Remco ter Steege

Vaktechniek

De nieuwe risico-analyse

De IAASB heeft de standaard omtrent risico-analyse volledig op de schop gegooid. Deze nieuwe standaard 315 is van kracht voor boekjaren die aanvangen op of na 15 december 2021.

Concreet betekent dit dus dat je voor de jaarrekeningcontrole 2022 de nieuwe risico-analyse dient toe te passen.

Waarom deze nieuwe standaard?

Het doel van de nieuwe standaard is om de risico-analyse consistenter en degelijker te maken. Uit een onderzoek bleek namelijk dat:

  • In de praktijk veel verschil in aantal en soort geïdentificeerde significante risico’s bestaat;
  • Het lastig is om inzicht in de interne beheersingsomgeving te krijgen / documenteren;
  • Risico’s in relatie tot de IT omgeving onvoldoende geadresseerd worden in de huidige standaard.

De nieuwe standaard bevat daarom een iets andere opzet maar vooral ook veel meer toelichting. In totaal telt de standaard met toelichting en bijlage maar liefst 118 pagina’s.

Wat zijn de belangrijkste wijzigingen?

Allereerst heeft men vijf nieuwe factoren geïdentificeerd om te ondersteunen bij het inschatten van de inherente risico’s. Aan de hand van deze vijf factoren (complexiteit, subjectiviteit, verandering van gebeurtenissen of omstandigheden, onzekerheid en fraude) plaats je vervolgens het risico op een zogenaamd spectrum van inherent risico. Hierbij is de bovenkant van het spectrum het significante risico. Ook is opgenomen dat het inherent risico en het interne controle risico apart moeten worden ingeschat.

Voor de risico-inschatting zijn enkele nieuwe termen geïntroduceerd. Namelijk de “relevant assertion” en de “Significant Class of transactions, account balance or disclosure”. De ISA schrijft nu voor dat je voor elke class of transaction, account balance of disclosure (COTABD) moet inschatten of deze een bewering bevat die een risico op een materiële fout bevat. Deze bewering wordt dan een relevant assertion en de betreffende COTABD wordt dan een significant COTABD.

Daarnaast is duidelijker aangegeven welke werkzaamheden benodigd zijn ten aanzien van het verkrijgen van kennis van de huishouding. Dit komt neer op een combinatie van inwinnen van inlichtingen, cijferanalyses en waarneming of inspectie.

Verder kent de standaard veel meer verwijzing naar de IT omgeving en benadrukt ze op diverse plekken de mogelijkheid om gebruik te maken van data-analyse toepassingen. Het belang van IT komt met name terug bij de interne beheersingsmaatregelen die relevant zijn voor de controle. Ten aanzien van deze interne beheersingsmaatregelen moet je in kaart brengen welke IT systemen en risico’s hiermee samenhangen en de betreffende IT general controls op opzet en bestaan testen.

De interne beheersingsmaatregelen die relevant zijn voor de controle worden daarmee ook meer geconcretiseerd. Dit zijn:

  • Interne beheersingsmaatregelen die een signficant risico afdekken;
  • Interne beheersingsmaatregelen ten aanzien van het financial statement closing proces
  • Interne beheersingsmaatregelen waarvan de accountant wil steunen op de effectieve werking
  • Overige interne beheersingsmaatregelen die de accountant belangrijk vindt ten behoeve van de risico-analyse

Bereikt de nieuwe standaard haar doel?

Als we de drie doelstellingen bekijken kun je je afvragen of de standaard haar doel bereikt. De aanpassingen in de risico-analyse zijn op papier vergaand maar in de praktijk denk ik dat ze wel meevallen. De meeste accountantskantoren hanteren al een spectrum van inherent risico en maken een separate inschatting van inherent risico en intern controle risico. Ook de vijf genoemde risico-factoren zullen veelal al meegewogen worden bij het bepalen van de waarschijnlijkheid en de impact.

Ten aanzien van de interne beheersingsomgeving is veel achtergrondinformatie toegevoegd. Het helpt dat men de technieken die je kunt gebruiken specifiek benoemd. Toch denk ik dat het in de praktijk nog lastig zal blijven om te bepalen hoe ver je moet gaan met het onderbouwen van de informatie en welk van de technieken je wanneer zult toepassen.

En dan het adresseren van de IT omgeving en de data-analyse toepassingen. Met name ten aanzien van de IT omgeving denk ik dat de standaard haar doel wel bereikt heeft. Deze wijziging zal naar verwachting ook de grootste invloed op onze werkzaamheden hebben. Het belang van de IT omgeving wordt beter duidelijk dan in de vorige standaard en doet mijns inziens meer recht aan de geautomatiseerde omgevingen die wij bij veel van onze klanten aantreffen. Ook is duidelijker gemaakt hoe je hiermee rekening moet houden ten aanzien van de interne beheersingsmaatregelen die relevant zijn voor de controle

Voor data-analyse ben ik van mening dat de standaard nog erg op de oppervlakte blijft. Ze geeft in algemeenheden aan dat data-analysetoepassingen in de risico-analyse mogelijk zijn maar gaat niet echt de diepte in waar het dat met de IT omgeving meer doet.

Concluderend denk ik dat de grootste winst van de nieuwe standaard is dat we geen excuses meer hebben om het IT systeem beperkt te adresseren. Ook is duidelijk dat vanuit de ISA geen belemmeringen gezien worden om data-analyse in de controle toe te passen. Het is vervolgens aan ons om er voor te zorgen dat we hier ook stappen in maken die de kwaliteit en innovatie van de controle vergroten.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *