315 Risico's op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving
Inleiding
Toepassingsgebied van deze Standaard
Deze Standaard behandelt de verantwoordelijkheid van de accountant voor het identificeren en inschatten van de risico's op een afwijking van materieel belang in de financiële overzichten door het verwerven van inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing.
Ingangsdatum
Voor de ingangsdatum wordt verwezen naar de slotbepalingen.
Doelstelling
De doelstelling van de accountant is het identificeren en inschatten van de risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en beweringen als gevolg van fraude of van fouten, door inzicht te verwerven in de entiteit en haar omgeving, met inbegrip van haar interne beheersing, zodat een basis wordt verkregen voor het opzetten en implementeren van manieren om op de ingeschatte risico's op een afwijking van materieel belang in te spelen.
Definities
Voor de toepassing van de Standaarden hebben de volgende termen de hierna weergegeven betekenis:
beweringen – al dan niet expliciete uitspraken door het management die in de financiële overzichten zijn opgenomen en door de accountant worden gebruikt bij het in aanmerking nemen van de verschillende soorten afwijkingen die kunnen voorkomen;
bedrijfsrisico – een risico dat voortkomt uit significante voorwaarden, gebeurtenissen, omstandigheden, handelingen of het achterwege laten van handelingen die een nadelig effect kunnen hebben op de mogelijkheid van de entiteit om haar doelstellingen te bereiken en haar strategieën uit te voeren, of dat voortkomt uit het vaststellen van ongepaste doelstellingen en strategieën;
interne beheersing – het proces dat is opgezet, wordt geïmplementeerd en onderhouden door de met governance belaste personen, het management en andere personeelsleden met als doel een redelijke mate van zekerheid te verschaffen dat de doelstellingen van de entiteit met betrekking tot de betrouwbaarheid van de financiële verslaggeving, de effectiviteit en efficiëntie van de activiteiten alsmede de naleving van de van toepassing zijnde wet- en regelgeving worden bereikt. De term 'interne beheersingsmaatregelen' slaat op alle aspecten van een of meer componenten van de interne beheersing;
risico-inschattingswerkzaamheden – de controlewerkzaamheden die worden uitgevoerd met het oog op het verwerven van inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing, teneinde de risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en beweringen als gevolg van fraude of van fouten te identificeren en in te schatten;
significant risico – een geïdentificeerd en ingeschat risico op een afwijking van materieel belang waaraan, op grond van de oordeelsvorming van de accountant, tijdens de controle bijzondere aandacht moet worden besteed.
Vereisten
Risico-inschattingswerkzaamheden en daarmee verband houdende werkzaamheden
De accountant dient risico-inschattingswerkzaamheden uit te voeren om een basis te verkrijgen voor het identificeren en inschatten van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en beweringen. Risico-inschattingswerkzaamheden op zich verschaffen echter geen voldoende en geschikte controle-informatie waarop de accountant zijn controleoordeel kan baseren. (Zie Par. A1, A2, A3, A4, A5)
De risico-inschattingswerkzaamheden dienen het volgende te omvatten:
verzoeken om inlichtingen bij het management, bij de juiste personen binnen de interne auditfunctie (indien deze functie bestaat), en bij anderen binnen de entiteit die in de oordeelsvorming van de accountant over informatie kunnen beschikken die waarschijnlijk ondersteunend is bij het identificeren van risico's op een afwijking van materieel belang die het gevolg is van fraude of van fouten; (Zie Par. A6, A7, A8, A9, A10, A11, A12 en A13)
waarneming en inspectie. (Zie Par. A18)
De accountant dient te overwegen of de informatie die hij uit het proces van aanvaarding of continuering van de cliëntrelatie heeft verkregen relevant is voor het identificeren van risico's op een afwijking van materieel belang.
Indien de opdrachtpartner andere opdrachten voor de entiteit heeft uitgevoerd, dient hij te overwegen of de verkregen informatie relevant is voor het identificeren van risico's op een afwijking van materieel belang.
Indien de accountant voornemens is gebruik te maken van informatie die is verkregen uit eerdere ervaringen met de entiteit en/of uit controlewerkzaamheden die bij eerdere controles zijn uitgevoerd, dient hij na te gaan of er zich na de vorige controle veranderingen hebben voorgedaan die een effect kunnen hebben op de relevantie van deze informatie voor de lopende controle. (Zie Par. A19 en A20)
De opdrachtpartner en de andere kernleden van het opdrachtteam dienen te bespreken in welke mate de financiële overzichten van de entiteit vatbaar zijn voor een afwijking van materieel belang, en dienen de toepassing van het van toepassing zijnde stelsel inzake financiële verslaggeving op de feiten en omstandigheden van de entiteit te bespreken. De opdrachtpartner dient te bepalen welke aangelegenheden moeten worden meegedeeld aan de leden van het opdrachtteam die niet aan deze bespreking hebben deelgenomen. (Zie Par. A21,A22, A23 en A24)
Het vereiste inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing
De entiteit en haar omgeving
De accountant dient inzicht te verwerven in:
de relevante sectorspecifieke factoren, regelgeving en andere externe factoren, met inbegrip van het van toepassing zijnde stelsel inzake financiële verslaggeving; (Zie Par. A25, A26, A27, A28, A29 en A30)
de aard van de entiteit, met inbegrip van:
haar activiteiten;
haar eigendoms- en governance-structuur;
de soorten investeringen die de entiteit doet en voornemens is te doen, met inbegrip van investeringen in voor een bijzonder doel opgerichte entiteiten; en
de wijze waarop de entiteit is gestructureerd en wordt gefinancierd; teneinde in staat te zijn inzicht te verwerven in de transactiestromen, rekeningsaldi en toelichtingen die in de financiële overzichten zijn te verwachten; (Zie Par. A31, A32, A33, A34 en A35)
de keuze en toepassing door de entiteit van grondslagen voor financiële verslaggeving, met inbegrip van de redenen voor wijzigingen in die grondslagen. De accountant dient te evalueren of de door de entiteit gehanteerde grondslagen voor financiële verslaggeving geschikt zijn voor haar activiteiten en in overeenstemming zijn met het van toepassing zijnde stelsel inzake financiële verslaggeving en met de grondslagen voor financiële verslaggeving die in de desbetreffende sector worden gebruikt; (Zie Par. A36)
de doelstellingen en strategieën van de entiteit alsmede de daarmee verband houdende bedrijfsrisico's die tot risico's op een afwijking van materieel belang kunnen leiden; (Zie Par. A37, A38, A39, A40, A41, A42 en A43)
de wijze waarop de entiteit haar financiële prestaties meet en beoordeelt. (Zie Par. A44, A45, A46, A47, A48 en A49)
De interne beheersing van de entiteit
De accountant dient inzicht te verwerven in de interne beheersing die relevant is voor de controle. Hoewel de meeste voor een controle relevante interne beheersingsmaatregelen betrekking hebben op de financiële verslaggeving, zijn niet alle interne beheersingsmaatregelen die betrekking hebben op de financiële verslaggeving relevant voor de controle. Of een interne beheersingsmaatregel, alleen of in combinatie met andere interne beheersingsmaatregelen, relevant is voor de controle, is een kwestie van professionele oordeelsvorming door de accountant. (Zie Par. A50, A51, A52, A53, A54, A55, A56, A57, A58, A59, A60, A61, A62, A63, A64, A65, A66, A67, A68, A69, A70, A71, A72 en A73)
Aard en omvang van het inzicht in relevante interne beheersingsmaatregelen
Tijdens het verwerven van inzicht in de interne beheersingsmaatregelen die voor de controle relevant zijn, dient de accountant de opzet van deze beheersingsmaatregelen te evalueren en na te gaan of ze zijn geïmplementeerd, door werkzaamheden uit te voeren in aanvulling op het verzoeken om inlichtingen bij personeelsleden van de entiteit. (Zie Par. A74, A75 en A76)
Componenten van de interne beheersing
Interne beheersingsomgeving
De accountant dient inzicht te verwerven in de interne beheersingsomgeving. Als onderdeel van het verwerven van inzicht in de interne beheersingsomgeving dient de accountant te evalueren of:
het management, onder het toezicht van de met governance belaste personen, een cultuur van eerlijkheid en ethisch gedrag heeft gecreëerd en in stand houdt; en
de sterke punten in de elementen van de interne beheersingsomgeving samen een geschikte basis vormen voor de andere componenten van de interne beheersing, en of deze andere componenten niet door tekortkomingen in de interne beheersingsomgeving worden aangetast. (Zie Par. A77, A78, A79, A80, A81, A82, A83, A84, A85, A86 en A87)
Het risico-inschattingsproces van de entiteit
De accountant dient inzicht te verwerven in de vraag of er binnen de entiteit een proces bestaat voor:
het identificeren van bedrijfsrisico's die relevant zijn voor de doelstellingen van de financiële verslaggeving;
het inschatten van de significantie van deze risico's;
het inschatten van de waarschijnlijkheid dat deze risico's zich zullen voordoen; en
het nemen van beslissingen over te ondernemen acties om op deze risico's in te spelen. (Zie Par. A88)
Indien de entiteit een dergelijk proces heeft vastgesteld (hierna het risico-inschattingsproces van de entiteit genoemd), dient de accountant inzicht te verwerven in dat proces en in de resultaten ervan. Indien de accountant risico's op een afwijking van materieel belang identificeert die door het management niet zijn geïdentificeerd, dient hij te evalueren of er een onderliggend risico bestond van een type waarvan de accountant verwacht dat het door het risico-inschattingsproces van de entiteit wordt geïdentificeerd. Indien een dergelijk risico bestaat, dient de accountant inzicht te verwerven in de reden waarom het risico-inschattingsproces dat risico niet heeft geïdentificeerd, en dient hij te evalueren of het proces in de gegeven omstandigheden geschikt is of dient hij te bepalen of er sprake is van een significante tekortkoming in de interne beheersing met betrekking tot het risico-inschattingsproces van de entiteit.
Indien de entiteit geen dergelijk proces heeft vastgesteld of indien de entiteit over een ad-hoc proces beschikt, dient de accountant met het management te bespreken of er bedrijfsrisico’s zijn geïdentificeerd die relevant zijn voor de doelstellingen van de financiële verslaggeving en hoe daarop is ingespeeld. De accountant dient te evalueren of het ontbreken van een gedocumenteerd risico-inschattingsproces passend is in de gegeven omstandigheden, dan wel een significante tekortkoming in de interne beheersing vormt. (Zie Par. A89)
Het voor de financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarmee verband houdende bedrijfsprocessen, en de communicatie
De accountant dient inzicht te verwerven in het informatiesysteem, met inbegrip van de daarmee verband houdende bedrijfsprocessen, dat relevant is voor de financiële verslaggeving, met inbegrip van: (Zie Par. A90, A91, A92, A95, A96 en A97)
de transactiestromen in de activiteiten van de entiteit die significant zijn voor de financiële overzichten;
de procedures, binnen zowel de IT- als handmatige systemen, waardoor de transacties tot stand worden gebracht, vastgelegd, verwerkt, naargelang nodig gecorrigeerd, overgenomen in het grootboek en in de financiële overzichten gerapporteerd;
de daarmee verband houdende administratieve vastleggingen, onderbouwende informatie en specifieke in de financiële overzichten opgenomen rekeningen die voor het tot stand brengen, vastleggen, verwerken en rapporteren van transacties worden gebruikt; dit omvat de correctie van onjuiste informatie en de wijze waarop informatie in het grootboek wordt verwerkt. De vastleggingen kunnen handmatig of elektronisch tot stand worden gebracht;
de wijze waarop in het informatiesysteem gebeurtenissen en omstandigheden, uitgezonderd transacties, die significant zijn voor de financiële overzichten worden vastgelegd;
het proces van financiële verslaggeving dat wordt gebruikt om de financiële overzichten van de entiteit op te stellen, met inbegrip van significante schattingen en toelichtingen; en
interne beheersingsmaatregelen met betrekking tot journaalboekingen, met inbegrip van journaalboekingen die geen standaardjournaalboekingen zijn en worden gebruikt om eenmalige, ongebruikelijke transacties of correcties vast te leggen. (Zie Par. A93 en A94)
Dit inzicht in het informatiesysteem dat relevant is voor de financiële verslaggeving dient relevante aspecten van dat systeem met betrekking tot informatie die in de financiële overzichten wordt toegelicht die wordt verkregen binnen of buiten het grootboek en subgrootboeken, te omvatten.
De accountant dient inzicht te verwerven in de wijze waarop de entiteit taken en verantwoordelijkheden met betrekking tot de financiële verslaggeving alsmede significante zaken in verband met de financiële verslaggeving meedeelt, met inbegrip van: (Zie Par. A97 en A98)
communicatie tussen het management en de met governance belaste personen; en
externe communicatie, bijvoorbeeld met regelgevende of toezichthoudende instanties.
Interne beheersingsactiviteiten die relevant zijn voor de controle
De accountant dient inzicht te verwerven in interne beheersingsactiviteiten die voor de controle relevant zijn, te weten die waarvan hij van oordeel is dat het noodzakelijk is dat hij er inzicht in krijgt om de risico's op een afwijking van materieel belang op het niveau van beweringen in te schatten en om verdere controlewerkzaamheden die op de ingeschatte risico's inspelen op te zetten. Een controle vereist niet dat de accountant inzicht verwerft in alle interne beheersingsactiviteiten die betrekking hebben op alle significante transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen of op elke bewering die daarvoor relevant is. (Zie Par. A99, A100, A101, A102, A103, A104, A105 en A106)
Bij het verwerven van inzicht in de interne beheersingsactiviteiten van de entiteit dient de accountant inzicht te verwerven in de wijze waarop de entiteit op uit IT voortkomende risico's heeft ingespeeld. (Zie Par. A107, A108 en A109)
Monitoring van interne beheersingsmaatregelen
De accountant dient inzicht te verwerven in de belangrijkste activiteiten die de entiteit uitvoert om de interne beheersing met betrekking tot de financiële verslaggeving te monitoren, met inbegrip van de activiteiten die verband houden met de interne beheersingsactiviteiten die voor de controle relevant zijn, alsmede in de wijze waarop de entiteit acties onderneemt ter correctie van tekortkomingen in haar interne beheersing. (Zie Par. A110, A111 en A112)
Indien de entiteit over een interne auditfunctie beschikt , dient de accountant inzicht te verwerven in de aard van de verantwoordelijkheden en de organisatorische positie van de interne auditfunctie, alsmede in de activiteiten die zijn uitgevoerd of die zijn uit te voeren. (Zie Par. A113, A114, A115, A116, A117, A118, A119 en A120)
De accountant dient inzicht te verwerven in de bronnen van de informatie die bij de monitoringactiviteiten van de entiteit wordt gebruikt en in de basis waarop het management de informatie voldoende betrouwbaar acht voor het doel. (Zie Par. A121)
Risico's op een afwijking van materieel belang identificeren en inschatten
De accountant dient de risico's op een afwijking van materieel belang op het niveau van:
de financiële overzichten; en (Zie Par. A122, A123, A124 en A125)
de beweringen met betrekking tot transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen, (Zie Par. A126, A127, A128, A129, A130 en A131)
te identificeren en in te schatten om een basis voor het opzetten en uitvoeren van verdere controlewerkzaamheden te verkrijgen.
Hiertoe dient de accountant:
risico's te identificeren gedurende het gehele proces van het verwerven van inzicht in de entiteit en haar omgeving, met inbegrip van relevante interne beheersingsmaatregelen die betrekking hebben op deze risico's, rekening houdend met de transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen inclusief de kwantitatieve of kwalitatieve aspecten van dergelijke toelichtingen); (Zie Par. A132, A133, A134 en A135)
de geïdentificeerde risico's in te schatten en te evalueren of ze een diepgaande invloed op de financiële overzichten als geheel hebben en of ze mogelijk van invloed zijn op een groot aantal beweringen;
de geïdentificeerde risico's te relateren aan wat op het niveau van beweringen verkeerd kan gaan, rekening houdend met de relevante interne beheersingsmaatregelen die de accountant voornemens is te toetsen; en (Zie Par. A137, A138 en A139)
de waarschijnlijkheid van een afwijking in aanmerking te nemen, met inbegrip van de mogelijkheid van meerdere afwijkingen, en te overwegen of de mogelijke afwijking tot een afwijking van materieel belang zou kunnen leiden. (Zie Par. A140)
Risico's waaraan tijdens de controle speciale aandacht moet worden besteed
Als onderdeel van de risico-inschatting zoals in paragraaf 25 beschreven, dient de accountant te bepalen of er geïdentificeerde risico's zijn die op grond van zijn oordeelsvorming significante risico's vormen. Bij het toepassen van deze oordeelsvorming dient de accountant de effecten van interne beheersingsmaatregelen die op het risico betrekking hebben, buiten beschouwing te laten.
