315 Risico's op een afwijking van materieel belang identificeren en inschatten

(Zie Par. A96, A97, A98)

(Zie Par. A123, A124, A125, A126, A127, A128, A129, A130)

(Zie Par. A205, A206, A207, A208, A209, A210, A211, A212, A213, A214, A215, A216, A217)

Voor geïdentificeerde risico’s op een afwijking van materieel belang op het niveau van beweringen, dient de accountant het inherente risico in te schatten door de waarschijnlijkheid en de orde van grootte van een afwijking in te schatten. Daarbij dient de accountant rekening te houden met hoe en in welke mate:

1. inherente risicofactoren de vatbaarheid van relevante beweringen voor afwijkingen beïnvloeden; en

2. de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten de inschatting van inherent risico voor risico's op een afwijking van materieel belang op het niveau van beweringen beïnvloeden. (Zie Par. A215 ‒ A216)

De accountant dient te bepalen of de ingeschatte risico's op een afwijking van materieel belang significante risico’s zijn. (Zie Par. A218, A219, A220, A221)

De accountant dient te bepalen of gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie kunnen verschaffen voor de risico’s op een afwijking van materieel belang op het niveau van beweringen. (Zie Par. A222, A223, A224, A225)

Als de accountant van plan is de effectieve werking van interne beheersingsmaatregelen te toetsen, dient de accountant het interne beheersingsrisico in te schatten. Als de accountant niet van plan is om de effectieve werking van interne beheersingsmaatregelen te toetsen, dient zijn inschatting van het interne beheersingsrisico zodanig te zijn dat de inschatting van het risico op een afwijking van materieel belang hetzelfde is als de inschatting van het inherente risico. (Zie Par. A226, A227, A228, A229)

(Zie Par. 14)

Gebruikmakend van geautomatiseerde hulpmiddelen en technieken, kan de accountant algemene risico-inschattingswerkzaamheden uitvoeren op grote aantallen gegevens (van het grootboek, subgrootboeken of andere operationele gegevens) alsmede voor analyse, herberekeningen, het opnieuw uitvoeren of aansluitingen.

Informatie ter ondersteuning van een geschikte basis voor de identificatie en inschatting van risico's en het opzetten van verdere controlewerkzaamheden, kan worden verkregen door de accountant door middel van verzoeken om inlichtingen bij het management en degenen die verantwoordelijk zijn voor financiële verslaggeving.

Verzoeken om inlichtingen bij het management, degenen die verantwoordelijk zijn voor de financiële verslaggeving, andere geschikte personen binnen de entiteit en andere werknemers met verschillende bevoegdheidsniveaus kunnen de accountant verschillende perspectieven bieden bij het identificeren en inschatten van risico's op een afwijking van materieel belang.

Voorbeelden

• Verzoeken om inlichtingen gericht aan de met governance belaste personen kunnen de accountant helpen inzicht te verwerven in de mate van toezicht door de met governance belaste personen op het opstellen van de financiële overzichten door het management. Standaard 260 Standaard 260, Communicatie met de met governance belaste personen, paragraaf 4(b). onderkent het belang van effectieve wederzijdse communicatie om de accountant te helpen in dit verband informatie te verkrijgen van de met governance belaste personen.

• Verzoeken om inlichtingen bij werknemers die verantwoordelijk zijn voor het initiëren, verwerken of vastleggen van complexe of ongebruikelijke transacties kunnen de accountant helpen bij het evalueren in welke mate de keuze en toepassing van bepaalde grondslagen voor financiële verslaggeving passend zijn.

• Verzoeken om inlichtingen bij de interne juridische adviseur kunnen informatie verstrekken over aangelegenheden als rechtszaken, de naleving van wet- en regelgeving, kennis van fraude of vermoede fraude die de entiteit beïnvloedt, garanties, verplichtingen na verkoop, overeenkomsten (zoals joint ventures) met zakenpartners en de betekenis van contractuele bepalingen.

• Verzoeken om inlichtingen bij marketing- of verkooppersoneel kunnen informatie verschaffen over wijzigingen in de marketingstrategieën van de entiteit, verkooptrends of contractuele overeenkomsten met de klanten.

• Verzoeken om inlichtingen gericht op de risicomanagementfunctie (of verzoeken om inlichtingen aan personen die dergelijke rollen uitvoeren) kunnen informatie verschaffen over operationele en wettelijke risico's die van invloed kunnen zijn op de financiële verslaggeving.

• Verzoeken om inlichtingen gericht aan IT-personeel kunnen informatie verschaffen over systeemwijzigingen, falen van systeem- of interne beheersing, of andere IT-gerelateerde risico's.

