van vakkundige oordeelsvorming door de auditor. In aanvulling op de vereisten van deze ISA, voldoet de auditor ook aan de vereisten en aanwijzingen van ISA 240 De verantwoordelijkheid van de auditor om rekening te houden met fraude in het kader van een controle van de financiële overzichten gericht op het ingeschatte risico van een afwijking van materieel belang als gevolg van fraude. Algehele benadering 4. De auditor dient een algehele benadering vast te stellen om zich te richten op het risico van een afwijking van materieel belang in de financiële overzichten. Onderdelen van een dergelijke benadering kunnen zijn: het opdrachtteam er nadrukkelijk op wijzen dat professioneel kritisch moet worden gehandeld bij het verzamelen en evalueren van controleinformatie; het inschakelen van meer ervaren medewerkers of medewerkers met specifieke bekwaamheden of het gebruik maken van deskundigen (1), het intensiveren van het toezicht, of het bij de selectie van verdere controlemaatregelen inbouwen van een bijkomende mate van onvoorspelbaarheid. Daarnaast kan de auditor algemene aanpassingen doorvoeren ten aanzien van de aard, tijdsfasering of omvang van de controlewerkzaamheden, bijvoorbeeld door gegevensgerichte controles uit te voeren op de einddatum van de periode in plaats van op een tussentijdse datum. 5. De inschatting van het risico van een afwijking van materieel belang op het niveau van de financiële overzichten wordt beïnvloed door de kennis die de auditor heeft over de interne beheersingsomgeving. Een effectief ingerichte beheersingsomgeving kan ertoe leiden dat de auditor meer vertrouwen stelt in de interne beheersing en in de betrouwbaarheid van de binnen de entiteit gegenereerde controle-informatie en dat de auditor daarom bijvoorbeeld controlewerkzaamheden op een tussentijdse datum in plaats van aan het einde van de periode uitvoert. Indien de controleomgeving tekortkomingen vertoont, verricht de auditor gewoonlijk (1) Het inschakelen van medewerkers bij de specifieke opdracht is een weerslag van de risico-inschatting door de auditor, welke is gebaseerd op zijn inzicht in de entiteit. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 3/31
meer controlewerkzaamheden aan het einde van de periode in plaats van op een tussentijdse datum, probeert hij meer controle-informatie te verkrijgen uit gegevensgerichte controles, past hij de aard van de controlewerkzaamheden aan om overtuigender controle-informatie te verkrijgen of breidt hij het aantal locaties uit dat dient te worden gecontroleerd. 6. Dergelijke overwegingen zijn daarom in belangrijke mate van invloed op de algehele controle-aanpak van de auditor, bijvoorbeeld nadruk op gegevensgerichte controles (gegevensgerichte aanpak) of een aanpak waarbij zowel systeemgerichte als gegevensgerichte controles worden uitgevoerd (gecombineerde aanpak). Controlewerkzaamheden gericht op het risico van een afwijking van materieel belang op beweringniveau 7. De auditor dient verdere controlewerkzaamheden op te zetten en uit te voeren waarvan de aard, tijdsfasering en omvang in functie staan van het ingeschatte risico van een afwijking van materieel belang op beweringniveau. Dit heeft ten doel een duidelijk verband te leggen tussen de aard, tijdsfasering en omvang van de verdere controlewerkzaamheden en de risico-inschatting. Bij het opzetten van verdere controlewerkzaamheden overweegt de auditor onder meer: - de significantie van het risico; - de waarschijnlijkheid dat een afwijking van materieel belang zich voordoet; - de kenmerken van de desbetreffende transactiestroom, het rekeningsaldo of de in de financiële overzichten opgenomen toelichting; - de aard van de specifieke interne beheersingsmaatregelen van de entiteit, in het bijzonder of deze handmatig of geautomatiseerd zijn; - of hij verwacht dat hij controle-informatie verkrijgt om te kunnen vaststellen dat de interne beheersingsmaatregelen van de entiteit effectief zijn met betrekking tot het voorkomen, of het ontdekken en corrigeren van afwijkingen van materieel belang. De aard van de controlewerkzaamheden is van het grootste belang bij het bepalen van de wijze waarop wordt ingespeeld op ingeschatte risico s. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 4/31
8. De inschatting door de auditor van de onderkende risico s op beweringniveau vormt de basis voor het bepalen van de juiste controle-aanpak voor de opzet en uitvoering van verdere controlewerkzaamheden. In sommige gevallen kan de auditor besluiten dat het noodzakelijk is om systeemgerichte controles uit te voeren om effectief te kunnen inspelen op het ingeschatte risico van een afwijking van materieel belang ten opzichte van een bepaalde bewering. In andere gevallen kan de auditor besluiten dat alleen gegevensgerichte controles in aanmerking komen voor bepaalde beweringen, zodat de auditor bij de desbetreffende risicoinschatting geen rekening houdt met de gevolgen van de interne beheersingsmaatregelen. Dit kan het geval zijn indien de werkzaamheden van de auditor met betrekking tot risicoinschatting geen effectieve interne beheersingsmaatregelen met betrekking tot die bewering heeft onderkend of indien het uitvoeren van werkzaamheden met betrekking tot de effectiviteit van de interne beheersingsmaatregelen ondoelmatig zou zijn. De auditor moet er echter van overtuigd zijn dat het uitvoeren voor de desbetreffende bewering van gegevensgerichte controles op zich effectief genoeg is om het risico van een afwijking van materieel belang terug te brengen tot een aanvaardbaar laag niveau. In veel gevallen kan de auditor vaststellen dat een gecombineerde aanpak, bestaande uit zowel werkzaamheden gericht op de effectieve werking van interne beheersingsmaatregelen als gegevensgerichte controles, een effectieve aanpak is. Ongeacht de gekozen aanpak zet de auditor gegevensgerichte controles op en voert hij deze uit voor elke van materieel belang zijnde transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting, volgens de vereisten opgenomen in paragraaf 49. 9. Bij kleine entiteiten treft de auditor mogelijk niet veel interne beheersingsactiviteiten aan. Daarom is het waarschijnlijk dat de verdere controlewerkzaamheden van de auditor dan vooral zullen bestaan uit gegevensgerichte controles. In dergelijke gevallen beoordeelt de auditor, in aanvulling op wat in paragraaf 8 is vermeld, of bij afwezigheid van interne beheersingsmaatregelen voldoende en geschikte controle-informatie kan worden verkregen. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 5/31