Bij het toepassen van oordeelsvorming over de vraag welke risico's significante risico's zijn, dient de accountant ten minste rekening te houden met:
de vraag of het risico een frauderisico betreft;
de vraag of het risico verband houdt met recente significante ontwikkelingen op economisch, boekhoudkundig of ander gebied en daarom specifieke aandacht vereist;
de complexiteit van transacties;
de vraag of het risico verband houdt met significante transacties met verbonden partijen;
de mate van subjectiviteit bij het waarderen van financiële informatie met betrekking tot het risico, vooral als de waardering veel onzekerheid inhoudt; en
de vraag of het risico verband houdt met significante transacties die buiten het kader van de normale bedrijfsvoering van de entiteit vallen of die anderszins ongebruikelijk lijken. (Zie Par. A141, A142, A143, A144 en A145)
Indien de accountant heeft bepaald dat er een significant risico bestaat, dient hij inzicht te verwerven in de interne beheersingsmaatregelen van de entiteit inclusief interne beheersingsactiviteiten die op dat risico betrekking hebben. (Zie Par. A146, A147 en A148)
Risico's waarvoor gegevensgerichte controles alleen geen voldoende en geschikte controle-informatie verschaffen
Bij sommige risico's kan de accountant van oordeel zijn dat het niet mogelijk of praktisch uitvoerbaar is voldoende, en geschikte controle-informatie te verkrijgen door middel van gegevensgerichte controles alleen. Dergelijke risico's kunnen verband houden met de onnauwkeurige of onvolledige vastlegging van routinematige en significante transactiestromen of rekeningsaldi, waarvan de kenmerken vaak een hoge mate van geautomatiseerde gegevensverwerking met weinig of geen handmatige interventie mogelijk maken. In dergelijke gevallen zijn de interne beheersingsmaatregelen van de entiteit die op dergelijke risico's betrekking hebben relevant voor de controle en dient de accountant er inzicht in te verwerven. (Zie Par. A149, A150 en A151)
Bijstelling van de risico-inschatting
De door de accountant gemaakte inschatting van de risico's op een afwijking van materieel belang op het niveau van beweringen kan in de loop van de controle veranderen naarmate aanvullende controle-informatie wordt verkregen. Indien de accountant uit de uitvoering van verdere controlewerkzaamheden controle-informatie verkrijgt, of als nieuwe controle-informatie wordt verkregen, en deze informatie niet in overeenstemming is met de controle-informatie waarop hij zijn eerste inschatting heeft gebaseerd, dient hij zijn inschatting bij te stellen en de verdere geplande controlewerkzaamheden daarop af te stemmen. (Zie Par. A152)
Documentatie
De accountant dient de volgende punten in de controledocumentatie op te nemen:
de bespreking tussen de leden van het opdrachtteam indien vereist op grond van paragraaf 10, en de significante beslissingen die zijn genomen;
de belangrijke elementen van het verworven inzicht in elk van de in paragraaf 11 gespecificeerde aspecten van de entiteit en haar omgeving alsmede in elk van de in de paragrafen 14-24 gespecificeerde componenten van de interne beheersing; de informatiebronnen waaruit dat inzicht werd verkregen; en de uitgevoerde risico-inschattingswerkzaamheden;
de geïdentificeerde en ingeschatte risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en beweringen zoals op grond van paragraaf 25 vereist; en
de risico's, en daarmee verband houdende interne beheersingsmaatregelen waarin de accountant inzicht heeft verworven, die zijn geïdentificeerd als gevolg van de vereisten in de paragrafen 27-30. (Zie Par. A153, A154, A155 en A156)
Toepassingsgerichte en overige verklarende teksten
Risico-inschattingswerkzaamheden en daarmee verband houdende werkzaamheden
(Zie Par. 5)
Het verwerven van inzicht in de entiteit en haar omgeving, met inbegrip van de interne beheersing van de entiteit (hierna 'inzicht in de entiteit' genoemd) is een continu, dynamisch proces van het verzamelen, actualiseren en analyseren van informatie gedurende de gehele controle. Het inzicht vormt een referentiekader waarbinnen de accountant de controle plant en professionele oordeelsvorming toepast gedurende de gehele controle, bijvoorbeeld bij:
het inschatten van de risico's op een afwijking van materieel belang in de financiële overzichten;
het bepalen van de materialiteit in overeenstemming met Standaard 320;
het overwegen of de keuze en toepassing van de grondslagen voor financiële verslaggeving passend zijn en of de in de financiële overzichten opgenomen toelichtingen adequaat zijn;
het bepalen van de gebieden met betrekking tot bedragen of toelichtingen in de financiële overzichten waaraan tijdens de controle mogelijk speciale aandacht moet worden besteed, zoals: transacties met verbonden partijen, of de inschatting van het management van de mogelijkheid van de entiteit om haar continuïteit te handhaven of bij het onderzoeken van het zakelijke doel van transacties;
het ontwikkelen van verwachtingen die bij de uitvoering van cijferanalyses zullen worden gebruikt;
het inspelen op de ingeschatte risico's op een afwijking van materieel belang, waaronder het opzetten en uitvoeren van verdere controlewerkzaamheden teneinde voldoende en geschikte controle-informatie te verkrijgen; en
het evalueren of voldoende controle-informatie is verkregen en of deze geschikt is, zoals de geschiktheid van veronderstellingen en van mondelinge en schriftelijke bevestigingen van het management.
De informatie die is verkregen uit het uitvoeren van risico-inschattingswerkzaamheden en daarmee verband houdende werkzaamheden kan door de accountant worden gebruikt als controle-informatie ter onderbouwing van de inschatting van de risico's op een afwijking van materieel belang. Bovendien kan de accountant controle-informatie verkrijgen over transactiestromen, rekeningsaldi of in de financiële overzichten opgenomen toelichtingen en daarmee verband houdende beweringen alsmede over de effectieve werking van interne beheersingsmaatregelen, zelfs indien deze werkzaamheden niet specifiek als gegevensgerichte controles of als toetsingen van interne beheersingsmaatregelen waren gepland. De accountant kan er om redenen van efficiëntie ook voor opteren om gegevensgerichte controles of toetsingen van interne beheersingsmaatregelen gelijktijdig met risico-inschattingswerkzaamheden uit te voeren.
De accountant past professionele oordeelsvorming toe om de omvang van het vereiste inzicht te bepalen. Het belangrijkste aandachtspunt van de accountant is of het verworven inzicht volstaat om aan de in deze Standaard vermelde doelstelling te voldoen. Het algehele inzicht dat de accountant nodig heeft is minder diepgaand dan het inzicht dat het management bezit bij het leiden van de entiteit.
De in te schatten risico's omvatten zowel die welke het gevolg zijn van fouten, als die welke het gevolg zijn van fraude. Beide worden in deze Standaard behandeld. De significantie van fraude is echter zodanig dat in Standaard 240 verdere vereisten en leidraden zijn opgenomen met betrekking tot inschattingswerkzaamheden en daarmee verband houdende werkzaamheden voor het verkrijgen van informatie die wordt gebruikt om de risico's op een afwijking van materieel belang die het gevolg is van fraude te identificeren.
Hoewel van de accountant vereist wordt alle in paragraaf 6 beschreven risico-inschattingswerkzaamheden uit te voeren tijdens het verwerven van het vereiste inzicht in de entiteit (Zie Par.
het beoordelen van informatie verkregen uit externe bronnen, zoals handels- en economische tijdschriften; rapporten van analisten, banken of kredietbeoordelaars; of publicaties van regelgevende of toezichthoudende instanties of financiële publicaties;
het verzoeken om inlichtingen bij de externe juridisch adviseur van de entiteit of bij deskundigen op het gebied van waardering op wie de entiteit een beroep heeft gedaan.
Verzoeken om inlichtingen bij het management en bij anderen binnen de entiteit
(Zie Par. 6(a))
Een groot deel van de informatie die de accountant uit zijn verzoeken om inlichtingen heeft verkregen, is afkomstig van het management en van degenen die verantwoordelijk zijn voor de financiële verslaggeving. De accountant kan ook informatie verkrijgen door middel van verzoeken om inlichtingen bij de interne auditfunctie, indien de entiteit over een dergelijke functie beschikt, en ook bij anderen binnen de entiteit.
De accountant kan tevens informatie verkrijgen, of een ander perspectief bij het identificeren van risico’s op een afwijking van materieel belang, door middel het verzoeken om inlichtingen bij anderen binnen de entiteit en ook bij andere werknemers met verschillende bevoegdheidsniveaus. Bijvoorbeeld:
verzoeken om inlichtingen bij de met governance belaste personen kunnen de accountant helpen om de omgeving waarin de financiële overzichten zijn opgesteld te begrijpen. Standaard 260 onderkent het belang van effectieve wederzijdse communicatie als hulpmiddel voor de accountant bij het verkrijgen van informatie in dit verband van de met governance belaste personen;
het verzoeken om inlichtingen bij interne auditmedewerkers kan informatie verschaffen over de interne auditwerkzaamheden die gedurende het boekjaar zijn uitgevoerd met betrekking tot de opzet en effectieve werking van de interne beheersing van de entiteit en over de vraag of het management bevredigend op de bevindingen uit deze werkzaamheden heeft gereageerd;
het verzoeken om inlichtingen bij werknemers die betrokken zijn bij het tot stand brengen, verwerken of vastleggen van complexe of ongebruikelijke transacties kan de accountant helpen bij het evalueren in welke mate de keuze en toepassing van bepaalde grondslagen voor financiële verslaggeving passend zijn;
het verzoeken om inlichtingen bij de interne juridisch adviseur kan informatie verschaffen over aangelegenheden als rechtszaken, de naleving van wet- en regelgeving, kennis van fraude of vermoede fraude die van invloed is op de entiteit, garanties, verplichtingen na verkoop, overeenkomsten (zoals joint ventures) met zakenpartners en de betekenis van contractuele bepalingen;
het verzoeken om inlichtingen bij marketing- of verkoopmedewerkers kan informatie verschaffen over wijzigingen in de marketingstrategieën van de entiteit, verkooptrends of contractuele overeenkomsten met cliënten.
Aangezien het verwerven van inzicht in de entiteit en haar omgeving een voortdurend, dynamisch proces is, kunnen de verzoeken om inlichtingen van de accountant gedurende de hele controleopdracht plaatsvinden.
Verzoeken om inlichtingen bij de interne auditfunctie
Indien een entiteit over een interne auditfunctie beschikt, kunnen verzoeken om inlichtingen bij de juiste personen binnen de functie informatie verschaffen die voor de accountant nuttig is bij het verwerven van inzicht in de entiteit en haar omgeving, alsmede bij het identificeren en inschatten van risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten en op het niveau van beweringen. Bij het uitvoeren van haar werkzaamheden zal de interne auditfunctie waarschijnlijk inzicht hebben verworven in de activiteiten en bedrijfsrisico’s op de entiteit en kan het bevindingen hebben gebaseerd op haar werkzaamheden, zoals onderkende tekortkomingen in de interne beheersing of risico’s, die waardevolle input kunnen verschaffen voor het inzicht van de accountant in de entiteit, de risico-inschattingen van de accountant of andere aspecten van de controle. De verzoeken om inlichtingen van de accountant worden derhalve gedaan ongeacht de vraag of de accountant verwacht van de werkzaamheden van de interne auditfunctie gebruik te zullen maken teneinde de aard of timing van uit te voeren controlewerkzaamheden aan te passen, of de omvang hiervan te verminderen. Verzoeken om inlichtingen die in het bijzonder relevant zijn kunnen zowel aangelegenheden betreffen die de interne auditfunctie heeft besproken met de met governance belaste personen als de uitkomsten van het proces van risico-inschatting van de interne auditfunctie zelf.
Indien op basis van de reacties op de verzoeken om inlichtingen van de accountant blijkt dat er bevindingen zijn die relevant kunnen zijn voor de financiële verslaggeving van de entiteit en voor de controle, kan de accountant het als passend beschouwen om over te gaan tot het lezen van daaraan gerelateerde rapportages van de interne auditfunctie. Voorbeelden van rapportages van de interne auditfunctie die relevant kunnen zijn omvatten de strategie- en planningsdocumenten van de functie, alsmede rapportages die de bevindingen van onderzoeken van de interne auditfunctie beschrijven en die zijn opgesteld voor het management of voor de met governance belaste personen.
Bovendien, overeenkomstig Standaard 240 , indien de interne auditfunctie informatie aan de accountant verschaft met betrekking tot feitelijke, vermoede of vermeende fraude, houdt de accountant hier rekening mee bij het door de accountant identificeren van risico’s op een afwijking van materieel belang die het gevolg is van fraude of van fouten.
Juiste personen binnen de interne auditfunctie bij wie verzoeken om inlichtingen worden gedaan, zijn degenen die, naar het oordeel van de accountant, over passende kennis, ervaring en autoriteit beschikken zoals de chief internal audit executive, of, afhankelijk van de omstandigheden, overige medewerkers binnen de interne auditfunctie. De accountant kan het tevens passend achten om met deze personen periodiek overleg te plegen.
Overwegingen specifiek voor entiteiten in de publieke sector
(Zie Par. 6(a))
Accountants van entiteiten in de publieke sector hebben vaak aanvullende verantwoordelijkheden met betrekking tot interne beheersing en het naleven van de van toepassing zijnde wet- en regelgeving. Verzoeken om inlichtingen bij juiste personen van de interne auditfunctie kunnen de accountant ondersteunen bij het identificeren van het risico van het materiële niet-naleven van van toepassing zijnde wet- en regelgeving, alsmede van het risico van tekortkomingen in de interne beheersing inzake de financiële verslaggeving.
Cijferanalyses
(Zie Par. 6(b))
Als risico-inschattingswerkzaamheden uitgevoerde cijferanalyses kunnen aspecten van de entiteit aan het licht brengen waarvan de accountant niet op de hoogte was en kunnen helpen bij het inschatten van de risico's op een afwijking van materieel belang teneinde een basis te verkrijgen voor het opzetten en implementeren van manieren om op de ingeschatte risico's in te spelen. Als risico-inschattingswerkzaamheden uitgevoerde cijferanalyses kunnen zowel financiële als niet-financiële informatie omvatten, bijvoorbeeld het verband tussen omzet en de oppervlakte van de verkoopruimte of het volume van de verkochte goederen.
Cijferanalyses kunnen helpen bij het identificeren van het bestaan van ongebruikelijke transacties of gebeurtenissen, alsmede bedragen, ratio's en trends die kunnen duiden op aangelegenheden die gevolgen hebben voor de controle. Geïdentificeerde ongebruikelijke of onverwachte verbanden kunnen de accountant helpen bij het identificeren van risico's op een afwijking van materieel belang, met name risico's op een afwijking van materieel belang die het gevolg is van fraude.
Als deze cijferanalyses echter gebruikmaken van op een hoog niveau samengevoegde gegevens (wat het geval kan zijn bij cijferanalyses die worden uitgevoerd in het kader van risico-inschattingswerkzaamheden), geven de resultaten van deze cijferanalyses slechts een eerste globale indicatie of er al dan niet sprake is van een afwijking van materieel belang. Bijgevolg kan in die gevallen de beschouwing van andere informatie die bij het identificeren van de risico's op een afwijking van materieel belang is verzameld samen met de resultaten van deze cijferanalyses de accountant helpen bij het verwerven van inzicht in en het evalueren van de resultaten van de cijferanalyses.
Overwegingen die specifiek voor kleinere entiteiten gelden
Sommige kleinere entiteiten hebben geen tussentijdse of maandelijkse financiële informatie die voor cijferanalyses kan worden gebruikt. In dat geval is het mogelijk dat, hoewel de accountant in staat kan zijn om beperkte cijferanalyses voor de planning van de controle uit te voeren dan wel om bepaalde informatie te verkrijgen via het inwinnen van inlichtingen, de accountant de uitvoering van cijferanalyses moet plannen om de risico's op een afwijking van materieel belang te identificeren en in te schatten indien een voorlopig concept van de financiële overzichten van de entiteit beschikbaar is.
Waarneming en inspectie
(Zie Par. 6(c))
Waarnemingen en inspecties kunnen het verzoeken om inlichtingen bij het management en bij anderen ondersteunen, en kunnen tevens informatie verschaffen over de entiteit en haar omgeving. Voorbeelden van dergelijke controlewerkzaamheden zijn de waarneming of inspectie van:
de activiteiten van de entiteit;
documentatie (zoals ondernemingsplannen en bedrijfsstrategieën), administratieve vastleggingen en handboeken over de interne beheersing;
verslagen opgesteld door het management (zoals kwartaalverslagen van het management en tussentijdse financiële overzichten) en de met governance belaste personen (zoals notulen van vergaderingen van de raad van bestuur);
de panden en fabrieksinstallaties van de entiteit.
In eerdere verslagperiodes verkregen informatie
(Zie Par. 9)
De ervaring van de accountant met de entiteit en de controlewerkzaamheden die bij eerdere controles zijn uitgevoerd, kunnen de accountant informatie verschaffen over zaken als:
afwijkingen in het verleden en of deze al dan niet tijdig zijn gecorrigeerd;
de aard van de entiteit en haar omgeving, en haar interne beheersing (met inbegrip van tekortkomingen in de interne beheersing);
significante wijzigingen in de entiteit of haar activiteiten sinds de vorige verslagperiode die de accountant kunnen helpen bij het verwerven van voldoende inzicht in de entiteit om risico's op een afwijking van materieel belang te identificeren en in te schatten.
die bijzondere soorten transacties en andere gebeurtenissen of rekeningsaldi (en daarmee samenhangende toelichtingen) waar de accountant moeilijkheden ondervond bij het uitvoeren van de noodzakelijke controlewerkzaamheden, bijvoorbeeld als gevolg van hun complexiteit.
Van de accountant wordt vereist dat deze bepaalt of de in eerdere verslagperiodes verkregen informatie nog steeds relevant is indien hij voornemens is die informatie in het kader van de lopende controle te gebruiken. De reden hiervoor is dat wijzigingen in de interne beheersingsomgeving bijvoorbeeld van invloed kunnen zijn op de relevantie van de informatie die in het voorgaande jaar is verkregen. Om na te gaan of er zich wijzigingen hebben voorgedaan die mogelijk van invloed zijn op de relevantie van deze informatie, kan de accountant om inlichtingen verzoeken en andere passende controlewerkzaamheden uitvoeren, zoals lijncontroles van relevante systemen.
Bespreking tussen de leden van het opdrachtteam
(Zie Par. 10)
De bespreking tussen de leden van het opdrachtteam van de mate waarin de financiële overzichten van de entiteit vatbaar zijn voor een afwijking van materieel belang:
biedt meer ervaren leden van het opdrachtteam, waaronder de opdrachtpartner, de gelegenheid om de op hun kennis van de entiteit gebaseerde inzichten met de anderen te delen;
biedt de leden van het opdrachtteam de mogelijkheid om informatie uit te wisselen over de bedrijfsrisico's waaraan de entiteit is blootgesteld en over hoe en waar de financiële overzichten mogelijk vatbaar zijn voor een afwijking van materieel belang die het gevolg is van fraude of fouten;
helpt de leden van het opdrachtteam om een beter inzicht te verwerven in de mogelijkheid dat een afwijking van materieel belang in de financiële overzichten kan voorkomen in de specifieke gebieden die aan hen zijn toegewezen, en om inzicht te verwerven in hoe de resultaten van de door hen uitgevoerde controlewerkzaamheden van invloed kunnen zijn op andere aspecten van de controle, met inbegrip van beslissingen over de aard, timing en omvang van verdere controlewerkzaamheden;
verschaft een platform waarop de leden van het opdrachtteam communiceren en nieuwe informatie uitwisselen die gedurende de controle is verkregen en die van invloed kan zijn op de inschatting van de risico's op een afwijking van materieel belang of op de controlewerkzaamheden die worden uitgevoerd om op deze risico's in te spelen;
Standaard 240 bevat verdere vereisten en leidraden met betrekking tot de bespreking van de frauderisico's tussen de leden van het opdrachtteam.
Als onderdeel van de discussie binnen het opdrachtteam die vereist is op grond van paragraaf 10, helpt rekening houden met de toelichtingsvereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving in het begin van de controle bij het identificeren van mogelijke risico's van afwijkingen van materieel belang met betrekking tot toelichtingen. Voorbeelden van aangelegenheden die het opdrachtteam kan bespreken zijn:
veranderingen in vereisten inzake financiële verslaggeving die kunnen leiden tot significante nieuwe of herziene toelichtingen;
veranderingen in de omgeving van de entiteit, de financiële toestand of activiteiten die kunnen leiden tot significante nieuwe of herziene toelichtingen, bijvoorbeeld een significante bedrijfscombinatie in de gecontroleerde periode;
toelichtingen waarvoor het verkrijgen van voldoende en geschikte controle-informatie moeilijk kan zijn geweest in het verleden; en
toelichtingen over complexe aangelegenheden, waaronder die waarbij significante oordeelsvorming van het management betrokken is over welke informatie moet worden toegelicht.