Bij verzoeken om inlichtingen bij personen die informatie kunnen hebben die waarschijnlijk zal helpen bij het identificeren van risico’s op een afwijking van materieel belang, kunnen accountants van entiteiten in de publieke sector informatie verkrijgen van aanvullende bronnen zoals van de accountants die betrokken zijn bij doelmatigheids- of andere controles met betrekking tot de entiteit.

Als een entiteit een interne auditfunctie heeft, kunnen verzoeken om inlichtingen bij de juiste personen binnen de interne auditfunctie de accountant helpen bij het verwerven van inzicht in de entiteit en haar omgeving en het systeem van interne beheersing van de entiteit bij het identificeren en inschatten van risico's.

Accountants van entiteiten in de publieke sector hebben vaak extra verantwoordelijkheden met betrekking tot interne beheersing en naleving van de van toepassing zijnde wet- en regelgeving. Verzoeken om inlichtingen bij de juiste personen in de interne auditfunctie kunnen de accountants helpen bij het identificeren van het risico op niet-naleving van materieel belang van de van toepassing zijnde wet- en regelgeving en het risico op tekortkomingen in de interne beheersing met betrekking tot financiële verslaggeving.

Cijferanalyses helpen bij het identificeren van inconsistenties, ongebruikelijke transacties of gebeurtenissen, bedragen, ratio's en trends die wijzen op aangelegenheden die implicaties voor de controle kunnen hebben. Ongebruikelijke of onverwachte relaties die geïdentificeerd zijn, kunnen de accountant helpen bij het identificeren van risico's op een afwijking van materieel belang; met name risico's op een afwijking van materieel belang als gevolg van fraude.

Cijferanalyses die worden uitgevoerd als risico-inschattingswerkzaamheden kunnen daarom helpen bij het identificeren en het inschatten van de risico’s op een afwijking van materieel belang door aspecten van de entiteit te identificeren waarvan de accountant zich niet bewust was of niet begreep hoe inherente risicofactoren, zoals wijzigingen, de vatbaarheid van beweringen voor afwijkingen beïnvloeden.

Cijferanalyses uitgevoerd als risico-inschattingswerkzaamheden kunnen:

• zowel financiële als niet-financiële informatie omvatten, bijvoorbeeld de relatie tussen verkoop en vierkante meters van verkoopruimte of hoeveelheid verkochte goederen (niet-financieel);

• gegevens gebruiken die op een hoog niveau zijn samengevoegd. Dienovereenkomstig kunnen de resultaten van die cijferanalyses een eerste globale indicatie geven van de waarschijnlijkheid van een afwijking van materieel belang.

Voorbeeld

Bij de controle van veel entiteiten, waaronder die met minder complexe bedrijfsmodellen en processen en een minder complex informatiesysteem, kan de accountant een eenvoudige vergelijking van informatie uitvoeren, zoals de wijziging in tussentijdse of maandelijkse rekeningsaldi ten opzichte van saldi in eerdere verslagperiodes om een indicatie te krijgen van mogelijk hogere risicogebieden

Deze Standaard behandelt het gebruik door de accountant van cijferanalyses als risico-inschattingswerkzaamheden. Standaard 520 Standaard 520, Cijferanalyses. behandelt het gebruik door de accountant van cijferanalyses als gegevensgerichte werkzaamheden ('gegevensgerichte cijferanalyses') en de verantwoordelijkheid van de accountant om cijferanalyses aan het einde van de controle uit te voeren. Dienovereenkomstig is het niet vereist om cijferanalyses die worden uitgevoerd als risico-inschattingswerkzaamheden uit te voeren in overeenstemming met de vereisten van Standaard 520. Echter, de vereisten en toepassingsgerichte teksten in Standaard 520 kunnen bruikbare leidraden bieden aan de accountant bij het uitvoeren van cijferanalyses als onderdeel van de risico-inschattingswerkzaamheden.

Cijferanalyses kunnen worden uitgevoerd met behulp van een aantal hulpmiddelen of technieken, die geautomatiseerd kunnen zijn. Het toepassen van geautomatiseerde cijferanalyses op de gegevens kan worden aangeduid als data analyse.

Voorbeeld

De accountant kan een spreadsheet gebruiken om een vergelijking te maken van de werkelijk vastgelegde bedragen ten opzichte van gebudgetteerde bedragen, of kan een meer geavanceerde maatregel uitvoeren door gegevens uit het informatiesysteem van de entiteit te extraheren en deze gegevens verder te analyseren met behulp van visualisatietechnieken om transactiestromen, rekeningsaldi of toelichtingen te identificeren waarvoor verdere specifieke risico-inschattingswerkzaamheden gerechtvaardigd kunnen zijn

Waarneming en inspectie kunnen verzoeken om inlichtingen bij het management en anderen ondersteunen, bevestigen of tegenspreken en kunnen ook informatie verschaffen over de entiteit en haar omgeving.