Het overwegen van de aard, tijdsfasering en omvang van de verdere controlewerkzaamheden Aard 10. De aard van de verdere controlewerkzaamheden verwijst naar het doel daarvan (systeem- of gegevensgerichte controles) en het soort van controlemiddel, zoals inspectie, waarneming, het inwinnen van inlichtingen, het verzoek tot externe bevestiging, de rekenkundige controle, het opnieuw uitvoeren van procedures of cijferanalyse. Sommige controlewerkzaamheden lenen zich beter voor het onderbouwen van bepaalde beweringen dan andere. Zo kunnen met betrekking tot de opbrengsten systeemgerichte controles het beste gericht zijn op het ingeschatte risico van een afwijking inzake de bewering volledigheid daar waar gegevensgerichte controles meer gericht kunnen zijn op het ingeschatte risico van een afwijking inzake de bewering het plaatsvinden. 11. De auditor bepaalt de uit te voeren controlewerkzaamheden op basis van zijn risicoinschatting. Hoe hoger de auditor het risico inschat, des te hoger de graad van betrouwbaarheid en relevantie van de controle-informatie moet zijn die uit gegevensgerichte controles wordt verkregen. Dit kan invloed hebben op zowel het soort van uit te voeren controlewerkzaamheden als de combinatie daarvan. Zo bijvoorbeeld kan de auditor de volledigheid van de contractbepalingen door een derde laten bevestigen na eerst zelf het document te hebben ingezien. 12. Bij het bepalen van de uit te voeren controlewerkzaamheden overweegt de auditor de redenen die hebben geleid tot de risico-inschatting van een afwijking van materieel belang op beweringniveau voor elke transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting. Hierbij wordt zowel aandacht geschonken aan de bijzondere kenmerken van elke transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting (d.w.z. het inherent risico) als nagegaan in hoeverre ten aanzien van het door de auditor ingeschatte risico rekening is gehouden met de interne beheersingsmaatregelen van de entiteit (d.w.z. het intern beheersingsrisico). Als de auditor bijvoorbeeld inschat dat er een lager risico op een afwijking van materieel belang kan bestaan vanwege de kenmerken van een bepaalde transactiestroom, zonder de daarop gerichte interne beheersingsmaatregelen in aanmerking te nemen, kan hij besluiten dat cijferanalyse 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 6/31
voldoende en geschikte controle-informatie kan opleveren. Als de auditor daarentegen verwacht dat er een lager risico op een afwijking van materieel belang bestaat omdat de entiteit effectieve interne beheersingsmaatregelen heeft en hij van plan is gegevensgerichte controles op te zetten uitgaande van de effectieve werking van die interne beheersingsmaatregelen, voert hij systeemgerichte controles uit om controle-informatie over de effectiviteit van de werking daarvan te verkrijgen. Dit kan bijvoorbeeld het geval zijn bij een transactiestroom met redelijk gelijksoortige, niet gecompliceerde kenmerken die routinematig wordt verwerkt en intern wordt beheerst door het informatiesysteem van de entiteit. 13. Het is noodzakelijk dat de auditor controle-informatie verkrijgt over de absolute juistheid en de volledigheid van de informatie die door het informatiesysteem van de entiteit worden opgeleverd indien deze informatie wordt gebruikt bij het uitvoeren van controlewerkzaamheden. Als de auditor bijvoorbeeld voor het uitvoeren van controlewerkzaamheden, zoals gegevensgerichte cijferanalyse of systeemgerichte controles, gebruik maakt van niet-financiële informatie of begrotingsgegevens die door het informatiesysteem van de entiteit zijn opgeleverd, verkrijgt hij controle-informatie betreffende de absolute juistheid en volledigheid van dergelijke informatie. Zie ISA 500, Controle-informatie, paragraaf 11 voor verdere aanwijzingen. Tijdsfasering 14. De tijdsfasering heeft betrekking op het moment waarop de controlewerkzaamheden worden uitgevoerd, of de periode of datum waarop de controle-informatie betrekking heeft. 15. De auditor kan systeem- of gegevensgerichte controles uitvoeren op een tussentijdse datum of aan het einde van de periode. Hoe groter het risico van een afwijking van materieel belang, des te des te groter de waarschijnlijkheid dat de auditor besluit dat het effectiever is gegevensgerichte controles uit te voeren op of rond de einddatum van de periode, eerder dan op een daaraan voorafgaande datum, of om controlewerkzaamheden onaangekondigd of op onverwachte momenten uit te voeren (bijvoorbeeld door controlewerkzaamheden uit te voeren op specifiek uitgekozen locaties zonder deze werkzaamheden aan te kondigen). Anderzijds kunnen controlewerkzaamheden die voorafgaandelijk aan het einde van de periode worden uitgevoerd een hulpmiddel voor de auditor zijn om belangrijke zaken in een vroeg 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 7/31