Het is niet altijd noodzakelijk of praktisch uitvoerbaar dat alle leden op een bespreking aanwezig zijn (bijvoorbeeld bij een controle die meerdere locaties betreft), en het is evenmin noodzakelijk dat alle leden van het opdrachtteam op de hoogte worden gebracht van alle beslissingen die tijdens de bespreking zijn genomen. De opdrachtpartner kan bepaalde aangelegenheden bespreken met de kernleden van het opdrachtteam, met inbegrip van, indien nodig geacht, deskundigen en de personen die verantwoordelijk zijn voor de controle van groepsonderdelen, en kan besprekingen met anderen delegeren, rekening houdend met de omvang van de communicatie die door iedereen in het opdrachtteam noodzakelijk wordt geacht. Een door de opdrachtpartner goedgekeurd communicatieplan kan nuttig zijn.
Overwegingen die specifiek voor kleinere entiteiten gelden
Veel controles van kleine entiteiten worden volledig uitgevoerd door de opdrachtpartner (die een zelfstandig werkende accountant kan zijn). In dat geval is het de opdrachtpartner die in overweging moet nemen in welke mate de financiële overzichten van de entiteit vatbaar zijn voor een afwijking van materieel belang die het gevolg is van fraude of fouten, aangezien hij persoonlijk de planning van de controle heeft verricht.
Het vereiste inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing
De entiteit en haar omgeving
Sectorgebonden factoren, regelgevingsfactoren en andere externe factoren
(Zie Par. 11(a))
Sectorgebonden factoren
Relevante sectorgebonden factoren zijn onder meer de omstandigheden in de sector, zoals de concurrentieomgeving, de relaties met leveranciers en klanten, en technologische ontwikkelingen. Voorbeelden van zaken waarmee de accountant rekening kan houden, zijn:
de markt en concurrentie, met inbegrip van de vraag, capaciteit en prijsconcurrentie;
cyclische of seizoensgebonden activiteit;
de technologie met betrekking tot de producten van de entiteit;
de energievoorziening en -kosten.
De sector waarin de entiteit actief is, kan aanleiding geven tot specifieke risico's op een afwijking van materieel belang die voorkomt uit de aard van de activiteit of de mate van regulering. Zo kunnen langlopende contracten significante schattingen van opbrengsten en kosten bevatten die aanleiding geven tot risico's op een afwijking van materieel belang. In dergelijke gevallen is het belangrijk dat in het opdrachtteam medewerkers met voldoende relevante kennis en ervaring zijn opgenomen.
Regelgevingsfactoren
Het regelgevingskader behoort tot de relevante regelgevingsfactoren. Het regelgevingskader omvat onder meer het van toepassing zijnde stelsel inzake financiële verslaggeving en de juridische en politieke omgeving. Voorbeelden van aangelegenheden waarmee de accountant rekening kan houden, zijn:
de verslaggevingsprincipes en sectorspecifieke praktijken inzake administratieve verwerking;
het regelgevingskader voor een gereguleerde sector inclusief vereisten voor toelichtingen;
de wet- en regelgeving die in significante mate van invloed zijn op de activiteiten van de entiteit, met inbegrip van directe toezichthoudende activiteiten;
belastingen (vennootschaps- en andere belastingen);
het overheidsbeleid dat op dat moment van invloed is op de uitvoering van de activiteiten van de entiteit, zoals het monetaire beleid, met inbegrip van deviezencontroles, het begrotingsbeleid, financiële stimuleringsmaatregelen (bijvoorbeeld programma's voor overheidssteun) en het beleid inzake douanerechten of handelsbelemmeringen;
milieueisen die van invloed zijn op de activiteiten van de sector en de entiteit.
Standaard 250 bevat een aantal specifieke vereisten met betrekking tot het wet- en regelgevingskader dat van toepassing is op de entiteit en de branche of sector waarin zij actief is.
Overwegingen die specifiek voor entiteiten in de publieke sector gelden
Bij controles van entiteiten in de publieke sector is het mogelijk dat wet- en regelgeving of andere van kracht zijnde voorschriften van invloed zijn op de activiteiten van de entiteit. Het is essentieel dat deze elementen in aanmerking worden genomen bij het verwerven van inzicht in de entiteit en haar omgeving.
Andere externe factoren
Voorbeelden van andere externe factoren die op de entiteit van invloed zijn en waarmee de accountant rekening kan houden, zijn de algemene economische omstandigheden, de rentevoeten, de beschikbaarheid van financiering, de inflatie en de revaluatie van een munteenheid.
Aard van de entiteit
(Zie Par. 11(b))
Inzicht in de aard van een entiteit stelt de accountant in staat zaken te begrijpen zoals:
of de entiteit al dan niet een complexe structuur heeft, bijvoorbeeld met dochtermaatschappijen of andere groepsonderdelen op meerdere locaties. Complexe structuren brengen vaak kwesties met zich mee die aanleiding kunnen geven tot risico's op een afwijking van materieel belang. Deze kwesties kunnen betrekking hebben op de vraag of goodwill, joint ventures, investeringen of voor een bijzonder doel opgerichte entiteiten op de juiste wijze administratief zijn verwerkt en of adequate toelichting van dergelijke kwesties is gegeven in de financiële overzichten;
de eigendomsstructuur en verhoudingen tussen eigenaren en andere personen of entiteiten. Deze kennis helpt bij het bepalen of transacties met verbonden partijen op de juiste wijze zijn geïdentificeerd, administratief zijn verwerkt en adequaat in de financiële overzichten zijn toegelicht. Standaard 550 stelt vereisten vast en verschaft leidraden voor de elementen die de accountant in aanmerking moet nemen met betrekking tot verbonden partijen.
Voorbeelden van aangelegenheden waarmee de accountant bij het verwerven van inzicht in de aard van de entiteit rekening kan houden, zijn:
bedrijfsactiviteiten, zoals:
de aard van opbrengstenbronnen, producten, diensten en markten, alsmede de betrokkenheid bij elektronische handel zoals verkoop- en marketingactiviteiten via internet;
de uitoefening van activiteiten (bijvoorbeeld productiefasen en -methoden, of activiteiten die aan milieurisico's zijn blootgesteld);
samenwerkingsverbanden, joint ventures en uitbesteding van activiteiten;
de geografische spreiding en indeling van de sector in segmenten;
de locatie van productievestigingen, magazijnen en kantoren, alsmede de locatie en hoeveelheden van voorraden;
de belangrijkste klanten en belangrijke leveranciers van goederen en diensten, arbeidsovereenkomsten (waaronder het bestaan van cao's, pensioenrechten en andere vergoedingen na uitdiensttreding, aandelenoptie- of incentiveregelingen en overheidsvoorschriften met betrekking tot arbeidsaangelegenheden);
activiteiten en kosten in verband met onderzoek en ontwikkeling;
transacties met verbonden partijen.
investeringen en investeringsactiviteiten, zoals:
geplande en recent uitgevoerde verwervingen/overnames of desinvesteringen/afstotingen;
investeringen in en verkoop van effecten en leningen;
kapitaalinvesteringen;
investeringen in niet-geconsolideerde entiteiten, met inbegrip van maatschappen, joint ventures en voor een bijzonder doel opgerichte entiteiten.
financiering en financieringsactiviteiten, zoals:
belangrijke dochtermaatschappijen en verbonden entiteiten, met inbegrip van geconsolideerde en niet-geconsolideerde structuren;
structuur van de schulden en kredietvoorwaarden, met inbegrip van niet in de balans opgenomen financierings- en leaseovereenkomsten;
uiteindelijk gerechtigden (lokaal, buitenlands, zakelijke reputatie en ervaring) en verbonden partijen;
gebruik van afgeleide financiële instrumenten;
praktijken inzake financiële verslaggeving, zoals:
verslaggevingsprincipes en sectorspecifieke praktijken, met inbegrip van sectorspecifieke significante transactiestromen, rekeningsaldi en daarop betrekking hebbende toelichtingen in de financiële overzichten (bijvoorbeeld leningen en investeringen bij banken, of onderzoek en ontwikkeling bij farmaceutische bedrijven);
opbrengstverantwoording;
administratieve verwerking tegen reële waarde;
in vreemde valuta luidende activa, verplichtingen en transacties;
administratieve verwerking van ongebruikelijke of complexe transacties, met inbegrip van transacties in controversiële of nieuwe gebieden (bijvoorbeeld administratieve verwerking van op aandelen gebaseerde personeelsbeloningen).
Significante wijzigingen binnen de entiteit ten opzichte van voorgaande verslagperiodes kunnen risico's op een afwijking van materieel belang doen ontstaan of veranderen.
Aard van voor een bijzonder doel opgerichte entiteiten
Een voor een bijzonder doel opgerichte entiteit (ook wel special-purpose entity of special-purpose vehicle genoemd) is een entiteit die doorgaans voor een zeer beperkt en welomschreven doel wordt opgericht, zoals een leasing of securitisatie van financiële activa, dan wel om onderzoeks- en ontwikkelingsactiviteiten uit te voeren. Zij kan de vorm aannemen van een vennootschap, een trust, een maatschap of een entiteit zonder rechtspersoonlijkheid. Vaak is het zo dat de entiteit namens welke de voor een bijzonder doel opgerichte entiteit tot stand is gebracht activa transfereert naar deze laatste (bijvoorbeeld als onderdeel van een transactie waarbij financiële activa van de balans worden gehaald), het recht verkrijgt om de activa van de voor een bijzonder doel opgerichte entiteit te gebruiken, of diensten uitvoert voor de voor een bijzonder doel opgerichte entiteit, terwijl andere partijen mogelijk financiering verschaffen aan de voor een bijzonder doel opgerichte entiteit. Zoals Standaard 550 aangeeft, kan een voor een bijzonder doel opgerichte entiteit in bepaalde omstandigheden een verbonden partij van de entiteit zijn.
Stelsels inzake financiële verslaggeving specificeren vaak gedetailleerde voorwaarden die geacht worden vergelijkbaar te zijn met die van zeggenschap, of omstandigheden waaronder moet worden overwogen om de voor een bijzonder doel opgerichte entiteit in de consolidatiekring op te nemen. De interpretatie van de door dergelijke stelsels gestelde vereisten vergt vaak een gedetailleerde kennis van de relevante overeenkomsten waarbij de voor een bijzonder doel opgerichte entiteit is betrokken.
De keuze en toepassing door de entiteit van grondslagen voor financiële verslaggeving
(Zie Par. 11(c))
Inzicht in de keuze en toepassing door de entiteit van grondslagen voor financiële verslaggeving kan aangelegenheden omvatten als:
de methodes die de entiteit hanteert om significante en ongebruikelijke transacties administratief te verwerken;
het effect van significante grondslagen voor financiële verslaggeving op controversiële of nieuwe gebieden waarvoor gezaghebbende leidraden ontbreken of waarover geen consensus bestaat;
wijzigingen in de door de entiteit gehanteerde grondslagen voor financiële verslaggeving;
standaarden inzake financiële verslaggeving en wet- en regelgeving die nieuw zijn voor de entiteit alsmede het moment en de wijze waarop de entiteit deze vereisten voor het eerst zal toepassen.
Doelstellingen en strategieën en daarmee verband houdende bedrijfsrisico's
(Zie Par.11(d))
De entiteit oefent haar activiteiten uit in de context van sectorgebonden factoren, regelgevingsfactoren en andere interne en externe factoren. Om op deze factoren in te spelen, stellen de leden van het management of de met governance belaste personen doelstellingen vast die de algehele plannen voor de entiteit vormen. Strategieën vormen de benaderingswijzen waarop het management haar doelstellingen tracht te bereiken. De doelstellingen en strategieën van een entiteit kunnen in de loop van de tijd veranderen.
De term 'bedrijfsrisico' heeft een ruimere betekenis dan het risico op een afwijking van materieel belang in de financiële overzichten, hoewel dit laatste risico wel tot de bedrijfsrisico's behoort. Een bedrijfsrisico kan het gevolg zijn van veranderingen of complexiteit. Het niet inzien van de noodzaak tot verandering kan ook aanleiding geven tot een bedrijfsrisico. Een bedrijfsrisico kan bijvoorbeeld voortkomen uit:
de ontwikkeling van nieuwe producten of diensten die mogelijk geen succes zijn;
een markt die, zelfs als deze met goed gevolg is ontwikkeld, een product of dienst niet op adequate wijze ondersteunt; of
gebreken in een product of dienst die tot aansprakelijkheid en reputatieschade kunnen leiden.
Inzicht in de bedrijfsrisico's waarmee de entiteit wordt geconfronteerd vergroot de kans op het identificeren van risico's op een afwijking van materieel belang, omdat de meeste bedrijfsrisico's uiteindelijk financiële gevolgen hebben en bijgevolg van invloed zijn op de financiële overzichten. De accountant is echter niet verantwoordelijk voor het identificeren of inschatten van alle bedrijfsrisico's, omdat niet alle bedrijfsrisico's risico's op een afwijking van materieel belang doen ontstaan.
Voorbeelden van aangelegenheden die de accountant in aanmerking kan nemen bij het verwerven van inzicht in de doelstellingen, strategieën en daarmee verband houdende bedrijfsrisico's van de entiteit die kunnen leiden tot een risico op een afwijking van materieel belang in de financiële overzichten, zijn:
ontwikkelingen in de sector (een mogelijk daarmee verband houdend bedrijfsrisico zou kunnen zijn dat de entiteit niet het personeel of de knowhow heeft om met de veranderingen in de sector om te gaan);
nieuwe producten en diensten (een mogelijk daarmee verband houdend bedrijfsrisico zou een verhoogde productaansprakelijkheid kunnen zijn);
de uitbreiding van het bedrijf (een mogelijk daarmee verband houdend bedrijfsrisico zou kunnen zijn dat de vraag niet nauwkeurig is ingeschat);
nieuwe voorschriften inzake administratieve verwerking (een mogelijk daarmee verband houdend bedrijfsrisico zou kunnen zijn een onvolledige of onjuiste implementatie of hogere kosten);
vereisten op grond van regelgeving (een mogelijk daarmee verband houdend bedrijfsrisico zou kunnen zijn een verhoogd juridisch risico);
huidige en toekomstige financieringsbehoeften (een mogelijk daarmee verband houdend bedrijfsrisico zou kunnen zijn het verlies van financiering doordat de entiteit niet staat is haar verplichtingen na te komen);
het gebruik van informatietechnologie (een mogelijk daarmee verband houdend bedrijfsrisico zou kunnen zijn dat systemen en processen onverenigbaar zijn);
de gevolgen van de implementatie van een strategie, in het bijzonder gevolgen die tot nieuwe voorschriften inzake administratieve verwerking zullen leiden (een mogelijk daarmee verband houdend bedrijfsrisico zou kunnen zijn de onvolledige of onjuiste implementatie daarvan).
Een bedrijfsrisico kan een direct gevolg hebben voor het risico op een afwijking van materieel belang voor transactiestromen, rekeningsaldi en toelichtingen op het niveau van beweringen of van financiële overzichten. Zo kan het bedrijfsrisico dat voorkomt uit een inkrimpend klantenbestand het risico op een afwijking van materieel belang in verband met de waardering van vorderingen verhogen. Hetzelfde risico kan echter, vooral als het samengaat met een krimpende economie, ook gevolgen op langere termijn hebben, waarmee de accountant rekening houdt bij de inschatting in welke mate de continuïteitsveronderstelling passend is. Bij het inschatten of een bedrijfsrisico kan leiden tot een risico op een afwijking van materieel belang wordt bijgevolg rekening gehouden met de omstandigheden van de entiteit.
Voorbeelden van omstandigheden en gebeurtenissen die kunnen wijzen op risico's op een afwijking van materieel belang zijn opgenomen in bijlage 2.
Gewoonlijk identificeert het management bedrijfsrisico's en ontwikkelt het benaderingen om op die risico's in te spelen. Een dergelijk risico-inschattingsproces maakt deel uit van de interne beheersing en wordt behandeld in paragraaf 15 en de paragrafen A88 en A89.
Overwegingen die specifiek voor entiteiten in de publieke sector gelden
Bij controles van entiteiten in de publieke sector kunnen de 'doelstellingen van het management' worden beïnvloed door punten van zorg over de publieke verantwoordingsplicht en kunnen ze doelstellingen bevatten die hun oorsprong vinden in wet- en regelgeving of andere van kracht zijnde voorschriften.
Meting en beoordeling van de financiële prestaties van de entiteit
(Zie Par. 11(e))
Het management en anderen meten en beoordelen elementen die zij belangrijk achten. Prestatiemetingen, zowel externe als interne, leggen druk op de entiteit. Deze druk kan het management ertoe aanzetten maatregelen te nemen om de bedrijfsprestaties te verbeteren of om in de financiële overzichten afwijkingen op te nemen. Daarom kan het verwerven van inzicht in de prestatiemetingen van de entiteit de accountant helpen bij het overwegen of de druk om prestatiedoelstellingen te realiseren tot gevolg kan hebben dat het management maatregelen neemt die de risico's op een afwijking van materieel belang vergroten, waaronder die welke het gevolg zijn van fraude. Zie Standaard 240 voor vereisten en leidraden met betrekking tot frauderisico's.
De meting en beoordeling van financiële prestaties is niet hetzelfde als het monitoren van interne beheersingsmaatregelen (besproken als een onderdeel van de interne beheersing in de paragrafen A110 – A121), hoewel ze mogelijk overlappende doelstellingen hebben:
de meting en beoordeling van prestaties is gericht op de vraag of de bedrijfsprestaties aan de door het management (of derden) vastgestelde doelstellingen voldoen;
het monitoren van interne beheersingsmaatregelen is specifiek gericht op de effectieve werking van de interne beheersing.
In sommige gevallen kunnen prestatie-indicatoren echter ook informatie verschaffen die het management in staat stelt tekortkomingen in de interne beheersing te identificeren.
Voorbeelden van intern gegenereerde informatie die door het management wordt gebruikt voor het meten en beoordelen van financiële prestaties en waarmee de accountant rekening kan houden, zijn:
belangrijke (financiële en niet-financiële) prestatie-indicatoren en kernratio's, trends en bedrijfsstatistieken;
vergelijkingen van financiële prestaties tussen verslagperiodes;
budgetten, prognoses, verschillenanalyses, gesegmenteerde informatie en prestatieverslagen op divisie-, afdelings- of ander niveau;
maatstaven voor de personeelsprestaties en beleid inzake op incentives gebaseerde beloningen;
vergelijking van de prestaties van de entiteit met die van de concurrentie.
Externe partijen kunnen ook overgaan tot de meting en beoordeling van de financiële prestaties van de entiteit. Zo kan externe informatie, zoals rapporten van analisten en kredietbeoordelaars, nuttige informatie zijn voor de accountant. Dergelijke rapporten zijn vaak bij de gecontroleerde entiteit zelf te verkrijgen.