Wanneer beleidslijnen of procedures niet zijn gedocumenteerd of de entiteit minder geformaliseerde interne beheersingsmaatregelen heeft, kan de accountant nog steeds enige controle-informatie verkrijgen om de identificatie en inschatting van de risico’s op een afwijking van materieel belang te ondersteunen door waarneming of inspectie van de uitvoering van de interne beheersingsmaatregel.

Voorbeelden

• De accountant kan inzicht verwerven in de interne beheersingsmaatregelen met betrekking tot een voorraadopname, zelfs als deze niet door de entiteit zijn gedocumenteerd, door directe waarneming.

• De accountant kan in staat zijn functiescheiding waar te nemen.

• De accountant kan in staat zijn waar te nemen dat wachtwoorden worden ingevoerd.

Risico-inschattingswerkzaamheden kunnen waarneming of inspectie van het volgende omvatten:

• de activiteiten van de entiteit;

• interne documenten (zoals ondernemingsplannen en strategieën), vastleggingen en handboeken over de interne beheersing;

• verslagen opgesteld door het management (zoals kwartaalverslagen van het management en tussentijdse financiële overzichten) en de met governance belaste personen (zoals notulen van de vergaderingen van de raad van bestuur);

• de panden en fabrieksinstallaties van de entiteit;

• informatie verkregen uit externe bronnen zoals handels- en economische tijdschriften; rapporten door analisten, banken of kredietbeoordelaars; publicaties van regelgevende of toezichthoudende instanties of financiële publicaties; of andere externe documenten over de financiële prestaties van de entiteit (zoals die waarnaar in paragraaf A79 wordt verwezen);

• de gedragingen en de handelingen van het management of de met governance belaste personen (zoals de waarneming van een vergadering van het auditcomité).

Geautomatiseerde hulpmiddelen of technieken kunnen ook worden gebruikt om waar te nemen of te inspecteren, in het bijzonder activa, bijvoorbeeld door het gebruik van externe waarnemingshulpmiddelen (bijv. een drone).

Risico-inschattingswerkzaamheden die worden uitgevoerd door accountants van entiteiten in de publieke sector kunnen ook waarneming en inspectie van documenten opgesteld door het management voor de wetgever omvatten, bijvoorbeeld documenten met betrekking tot verplichte prestatierapportage.

Informatie verkregen uit andere bronnen kan relevant zijn voor de identificatie en inschatting van de risico's op een afwijking van materieel belang door het verstrekken van informatie en inzichten over:

• de aard van de entiteit en de bedrijfsrisico's en wat gewijzigd kan zijn ten opzichte van de vorige verslagperiodes;

• de integriteit en ethische waarden van het management en de met governance belaste personen, die ook relevant kunnen zijn voor het inzicht van de accountant in de interne beheersingsomgeving;

• het van toepassing zijnde stelsel inzake financiële verslaggeving en de toepassing ervangelet op de aard en omstandigheden van de entiteit.

Andere relevante informatiebronnen omvatten:

• de werkzaamheden van de accountant met betrekking tot aanvaarding of continuering van de cliëntrelatie of de controleopdracht in overeenstemming met Standaard 220, inclusief de conclusies die hierover zijn getrokken; Standaard 220, Kwaliteitsbeheersing voor een controle van financiële overzichten, paragraaf 12.

• andere opdrachten voor de entiteit die door de opdrachtpartner zijn uitgevoerd. De opdrachtpartner kan kennis hebben verkregen die relevant is voor de controle, inclusief kennis over de entiteit en haar omgeving bij het uitvoeren van andere opdrachten voor de entiteit. Dergelijke opdrachten kunnen opdrachten tot het uitvoeren van overeengekomen specifieke werkzaamheden of andere controle- of assurance-opdrachten omvatten, inclusief opdrachten om te voldoen aan toenemende verslaggevingsvereisten in het rechtsgebied.

De eerdere ervaring van de accountant met de entiteit en controlewerkzaamheden die zijn uitgevoerd in eerdere controles kunnen de accountant informatie verschaffen die relevant is voor de bepaling door de accountant van de aard en omvang van risico-inschattingswerkzaamheden en de identificatie en inschatting van risico’s op afwijkingen van materieel belang.