stadium van de controle te onderkennen waarna hij deze met behulp van de leiding van de entiteit kan oplossen of een effectieve controle-aanpak voor dergelijke zaken kan opzetten. Als de auditor systeem- of gegevensgerichte controles voorafgaandelijk aan het einde van de periode uitvoert, beoordeelt hij welke aanvullende controle-informatie met betrekking tot het resterende deel van de periode moet worden verkregen (zie de paragrafen 37-38 en 56-61). 16. De auditor neemt bij de overweging van het moment waarop controlewerkzaamheden zullen worden uitgevoerd, onder meer de volgende aspecten in aanmerking: - de beheersingsomgeving; - het tijdstip waarop belangrijke gegevens beschikbaar zijn (elektronische bestanden kunnen bijvoorbeeld later worden overschreven of te observeren procedures vinden slechts op bepaalde momenten plaats); - de aard van het risico (bijvoorbeeld: als er een risico bestaat dat de omzet door de creatie na de einddatum van de periode van fictieve verkoopovereenkomsten te hoog wordt voorgesteld om aan winstverwachtingen te voldoen, kan de auditor het noodzakelijk achten om de op de einddatum van de periode beschikbare contracten te bestuderen); - de periode of datum waarop de controle-informatie betrekking heeft. 17. Sommige controlewerkzaamheden kunnen alleen op of na de einddatum van de periode worden uitgevoerd, zoals het aansluiten van de financiële overzichten met de administratie en het controleren van de wijzigingen die zijn aangebracht tijdens het opstellen van de financiële overzichten. Als het risico bestaat dat de entiteit onjuiste verkoopovereenkomsten is aangegaan of transacties op de einddatum van de periode niet heeft beëindigd, voert de auditor werkzaamheden uit die op dit specifieke risico zijn gericht. Zo onderzoekt de auditor bijvoorbeeld in het algemeen de transacties rond de einddatum van de periode, in het geval dat deze transacties afzonderlijk van materieel belang zijn of als een afwijking in de periode-afgrenzing tot een afwijking van materieel belang zou kunnen leiden. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 8/31
Omvang 18. "Omvang" omvat het aantal keren dat een bepaalde controlehandeling moet worden uitgevoerd, bijvoorbeeld de steekproefomvang of het aantal waarnemingen van een interne beheersingsactiviteit. De omvang van controlewerkzaamheden wordt bepaald door het oordeel van de auditor nadat hij het materieel belang, het ingeschatte risico en de mate van te verkrijgen assurance heeft afgewogen. Met name breidt de auditor de omvang van de controlewerkzaamheden gewoonlijk uit naarmate het risico van een afwijking van materieel belang toeneemt. Uitbreiding van het aantal handelingen bij controlewerkzaamheden is echter alleen effectief als de controlewerkzaamheden zelf relevant zijn voor het specifieke risico; daarom is de aard van de controlewerkzaamheid het belangrijkste punt van overweging. 19. Het gebruik van auditsoftwaretoepassingen kan meer uitgebreide toetsen van elektronische transacties en grootboekbestanden mogelijk maken. Dergelijke technieken kunnen worden gebruikt om transacties uit belangrijke elektronische bestanden te selecteren, om transacties met bepaalde kenmerken te selecteren of om de gehele populatie te toetsen in plaats van een selectie daaruit. 20. Gewoonlijk kunnen op basis van steekproefonderzoek aanvaardbare conclusies worden getrokken. Indien echter een te kleine steekproef wordt getrokken uit de populatie, de gekozen steekproefmethodiek niet geschikt is om het specifieke controledoel te bereiken of indien afwijkende bevindingen niet goed worden opgevolgd, bestaat er een onaanvaardbaar risico dat de conclusie die de auditor trekt op basis van de steekproef anders is dan de conclusie die hij zou trekken indien hij dezelfde controlewerkzaamheden voor de totale populatie zou uitvoeren. ISA 530 Steekproeven bij controles en andere selectiemethoden gericht op toetsing bevat aanwijzingen voor het gebruiken van de steekproefselectie. 21. Deze ISA behandelt het gebruik van een combinatie van verschillende controlewerkzaamheden als een aspect van de aard van de werkzaamheden zoals hiervoor is beschreven. De auditor beoordeelt echter of de omvang bij toepassing van een combinatie van verschillende controlewerkzaamheden juist is. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 9/31
Systeemgerichte controles 22. Het is vereist dat de auditor systeemgerichte controles uitvoert indien zijn risicoinschatting mede omvat een verwachting ten aanzien van de effectieve werking van interne beheersingsmaatregelen of indien het uitvoeren van uitsluitend gegevensgerichte controles geen voldoende en geschikte controle-informatie op beweringniveau oplevert. 23. Indien de inschatting door de auditor van het risico van een afwijking van materieel belang op beweringniveau mede is gebaseerd op de verwachting dat de interne beheersingsmaatregelen effectief werken, dient de auditor systeemgerichte controles uit te voeren om voldoende en geschikte controle-informatie te verkrijgen met betrekking tot de effectieve werking van de interne beheersingsmaatregelen op relevante tijdstippen gedurende de periode waarop de controle betrekking heeft. Zie de paragrafen 39-44 hieronder met betrekking tot het gebruikmaken van controle-informatie met betrekking tot de effectieve werking van de interne beheersingsmaatregelen gedurende vorige controles. 24. De inschatting door de auditor van het risico van een afwijking van materieel belang op beweringniveau kan mede een verwachting met betrekking tot de effectieve werking van de interne beheersingsmaatregelen inhouden, in welk geval de auditor systeemgerichte controles uitvoert om controle-informatie te verkrijgen over de effectieve werking daarvan. Toetsen van de effectieve werking van interne beheersingsmaatregelen worden alleen uitgevoerd ten aanzien van die interne beheersingsmaatregelen waarvan de auditor heeft vastgesteld dat deze zodanig zijn opgezet dat ze een afwijking van materieel belang in een bewering kunnen voorkomen, of ontdekken en corrigeren. De paragrafen 104-106 van ISA 315 behandelen het onderkennen van interne beheersingsmaatregelen die mogelijk een afwijking van materieel belang in een transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting kunnen voorkomen of ontdekken en corrigeren. 25. Indien de auditor in overeenstemming met paragraaf 115 van ISA 315 heeft bepaald dat het niet mogelijk of niet praktisch haalbaar is het risico van een afwijking van materieel belang op beweringniveau tot een aanvaardbaar laag niveau terug te brengen met behulp van uitsluitend de controle-informatie die uit gegevensgerichte controles is verkregen, dient de auditor de relevante interne beheersingsmaatregelen te toetsen om controle-informatie te verkrijgen over de effectieve werking daarvan. Het is 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 10/31