Interne metingen kunnen de aandacht vestigen op onverwachte resultaten of trends die vereisen dat het management de oorzaak ervan bepaalt en corrigerende maatregelen neemt (met inbegrip van, in sommige gevallen, het tijdig detecteren en corrigeren van afwijkingen). Prestatiemetingen kunnen voor de accountant ook een aanwijzing zijn van het feit dat risico's op een afwijking van daarmee verband houdende informatie in de financiële overzichten daadwerkelijk bestaan. Zo kunnen prestatiemetingen aangeven dat de entiteit een ongewoon snelle groei doormaakt of ongewoon winstgevend is in vergelijking met andere entiteiten in dezelfde sector. Deze informatie kan, vooral in combinatie met andere factoren zoals beloningen in de vorm van op prestaties gebaseerde bonussen of incentives, een aanwijzing zijn voor het mogelijke risico op tendentie vanwege het management bij het opstellen van de financiële overzichten.
Overwegingen die specifiek voor kleinere entiteiten gelden
Kleinere entiteiten hebben vaak geen processen voor het meten en beoordelen van financiële prestaties. Het verzoeken om inlichtingen bij het management kan aan het licht brengen dat het management zich baseert op bepaalde belangrijke indicatoren voor het beoordelen van financiële prestaties en het nemen van passende maatregelen. Indien dergelijke verzoeken aan het licht brengen dat er geen prestatiemetingen of -beoordelingen bestaan, kan er een verhoogd risico bestaan dat afwijkingen niet worden gedetecteerd en gecorrigeerd.
Interne beheersing van de entiteit
(Zie Par. 12)
Inzicht in de interne beheersing is voor de accountant een hulpmiddel bij het identificeren van soorten mogelijke afwijkingen en factoren die van invloed zijn op de risico's op een afwijking van materieel belang, alsmede bij het bepalen van de aard, timing en omvang van verdere controlewerkzaamheden.
De volgende toepassingsgerichte teksten met betrekking tot interne beheersing worden in de volgende vier secties weergegeven:
algemene aard en kenmerken van de interne beheersing;
interne beheersingsmaatregelen die relevant zijn voor de controle;
aard en omvang van het inzicht in relevante interne beheersingsmaatregelen;
componenten van de interne beheersing.
Algemene aard en kenmerken van de interne beheersing
Doel van de interne beheersing
Interne beheersing wordt opgezet, geïmplementeerd en onderhouden om in te spelen op geïdentificeerde bedrijfsrisico's die een bedreiging vormen voor het bereiken van een of meer doelstellingen van de entiteit die betrekking hebben op:
de betrouwbaarheid van de financiële verslaggeving van de entiteit;
de effectiviteit en efficiëntie van haar activiteiten; en
de naleving van de van toepassing zijnde wet- en regelgeving door de entiteit.
De wijze waarop de interne beheersing wordt opgezet, geïmplementeerd en onderhouden, is afhankelijk van de omvang en complexiteit van de entiteit.
Overwegingen die specifiek voor kleinere entiteiten gelden
Kleinere entiteiten kunnen minder gestructureerde middelen en eenvoudiger processen en werkwijzen hanteren om hun doelstellingen te bereiken.
Beperkingen van de interne beheersing
Hoe effectief de interne beheersing ook is, zij kan een entiteit slechts een redelijke mate van zekerheid verschaffen dat haar doelstellingen met betrekking tot de financiële verslaggeving worden bereikt. De kans dat die doelstellingen worden bereikt, wordt beïnvloed door de inherente beperkingen van de interne beheersing. Deze omvatten het feit dat mensen bij hun besluitvorming foutieve beoordelingen kunnen maken en dat verstoringen van de interne beheersing als gevolg van menselijke fouten kunnen voorkomen. Er kan bijvoorbeeld een fout optreden in de opzet of wijziging van een interne beheersingsmaatregel. Eveneens is het mogelijk dat een interne beheersingsmaatregel niet effectief werkt, bijvoorbeeld als informatie die wordt verzameld ten behoeve van de interne beheersing (bijvoorbeeld een uitzonderingsrapport) niet effectief wordt gebruikt omdat de persoon die verantwoordelijk is voor het beoordelen van deze informatie het doel ervan niet begrijpt of nalaat passende maatregelen te nemen.
Bovendien kunnen interne beheersingsmaatregelen worden omzeild doordat twee of meer personen samenspannen of doordat het management op ongepaste wijze interne beheersingsmaatregelen doorbreekt. Zo kan het management met klanten nevenovereenkomsten sluiten die de in de standaardverkoopcontracten van de entiteit opgenomen bepalingen en voorwaarden wijzigen, wat tot een onjuiste opbrengstverantwoording kan leiden. Ook kunnen de in een computerprogramma geïntegreerde wijzigingscontroles die gericht zijn op het identificeren en rapporteren van transacties die gespecificeerde kredietlimieten overschrijden, worden doorbroken, of kunnen deze worden uitgeschakeld.
Verder kan het management bij het opzetten en implementeren van interne beheersingsmaatregelen oordeelsvormingen maken met betrekking tot de aard en omvang van de interne beheersingsmaatregelen die het wil implementeren alsmede de aard en omvang van de risico's die het wenst te aanvaarden.
Overwegingen die specifiek voor kleinere entiteiten gelden
Kleinere entiteiten hebben vaak minder werknemers, waardoor de mate waarin functiescheiding praktisch uitvoerbaar is beperkt kan zijn. Het is echter mogelijk dat in een kleine door de eigenaar bestuurde entiteit de eigenaar-bestuurder op effectievere wijze toezicht kan uitoefenen dan bij een grotere entiteit mogelijk is. Dit toezicht kan de doorgaans beperktere mogelijkheden voor functiescheiding compenseren.
Anderzijds is de eigenaar-bestuurder mogelijk beter in staat om interne beheersingsmaatregelen te doorbreken omdat het systeem van interne beheersing minder gestructureerd is. De accountant houdt hier rekening mee bij het identificeren van risico's op een afwijking van materieel belang die het gevolg is van fraude.
Onderverdeling van de interne beheersing in componenten
De onderverdeling van de interne beheersing in de volgende vijf componenten, voor de toepassing van de Standaarden, verschaft een nuttig kader voor accountants bij het overwegen op welke wijze verschillende aspecten van de interne beheersing van een entiteit van invloed kunnen zijn op de controle:
de interne beheersingsomgeving;
het risico-inschattingsproces van de entiteit;
het voor de financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarmee verband houdende bedrijfsprocessen, en de communicatie;
de interne beheersingsactiviteiten; en
het monitoren van de interne beheersingsmaatregelen.
Deze onderverdeling geeft niet noodzakelijkerwijs weer hoe een entiteit de interne beheersing opzet, implementeert en onderhoudt of hoe zij een specifieke component classificeert. Accountants mogen daarom andere dan de in deze Standaard gebruikte terminologie of stelsels hanteren om de verschillende aspecten van de interne beheersing en de invloed daarvan op de controle te beschrijven, mits alle in deze Standaard beschreven componenten in aanmerking worden genomen.
De toepassingsgerichte teksten met betrekking tot de vijf componenten van de interne beheersing zoals die verband houden met de controle van financiële overzichten zijn hieronder in de paragrafen A77-A121 uiteengezet. Bijlage 1 geeft verdere uitleg over deze componenten van de interne beheersing.
Kenmerken van handmatige en geautomatiseerde elementen van de interne beheersing die relevant zijn voor de risico-inschatting door de accountant
Het systeem van interne beheersing van een entiteit bevat naast handmatige elementen vaak ook geautomatiseerde elementen. De kenmerken van handmatige of geautomatiseerde elementen zijn relevant voor de risico-inschatting door de accountant en voor de daarop gebaseerde verdere controlewerkzaamheden.
Het gebruik van handmatige of geautomatiseerde elementen in de interne beheersing is ook van invloed op de wijze waarop transacties tot stand worden gebracht, vastgelegd, verwerkt en gerapporteerd:
interne beheersingsmaatregelen in een handmatig systeem kunnen werkzaamheden omvatten zoals het goedkeuren en beoordelen van transacties, het maken van aansluitingen en het opvolgen van aansluitposten. Een entiteit kan ook geautomatiseerde werkwijzen hanteren voor het tot stand brengen, vastleggen, verwerken en rapporteren van transacties, in welk geval papieren documenten worden vervangen door vastleggingen in elektronische vorm.
interne beheersingsmaatregelen in IT-systemen bestaan uit een combinatie van geautomatiseerde interne beheersingsmaatregelen (bijvoorbeeld interne beheersingsmaatregelen die in computerprogramma's zijn geïntegreerd) en handmatige interne beheersingsmaatregelen. Daarnaast kunnen handmatige interne beheersingsmaatregelen onafhankelijk zijn van IT-systemen, informatie gebruiken die met behulp van IT-systemen is gegenereerd of beperkt zijn tot het monitoren van de effectieve werking van IT-systemen en geautomatiseerde interne beheersingsmaatregelen en tot het afhandelen van uitzonderingen. Indien voor het tot stand brengen, vastleggen, verwerken of rapporteren van transacties of voor andere in de financiële overzichten op te nemen financiële gegevens gebruik wordt gemaakt van informatietechnologie, is het mogelijk dat de systemen en programma's interne beheersingsmaatregelen bevatten die betrekking hebben op de overeenkomstige beweringen voor van materieel belang zijnde rekeningen of dat zij cruciaal zijn voor de effectieve werking van handmatige interne beheersingsmaatregelen die afhankelijk zijn van informatietechnologie. De combinatie van handmatige en geautomatiseerde elementen in de interne beheersing van een entiteit is afhankelijk van de aard en complexiteit van het gebruik van IT door de entiteit.
Over het algemeen komt informatietechnologie de interne beheersing van een entiteit ten goede omdat ze de entiteit in staat stelt:
vooraf bepaalde bedrijfsregels consistent toe te passen en complexe berekeningen uit te voeren bij het verwerken van grote hoeveelheden transacties of gegevens;
de tijdigheid, beschikbaarheid en nauwkeurigheid van informatie te verbeteren;
aanvullende analyses van informatie te vergemakkelijken;
de uitvoering van haar activiteiten, alsmede haar beleidslijnen en procedures beter te monitoren;
het risico te beperken dat interne beheersingsmaatregelen worden omzeild; en
de mogelijkheid te verbeteren om een effectieve functiescheiding te bereiken door beveiligingsmaatregelen te implementeren in toepassingen, databanken en besturingssystemen.
IT houdt ook specifieke risico's voor de interne beheersing van een entiteit in, zoals:
het vertrouwen op systemen of programma's die gegevens onnauwkeurig verwerken, onnauwkeurige gegevens verwerken, of beide;
ongeautoriseerde toegang tot gegevens die tot gevolg kan hebben dat gegevens worden vernietigd of dat onjuiste wijzigingen in gegevens worden aangebracht, met inbegrip van het vastleggen van ongeautoriseerde of onbestaande transacties of de onnauwkeurige vastlegging van transacties; Er kunnen specifieke risico's ontstaan indien meerdere gebruikers een gemeenschappelijke databank gebruiken;
de kans dat IT-medewerkers toegangsrechten verkrijgen die verder gaan dan die welke zij voor het uitvoeren van de aan hen toegewezen taken nodig hebben, waardoor functiescheidingen worden tenietgedaan;
ongeautoriseerde wijzigingen van gegevens in stambestanden;
ongeautoriseerde wijzigingen van systemen of programma's;
het niet aanbrengen van noodzakelijke wijzigingen in systemen of programma's;
ongeoorloofd handmatig ingrijpen;
potentieel verlies van gegevens of de onmogelijkheid om toegang te krijgen tot benodigde gegevens.
Soms zijn handmatige elementen in de interne beheersing geschikter wanneer oordeelsvorming en oordeelkundigheid vereist zijn, bijvoorbeeld in de volgende gevallen:
grote, ongebruikelijke of eenmalige transacties;
situaties waarin fouten moeilijk te omschrijven, te voorzien of te voorspellen zijn;
in veranderende omstandigheden die een interne beheersingsmaatregel vereisen die buiten het toepassingsgebied van een bestaande geautomatiseerde interne beheersingsmaatregel valt;
bij het monitoren van de effectiviteit van geautomatiseerde interne beheersingsmaatregelen.
Handmatige elementen in de interne beheersing zijn soms minder betrouwbaar dan geautomatiseerde elementen omdat ze eenvoudiger kunnen worden omzeild, genegeerd of doorbroken en zijn ook vatbaarder voor eenvoudige fouten en vergissingen. Daarom mag er niet van worden uitgegaan dat handmatige elementen van de interne beheersing consistent worden toegepast. Handmatige elementen van de interne beheersing zijn mogelijk minder geschikt in de volgende gevallen:
grote aantallen of terugkerende transacties, of in situaties waarin te voorziene of te voorspellen fouten kunnen worden voorkomen, of gedetecteerd en gecorrigeerd, door geautomatiseerde elementen van de interne beheersing;
interne beheersingsactiviteiten waarbij de specifieke wijzen voor de uitvoering van de interne beheersingsmaatregel adequaat kunnen worden opgezet en geautomatiseerd.
De omvang en aard van de risico's voor de interne beheersing zijn afhankelijk van de aard en kenmerken van het informatiesysteem van de entiteit. De entiteit speelt in op de risico's die uit het gebruik van IT of van handmatige elementen in de interne beheersing voortkomen door effectieve interne beheersingsmaatregelen vast te stellen rekening houdend met de kenmerken van het informatiesysteem van de entiteit.
Interne beheersingsmaatregelen die voor de controle relevant zijn
Er is een rechtstreeks verband tussen de doelstellingen van een entiteit en de interne beheersingsmaatregelen die zij implementeert om een redelijke mate van zekerheid te verkrijgen dat deze doelstellingen worden bereikt. De doelstellingen, en dus de interne beheersingsmaatregelen, van de entiteit hebben betrekking op de financiële verslaggeving, de activiteiten en de naleving van wet- en regelgeving en andere voorschriften; het is echter niet zo dat al deze doelstellingen en interne beheersingsmaatregelen relevant zijn voor de risico-inschatting door de accountant.
Factoren die relevant zijn voor de oordeelsvorming van de accountant of een interne beheersingsmaatregel afzonderlijk of in combinatie met andere interne beheersingsmaatregelen relevant is voor de controle zijn onder meer:
de materialiteit;
de significantie van het desbetreffende risico;
de omvang van de entiteit;
de aard van de activiteiten van de entiteit, met inbegrip van haar organisatiestructuur en eigendomskenmerken;
de diversiteit en complexiteit van de activiteiten van de entiteit;
de van toepassing zijnde voorschriften van wet- en regelgeving;
de omstandigheden en de van toepassing zijnde component van de interne beheersing;
de aard en complexiteit van de systemen die deel uitmaken van de interne beheersing van de entiteit, met inbegrip van het gebruik van serviceorganisaties;
de vraag of en op welke wijze een specifieke interne beheersingsmaatregel, afzonderlijk of in combinatie met andere interne beheersingsmaatregelen, een afwijking van materieel belang voorkomt of detecteert en corrigeert.
Interne beheersingsmaatregelen met betrekking tot de volledigheid en nauwkeurigheid van de door de entiteit gegenereerde informatie kunnen relevant zijn voor de controle als de accountant voornemens is deze informatie te gebruiken bij het opzetten en uitvoeren van verdere controlewerkzaamheden. Het is mogelijk dat interne beheersingsmaatregelen die betrekking hebben op doelstellingen op het gebied van de activiteiten en de naleving van wet- en regelgeving ook relevant zijn voor een controle indien zij betrekking hebben op gegevens die de accountant bij de uitvoering van controlewerkzaamheden beoordeelt of gebruikt.
De interne beheersing met betrekking tot de bescherming van activa tegen het ongeoorloofd verwerven, gebruiken of vervreemden ervan kan interne beheersingsmaatregelen omvatten die betrekking hebben op doelstellingen op het gebied van zowel de financiële verslaggeving als de activiteiten. Bij het overwegen van dergelijke interne beheersingsmaatregelen beperkt de accountant zich gewoonlijk tot die welke relevant zijn voor de betrouwbaarheid van de financiële verslaggeving.
Een entiteit heeft gewoonlijk interne beheersingsmaatregelen die betrekking hebben op doelstellingen die niet relevant zijn voor een controle en waarmee bijgevolg geen rekening moet worden gehouden. Een entiteit kan bijvoorbeeld een geavanceerd systeem van geautomatiseerde interne beheersingsmaatregelen opzetten om in efficiënte en effectieve activiteiten te voorzien (zoals het systeem van geautomatiseerde interne beheersingsmaatregelen bij een luchtvaartmaatschappij om de vluchtschema's bij te houden), maar deze interne beheersingsmaatregelen zouden gewoonlijk niet relevant zijn voor de controle. Hoewel interne beheersing betrekking heeft op de entiteit als geheel of op een of meer van haar operationele onderdelen of bedrijfsprocessen, is het verder mogelijk dat inzicht in de interne beheersing die betrekking heeft op elk van de operationele onderdelen en bedrijfsprocessen van de entiteit niet relevant is voor de controle.
Overwegingen die specifiek voor entiteiten in de publieke sector gelden
Accountants in de publieke sector hebben vaak aanvullende verplichtingen met betrekking tot interne beheersing, bijvoorbeeld het rapporteren over de naleving van een vastgestelde gedragscode. Accountants in de publieke sector kunnen ook verplicht zijn te rapporteren over de naleving van wet- en regelgeving of andere van kracht zijnde voorschriften. Bijgevolg kan hun beoordeling van de interne beheersing uitgebreider en gedetailleerder zijn.
Aard en omvang van het verwerven van inzicht in relevante interne beheersingsmaatregelen
(Zie Par. 13)
Bij de evaluatie van de opzet van een interne beheersingsmaatregel wordt overwogen of die maatregel afzonderlijk dan wel in combinatie met andere interne beheersingsmaatregelen afwijkingen van materieel belang op effectieve wijze kan voorkomen of detecteren en corrigeren. De implementatie van een interne beheersingsmaatregel houdt in dat deze bestaat en dat de entiteit deze ook toepast. Het heeft weinig zin de implementatie te beoordelen van een interne beheersingsmaatregel die niet effectief is , en daarom wordt eerst de opzet van een interne beheersingsmaatregel overwogen. Een niet-adequaat opgezette interne beheersingsmaatregel kan een significante tekortkoming in de interne beheersing vormen.
Risico-inschattingswerkzaamheden die gericht zijn op het verkrijgen van controle-informatie over de opzet en implementatie van relevante interne beheersingsmaatregelen kunnen de volgende werkzaamheden omvatten:
het verzoeken om inlichtingen bij werknemers van de entiteit;
het waarnemen van de toepassing van specifieke interne beheersingsmaatregelen;
het inspecteren van documenten en rapporten;
het traceren van transacties met behulp van het informatiesysteem dat relevant is voor de financiële verslaggeving. Het verzoeken om inlichtingen alleen volstaat niet voor deze doeleinden.