De eerdere ervaring van de accountant met de entiteit en controlewerkzaamheden die zijn uitgevoerd bij eerdere controles kunnen de accountant informatie verstrekken over aangelegenheden als:

• afwijkingen uit het verleden en of deze tijdig zijn gecorrigeerd;

• de aard van de entiteit en haar omgeving en het systeem van interne beheersing van de entiteit (inclusief tekortkomingen in de interne beheersing);

• significante wijzigingen die de entiteit of de activiteiten sinds de vorige financiële verslagperiode hebben ondergaan;

• die bijzondere soorten transacties en andere gebeurtenissen of rekeningsaldi (en daarmee samenhangende toelichtingen) waar de accountant moeilijkheden ondervond bij het uitvoeren van de noodzakelijke controlewerkzaamheden, bijvoorbeeld vanwege hun complexiteit.

Van de accountant wordt vereist om te bepalen of informatie verkregen uit de vorige ervaring met de entiteit en van controlewerkzaamheden die bij eerdere controles zijn uitgevoerd, relevant en betrouwbaar blijft, als de accountant voornemens is die informatie te gebruiken voor de lopende controle. Als de aard of omstandigheden van de entiteit zijn gewijzigd of nieuwe informatie is verkregen, is de informatie uit voorgaande verslagperioden mogelijk niet langer relevant of betrouwbaar voor de lopende controle. Om te bepalen of er wijzigingen zijn voorgekomen die de relevantie of betrouwbaarheid van dergelijke informatie kunnen beïnvloeden, kan de accountant verzoeken om inlichtingen en andere geschikte controlewerkzaamheden uitvoeren, zoals lijncontroles van relevante systemen. Als de informatie niet betrouwbaar is, kan de accountant overwegen extra werkzaamheden uit te voeren die passend zijn in de omstandigheden.

Wanneer de opdracht wordt uitgevoerd door een enkele persoon, zoals een zelfstandige accountant (d.w.z. waar een opdrachtteam bespreking niet mogelijk is), kan overweging van de in de paragrafen A42 en A46 genoemde aangelegenheden de accountant niettemin helpen om te identificeren waar er risico's kunnen zijn op afwijkingen van materieel belang.

Wanneer een opdracht wordt uitgevoerd door een groot opdrachtteam, zoals voor een controle van financiële overzichten van de groep, is het niet altijd noodzakelijk of praktisch uitvoerbaar dat alle leden in één bespreking worden geïnformeerd (bijvoorbeeld in een controle die meerdere locaties betreft), noch is het nodig dat alle leden van het opdrachtteam op de hoogte worden gehouden van alle beslissingen die in de bespreking zijn genomen. De opdrachtpartner kan aangelegenheden bespreken met kernleden van het opdrachtteam, met inbegrip van, indien nodig geacht, degenen met specifieke vaardigheden of kennis en degenen die verantwoordelijk zijn voor de controles van groepsonderdelen, terwijl bespreking met anderen wordt gedelegeerd, rekening houdend met de omvang van communicatie die door het hele opdrachtteam noodzakelijk wordt geacht. Een door de opdrachtpartner goedgekeurd communicatieplan kan nuttig zijn.

Als onderdeel van de bespreking binnen het opdrachtteam, helpt rekening houden met de toelichtingsvereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving in het begin van de controle bij het identificeren van mogelijke risico’s op een afwijking van materieel belang met betrekking tot toelichtingen. Dit helpt zelfs in omstandigheden waarin het van toepassing zijnde stelsel inzake financiële verslaggeving alleen vereenvoudigde toelichtingen vereist. Aangelegenheden die het opdrachtteam kan bespreken omvatten:

• veranderingen in financiële verslaggevingsvereisten die kunnen leiden tot significante nieuwe of herziene toelichtingen;

• veranderingen in haar omgeving, financiële toestand of activiteiten van de entiteit die kunnen leiden tot significante nieuwe of herziene toelichtingen, bijvoorbeeld een significante fusie of overname in de gecontroleerde verslagperiode;

• toelichtingen waarvoor het verkrijgen van voldoende en geschikte controle-informatie moeilijk kan zijn geweest in het verleden; en

• toelichtingen over complexe aangelegenheden, waaronder die waarbij significante oordeelsvorming van het management betrokken is over welke informatie moet worden toegelicht.

Als onderdeel van de bespreking binnen het opdrachtteam door accountants van entiteiten in de publieke sector, kan ook rekening worden gehouden met eventuele aanvullende bredere doelstellingen en bijbehorende risico's die voortkomen uit het controlemandaat of verplichtingen voor entiteiten in de publieke sector.