bijvoorbeeld mogelijk, dat de auditor niet de mogelijkheid kan hebben om effectieve gegevensgerichte controles op te zetten waarmee op beweringniveau voldoende en geschikte controle-informatie kan worden verkregen, in het geval dat de entiteit met een geautomatiseerde systeem werkt en van de transacties geen documentatie wordt vervaardigd of bewaard, anders dan via het geautomatiseerde systeem. 26. Het toetsen van de effectieve werking van interne beheersingsmaatregelen is anders dan het verkrijgen van controle-informatie inzake de implementatie van interne beheersingsmaatregelen. Bij het verkrijgen van controle-informatie over de implementatie door het uitvoeren van werkzaamheden met betrekking tot risico-inschatting, stelt de auditor vast dat de relevante interne beheersingsmaatregelen bestaan en dat deze in gebruik zijn bij de entiteit. Tijdens het toetsen van de effectieve werking van interne beheersingsmaatregelen verkrijgt de auditor controle-informatie ten aanzien van de effectieve werking van de interne beheersingsmaatregelen. Dit omvat het verkrijgen van controle-informatie over de wijze van toepassing van de interne beheersingsmaatregelen op relevante tijdstippen gedurende de periode waarop de controle betrekking heeft, de consistentie van de toepassing daarvan en de vraag door wie of met welke middelen deze zijn uitgevoerd. Indien gedurende de periode waarop de controle betrekking heeft, interne beheersingsmaatregelen in gebruik waren, die onderling sterk van elkaar verschilden, onderzoekt de auditor deze afzonderlijk. De auditor kan bepalen dat het doelmatig is het toetsen van de effectieve werking van de interne beheersingsmaatregelen tegelijkertijd uit te voeren met het beoordelen van de opzet en het verkrijgen van controle-informatie over de implementatie daarvan. 27. Hoewel sommige werkzaamheden met betrekking tot het inschatten van risico s die de auditor uitvoert om de opzet van de interne beheersingsmaatregelen te beoordelen en om vast te stellen dat deze zijn geïmplementeerd, niet specifiek zijn opgezet als systeemgerichte controles, kunnen deze toch controle-informatie opleveren met betrekking tot de effectieve werking van de interne beheersingsmaatregelen en kunnen deze daarom toch als systeemgerichte controles worden gebruikt. Zo kan de auditor bijvoorbeeld om inlichtingen verzocht hebben over de wijze waarop de leiding gebruik maakt van begrotingen, de vergelijking door de leiding van de begrote en gerealiseerde lasten per maand hebben waargenomen en de verslagen van het onderzoek naar de verschillen tussen de begrote en de gerealiseerde bedragen hebben onderzocht. Deze controlewerkzaamheden verschaffen informatie met betrekking tot de opzet van de begrotingsprocedures van de entiteit en de 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 11/31
vraag of deze zijn ingevoerd en kunnen ook controle-informatie opleveren over de effectiviteit van de werking van de beleidsmaatregelen inzake begroting bij het voorkomen of ontdekken van afwijkingen van materieel belang in de rubricering van lasten. Onder dergelijke omstandigheden beoordeelt de auditor of de controle-informatie die deze controlewerkzaamheden hebben opgeleverd voldoende is. Aard van de systeemgerichte controles 28. De auditor voert controlewerkzaamheden uit om zekerheid te verkrijgen over de effectieve werking van de interne beheersingsmaatregelen. Hoe groter de verwachte mate van zekerheid is, des te meer streeft hij er naar betrouwbare controle-informatie te verkrijgen. In gevallen waarin de auditor een controle-aanpak kiest die in hoofdzaak bestaat uit systeemgerichte controles, in het bijzonder betreffende die risico s waarvoor het niet mogelijk of vanuit praktisch oogpunt haalbaar is voldoende en geschikte controle-informatie te verkrijgen door middel van gegevensgerichte controles alleen, voert de auditor gewoonlijk systeemgerichte controles uit om meer zekerheid te verkrijgen aangaande de effectieve werking van de interne beheersingsmaatregelen. 29. De auditor dient naast het inwinnen van inlichtingen ook andere controlewerkzaamheden uit te voeren om de effectieve werking van de interne beheersingsmaatregelen te toetsen. Hoewel het toetsen van de effectieve werking van de interne beheersingsmaatregelen afwijkt van het verkrijgen van kennis van de opzet en de implementatie van deze maatregelen, omvat het toetsen van de effectieve werking gewoonlijk hetzelfde soort controlewerkzaamheden als bij het beoordelen van de opzet en de implementatie van de interne beheersingsmaatregelen en kan dit mede omvatten het door de auditor opnieuw uitvoeren van de interne controlewerkzaamheden. Aangezien het inwinnen van inlichtingen alleen niet voldoende is, past de auditor een combinatie van controlewerkzaamheden toe om voldoende en geschikte controle-informatie over de effectieve werking van de interne beheersingsmaatregelen te verkrijgen. De interne beheersingsmaatregelen welke worden getoetst met behulp van het inwinnen van inlichtingen in combinatie met inspectie of het opnieuw uitvoeren geven gewoonlijk meer zekerheid dan de interne beheersingsmaatregelen waarvoor de controle-informatie uitsluitend bestaat uit het inwinnen van inlichtingen en waarneming. Zo kan een auditor bijvoorbeeld vragen om inlichtingen inzake de procedures van de entiteit voor het openen van post en het verwerken 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 12/31