Het verwerven van inzicht in de interne beheersingsmaatregelen van een entiteit volstaat niet om hun effectieve werking te toetsen, tenzij er een bepaalde automatisering bestaat dat de consistente werking van de interne beheersingsmaatregelen garandeert. Zo levert het verkrijgen van controle-informatie over de implementatie van een handmatige interne beheersingsmaatregel op een bepaald tijdstip geen controle-informatie op over de effectieve werking van de interne beheersingsmaatregel op andere tijdstippen tijdens de gecontroleerde periode. Vanwege de inherente consistentie van geautomatiseerde gegevensverwerking (zie paragraaf A63) kan het uitvoeren van controlewerkzaamheden om na te gaan of een geautomatiseerde interne beheersingsmaatregel is geïmplementeerd echter wel dienen als een toetsing van de effectieve werking van die interne beheersingsmaatregel, afhankelijk van de inschatting van de accountant en het toetsen door de accountant van interne beheersingsmaatregelen zoals die welke betrekking hebben op programmawijzigingen. De toetsing van de effectieve werking van interne beheersingsmaatregelen wordt nader beschreven in Standaard 330.
Componenten van de interne beheersing - Interne beheersingsomgeving
(Zie Par. 14)
De interne beheersingsomgeving omvat de governance-en managementfuncties alsmede de houding, de bekendheid met en de acties van de met governance belaste personen en het management met betrekking tot de interne beheersing van de entiteit en het belang daarvan in de entiteit. De interne beheersingsomgeving zet de toon van een organisatie en beïnvloedt daarmee het bewustzijn van de interne beheersing onder haar medewerkers.
Elementen van de interne beheersingsomgeving die relevant kunnen zijn bij het verwerven van inzicht in de interne beheersingsomgeving omvatten:
de communicatie over en handhaving van integriteit en ethische waarden – dit zijn essentiële elementen die de effectiviteit van de opzet, het beheer en de monitoring van de interne beheersingsmaatregelen beïnvloeden;
streven naar competentie – aangelegenheden zoals de overweging door het management van de competentieniveaus voor specifieke taken en de wijze waarop die niveaus naar de benodigde vaardigheden en kennis worden vertaald;
betrokkenheid door de met governance belaste personen – eigenschappen van de met governance belaste personen, zoals:
hun onafhankelijkheid van het management;
hun ervaring en gezag;
de mate van hun betrokkenheid en de informatie die zij ontvangen, alsmede het nauwkeurig onderzoek van activiteiten;
de geschiktheid van hun acties, met inbegrip van de mate waarin moeilijke vragen worden gesteld en samen met het management worden opgevolgd, alsmede hun interactie met interne auditors en accountants;
de filosofie en werkstijl van het management – kenmerken van het management zoals:
zijn houding ten aanzien van het nemen en beheersen van bedrijfsrisico's;
zijn houding en handelingen ten aanzien van de financiële verslaggeving;
zijn houding ten aanzien van functies met betrekking tot informatieverwerking en administratieve verwerking, en het daarbij betrokken personeel;
organisatiestructuur – het kader waarbinnen de activiteiten van een entiteit die gericht zijn op het bereiken van haar doelstellingen worden gepland, uitgevoerd, beheerst en beoordeeld;
toewijzing van bevoegdheden en verantwoordelijkheden – zaken zoals de wijze waarop bevoegdheden en verantwoordelijkheden voor operationele activiteiten worden toegekend, alsmede de wijze waarop rapporteringsstructuren en hiërarchische autorisatieniveaus worden vastgesteld;
beleidslijnen en praktijken inzake personeelszaken – beleidslijnen en praktijken die bijvoorbeeld betrekking hebben op personeelswerving, oriëntatie, training, evaluatie, begeleiding, promotie, beloning en corrigerende maatregelen.
Controle-informatie over elementen van de interne beheersingsomgeving
Relevante controle-informatie kan worden verkregen door een combinatie van het verzoeken om inlichtingen en andere risico-inschattingswerkzaamheden, zoals het bevestigen van ingewonnen inlichtingen door waarnemingen of inspectie van documenten. Zo kan de accountant via het verzoeken om inlichtingen bij het management en werknemers inzicht verwerven in de wijze waarop het management zijn visie op bedrijfspraktijken en ethisch gedrag op zijn werknemers overbrengt. De accountant kan vervolgens nagaan of relevante interne beheersingsmaatregelen zijn geïmplementeerd door bijvoorbeeld te overwegen of het management een schriftelijke gedragscode heeft opgesteld en of het zich daaraan houdt.
De accountant kan tevens in overweging nemen hoe het management heeft gereageerd op de bevindingen en aanbevelingen van de interne auditfunctie die betrekking hebben op onderkende tekortkomingen in de interne beheersing die voor de controle relevant zijn, met inbegrip van de vraag of en op welke wijze deze reacties zijn geïmplementeerd, en of deze daarna door de interne auditfunctie zijn geëvalueerd.
Invloed van de interne beheersingsomgeving op de inschatting van de risico's op een afwijking van materieel belang
Sommige elementen van de interne beheersingsomgeving van een entiteit hebben een diepgaande invloed op het inschatten van de risico's op een afwijking van materieel belang. Zo wordt het bewustzijn van de interne beheersing in significante mate beïnvloed door de met governance belaste personen, omdat één van hun taken erin bestaat een tegenwicht te vormen tegen de van marktverwachtingen of beloningsregelingen uitgaande druk op het management met betrekking tot de financiële verslaggeving. De effectiviteit van de opzet van de interne beheersingsomgeving met betrekking tot de betrokkenheid van de met governance belaste personen wordt bijgevolg beïnvloed door zaken als:
hun onafhankelijkheid van het management en de mate waarin zij in staat zijn de handelingen van het management te evalueren;
de vraag of zij inzicht hebben in de zakelijke transacties van de entiteit;
de mate waarin zij evalueren of de financiële overzichten zijn opgesteld in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving inclusief of de financiële overzichten voldoende toelichtingen omvatten.
Een actieve en onafhankelijke raad van bestuur kan invloed uitoefenen op de filosofie en werkstijl van het senior management. Andere elementen kunnen echter een beperktere invloed hebben. Hoewel bijvoorbeeld beleidslijnen en praktijken die gericht zijn op het werven van competent financieel, boekhoudkundig en IT-personeel het risico op fouten in de verwerking van financiële informatie kunnen beperken, is het mogelijk dat zij de sterke neiging van het topmanagement om een te hoge winst voor te stellen niet kunnen afzwakken.
Het bestaan van een bevredigende interne beheersingsomgeving kan een positieve factor zijn bij het inschatten van de risico's op een afwijking van materieel belang en kan het risico op fraude helpen beperken. Toch is een bevredigende interne beheersingsomgeving geen absoluut afschrikmiddel voor fraude. Omgekeerd kunnen tekortkomingen in de interne beheersingsomgeving de effectiviteit van interne beheersingsmaatregelen ondermijnen, in het bijzonder met betrekking tot fraude. Als het management bijvoorbeeld nalaat voldoende middelen in te zetten om in te spelen op de risico's met betrekking tot de IT-beveiliging, kan dat een negatieve invloed hebben op de interne beheersing doordat wordt toegelaten dat onjuiste wijzigingen worden aangebracht in computerprogramma's of gegevens, of dat ongeautoriseerde transacties worden verwerkt. Zoals in Standaard 330 toegelicht, is de interne beheersingsomgeving ook van invloed op de aard, timing en omvang van de verdere controlewerkzaamheden van de accountant.
De interne beheersingsomgeving op zich kan een afwijking van materieel belang niet voorkomen of detecteren en corrigeren. Zij kan echter wel van invloed zijn op de evaluatie door de accountant van de effectiviteit van andere interne beheersingsmaatregelen (bijvoorbeeld de monitoring van interne beheersingsmaatregelen en de werking van specifieke interne beheersingsactiviteiten) en bijgevolg op de inschatting door de accountant van de risico's op een afwijking van materieel belang.
Overwegingen die specifiek voor kleinere entiteiten gelden
De interne beheersingsomgeving van kleinere entiteiten verschilt meestal van die van grotere entiteiten. Zo is het mogelijk dat zich onder de met governance belaste personen in kleine entiteiten geen onafhankelijk of extern lid bevindt, en dat de governancefunctie direct door de eigenaar-bestuurder wordt waargenomen als er geen andere eigenaren zijn. De aard van de interne beheersingsomgeving kan ook van invloed zijn op het belang van andere interne beheersingsmaatregelen of het ontbreken daarvan. Zo kan de actieve betrokkenheid van een eigenaar-bestuurder bepaalde risico's die voortkomen uit een gebrek aan functiescheiding in een kleine entiteit beperken; zij kan evenwel andere risico's doen toenemen, zoals het risico dat interne beheersingsmaatregelen worden doorbroken.
Bovendien is controle-informatie voor elementen van de interne beheersingsomgeving in kleinere entiteiten niet altijd beschikbaar in de vorm van documenten, met name als de communicatie tussen het management en het overige personeel informeel verloopt maar toch effectief is. Zo is het mogelijk dat kleine entiteiten niet over een schriftelijke gedragscode beschikken, maar in plaats daarvan een cultuur ontwikkelen die het belang van integriteit en ethisch gedrag onderstreept via mondelinge communicatie en doordat het management het goede voorbeeld geeft.
Bijgevolg zijn de houding, de kennis en de handelingen van het management of de eigenaar-bestuurder van bijzonder belang voor het inzicht van de accountant in de interne beheersingsomgeving van een kleinere entiteit.
Componenten van de interne beheersing – Het risico-inschattingsproces van de entiteit
(Zie Par. 15)
Het risico-inschattingsproces van de entiteit vormt de basis voor de wijze waarop het management de te beheersen risico's bepaalt. Als dat proces in de gegeven omstandigheden, met inbegrip van de aard, omvang en complexiteit van de entiteit, passend is, is het voor de accountant een hulpmiddel bij het identificeren van risico's op een afwijking van materieel belang. Of het risico-inschattingsproces van de entiteit in de gegeven omstandigheden geschikt is, is een kwestie van oordeelsvorming.
Overwegingen die specifiek voor kleinere entiteiten gelden
(Zie Par. 17)
Het is onwaarschijnlijk dat in een kleine entiteit een vastgesteld risico-inschattingsproces bestaat. In dat geval is het waarschijnlijk dat het management risico's zal identificeren door directe persoonlijke betrokkenheid bij de bedrijfsactiviteiten. Ongeacht de omstandigheden zal het toch noodzakelijk zijn inlichtingen in te winnen over de geïdentificeerde risico's en de wijze waarop er door het management op wordt ingespeeld.
Componenten van de interne beheersing – Het voor de financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarmee verband houdende bedrijfsprocessen, en communicatie
Het voor de financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarmee verband houdende bedrijfsprocessen
(Zie Par. 18)
Het informatiesysteem dat relevant is voor de doelstellingen van de financiële verslaggeving, met inbegrip van het administratieve systeem, bestaat uit de procedures en vastleggingen die zijn opgezet en ingericht teneinde:
transacties (alsook gebeurtenissen en omstandigheden) van de entiteit tot stand te brengen, vast te leggen, te verwerken en te rapporteren, en teneinde de verantwoordingsplicht voor de daarmee verband houdende activa, verplichtingen en eigen-vermogenscomponenten te handhaven;
de onjuiste verwerking van transacties op te lossen, bijvoorbeeld geautomatiseerde tussenrekeningen en procedures die worden gevolgd om de op deze rekeningen geboekte elementen tijdig uit te zoeken;
het doorbreken van het systeem of het omzeilen van interne beheersingsmaatregelen te verwerken en te verantwoorden;
informatie afkomstig van systemen die transacties verwerken over te brengen naar het grootboek;
informatie te verkrijgen die relevant is voor de financiële verslaggeving en die betrekking heeft op gebeurtenissen en omstandigheden die geen transacties vormen, zoals de afschrijving van materiële en immateriële vaste activa en wijzigingen in de invorderbaarheid van vorderingen; en
ervoor te zorgen dat de informatie die in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving in de financiële overzichten moet worden opgenomen, wordt verzameld, vastgelegd, verwerkt, samengevat en op de juiste wijze in de financiële overzichten wordt gerapporteerd.
Financiële overzichten kunnen informatie die is verkregen buiten het grootboek en subgrootboeken bevatten. Voorbeelden van dergelijke informatie kunnen omvatten:
Informatie verkregen uit leaseovereenkomsten toegelicht in de financiële overzichten, zoals vernieuwingsopties of toekomstige lease betalingen.
De informatie toegelicht in de financiële overzichten die wordt geproduceerd door het risicomanagementsysteem van een entiteit.
Informatie over reële waarde die door deskundigen ingeschakeld door het management zijn geproduceerd en toegelicht in de financiële overzichten.
De informatie toegelicht in de financiële overzichten die is verkregen van modellen, of van andere berekeningen die gebruikt zijn om schattingen te ontwikkelen die opgenomen of toegelicht worden in de financiële overzichten inclusief informatie met betrekking tot de onderliggende gegevens en veronderstellingen die gebruikt zijn in die modellen, zoals:
Intern ontwikkelde veronderstellingen die de gebruiksduur van een actief kunnen beïnvloeden; of
Gegevens zoals rentevoeten die worden beïnvloed door factoren waarover de entiteit geen controle heeft.
Informatie toegelicht in de financiële overzichten over de gevoeligheidsanalyses afgeleid van financiële modellen die aantoont dat het management alternatieve veronderstellingen heeft overwogen.
Informatie die is opgenomen of toegelicht in de financiële overzichten die is verkregen uit de belastingaangiften en fiscale vastleggingen van een entiteit.
Informatie toegelicht in de financiële overzichten die is verkregen uit analyses die zijn opgesteld om de beoordeling van het management van de mogelijkheid van de entiteit om haar continuïteit te handhaven te ondersteunen, zoals eventuele toelichtingen met betrekking tot gebeurtenissen of omstandigheden die zijn geïdentificeerd die gerede twijfel kunnen doen ontstaan over de mogelijkheid van de entiteit om haar continuïteit te handhaven.
Het inzicht in het informatiesysteem dat relevant is voor de financiële verslaggeving vereist op grond van paragraaf 18 van deze Standaard (inclusief het inzicht in relevante aspecten van dat systeem met betrekking tot informatie die in de financiële overzichten wordt toegelicht die wordt verkregen binnen of buiten het grootboek en de subgrootboeken) is een kwestie van professionele oordeelsvorming van de accountant. Zo kunnen bepaalde bedragen of toelichtingen in de financiële overzichten van de entiteit (zoals toelichtingen over kredietrisico, liquiditeitsrisico en marktrisico) bijvoorbeeld gebaseerd zijn op informatie verkregen van het risicomanagementsysteem van de entiteit. Echter, van de accountant is niet vereist om inzicht te verwerven in alle aspecten van het risicomanagement systeem, en hij past professionele oordeelsvorming toe bij het bepalen van het noodzakelijke inzicht.
Journaalboekingen
(Zie Par. 18f)
Het informatiesysteem van een entiteit omvat gewoonlijk ook het gebruik van standaardjournaalboekingen die regelmatig worden gebruikt om transacties vast te leggen. Voorbeelden daarvan zijn journaalboekingen voor het vastleggen van verkopen, inkopen en kasuitgaven in het grootboek, of voor het vastleggen van periodiek door het management gemaakte schattingen, zoals wijzigingen in de schatting van oninbare vorderingen.
Het proces van financiële verslaggeving van een entiteit omvat ook het gebruik van niet-standaardjournaalboekingen voor het vastleggen van eenmalige, ongebruikelijke transacties of correcties. Voorbeelden van dergelijke posten zijn consolidatiecorrecties en boekingen voor een bedrijfscombinatie of afstoting of eenmalige schattingen zoals de bijzondere waardevermindering van een actief. Bij handmatige grootboeksystemen kunnen niet-standaardjournaalboekingen mogelijk worden geïdentificeerd door inspectie van de grootboeken, journaals en ondersteunende documentatie. Indien voor het bijhouden van het grootboek en het opstellen van financiële overzichten gebruik wordt gemaakt van geautomatiseerde procedures, is het mogelijk dat deze boekingen alleen in elektronische vorm bestaan, waardoor ze gemakkelijker zijn op te sporen door middel van auditsoftwaretoepassingen.
Gerelateerde bedrijfsprocessen
(Zie Par. 18)
De bedrijfsprocessen van een entiteit zijn de activiteiten die erop gericht zijn:
producten en diensten van de entiteit te ontwikkelen, te kopen, te produceren, te verkopen en te distribueren;
te zorgen voor de naleving van wet- en regelgeving; en
informatie vast te leggen, met inbegrip van boekhoudkundige en financiële-verslaggevingsinformatie. Bedrijfsprocessen resulteren in de transacties die door het informatiesysteem worden vastgelegd, verwerkt en gerapporteerd. Het verwerven van inzicht in de bedrijfsprocessen van de entiteit, met inbegrip van de wijze waarop transacties ontstaan, helpt de accountant bij het verwerven van inzicht in het voor de financiële verslaggeving relevante informatiesysteem van de entiteit op een wijze die passend is voor de omstandigheden van de entiteit.
Overwegingen die specifiek voor kleinere entiteiten gelden
Het informatiesysteem en daarmee verband houdende bedrijfsprocessen die relevant zijn voor de financiële verslaggeving in kleine entiteiten , inclusief relevante aspecten van dat systeem met betrekking tot informatie die is toegelicht in de financiële overzichten die is verkregen binnen of buiten het grootboek en de subgrootboeken, is meestal minder geavanceerd dan bij grotere entiteiten, maar het belang ervan is even groot. Kleine entiteiten met een actieve betrokkenheid van het management hebben mogelijk geen behoefte aan uitgebreide beschrijvingen van administratieve-verwerkingsprocedures, ingewikkelde administratieve vastleggingen of uitgeschreven beleidslijnen. Bijgevolg is het mogelijk dat het verwerven van inzicht in het informatiesysteem van de entiteit dat relevant is voor de financiële verslaggeving bij een controle van kleinere entiteiten gemakkelijker is en in grotere mate afhankelijk is van het verzoeken om inlichtingen dan van het beoordelen van documenten. De noodzaak om inzicht te verwerven blijft echter belangrijk.
Communicatie
(Zie: Par. 19)
Communicatie door de entiteit over de taken en verantwoordelijkheden inzake financiële verslaggeving en over significante zaken met betrekking tot financiële verslaggeving houdt in dat inzicht wordt verschaft in individuele taken en verantwoordelijkheden die verband houden met de interne beheersing met betrekking tot de financiële verslaggeving. Dit omvat aangelegenheden zoals de mate waarin werknemers begrijpen hoe hun activiteiten in het systeem van financiële verslaggeving zich verhouden tot de werkzaamheden van anderen en de middelen om uitzonderingen aan een passend hoger niveau binnen de entiteit te rapporteren. Deze communicatie kan bijvoorbeeld de vorm aannemen van handboeken over beleidsprocedures of over financiële verslaggeving. Open communicatiekanalen helpen ervoor te zorgen dat uitzonderingen worden gerapporteerd en dat erop wordt gereageerd.
Overwegingen die specifiek voor kleinere entiteiten gelden
Het is mogelijk dat de communicatie minder gestructureerd en makkelijker te bereiken is in een kleine entiteit dan in een grotere entiteit vanwege het kleinere aantal verantwoordelijkheidsniveaus en de grotere zichtbaarheid en beschikbaarheid van het management.
Componenten van de interne beheersing - Interne beheersingsactiviteiten
(Zie Par. 20)
Interne beheersingsactiviteiten zijn de beleidslijnen en -procedures die ervoor helpen te zorgen dat de instructies van het management worden uitgevoerd. Interne beheersingsactiviteiten, hetzij in IT-systemen, hetzij in handmatige systemen, hebben verschillende doelstellingen en worden op verschillende organisatie- en functieniveaus uitgevoerd. Voorbeelden van specifieke interne beheersingsactiviteiten zijn die welke betrekking hebben op:
autorisatie;
prestatiebeoordelingen;
informatieverwerking;
fysieke interne beheersingsmaatregelen;
functiescheiding.
Interne beheersingsactiviteiten die relevant zijn voor de controle zijn:
die welke als zodanig moeten worden behandeld, te weten interne beheersingsactiviteiten die betrekking hebben op significante risico's en die welke betrekking hebben op risico's waarvoor gegevensgerichte controles alleen geen voldoende, en geschikte controle-informatie verschaffen, zoals vereist op grond van respectievelijk paragraaf 29 en paragraaf 30; of
die welke op grond van de oordeelsvorming van de accountant relevant zijn.
De oordeelsvorming van de accountant over de vraag of een interne beheersingsactiviteit al dan niet relevant is voor de controle wordt beïnvloed door het door de accountant geïdentificeerde risico dat aanleiding kan geven tot een afwijking van materieel belang en door de vraag of de accountant al dan niet van mening is dat het waarschijnlijk passend is de effectieve werking van de interne beheersing te toetsen teneinde de omvang van de gegevensgerichte controles te bepalen.
De accountant kan de nadruk leggen op het identificeren van en verwerven van inzicht in interne beheersingsactiviteiten die inspelen op de gebieden waar volgens zijn inschatting de risico's op een afwijking van materieel belang waarschijnlijk groter zijn. Als meerdere interne beheersingsactiviteiten elk op hetzelfde doel gericht zijn, is het niet noodzakelijk inzicht te verwerven in elk van de interne beheersingsactiviteiten die op dat doel betrekking hebben.
Interne beheersingsactiviteiten die relevant zijn voor de controle kunnen interne beheersingsmaatregelen omvatten die door het management zijn vastgesteld om in te spelen op de risico's van een afwijking van materieel belang met betrekking tot toelichtingen die niet worden opgesteld in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving, in aanvulling op de interne beheersingsmaatregelen die inspelen op de risico's met betrekking tot rekeningsaldi en transacties. Dergelijke interne beheersingsactiviteiten kunnen betrekking hebben op informatie die is opgenomen in de financiële overzichten die is verkregen buiten het grootboek en de subgrootboeken.
De kennis van de accountant over het bestaan of ontbreken van interne beheersingsactiviteiten die is verkregen uit de verwerving van inzicht in de andere componenten van de interne beheersing helpt hem bij het bepalen of het noodzakelijk is aanvullende aandacht te besteden aan het verwerven van inzicht in de interne beheersingsactiviteiten.
Overwegingen die specifiek voor kleinere entiteiten gelden
De concepten die aan interne beheersingsactiviteiten bij kleine entiteiten ten grondslag liggen zijn waarschijnlijk vergelijkbaar met die bij grotere entiteiten, maar de wijze waarop ze werken kan verschillen. Voorts is het mogelijk dat kleine entiteiten bepaalde soorten interne beheersingsactiviteiten niet relevant vinden vanwege de door het management toegepaste interne beheersingsmaatregelen. Zo is het mogelijk dat de exclusieve bevoegdheid van het management om aan klanten krediet te verstrekken en om significante aankopen goed te keuren leidt tot een effectieve interne beheersing van belangrijke rekeningsaldi en transacties, waardoor minder of geen behoefte is aan meer gedetailleerde interne beheersingsactiviteiten.
Interne beheersingsactiviteiten die relevant zijn voor de controle van een kleinere entiteit hebben waarschijnlijk betrekking op de belangrijkste transactiecycli, zoals opbrengsten, inkopen en personeelskosten.
Risico's die voortkomen uit IT
(Zie Par. 21)
Het gebruik van IT is van invloed op de wijze waarop interne beheersingsactiviteiten worden geïmplementeerd. Vanuit het gezichtspunt van de accountant zijn interne beheersingsmaatregelen met betrekking tot IT-systemen effectief als ze de integriteit van de informatie en de beveiliging van de door dergelijke systemen verwerkte gegevens handhaven en ze effectieve general IT controls en application controls omvatten.
General IT controls zijn beleidslijnen en procedures die betrekking hebben op een groot aantal toepassingen en die de effectieve werking van application controls ondersteunen. Ze zijn van toepassing op mainframe-, miniframe- en eindgebruikersomgevingen. General IT controls die de integriteit van de informatie en de beveiliging van gegevens handhaven, omvatten gewoonlijk:
de werking van het computercentrum en het netwerk;
aanschaf, wijziging en onderhoud van systeemsoftware;
programmawijzigingen;
toegangsbeveiliging;
aanschaf, ontwikkeling en onderhoud van toepassingssystemen.
Ze worden over het algemeen geïmplementeerd om in te spelen op de risico's die hierboven in paragraaf A64 zijn genoemd.
Application controls zijn handmatige of geautomatiseerde procedures die doorgaans op het niveau van een bedrijfsproces werken en van toepassing zijn op de verwerking van transacties door individuele toepassingen. Application controls kunnen preventief of detecterend van aard zijn, en zijn opgezet om te zorgen voor de integriteit van de administratieve vastleggingen. Application controls hebben derhalve betrekking op procedures die worden gehanteerd om transacties of andere financiële gegevens tot stand te brengen, vast te leggen, te verwerken en te rapporteren. Deze interne beheersingsmaatregelen helpen ervoor te zorgen dat transacties die zich hebben voorgedaan worden geautoriseerd en volledig en nauwkeurig worden vastgelegd en verwerkt. Voorbeelden zijn wijzigingscontroles van invoergegevens en controles op nummervolgorde met handmatige opvolging van uitzonderingsrapporten of correctie van gegevens op het moment waarop ze worden ingevoerd.
Componenten van de interne beheersing – monitoring van interne beheersingsmaatregelen
(Zie Par. 22)
Het monitoren van interne beheersingsmaatregelen is een proces om de effectieve werking van de interne beheersing in de tijd in te schatten. Dit houdt onder meer in dat de effectiviteit van interne beheersingsmaatregelen tijdig wordt ingeschat en dat de noodzakelijke corrigerende maatregelen worden genomen. Het management monitort interne beheersingsmaatregelen door middel van doorlopende activiteiten, afzonderlijke evaluaties of een combinatie van beide. Doorlopende monitoringactiviteiten worden vaak in de normale terugkerende activiteiten van een entiteit geïntegreerd en omvatten reguliere management- en toezichthoudende activiteiten.
Tot de monitoringactiviteiten van het management kan behoren het gebruikmaken van informatie die uit communicatie met derden is verkregen, zoals klachten van klanten en opmerkingen van regelgevende instanties die kunnen duiden op problemen of die de aandacht vestigen op gebieden waarop verbeteringen nodig zijn.
Overwegingen die specifiek voor kleinere entiteiten gelden
Het monitoren van de interne beheersing door het management komt vaak tot stand door de nauwe betrokkenheid van het management of de eigenaar-bestuurder bij de bedrijfsactiviteiten. Deze betrokkenheid zal vaak significante afwijkingen van verwachtingen en onjuistheden in financiële gegevens aan het licht brengen en tot corrigerende maatregelen leiden.
De interne auditfuncties van een entiteit
(Zie Par. 23)
Indien de entiteit over een interne auditfunctie beschikt, draagt het verwerven van inzicht in die functie bij aan het inzicht van de accountant in de entiteit en haar omgeving, met inbegrip van de interne beheersing, in het bijzonder de rol die de interne auditors spelen bij het monitoren van de interne beheersing van de entiteit inzake de financiële verslaggeving. Dit inzicht, gezamenlijk met de informatie die is verkregen door middel van de verzoeken om inlichtingen in paragraaf 6(a) van deze Standaard, kan tevens informatie verschaffen die direct relevant is voor het door de accountant identificeren en inschatten van de risico’s op een afwijking van materieel belang.
De doelstellingen en reikwijdte van een interne auditfunctie, de aard van haar verantwoordelijkheden en haar status binnen de organisatie, met inbegrip van de bevoegdheid en verantwoordingsplicht van de functie, variëren in grote mate en zijn afhankelijk van de omvang en structuur van de entiteit en van de vereisten van het management en, voor zover van toepassing, van de met governance belaste personen. Deze aangelegenheden kunnen worden uiteengezet in een internal audit charter of taakomschrijving.
De verantwoordelijkheden van een interne auditfunctie kunnen het uitvoeren van werkzaamheden omvatten en het evalueren van de resultaten hiervan teneinde aan het management en aan de met governance belaste personen een bepaalde mate van zekerheid te verschaffen met betrekking tot de opzet en effectiviteit van risicobeheersing, interne beheersing en governance-processen. Wanneer dit het geval is, kan de interne auditfunctie een belangrijke rol spelen bij het door de entiteit monitoren van de interne beheersing inzake de financiële verslaggeving. De verantwoordelijkheden van de interne auditfunctie kunnen echter zijn gericht op het evalueren van kostenefficiëntie, de doelmatigheid en doeltreffendheid van activiteiten en, wanneer dit het geval is, kunnen de werkzaamheden van de functie niet direct gerelateerd zijn aan de financiële verslaggeving van de entiteit.
De verzoeken om inlichtingen door de accountant bij juiste personen binnen de interne auditfunctie in overeenstemming met paragraaf 6(a) van deze Standaard ondersteunen de accountant bij het verwerven van inzicht in de aard van de verantwoordelijkheden van de interne auditfunctie. Indien de accountant bepaalt dat de verantwoordelijkheden van de interne auditfunctie verband houden met de financiële verslaggeving van de entiteit kan de accountant meer inzicht verwerven in de activiteiten die door de interne auditfunctie zijn uitgevoerd, of zijn uit te voeren, door het voor de verslagperiode vastgestelde auditplan van de interne auditfunctie, voor zover dit bestaat, te beoordelen en dat plan met de juiste personen binnen de interne auditfunctie te bespreken.
Indien de aard van de verantwoordelijkheden en van de assurance-activiteiten van de interne auditfunctie verband houden met de financiële verslaggeving van de entiteit, kan de accountant tevens gebruikmaken van de werkzaamheden van de interne auditfunctie, om de aard of timing van de controlewerkzaamheden die door de accountant zelf worden uitgevoerd bij het verkrijgen van controle-informatie aan te passen, of om de omvang hiervan te verminderen. Het is waarschijnlijker dat accountants in staat zullen zijn gebruik te maken van de werkzaamheden van een interne auditfunctie van een entiteit wanneer bijvoorbeeld blijkt dat, op basis van ervaring in voorgaande controles of van de risico-inschattingswerkzaamheden van de accountant, de entiteit over een interne auditfunctie beschikt die adequate en gepaste middelen heeft die in verhouding staan tot de omvang van de entiteit en de aard van de uit te voeren werkzaamheden en die een directe rapportagelijn heeft met de met governance belaste personen.
Indien, op basis van het voorlopige inzicht van de accountant in de interne auditfunctie, de accountant verwacht gebruik te zullen maken van de werkzaamheden van de interne auditfunctie om de aard of timing van de controlewerkzaamheden die worden uitgevoerd aan te passen, of om de omvang hiervan terug te brengen, is Standaard 610 van toepassing.
Zoals verder in Standaard 610 wordt besproken, verschillen de werkzaamheden van een interne auditfunctie van andere op monitoring gerichte interne beheersingsmaatregelen die voor de financiële verslaggeving relevant kunnen zijn, zoals de beoordelingen van management accounting informatie die zijn opgezet om bij te dragen aan de wijze waarop de entiteit afwijkingen voorkomt of detecteert.
Het vroegtijdig in de opdracht tot stand brengen van communicatie met de juiste personen binnen een interne auditfunctie van een entiteit, en het onderhouden van deze communicatie gedurende de opdracht, kan het effectief delen van informatie bevorderen. Het creëert een omgeving waarin de accountant kan worden geïnformeerd over significante aangelegenheden die onder de aandacht van de interne auditfunctie kunnen komen, wanneer dergelijke aangelegenheden de werkzaamheden van de accountant kunnen beïnvloeden. Standaard 200 behandelt het belang van de accountant om de controle te plannen en uit te voeren met een professioneel kritische instelling, met inbegrip van het alert zijn op informatie die de betrouwbaarheid van documenten en reacties op verzoeken om inlichtingen die als controle-informatie worden gebruikt, ter discussie stelt. Dienovereenkomstig kan overleg met de interne auditfunctie gedurende de opdracht aan de interne accountants de gelegenheid bieden om dergelijke informatie onder de aandacht van de accountant te brengen. De accountant is dan in staat om dergelijke informatie in overweging te nemen bij het door de accountant identificeren en inschatten van risico’s op een afwijking van materieel belang.
Informatiebronnen
(Zie Par. 24)
Het is mogelijk dat een groot deel van de voor monitoringdoeleinden gebruikte informatie afkomstig is uit het informatiesysteem van de entiteit. Als het management ervan uitgaat dat de voor monitoringdoeleinden gebruikte gegevens nauwkeurig zijn maar het management geen basis heeft voor deze veronderstelling, kunnen eventuele fouten in de informatie ertoe leiden dat het management verkeerde conclusies trekt uit zijn monitoringactiviteiten. Derhalve is inzicht vereist in:
de bronnen van de informatie met betrekking tot de monitoringactiviteiten van de entiteit; en
de basis waarop het management de informatie voldoende betrouwbaar acht voor dit doel als onderdeel van de verwerving van inzicht door de accountant in de door de entiteit gevoerde monitoringactiviteiten die deel uitmaken van de interne beheersing.
Risico's op een afwijking van materieel belang identificeren en inschatten
Het inschatten van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten
(Zie Par. 25 (a))
Risico's op een afwijking van materieel belang op het niveau van de financiële overzichten betreffen risico's die een diepgaande invloed hebben op de financiële overzichten als geheel en die mogelijk op een groot aantal beweringen van invloed zijn. Risico's van deze aard zijn niet noodzakelijkerwijs risico's die in verband kunnen worden gebracht met specifieke beweringen op het niveau van transactiestromen, rekeningsaldi of in de financiële overzichten opgenomen toelichtingen. Zij zijn eerder het gevolg van een situatie die de risico's op een afwijking van materieel belang op het niveau van beweringen kan vergroten, bijvoorbeeld doordat het management de interne beheersing doorbreekt. Risico's op het niveau van het financieel overzicht kunnen met name relevant zijn voor de inschatting door de accountant van de risico's op een afwijking van materieel belang die het gevolg is van fraude.
Risico's op het niveau van de financiële overzichten kunnen in het bijzonder het gevolg zijn van een tekortschietende interne beheersingsomgeving (hoewel deze risico's ook verband kunnen houden met andere factoren, zoals verslechterende economische omstandigheden.) Zo is het mogelijk dat tekortkomingen, zoals een gebrek aan competentie van het management of een gebrek aan toezicht op het opstellen van de financiële overzichten , een diepgaander effect op de financiële overzichten hebben en een algehele aanpak van de accountant vereisen.
Het inzicht dat de accountant heeft in de interne beheersing kan twijfel doen ontstaan over de controleerbaarheid van de financiële overzichten van een entiteit. Bijvoorbeeld:
de twijfels over de integriteit van het management van de entiteit kunnen zo ernstig zijn dat de accountant tot de conclusie komt dat het risico dat het management in de financiële overzichten een onjuiste voorstelling van zaken geeft dermate groot is dat geen controle kan worden uitgevoerd;
de punten van zorg over de staat en betrouwbaarheid van de vastleggingen van een entiteit kunnen ertoe leiden dat de accountant tot de conclusie komt dat het onwaarschijnlijk is dat voldoende en geschikte controle-informatie beschikbaar zal zijn ter onderbouwing van een goedkeurend oordeel over de financiële overzichten.
Standaard 705 stelt vereisten vast en verschaft leidraden voor het bepalen of het noodzakelijk is dat de accountant een oordeel met beperking tot uitdrukking brengt of een oordeelonthouding formuleert of, zoals in sommige situaties is vereist, de opdracht teruggeeft indien dat op grond van de van toepassing zijnde wet- of regelgeving mogelijk is.
Het inschatten van risico's op een afwijking van materieel belang op het niveau van beweringen
(Zie Par. 25(b))
De risico's op een afwijking van materieel belang op het niveau van beweringen met betrekking tot transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen moeten worden ingeschat, omdat een dergelijke inschatting direct helpt bij het bepalen van de aard, timing en omvang van verdere controlewerkzaamheden op het niveau van beweringen die nodig zijn om voldoende en geschikte controle-informatie te verkrijgen. Bij het identificeren en inschatten van risico's op een afwijking van materieel belang op het niveau van beweringen kan de accountant tot de conclusie komen dat de geïdentificeerde risico's een diepgaandere invloed hebben op de financiële overzichten als geheel en mogelijk op een groot aantal beweringen van invloed zijn.
Het gebruik van beweringen
Met de bevestiging dat de financiële overzichten in overeenstemming zijn met het van toepassing zijnde stelsel inzake financiële verslaggeving, doet het management op impliciete of expliciete wijze beweringen met betrekking tot de opname, waardering en presentatie van transactiestromen en gebeurtenissen, rekeningsaldi en toelichtingen.
De accountant kan gebruikmaken van de beweringen zoals hieronder beschreven in paragraaf A129a en A129b of kan ze op een andere wijze tot uitdrukking brengen mits alle hieronder beschreven aspecten zijn behandeld. Zo kan de accountant ervoor opteren de beweringen over transactiestromen en gebeurtenissen en daarop betrekking hebbende toelichtingen te combineren met de beweringen over rekeningsaldi en de daarop betrekking hebbende toelichtingen.