van kasontvangsten en deze procedures waarnemen, om de effectieve werking van de interne beheersingsmaatregelen met betrekking tot de kasontvangsten te toetsen. Omdat een waarneming alleen iets zegt over de situatie op dat moment, vult de auditor deze gewoonlijk aan met het inwinnen van inlichtingen bij werknemers van de entiteit en kan hij ook inzage hebben in de documentatie over de werking van de interne beheersingsmaatregelen op andere tijdstippen in de periode waarop de controle betrekking heeftom voldoende en geschikte controle-informatie te verkrijgen. 30. De aard van een bepaalde interne beheersingsmaatregel heeft invloed op de controlewerkzaamheden die vereist zijn om controle-informatie te verkrijgen over de effectieve werking van deze maatregelen gedurende de periode waarop de controle betrekking heeft. Voor sommige maatregelen blijkt de effectieve werking uit documentatie. In dergelijke omstandigheden kan de auditor besluiten de documentatie te verifiëren om controleinformatie over de effectieve werking te verkrijgen. Voor andere maatregelen is er evenwel mogelijk geen documentatie aanwezig of is deze niet relevant. Zo is het mogelijk dat er voor sommige onderdelen van de interne beheersingsomgeving geen documentatie over de werking beschikbaar is, zoals voor het toekennen van bevoegdheid en verantwoordelijkheid, of voor sommige controleactiviteiten zoals geïnformatiseerde controleactiviteiten. In dergelijke omstandigheden kan controle-informatie over de effectieve werking worden verkregen door een samenstel van het inwinnen van inlichtingen en andere controlemaatregelen, zoals waarneming of het gebruik van auditsoftwaretoepassingen. 31. De auditor overweegt bij de opzet van de systeemgerichte controles of het noodzakelijk is dat hij controle-informatie verkrijgt over de effectieve werking van zowel interne beheersingsmaatregelen die rechtstreeks verband houden met de beweringen, als met andere indirecte interne beheersingsmaatregelen waarvan de eerstgenoemde maatregelen afhankelijk zijn. Zo kan de auditor bijvoorbeeld het door een gebruiker doornemen van een uitzonderingsverslag betreffende verkopen op krediet boven een toegekende kredietlimiet beschouwen als een directe beheersingsmaatregel met betrekking tot een bewering. In dergelijke gevallen zal de auditor het door de gebruiker doornemen van het verslag op effectiviteit beoordelen, alsmede de beheersingsmaatregelen gericht op de absolute juistheid van de in het verslag opgenomen gegevens (bijvoorbeeld de algehele beheersingsmaatregelen binnen het geautomatiseerde systeem). 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 13/31
32. Bij geautomatiseerde application controls kan, als gevolg van de inherente consistentie bij geautomatiseerde gegevensverwerking, controle-informatie over de implementatie van de interne beheersingsmaatregelen in combinatie met controle-informatie over de effectieve werking van de geautomatiseerde general controls van de entiteit (in het bijzonder de beheersingsmaatregelen betreffende wijzigingen binnen de geautomatiseerde systemen) belangrijke controle-informatie verschaffen met betrekking tot de effectieve werking gedurende de relevante periode. 33. Om in te spelen op zijn risico-inschatting kan de auditor een systeemgerichte controle opzetten gericht op het gelijktijdig uitvoeren van een detailcontrole voor dezelfde transactie. Systeemgerichte controles hebben ten doel te beoordelen of een interne beheersingsmaatregel effectief heeft gewerkt. Detailcontroles hebben ten doel om afwijkingen van materieel belang op beweringniveau te ontdekken. Hoewel deze doelstellingen verschillen, kunnen beide tegelijkertijd worden bereikt door het uitvoeren van een systeemgerichte controle en een detailcontrole voor dezelfde transactie, ook wel bekend als de dual-purpose test. Zo kan de auditor bijvoorbeeld een factuur onderzoeken om na te gaan of deze is goedgekeurd en om gegevensgerichte controle-informatie over de transactie te verkrijgen. De auditor bepaalt zorgvuldig hoe dergelijke toetsen moeten worden opgezet en beoordeeld om beide doelstellingen te bereiken. 34. Het feit dat een gegevensgerichte controle niet tot de ontdekking van afwijkingen leidt levert geen controle-informatie over de effectieve werking van de getoetste interne beheersingsmaatregelen met betrekking tot de bewering. Afwijkingen die tijdens het uitvoeren van gegevensgerichte controles worden ontdekt door de auditor worden echter wel betrokken bij het beoordelen van de effectieve werking van de daarmee verbandhoudende beheersingsmaatregelen. Een afwijking van materieel belang die door de werkzaamheden van de auditor wordt ontdekt en die niet door de entiteit zelf was onderkend, wijst gewoonlijk op een van materieel belang zijnde tekortkoming in de interne beheersing, die onder de aandacht wordt gebracht van de leiding van de entiteit en van het toezichthoudend orgaan. Tijdsfasering van systeemgerichte controles 35. De tijdsfasering van systeemgerichte controles is afhankelijk van de doelstelling van de auditor en is bepalend voor de periode waarin de auditor kan steunen op de interne 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 14/31
beheersingsmaatregelen. Indien de auditor de maatregelen op een bepaald moment toetst, verkrijgt hij alleen controle-informatie dat deze maatregelen op dat moment effectief werkten. Indien hij echter de maatregelen gedurende een bepaalde periode toetst, verkrijgt hij controleinformatie over de effectieve werking van deze maatregelen gedurende die periode. 36. Controle-informatie die alleen betrekking heeft op een bepaald moment kan voldoende zijn voor het door de auditor beoogde doel, bijvoorbeeld bij het toetsen van de interne beheersingsmaatregelen betreffende de voorraadopname op de einddatum van de periode. Indien de auditor echter controle-informatie wenst te verkrijgen over de effectieve werking van een beheersingsmaatregel gedurende een periode, is controle-informatie over een bepaald moment onvoldoende en vult de auditor deze controles aan met andere systeemgerichte controles, die controle-informatie kunnen verschaffen dat de interne beheersingsmaatregel op relevante momenten tijdens de periode waarop de controle betrekking heeft, effectief heeft gewerkt. Deze andere controles kunnen bestaan uit het toetsen van de wijze waarop de entiteit de beheersingsmaatregelen opvolgt. 37. Indien de auditor controle-informatie over de effectieve werking van interne beheersingsmaatregelen verkrijgt tijdens een interim-periode, dient hij te bepalen welke aanvullende controle-informatie voor het resterende deel van de periode moet worden verkregen. Bij de bepaling daarvan beoordeelt de auditor de significantie van het ingeschatte risico van een afwijking van materieel belang op beweringniveau, welke maatregelen tijdens de interim-controle zijn getoetst, de mate waarin controle-informatie over de effectieve werking van die maatregelen is verkregen, de duur van het resterende deel van de periode, de mate waarin de auditor verdere gegevensgerichte controles wil beperken door te steunen op de interne beheersingsmaatregelen, en de beheersingsomgeving. De auditor verkrijgt controleinformatie over de aard en omvang van alle significante wijzigingen in de interne beheersing, met inbegrip van wijzigingen in het informatiesysteem, de processen en de personele bezetting die zijn opgetreden na afloop van de interim-periode. 38. Aanvullende controle-informatie kan bijvoorbeeld worden verkregen door ook over het resterende deel van de periode de effectieve werking van de interne beheersingsmaatregelen te toetsen of door te toetsen hoe de entiteit de interne beheersingsmaatregelen opvolgt. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 15/31
39. Indien de auditor van plan is de in vorige controles verkregen controleinformatie over de effectieve werking van interne beheersingsmaatregelen te gebruiken, dient hij controle-informatie te verkrijgen over het feit of wijzigingen in die interne beheersingsmaatregelen hebben plaatsgevonden na afloop van de vorige controle. De auditor dient controle-informatie te verkrijgen over de vraag of dergelijke wijzigingen hebben plaatsgevonden door het inwinnen van inlichtingen in combinatie met waarneming of inspectie om de kennis over deze maatregelen te bevestigen. In paragraaf 23 van ISA 500 wordt gesteld dat de auditor controlewerkzaamheden uitvoert om vast te stellen dat de controle-informatie die in vorige perioden is verkregen nog steeds relevant is, indien hij van plan is deze controle-informatie in de lopende controleperiode te gebruiken. Zo kan de auditor bijvoorbeeld tijdens een vorige controle hebben vastgesteld dat een geautomatiseerde controle naar behoren werkte. De auditor verkrijgt vervolgens controleinformatie om vast te stellen of er in de geautomatiseerde interne beheersingsmaatregel wijzigingen zijn aangebracht die van invloed zijn op de doorlopende effectieve werking, bijvoorbeeld door navraag te doen bij de leiding van de entiteit en logboeken te inspecteren om vast te stellen welke interne beheersingsmaatregelen werden gewijzigd. Een beoordeling van de controle-informatie over deze wijzigingen kan leiden tot een toe- of afname van de in de huidige periode te verkrijgen controle-informatie over de effectieve werking van de maatregelen. 40. Indien de auditor van plan is te steunen op interne beheersingsmaatregelen die zijn gewijzigd sinds het moment waarop deze voor het laatst zijn getoetst, dient hij de effectieve werking van deze maatregelen in de lopende controleperiode te toetsen. Wijzigingen kunnen de relevantie vanv de in voorgaande perioden verkregen controleinformatie aantasten zodat hierop niet langer kan worden gesteund. Zo hebben bijvoorbeeld wijzigingen in een systeem die een entiteit in staat stellen een nieuw verslag uit het systeem te doen verkrijgen waarschijnlijk geen invloed op de relevantie van de in een vorige periode verkregen controle-informatie; een wijziging waardoor gegevens op een andere manier moeten worden gegroepeerd of berekend, heeft echter hierop wel invloed. 41. Indien de auditor van plan is te steunen op interne beheersingsmaatregelen die niet zijn gewijzigd sinds het moment waarop deze voor het laatst zijn getoetst, dient hij de effectieve werking van deze maatregelen ten minste in elke derde controle te toetsen. 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 16/31