Beweringen over transactiestromen, rekeningsaldi en daarop betrekking hebbende toelichtingen
De beweringen die de accountant gebruikt bij het inschatten van de verschillende soorten afwijkingen die kunnen voorkomen, kunnen in de volgende categorieën worden ondergebracht:
beweringen over transactiestromen en gebeurtenissen en daarop betrekking hebbende toelichtingen tijdens de gecontroleerde periode:
voorkomen – de vastgelegde of toegelichte transacties en gebeurtenissen hebben inderdaad plaatsgevonden en dergelijke transacties en gebeurtenissen hebben betrekking op de entiteit;
volledigheid – alle transacties en gebeurtenissen die hadden moeten worden vastgelegd, zijn ook vastgelegd en alle daarop betrekking hebbende toelichtingen die hadden moeten worden opgenomen in de financiële overzichten, zijn opgenomen;
nauwkeurigheid – bedragen en andere gegevens die betrekking hebben op vastgelegde transacties en gebeurtenissen zijn op de juiste wijze vastgelegd en daarop betrekking hebbende toelichtingen zijn op de juiste wijze vastgelegd en beschreven;
afgrenzing – transacties en gebeurtenissen zijn in de juiste verslagperiode vastgelegd;
classificatie – transacties en gebeurtenissen zijn op de juiste rekeningen vastgelegd.
presentatie – transacties en gebeurtenissen zijn op de juiste wijze samengevoegd of uitgesplitst en duidelijk beschreven en daarop betrekking hebbende toelichtingen zijn relevant en begrijpelijk in de context van de vereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving.
beweringen over rekeningsaldi en daarop betrekking hebbende toelichtingen aan het einde van de verslagperiode:
bestaan – de activa, verplichtingen en eigenvermogensbelangen bestaan;
rechten en verplichtingen – de entiteit bezit of heeft zeggenschap over de rechten op activa, en de verplichtingen zijn de verplichtingen voor de entiteit;
volledigheid – alle activa, verplichtingen en eigenvermogensbelangen die hadden moeten worden vastgelegd, zijn ook vastgelegd en alle daarop betrekking hebbende toelichtingen die hadden moeten worden opgenomen in de financiële overzichten, zijn ook opgenomen;
nauwkeurigheid, waardering en toerekening – de activa, verplichtingen en eigenvermogensbelangen zijn voor de juiste bedragen in de financiële overzichten opgenomen, en de daaruit voortvloeiende waarderings- en toerekeningscorrecties zijn juist vastgelegd en daarop betrekking hebbende toelichtingen zijn juist vastgelegd en beschreven;
classificatie - de activa, verplichtingen en eigenvermogensbelangen zijn vastgelegd op de juiste rekeningen.
presentatie - activa, passiva en eigen vermogensbelangen zijn op juiste wijze samengevoegd of uitgesplitst en duidelijk omschreven, en daarop betrekking hebbende toelichtingen zijn relevant en begrijpelijk in de context van de vereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving.
Beweringen over andere toelichtingen
De hierboven in paragraaf A129(a) - (b) beschreven beweringen, zo nodig aangepast, kunnen ook door de accountant gebruikt worden bij het overwegen van de verschillende soorten van mogelijke afwijkingen die zich kunnen voordoen in toelichtingen die niet direct verband houden met vastgestelde transactiestromen, gebeurtenissen of rekeningsaldi. Als voorbeeld van een dergelijke toelichting, kan van de entiteit vereist worden om haar onderhevigheid aan risico’s die voortvloeien uit financiële instrumenten, inclusief de wijze waarop de risico’s zich voordoen te beschrijven; de doelstellingen, het beleid en de processen voor het beheer van de risico’s; en de methoden die worden gebruikt om de risico’s te meten.
Overwegingen die specifiek voor entiteiten in de publieke sector gelden
Indien het management naast de in paragraaf A129 uiteengezette beweringen ook beweringen doet over de financiële overzichten van entiteiten in de publieke sector, houden die beweringen vaak in dat transacties en gebeurtenissen zijn uitgevoerd in overeenstemming met de wet- en regelgeving of andere van kracht zijnde voorschriften. Het is mogelijk dat dergelijke beweringen binnen de reikwijdte van de controle van financiële overzichten vallen.
Het proces van identificeren van risico's op een afwijking van materieel belang
(Zie Par. 26(a))
Informatie verzameld tijdens het uitvoeren van risico-inschattingswerkzaamheden, met inbegrip van de controle-informatie die is verkregen bij het evalueren van de opzet van interne beheersingsmaatregelen en het nagaan of deze zijn geïmplementeerd, wordt als controle-informatie gebruikt ter onderbouwing van de risico-inschatting. De risico-inschatting bepaalt de aard, timing en omvang van de verdere controlewerkzaamheden die zullen worden uitgevoerd. Bij het identificeren van de risico's van een afwijking van materieel belang in de financiële overzichten, past de accountant een professioneel-kritische instelling toe in overeenstemming met Standaard 200 .
Bijlage 2 geeft voorbeelden van omstandigheden en gebeurtenissen die kunnen duiden op het bestaan van risico's op een afwijking van materieel belang, inclusief risico’s van een afwijking van materieel belang met betrekking tot toelichtingen.
Zoals uiteengezet in ISA 320 worden materialiteit en controlerisico overwogen bij het identificeren en inschatten van de risico's van afwijkingen van materieel belang in de transactiestromen, rekeningsaldi en toelichtingen. Het bepalen van materialiteit door de accountant is een kwestie van professionele oordeelsvorming en wordt beïnvloed door de perceptie van de accountant van de financiële rapportagebehoeften van de gebruikers van de financiële overzichten .
De overweging van de accountant van de toelichtingen in de financiële overzichten bij het identificeren van risico's omvat kwantitatieve en kwalitatieve toelichtingen, waarvan de afwijking van materieel belang zou kunnen zijn (dat wil zeggen, in het algemeen, worden afwijkingen beschouwd als van materieel belang als redelijkerwijs kan worden verwacht dat zij de economische beslissingen, die gebruikers op basis van deze financiële overzichten als geheel nemen, beïnvloeden). Afhankelijk van de omstandigheden van de entiteit en de opdracht, omvatten voorbeelden van toelichtingen die kwalitatieve aspecten zullen hebben en die relevant kunnen zijn bij de inschatting van de risico's van afwijkingen van materieel belang toelichtingen over:
liquiditeit en schuldovereenkomsten van een entiteit in financiële nood;
gebeurtenissen of omstandigheden die hebben geleid tot de opname van een bijzondere waardevermindering;
belangrijkste bronnen van schattingsonzekerheden, met inbegrip van veronderstellingen over de toekomst;
de aard van een wijziging in een grondslag voor financiële verslaggeving en andere relevante toelichtingen vereist door het van toepassing zijnde stelsel inzake financiële verslaggeving, waar bijvoorbeeld nieuwe financiële rapportagevereisten naar verwachting een significante invloed op de financiële positie en de financiële prestaties van de entiteit zullen hebben;
op aandelen gebaseerde betalingsregelingen, inclusief informatie over hoe alle opgenomen bedragen werden bepaald, en andere relevante toelichtingen;
verbonden partijen en transacties met verbonden partijen;
gevoeligheidsanalyses, inclusief de effecten van wijzigingen in de veronderstellingen die in waarderingsmethoden van de entiteit gebruikt worden met de bedoeling om gebruikers in staat te stellen de onderliggende waarderingsonzekerheid van een vastgelegd of toegelicht bedrag te begrijpen.
Overwegingen specifiek voor kleinere entiteiten
Toelichtingen in de financiële overzichten van kleinere entiteiten kunnen minder gedetailleerd of minder complex zijn (bijvoorbeeld sommige stelsels inzake financiële verslaggeving staan toe dat kleinere entiteiten minder toelichtingen verstrekken in de financiële overzichten). Dit ontheft de accountant niet van zijn verantwoordelijkheid om inzicht in de entiteit en haar omgeving te verwerven, inclusief de interne beheersing, als het gaat om toelichtingen.
Interne beheersingsmaatregelen in verband brengen met beweringen
(Zie Par. 26(c))
Tijdens de uitvoering van risico-inschattingen is het mogelijk dat de accountant identificeert welke interne beheersingsmaatregelen waarschijnlijk een afwijking van materieel belang in specifieke beweringen voorkomen, of detecteren en corrigeren. Doorgaans is het nuttig inzicht te verwerven in interne beheersingsmaatregelen en ze in verband te brengen met beweringen in de context van processen en systemen waarin ze bestaan, omdat afzonderlijke interne beheersingsactiviteiten op zich vaak niet op een risico inspelen. Vaak zijn alleen meerdere interne beheersingsactiviteiten, samen met andere componenten van de interne beheersing, voldoende om op een risico in te spelen.
Daartegenover staat dat bepaalde interne beheersingsactiviteiten een specifiek effect kunnen hebben op een afzonderlijke bewering die in een bepaalde transactiestroom of een bepaald rekeningsaldo vervat is. Zo houden de interne beheersingsactiviteiten die een entiteit heeft ingesteld om ervoor te zorgen dat haar werknemers de fysieke voorraad naar behoren opnemen en vastleggen rechtstreeks verband met de beweringen 'bestaan' en 'volledigheid' voor het rekeningsaldo van de voorraad.
Interne beheersingsmaatregelen kunnen direct of indirect verband houden met een bewering. Hoe indirecter het verband, hoe minder effectief die interne beheersingsmaatregel kan zijn bij het voorkomen, of detecteren en corrigeren, van afwijkingen in die bewering. Zo houdt de beoordeling door een verkoopleider van een overzicht van de verkoopactiviteiten voor specifieke winkels per regio gewoonlijk slechts indirect verband met de bewering 'volledigheid' voor verkoopopbrengsten. Bijgevolg kan deze maatregel minder effectief zijn voor het beperken van het risico voor die bewering dan interne beheersingsmaatregelen die meer direct verband houden met die bewering, zoals de aansluiting van vervoersdocumenten met factuurdocumenten.
Afwijkingen van materieel belang
Mogelijke afwijkingen in individuele overzichten en toelichtingen kunnen worden beoordeeld van materieel belang te zijn als gevolg van omvang, aard of omstandigheden. (Zie Par. 26 (d))
Significante risico's
Significante risico's identificeren
(Zie Par. 28)
Significante risico's hebben vaak betrekking op significante niet-routinematige transacties of op aangelegenheden die oordeelsvorming vereisen. Niet-routinematige transacties zijn transacties die vanwege hun omvang of aard ongebruikelijk zijn en bijgevolg zelden voorkomen. Aangelegenheden die de toepassing van oordeelsvorming vereisen zijn onder meer de ontwikkeling van schattingen waarvoor significante onzekerheid omtrent de waardering bestaat. Bij routinematige, niet-complexe transacties die systematisch worden verwerkt is de kans kleiner dat ze aanleiding geven tot significante risico's.
De risico's op een afwijking van materieel belang kunnen groter zijn voor significante niet-routinematige transacties die voortkomen uit aangelegenheden als:
een grotere interventie van het management bij het specificeren van de verwerkingswijze;
een grotere handmatige interventie bij het verzamelen en verwerken van gegevens;
complexe berekeningen of verslaggevingsprincipes;
de aard van niet-routinematige transacties, waardoor het voor de entiteit moeilijk kan zijn om effectieve interne beheersingsmaatregelen met betrekking tot de risico's te implementeren.
De risico's op een afwijking van materieel belang kunnen groter zijn voor significante inschattingsaangelegenheden die schattingen vereisen, onder meer voortkomend uit het feit dat:
verslaggevingsprincipes voor schattingen of opbrengstverantwoording mogelijk anders worden geïnterpreteerd;
de vereiste inschatting mogelijk subjectief of complex is, of mogelijk veronderstellingen vereist omtrent de gevolgen van toekomstige gebeurtenissen, zoals de inschatting van reële waarde.
Standaard 330 beschrijft welke gevolgen het aanwijzen van een risico als zijnde significant heeft voor de verdere controlewerkzaamheden.
Significante risico's die verband houden met de risico's op een afwijking van materieel belang die het gevolg is van fraude
Standaard 240 stelt verdere vereisten vast en verschaft leidraden met betrekking tot het identificeren en inschatten van risico's op een afwijking van materieel belang die het gevolg is van fraude.
Inzicht in interne beheersingsmaatregelen met betrekking tot significante risico's
(Zie Par. 29)
Hoewel risico's met betrekking tot significante niet-routinematige aangelegenheden of inschattingsaangelegenheden minder vaak aan routinematige interne beheersingsmaatregelen worden onderworpen, is het mogelijk dat het management op een andere wijze op deze risico's inspeelt. Bijgevolg heeft het inzicht van de accountant in de vraag of de entiteit interne beheersingsmaatregelen heeft opgezet en geïmplementeerd voor significante risico's die voortkomen uit niet-routinematige aangelegenheden of inschattingsaangelegenheden, onder meer betrekking op de vraag of en hoe het management op de risico's inspeelt. De manieren om op risico's in te spelen kunnen het volgende omvatten:
interne beheersingsactiviteiten zoals een beoordeling door het senior management of deskundigen van veronderstellingen;
gedocumenteerde procedures voor schattingen;
goedkeuring door de met governance belaste personen.
Indien er bijvoorbeeld eenmalige gebeurtenissen zijn geweest, zoals de ontvangst van de kennisgeving van een significante rechtszaak, kan bij het overwegen van de wijze waarop de entiteit hierop heeft ingespeeld onder meer rekening worden gehouden met aangelegenheden zoals de vraag of de entiteit al dan niet geschikte deskundigen (zoals interne of externe juridisch adviseurs) heeft ingeschakeld, de vraag of er een inschatting is gemaakt van de mogelijke gevolgen, en de vraag hoe het management deze situatie denkt toe te lichten in de financiële overzichten.
In sommige gevallen heeft het management mogelijk niet op passende wijze ingespeeld op significante risico's op een afwijking van materieel belang door interne beheersingsmaatregelen met betrekking tot deze significante risico's te implementeren. Indien het management nalaat dergelijke interne beheersingsmaatregelen te implementeren, wijst dat op een significante tekortkoming in de interne beheersing.
Risico's waarvoor gegevensgerichte controles alleen geen voldoende en geschikte controle-informatie verschaffen
(Zie Par. 30)
Risico's op een afwijking van materieel belang kunnen rechtstreeks verband houden met de vastlegging van routinematige transactiestromen of rekeningsaldi en met de opstelling van betrouwbare financiële overzichten. Voorbeelden van dergelijke risico's zijn het risico op een onnauwkeurige of onvolledige verwerking van routinematige en significante transactiestromen, zoals de opbrengsten, inkopen en contante ontvangsten of betalingen van een entiteit.
Indien dergelijke routinematige zakelijke transacties het voorwerp uitmaken van een in hoge mate geautomatiseerde verwerking met weinig of geen handmatige interventie, is het niet altijd mogelijk om alleen gegevensgerichte controles in verband met het risico uit te voeren. De accountant kan dit bijvoorbeeld van toepassing achten in situaties waar een significant gedeelte van de informatie van de entiteit alleen in elektronische vorm tot stand wordt gebracht, vastgelegd, verwerkt of gerapporteerd, zoals in een geïntegreerd systeem. In dergelijke gevallen:
is de controle-informatie mogelijk alleen in elektronische vorm beschikbaar, en is de toereikendheid en geschiktheid ervan gewoonlijk afhankelijk van de effectiviteit van de interne beheersingsmaatregelen met betrekking tot de nauwkeurigheid en volledigheid daarvan;
is de kans dat informatie onjuist tot stand wordt gebracht of gewijzigd zonder dat de fout wordt gedetecteerd mogelijk groter als geschikte interne beheersingsmaatregelen niet effectief werken.
In Standaard 330 is beschreven welke gevolgen het identificeren van dergelijke risico's heeft voor de verdere controlewerkzaamheden.
Bijstelling van de risico-inschatting
(Zie Par. 31)
Tijdens de controle kan informatie onder de aandacht van de accountant komen die op significante wijze afwijkt van de informatie waarop de risico-inschatting werd gebaseerd. De risico-inschatting kan bijvoorbeeld gebaseerd zijn op de verwachting dat bepaalde interne beheersingsmaatregelen effectief werken. Bij het toetsen van deze interne beheersingsmaatregelen is het mogelijk dat de accountant controle-informatie verkrijgt dat de interne beheersingsmaatregelen op relevante momenten tijdens de controle niet effectief werkten. Zo ook kan de accountant tijdens de uitvoering van gegevensgerichte controles afwijkingen detecteren die hogere bedragen vertegenwoordigen of vaker voorkomen dan wat hij op basis van zijn risico-inschatting kon verwachten. In dat geval is het mogelijk dat de risico-inschatting de werkelijke omstandigheden van de entiteit niet passend weerspiegelt en dat de geplande verdere controlewerkzaamheden mogelijk niet effectief zijn wat betreft het detecteren van afwijkingen van materieel belang. Zie Standaard 330 voor verdere leidraden.
Documentatie
(Zie Par. 32)
Het is de accountant die op basis van professionele oordeelsvorming bepaalt op welke wijze de vereisten van paragraaf 32 worden gedocumenteerd. Zo kan hij de documentatie bij de controle van kleine entiteiten opnemen in zijn documentatie van de algehele controleaanpak en het controleprogramma. Zo kan hij de resultaten van de risico-inschatting afzonderlijk documenteren, of documenteren als onderdeel van zijn documentatie van de verdere werkzaamheden. De vorm en omvang van de documentatie wordt mede bepaald door de aard, omvang en complexiteit van de entiteit en haar interne beheersing, de beschikbaarheid van informatie bij de entiteit en de in de loop van de controle gehanteerde controlemethodologie en -technieken.
Bij entiteiten die ongecompliceerde bedrijfsactiviteiten en processen hebben met betrekking tot financiële verslaggeving, kan de documentatie in eenvoudige vorm worden opgesteld en relatief beknopt zijn. De accountant hoeft niet zijn volledige kennis van de entiteit en aangelegenheden die daarmee verband houden te documenteren. Belangrijke elementen van de door de accountant gedocumenteerde kennis zijn onder meer de elementen waarop hij de inschatting van de risico's op een afwijking van materieel belang heeft gebaseerd.
De omvang van de documentatie kan ook een afspiegeling zijn van de ervaring en capaciteiten van de leden van het controleteam. Mits altijd aan de vereisten van Standaard 230 is voldaan, kan een controle uitgevoerd door een opdrachtteam bestaande uit minder ervaren personen meer gedetailleerde documentatie vereisen die hen helpt een juist inzicht in de entiteit te verwerven dan wanneer het opdrachtteam uit ervaren personen bestaat.
Bij doorlopende controles kan bepaalde documentatie worden overgenomen uit de voorgaande periode en, naargelang dit noodzakelijk is, worden geactualiseerd teneinde veranderingen in de activiteiten of processen van de entiteit te weerspiegelen.
Bijlage 1: Componenten van de interne beheersing
(Zie Par. 4(c), 14-24 en A77-A121)
Deze bijlage geeft verdere uitleg over de componenten van de interne beheersing, zoals in de paragrafen 4(c), 14-24 en A77-A121 uiteengezet, die relevant zijn voor een controle van financiële overzichten.