Zoals vermeld in de paragrafen 40 en 44, kan de auditor niet steunen op controle-informatie over de effectieve werking van interne beheersingsmaatregelen welke in vorige controles is verkregen indien deze maatregelen zijn gewijzigd sinds deze voor het laatst zijn getoetst of indien deze maatregelen een significant risico beperken. De beslissing van de auditor om voor andere interne beheersingsmaatregelen al of niet te steunen op de controle-informatie die in vorige controles is verkregen is een kwestie van vakkundige oordeelsvorming. Ook de tijd die verloopt tussen het opnieuw toetsen van dergelijke maatregelen is een kwestie van vakkundige oordeelsvorming, maar mag niet langer zijn dan twee jaar. 42. De auditor neemt het volgende in aanmerking bij zijn overwegingen of hij kan steunen op controle-informatie over de effectieve werking van interne beheersingsmaatregelen uit vorige controles en zo ja, hoe lang de periode mag zijn die verloopt tot het moment dat de maatregelen opnieuw moeten worden getoetst: - de effectiviteit van andere elementen van de interne beheersing, waaronder begrepen de interne beheersingsomgeving, de opvolging door de entiteit van de beheersingsmaatregelen en het proces van risico-inschatting van de entiteit; - de risico s die voortkomen uit de kenmerken van de maatregel, waaronder de vraag of deze geautomatiseerd of handmatig zijn (zie ISA 315, paragrafen 57-63, voor een behandeling van specifieke risico s voortkomend uit handmatige of geautomatiseerde elementen van beheersingsmaatregelen); - de effectiviteit van de algemene beheersingsmaatregelen binnen het geautomatiseerde systeem; - de effectiviteit van de interne beheersingsmaatregel en het gebruik daarvan door de entiteit, met inbegrip van de aard en omvang van deviaties in de toepassing van de maatregel die gebleken zijn uit het toetsen van de effectieve werking in vorige controles; - de vraag of gezien gewijzigde omstandigheden, het achterwege blijven van wijzigingen in een bepaalde beheersingsmaatregel een risico vormt; - het risico van een afwijking van materieel belang en de mate waarin wordt gesteund op de interne beheersingsmaatregel. In het algemeen geldt dat hoe groter het risico van een afwijking van materieel belang is, of hoe meer wordt gesteund op de interne beheersingsmaatregelen, des te korter naar alle waarschijnlijkheid de periode zal zijn die ligt tussen de momenten waarop de maatregelen 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 17/31
worden getoetst. Factoren die gewoonlijk deze periode verkorten, of die ertoe leiden dat in het geheel niet wordt gesteund op de in vorige controles verkregen controle-informatie, zijn onder meer: - een zwakke beheersingsomgeving; - een zwakke opvolging van de beheersingsmaatregelen; - een belangrijk handmatig element in de relevante beheersingsmaatregelen; - wijzigingen in de personele bezetting die een significante invloed hebben op de werking van de maatregelen; - veranderende omstandigheden die wijzigingen in de interne beheersingsmaatregelen noodzakelijk maken; - zwakke general controls binnen het geautomatiseerd systeem. 43. Indien de auditor besluit dat hij voor een aantal interne beheersingsmaatregelen kan steunen op de in vorige controles verkregen controle-informatie, dient hij elke controleperiode de effectieve werking van enkele van deze maatregelen te toetsen. Deze vereiste beoogt te voorkomen dat de auditor de benadering van paragraaf 41 gaat toepassen op alle maatregelen waarop hij wil steunen, maar deze allemaal in één enkele controleperiode toetst op effectieve werking zonder enige maatregel in de twee volgende controleperioden te toetsen. Naast controle-informatie over de effectieve werking van de getoetste maatregelen levert dergelijk toetsing ook zijdelings controle-informatie op betreffende de effectieve werking van de beheersingsomgeving en draagt daardoor bij aan de besluitvorming over de mogelijkheid al of niet te steunen op de in vorige controles verkregen controle-informatie. Daarom besluit de auditor, wanneer hij in overeenstemming met de paragrafen 39-42 heeft vastgesteld dat hij voor een aantal beheersingsmaatregelen kan steunen op in vorige controles verkregen controle-informatie, elke controleperiode een toereikend gedeelte van de interne beheersingsmaatregelen uit de populatie te toetsen op effectieve werking, waarbij iedere maatregel ten minste elke derde controleperiode wordt getoetst. 44. Indien de auditor in overeenstemming met paragraaf 108 van ISA 315 heeft besloten dat een ingeschat risico van een afwijking van materieel belang op beweringniveau een significant risico is en de auditor van plan is te steunen op de effectieve werking van interne beheersingsmaatregelen die ten doel hebben dat belangrijke risico te beperken, dient hij uit systeemgerichte controles in de lopende periode controle-informatie te verkrijgen over de effectieve werking van die 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 18/31
maatregelen. Hoe groter het risico van een afwijking van materieel belang is, des te meer controle-informatie over de effectieve werking moet de auditor verkrijgen. Dientengevolge steunt de auditor niet op de tijdens vorige controles verkregen controle-informatie met betrekking tot significante risico s, hoewel hij bij de opzet van systeemgerichte controles die ten doel hebben deze risico s te beperken, vaak wel tijdens de vorige controles verkregen informatie betrekt. Daarvoor in de plaats verzamelt hij controle-informatie over de effectieve werking van interne beheersingsmaatregelen met betrekking tot dergelijke risico s in de lopende periode. De omvang van de systeemgerichte controles 45. De auditor zet zodanige systeemgerichte controles op dat voldoende en geschikte controle-informatie wordt verkregen over de effectieve werking van de interne beheersingsmaatregelen gedurende de gehele periode dat daarop wordt gesteund. Bij het bepalen van de omvang van deze systeemgerichte controles kan hij onder meer het volgende in aanmerking nemen: - de frequentie waarmee de entiteit de interne beheersingsmaatregelen gedurende de periode heeft uitgevoerd; - de tijdsduur tijdens de controleperiode waarin de auditor op de effectieve werking van de interne beheersingsmaatregelen steunt; - de relevantie en de betrouwbaarheid van de controle-informatie die moet worden verkregen om aan te tonen dat de interne beheersingsmaatregelen afwijkingen van materieel belang op beweringniveau voorkomen, of ontdekken of corrigeren; - de mate waarin controle-informatie wordt verkregen uit andere gegevensgerichte controles die invloed hebben op de bewering; - de mate waarin de auditor bij het inschatten van risico s wil steunen op de effectieve werking van de interne beheersingsmaatregelen (en daarmee de gegevensgerichte controles wil beperken, rekening houdend met het steunen op deze interne beheersingsmaatregelen); - de verwachte afwijkingen bij het uitvoeren van de interne beheersingsmaatregelen. 46. Hoe meer de auditor bij de risico-inschatting steunt op de effectieve werking van interne beheersingsmaatregelen, des te groter is de omvang van de systeemgerichte controles. Daarnaast vergroot de auditor de omvang van de systeemgerichte controles in functie van de 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 19/31
stijging van het percentage van verwachte deviaties bij het uitvoeren van de maatregelen. De auditor overweegt echter of het percentage van verwachte deviaties een aanwijzing is dat de beheersingsmaatregel niet voldoende is om het risico van een afwijking van materieel belang op beweringniveau terug te brengen tot het niveau dat met de risico-inschatting door de auditor overeenkomt. Indien het percentage van verwachte deviaties te groot is, kan de auditor besluiten dat het uitvoeren van systeemgerichte controles voor een bepaalde bewering mogelijk niet effectief zal zijn. 47. Vanwege de inherente consistentie van geautomatiseerde gegevensverwerking kan de auditor wellicht afzien van het vergroten van de omvang van systeemgerichte controles betreffende geautomatiseerde beheersingsmaatregelen. Een geautomatiseerde beheersingsmaatregel werkt consistent tenzij in het programma (met inbegrip van tabellen, bestanden of andere permanente gegevens die door het programma worden gebruikt) wijzigingen zijn aangebracht. Nadat de auditor heeft vastgesteld dat de geautomatiseerde beheersingsmaatregel naar behoren werkt (hetgeen kan plaatsvinden op het moment dat deze beheersingsmaatregel voor het eerst is geïmplementeerd, of op elk ander moment), voorziet hij welke werkzaamheden moeten worden uitgevoerd om vast te stellen dat de beheersingsmaatregel effectief blijft werken. Dergelijke toetsen kunnen mede inhouden het vaststellen dat geen wijzigingen in het programma zijn aangebracht buiten de wijzigingsprocedure om, dat de geautoriseerde versie van het programma is gebruikt voor het verwerken van transacties en dat andere relevante interne beheersingsmaatregelen effectief zijn. Tot dergelijke werkzaamheden kan ook behoren het vaststellen dat geen wijzigingen in de programma s zijn aangebracht, bijvoorbeeld bij gebruik door een entiteit van toepassingen uit een softwarepakket zonder dat wijzigingen worden aangebracht of onderhoud wordt uitgevoerd. Zo kan de auditor bijvoorbeeld de registratie van de automatiseringsbeveiliging beoordelen om controle-informatie te verkrijgen dat gedurende de periode geen ongeautoriseerde toegang heeft plaatsgevonden. Gegevensgerichte controles 48. Gegevensgerichte controles worden uitgevoerd om afwijkingen van materieel belang op beweringniveau te ontdekken en omvatten detailcontroles van transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen, alsmede gegevensgerichte cijferanalyse. De auditor neemt gegevensgerichte controles op in de 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 20/31
planning en voert deze uit om te kunnen inspelen op de inschatting van het risico van een afwijking van materieel belang. 49. Ongeacht de inschatting van het risico van een afwijking van materieel belang dient de auditor gegevensgerichte controles op te zetten en uit te voeren voor elke transactiestroom, rekeningsaldo en in de financiële overzichten opgenomen toelichting die van materieel belang zijn. Deze vereiste vindt haar oorsprong in het feit dat de risicoinschatting door de auditor een eigen beoordeling inhoudt en niet voldoende nauwkeurig kan zijn om alle risico s van een afwijking van materieel belang te onderkennen. Voorts is de interne beheersing onderhevig aan inherente beperkingen, zoals mogelijke beïnvloeding door de leiding van de entiteit. Bijgevolg zal de auditor, al is hij van oordeel dat het risico van een afwijking van materieel belang tot een aanvaardbaar laag niveau kan worden teruggebracht door uitsluitend systeemgerichte controles uit te voeren voor een bepaalde bewering betreffende een transactiestroom, rekeningsaldo en in de financiële overzichten opgenomen toelichting (zie paragraaf 8), altijd gegevensgerichte controles uitvoeren voor elke transactiestroom, elk rekeningsaldo en elke toelichting die van materieel belang zijn. 50. De gegevensgerichte controles die de auditor uitvoert dienen de volgende controlewerkzaamheden bij de afronding van de financiële overzichten te omvatten: - het aansluiten of afstemmen van de financiële overzichten op de onderliggende administratie; en - het beoordelen van significante journaalposten en andere aanpassingen die tijdens het opstellen van de financiële overzichten zijn gemaakt. De aard en omvang van de beoordeling door de auditor van de journaalposten en van de andere aanpassingen zijn afhankelijk van de aard en complexiteit van het financiële verslaggevingsproces van de entiteit alsmede van de daarmee samenhangende risico s van een afwijking van materieel belang. 51. Indien de auditor overeenkomstig paragraaf 108 van ISA 315 heeft vastgesteld dat een ingeschat risico van een afwijking van materieel belang op beweringniveau significant is, dient hij gegevensgerichte controles uit te voeren die speciaal zijn gericht op dat risico. Indien de auditor bijvoorbeeld constateert dat de leiding van de entiteit onder druk staat om aan winstverwachtingen te voldoen, is er een risico dat de leiding de 330 NIVRA-IBR/HV-DSCH-RK/acs/Versie 8 mei 2008 21/31