Interne beheersingsomgeving
De interne beheersingsomgeving bevat de volgende elementen:
de communicatie over en handhaving van integriteit en ethische waarden. De effectiviteit van interne beheersingsmaatregelen is afhankelijk van de integriteit en ethische waarden van de personen die deze maatregelen creëren, uitvoeren en monitoren. Integriteit en ethisch gedrag zijn het product van de ethische en gedragsnormen van de entiteit, de wijze waarop ze worden overgebracht en de wijze waarop ze in de praktijk worden toegepast. De handhaving van integriteit en ethische waarden houdt bijvoorbeeld in dat het management maatregelen neemt om stimulansen of verleidingen die werknemers tot oneerlijke, onwettige of onethische handelingen zouden kunnen aanzetten, weg te nemen of te beperken. Het overbrengen van het beleid van de entiteit inzake integriteit en ethische waarden kan onder meer inhouden dat gedragsnormen aan de werknemers worden meegedeeld door middel van uiteenzettingen over het beleid en gedragscodes en door het goede voorbeeld te geven;
het streven naar competentie. Competentie bestaat uit de kennis en vaardigheden die nodig zijn om taken te volbrengen die het werk van de persoon definiëren;
de betrokkenheid van de met governance belaste personen. Het bewustzijn van de interne beheersing van een entiteit wordt in aanzienlijke mate beïnvloed door de met governance belaste personen. Het belang van de verantwoordelijkheden van de met governance belaste personen wordt erkend in gedragscodes en andere wet- en regelgeving of leidraden die ten behoeve van de met governance belaste personen zijn opgesteld. Andere verantwoordelijkheden van de met governance belaste personen zijn onder meer het toezicht op de opzet en effectieve werking van klokkenluiderprocedures en op het proces voor de beoordeling van de effectiviteit van de interne beheersing van de entiteit;
de filosofie en werkstijl van het management. De filosofie en werkstijl van het management omvatten een breed scala aan kenmerken. Zo kunnen de houding en acties van het management ten aanzien van de financiële verslaggeving tot uiting komen in een conservatieve of agressieve keuze uit beschikbare alternatieve verslaggevingsprincipes, of in de zorgvuldigheid en voorzichtigheid waarmee schattingen worden gemaakt;
de organisatiestructuur. De totstandbrenging van een relevante organisatiestructuur houdt onder meer in dat belangrijke bevoegdheids- en verantwoordelijkheidsgebieden en geschikte rapportagelijnen worden vastgesteld. De geschiktheid van de organisatiestructuur van een entiteit hangt mede af van haar omvang en de aard van haar activiteiten;
de toewijzing van bevoegdheden en verantwoordelijkheden. De toewijzing van bevoegdheden en verantwoordelijkheden kan beleidslijnen omvatten met betrekking tot passende handelspraktijken, de kennis en ervaring van personeel op sleutelposities en de middelen die voor het uitvoeren van taken beschikbaar worden gesteld. Daarnaast kan het de beleidslijnen en communicatie omvatten die erop zijn gericht te garanderen dat alle werknemers de doelstellingen van de entiteit begrijpen, weten hoe hun eigen werkzaamheden in verband staan met die van anderen en bijdragen aan het bereiken van deze doelstellingen, en weten hoe en waarvoor zij verantwoording verschuldigd zijn;
de beleidslijnen en praktijken met betrekking tot personeelszaken. Uit de beleidslijnen en praktijken met betrekking tot personeelszaken blijken vaak belangrijke aangelegenheden in verband met het bewustzijn van de interne beheersing van een entiteit. Zo vormen normen voor de werving van de meest gekwalificeerde personen – met nadruk op opleiding, werkervaring, realisaties en bewijs van integriteit en ethisch gedrag – een bewijs dat de entiteit streeft naar competent en betrouwbaar personeel. De beleidslijnen inzake training die de toekomstige taken en verantwoordelijkheden overbrengen en die praktijken zoals trainingsscholen en seminars omvatten, geven aan welke prestatieniveaus en welk gedrag worden verwacht. Promoties op basis van periodieke prestatiebeoordelingen geven het belang aan dat de entiteit hecht aan de bevordering van gekwalificeerd personeel naar hogere verantwoordelijkheidsniveaus.
Risico-inschattingsproces van de entiteit
In het kader van de doelstellingen inzake financiële verslaggeving omvat het risico-inschattingsproces van de entiteit onder meer de wijze waarop het management bedrijfsrisico's identificeert die relevant zijn voor de opstelling van financiële overzichten in overeenstemming met het door de entiteit toegepaste stelsel inzake financiële verslaggeving, het belang ervan inschat, beoordeelt hoe groot de kans is dat ze zich zullen voordoen, en beslissingen neemt over maatregelen om op die risico's in te spelen en ze te beheersen. Zo is het mogelijk dat het risico-inschattingsproces van een entiteit inspeelt op de wijze waarop de entiteit rekening houdt met de mogelijkheid van niet-vastgelegde transacties of significante in de financiële overzichten vastgelegde schattingen bepaalt en analyseert.
De risico's die relevant zijn voor een betrouwbare financiële verslaggeving omvatten externe en interne gebeurtenissen, transacties of omstandigheden die zich kunnen voordoen en die een nadelig effect hebben op de mogelijkheid van de entiteit om financiële gegevens tot stand te brengen, vast te leggen, te verwerken en te rapporteren in overeenstemming met de beweringen van het management in de financiële overzichten. Het management kan plannen, programma's of maatregelen opstellen om op specifieke risico's in te spelen, of kan besluiten om een risico uit kostenoverwegingen of om andere redenen te aanvaarden. Risico's kunnen ontstaan of veranderen als gevolg van omstandigheden zoals:
veranderingen in de operationele omgeving. Wijzigingen in de regelgeving of operationele omgeving kunnen leiden tot veranderingen in de concurrentiedruk en significante veranderingen in de risico's;
nieuw personeel. Nieuw personeel kan anders aankijken tegen of andere inzichten hebben in interne beheersing;
nieuwe of vernieuwde informatiesystemen. Significante en snelle veranderingen in informatiesystemen kunnen het risico met betrekking tot interne beheersing veranderen;
snelle groei. Een aanzienlijke en snelle uitbreiding van de activiteiten kan de interne beheersing onder druk zetten en het risico op falen van de interne beheersingsmaatregelen doen toenemen;
nieuwe technologie. De invoering van nieuwe technologieën in productieprocessen of informatiesystemen kan het risico met betrekking tot de interne beheersing wijzigen;
nieuwe bedrijfsmodellen, producten of activiteiten. Het ondernemen van activiteiten of aangaan van transacties waarmee de entiteit weinig ervaring heeft, kan leiden tot nieuwe risico's met betrekking tot de interne beheersing;
reorganisaties. Reorganisaties kunnen gepaard gaan met een inkrimping van de staf en met veranderingen in toezicht en functiescheiding die het risico met betrekking tot de interne beheersing kunnen wijzigen;
uitbreiding van activiteiten in het buitenland. De uitbreiding of overname van buitenlandse activiteiten brengt nieuwe en vaak unieke risico's met zich die van invloed kunnen zijn op de interne beheersing, bijvoorbeeld nieuwe of gewijzigde risico's die voortkomen uit in vreemde valuta luidende transacties;
nieuwe verslaggevingsregels. De toepassing van nieuwe verslaggevingsprincipes of wijziging van bestaande verslaggevingsprincipes kan van invloed zijn op de risico's bij het opstellen van de financiële overzichten.
Het voor de financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarmee verband houdende bedrijfsprocessen, en de communicatie
Een informatiesysteem bestaat uit infrastructuur (fysieke en hardwarecomponenten), software, mensen, procedures en gegevens. Veel informatiesystemen maken uitgebreid gebruik van informatietechnologie (IT).
Het informatiesysteem dat relevant is voor de doelstellingen inzake financiële verslaggeving, waartoe het systeem voor financiële verslaggeving behoort, omvat methoden en vastleggingen die:
alle geldige transacties identificeren en vastleggen;
de transacties tijdig en voldoende gedetailleerd beschrijven om de juiste classificatie van transacties voor verslaggevingsdoeleinden mogelijk te maken;
de waarde van transacties bepalen op een wijze die het mogelijk maakt de juiste geldwaarde ervan in de financiële overzichten vast te leggen;
de periode bepalen waarin transacties hebben plaatsgevonden om de vastlegging van transacties in de juiste verslagperiode mogelijk te maken;
de transacties en daarmee verband houdende toelichtingen naar behoren in de financiële overzichten presenteren.
De kwaliteit van door systemen gegenereerde informatie is van invloed op het vermogen van het management om juiste beslissingen te nemen bij het leiden en beheersen van de activiteiten van de entiteit en om betrouwbare financiële verslagen op te stellen.
Communicatie, d.w.z. het verschaffen van inzicht in individuele taken en verantwoordelijkheden met betrekking tot de interne beheersing inzake de financiële verslaggeving, kan de vorm aannemen van handboeken over beleidslijnen en -procedures, handboeken over administratieve verwerking en financiële verslaggeving, en memoranda. Communicatie kan ook elektronisch, mondeling of via handelingen van het management plaatsvinden.
Interne beheersingsactiviteiten
Interne beheersingsactiviteiten die mogelijk relevant zijn voor een controle kunnen worden onderverdeeld in beleidslijnen en -procedures die betrekking hebben op:
prestatiebeoordelingen. Deze interne beheersingsactiviteiten bestaan onder meer uit het beoordelen en analyseren van de werkelijke prestaties versus budgetten, prognoses en prestaties in voorgaande verslagperiodes; het leggen van verbanden tussen verschillende gegevensreeksen – operationeel of financieel – samen met analyses van de verbanden en onderzoekshandelingen of corrigerende maatregelen; het vergelijken van interne gegevens met externe informatiebronnen; en het beoordelen van functionele prestaties of prestaties van activiteiten;
informatieverwerking. De twee grote groepen van interne beheersingsactiviteiten met betrekking tot informatiesystemen zijn ‘applicationcontrols’, die van toepassing zijn op de verwerking van individuele toepassingen, en general IT controls, zijnde de beleidslijnen en -procedures die betrekking hebben op een groot aantal toepassingen en die de effectieve werking van ‘applicationcontrols’ ondersteunen door ertoe bij te dragen dat de informatiesystemen juist blijven werken. Voorbeelden van ‘applicationcontrols’zijn het controleren van de rekenkundige nauwkeurigheid van vastleggingen, het onderhouden en beoordelen van rekening- en proefbalanssaldi, geautomatiseerde interne beheersingsmaatregelen zoals wijzigingscontroles van invoergegevens en controles op nummervolgorde, en handmatige opvolging van uitzonderingsrapporten. Voorbeelden van ‘general IT controls’ zijn interne beheersingsmaatregelen voor programmawijzigingen, interne beheersingsmaatregelen die de toegang tot programma's of gegevens beperken, interne beheersingsmaatregelen voor de implementatie van nieuwe versies van softwarepakketten, en interne beheersingsmaatregelen voor systeemsoftware die de toegang beperken tot of het gebruik monitoren van hulpprogramma's die financiële gegevens of vastleggingen zouden kunnen wijzigen zonder een controlespoor achter te laten;
Fysieke interne beheersingsmaatregelen. Deze interne beheersingsmaatregelen omvatten:
de fysieke beveiliging van activa, met inbegrip van adequate veiligheidsmaatregelen zoals beveiligde faciliteiten voor de toegang tot activa en vastleggingen;
de autorisatie voor de toegang tot computerprogramma's en gegevensbestanden;
periodieke tellingen en vergelijkingen met bedragen in controlebestanden (bijvoorbeeld het vergelijken van de resultaten van tellingen van contant geld, effecten en voorraden met de administratieve vastleggingen);
De mate waarin fysieke interne beheersingsmaatregelen die erop gericht zijn diefstal van activa te voorkomen relevant zijn voor de betrouwbaarheid van de opstelling van de financiële overzichten, en dus voor de controle, is afhankelijk van omstandigheden zoals de situatie waarin activa in sterke mate vatbaar zijn voor oneigenlijke toe-eigening.
functiescheiding. De toewijzing aan verschillende personen van de verantwoordelijkheden voor het autoriseren van transacties, het vastleggen van transacties en het bewaren van activa. Functiescheiding is bedoeld om beperkingen aan te brengen in de mogelijkheden voor wie dan ook om bij de uitvoering van zijn normale taken fouten te maken en te verhullen of fraude te plegen en te verhullen.
Sommige interne beheersingsactiviteiten kunnen afhankelijk zijn van het bestaan van passende beleidslijnen op een hoger niveau die door het management of de met governance belaste personen zijn vastgesteld. Zo kunnen autorisatiecontroles worden gedelegeerd overeenkomstig vastgestelde richtlijnen, zoals investeringscriteria die door de met governance belaste personen zijn vastgesteld; anderzijds kan het voorkomen dat niet-routinematige transacties, zoals belangrijke overnames/verwervingen of afstotingen/desinvesteringen, de specifieke toestemming van een hoog niveau in de organisatie vereisen, met inbegrip van, in sommige gevallen, de toestemming van de aandeelhouders.
Monitoring van interne beheersingsmaatregelen
Het opzetten en handhaven van een doorlopende interne beheersing is een belangrijke verantwoordelijkheid van het management. Het monitoren door het management van de interne beheersingsmaatregelen houdt onder meer in dat wordt overwogen of de interne beheersingsmaatregelen op de beoogde wijze werken en of ze indien passend worden aangepast aan gewijzigde omstandigheden.Het monitoren van interne beheersingsmaatregelen kan onder meer inhouden dat het management nagaat of de aansluiting van banksaldi tijdig wordt uitgevoerd, dat interne auditors evalueren of de verkoopmedewerkers het beleid van de entiteit met betrekking tot de voorwaarden van verkoopcontracten naleven en dat een juridische afdeling toeziet op de naleving van het beleid van de entiteit inzake ethische of handelspraktijken.Monitoring moet er ook voor zorgen dat interne beheersingsmaatregelen effectief blijven werken. Als bijvoorbeeld de tijdigheid en nauwkeurigheid van bankreconciliaties niet wordt gemonitord, is de kans groot dat het personeel stopt met het opstellen daarvan.
Interne auditors of personeelsleden die soortgelijke functies uitvoeren kunnen via afzonderlijke evaluaties bijdragen aan het monitoren van de interne beheersingsmaatregelen van een entiteit. Zij verschaffen doorgaans regelmatig informatie over de werking van de interne beheersing, waarbij zij uitgebreid aandacht besteden aan het evalueren van de effectiviteit van de interne beheersing, verstrekken informatie over de sterke punten van en tekortkomingen in de interne beheersing en doen aanbevelingen ter verbetering van de interne beheersing.
Monitoringactiviteiten kunnen onder meer inhouden dat informatie wordt gebruikt die afkomstig is van derden en die kan duiden op problemen of die de aandacht kan vestigen op gebieden die voor verbetering vatbaar zijn. Klanten bevestigen vaak impliciet de factureringsgegevens door hun facturen te betalen of door klachten te formuleren over de in rekening gebrachte bedragen.Ook kunnen regelgevende instanties met de entiteit aangelegenheden bespreken die de werking van de interne beheersing beïnvloeden, zoals mededelingen met betrekking tot onderzoeken door regelgevende of toezichthoudende instanties voor de banksector. Tevens kan het management bij de uitvoering van monitoringactiviteiten rekening houden met mededelingen door accountants met betrekking tot de interne beheersing.
Bijlage 2: Omstandigheden en gebeurtenissen die kunnen wijzen op risico's op een afwijking van materieel belang
(Zie Par. A41 en A133)
Hieronder volgen voorbeelden van omstandigheden en gebeurtenissen die kunnen wijzen op het bestaan van risico's op een afwijking van materieel belang in de financiële overzichten. De lijst beslaat een breed scala van omstandigheden en gebeurtenissen. Niet alle omstandigheden en gebeurtenissen zijn echter relevant voor elke controleopdracht, en de lijst met voorbeelden is niet noodzakelijk volledig.
activiteiten in economisch instabiele regio's, bijvoorbeeld landen met een aanzienlijke devaluatie van hun valuta of sterk inflatoire economieën;
activiteiten die aan volatiele markten zijn blootgesteld, zoals de handel in futures;
activiteiten die aan zeer complexe regelgeving zijn onderworpen;
continuïteits- en liquiditeitsproblemen, waaronder het verlies van significante klanten;
beperkingen met betrekking tot de beschikbaarheid van kapitaal en krediet;
veranderingen in de sector waarin de entiteit actief is of in de toeleveringsketen;
ontwikkeling of aanbod van nieuwe producten of diensten, of het starten van nieuwe bedrijfsactiviteiten;
uitbreiding naar nieuwe locaties;
veranderingen in de entiteit, zoals grote overnames of reorganisaties of andere ongebruikelijke gebeurtenissen;
entiteiten of bedrijfssegmenten die waarschijnlijk zullen worden verkocht;
het bestaan van complexe samenwerkingsverbanden en joint ventures;
het gebruik van financiering buiten de balans om, voor een bijzonder doel opgerichte entiteiten en andere complexe financieringsovereenkomsten;
significante transacties met verbonden partijen;
een tekort aan personeel met de nodige vaardigheden op het gebied van administratieve verwerking en financiële verslaggeving;
veranderingen in personeel op sleutelposities, met inbegrip van het vertrek van belangrijke executives;
tekortkomingen in de interne beheersing, in het bijzonder die welke door het management niet worden aangepakt;
stimulansen voor het management en de werknemers om een deel te nemen in frauduleuze financiële verslaggeving;
inconsistenties tussen de IT-strategie van de entiteit en haar bedrijfsstrategieën;
veranderingen in de IT-omgeving;
installatie van significante nieuwe IT-systemen die verband houden met de financiële verslaggeving;
onderzoek door regelgevende of overheidsinstanties van de activiteiten of financiële resultaten van de entiteit;
afwijkingen in het verleden, een verleden van fouten of een aanzienlijk aantal correcties aan het einde van de verslagperiode;
een aanzienlijk aantal niet-routinematige of niet-systematische transacties, met inbegrip van intercompanytransacties en transacties die gepaard gaan met grote opbrengsten aan het einde van de verslagperiode;
transacties die op aandringen van het management worden vastgelegd, zoals de herfinanciering van schulden, te verkopen activa en classificatie van verhandelbare effecten;
toepassing van nieuwe boekhoudkundige regels;
boekhoudkundige waarderingen die gepaard gaan met complexe processen;
gebeurtenissen of transacties die aanleiding geven tot een aanzienlijke onzekerheid omtrent de waardering, met inbegrip van schattingen en daarop betrekking hebbende toelichtingen;
weglaten, of verhullen van significante informatie in de toelichtingen;
lopende rechtszaken en voorwaardelijke verplichtingen, zoals garanties op verkopen, financiële garanties en milieusanering.