De aard en omvang van het vereiste inzicht is een aangelegenheid van professionele oordeelsvorming door de accountant en varieert van entiteit tot entiteit gebaseerd op de aard en omstandigheden van de entiteit, waaronder:

• de omvang en complexiteit van de entiteit, inclusief de IT-omgeving;

• de eerdere ervaring van de accountant met de entiteit;

• de aard van de systemen en processen van de entiteit, inclusief of deze al dan niet geformaliseerd zijn; en

• de aard en vorm van de documentatie van de entiteit.

De risico-inschattingswerkzaamheden van de accountant om het vereiste inzicht te verwerven, kunnen minder uitgebreid zijn in controles van minder complexe entiteiten en uitgebreider voor complexere entiteiten. Het inzicht dat door de accountant wordt vereist, zal naar verwachting minder diepgaand zijn dan het inzicht dat het management bezit bij het leiden van de entiteit.

Sommige stelsels inzake financiële verslaggeving staan kleinere entiteiten toe om eenvoudigere en minder gedetailleerde toelichtingen te verschaffen in de financiële overzichten. Dit ontslaat de accountant echter niet van zijn verantwoordelijkheid om inzicht te verwerven in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving zoals het van toepassing is op de entiteit.

Het gebruik van IT door de entiteit en de aard en omvang van veranderingen in de IT-omgeving kunnen ook van invloed zijn op de specialistische vaardigheden die nodig zijn om het vereiste inzicht te verwerven.

(Zie Par. 19(a))

Inzicht in de organisatiestructuur en eigendom van de entiteit kan de accountant in staat stellen inzicht te verwerven in aangelegenheden als:

• de complexiteit van de structuur van de entiteit;

Voorbeeld

De entiteit kan een enkele entiteit zijn of de structuur van de entiteit kan dochterondernemingen, divisies of andere groepsonderdelen op meerdere locaties omvatten. Verder kan de juridische structuur verschillen van de operationele structuur. Complexe structuren introduceren vaak factoren die aanleiding kunnen geven tot hogere vatbaarheid voor risico's op een afwijking van materieel belang. Dergelijke kwesties kunnen betrekking hebben op de vraag of goodwill, joint ventures, investeringen of voor een bijzonder doel opgerichte entiteiten op de juiste wijze administratief zijn verwerkt en of adequate toelichting van dergelijke kwesties is gegeven in de financiële overzichten

• het eigendom en relaties tussen eigenaren en andere mensen of entiteiten, inclusief verbonden partijen. Dit inzicht kan helpen om te bepalen of transacties met verbonden partijen op passende wijze zijn geïdentificeerd, verantwoord en voldoende toegelicht in de financiële overzichten; Standaard 550 stelt vereisten vast en geeft leidraden over de overwegingen van de accountant met betrekking tot verbonden partijen.

• het onderscheid tussen de eigenaars, de met governance belaste personen en management;

Voorbeeld

In minder complexe entiteiten kunnen eigenaren van de entiteit betrokken zijn bij het leiden van de entiteit, daarom is daar weinig of geen onderscheid. Daarentegen kan er een duidelijk onderscheid zijn tussen het management, de eigenaren van de entiteit en de met governance belaste personen zoals in sommige oob’s of andere beursgenoteerde entiteiten. Standaard 260, paragraaf A1 en A2 bieden leidraden voor de identificatie van de met governance belaste personen en legt uit dat in sommige gevallen sommige of alle personen belast met governance betrokken kunnen zijn bij het leiden van de entiteit. In de ISA’s wordt gesproken over listed entities.

• de structuur en complexiteit van de IT-omgeving van de entiteit;

Voorbeelden

Een entiteit kan:

• meerdere verouderde IT-systemen hebben in diverse bedrijfsactiviteiten die niet goed zijn geïntegreerd, resulterend in een complexe IT-omgeving.

• gebruikmaken van externe of interne serviceproviders voor aspecten van de IT-omgeving (bijv. het uitbesteden van de hosting van de IT-omgeving aan een derde of een gedeeld servicecentrum voor centraal beheer van IT-processen in een groep).

Bijlage 1 bevat aanvullende overwegingen voor het verwerven van inzicht in de entiteit en haar bedrijfsmodel, evenals aanvullende overwegingen voor het controleren van voor een bijzonder doel opgerichte entiteiten

(Zie Par. 19(a)(ii))

(Zie Par. 19(a)(iii))

Aangelegenheden die de accountant kan overwegen bij het verkrijgen van inzicht in het van toepassing zijnde stelsel voor financiële verslaggeving van de entiteit en hoe dit van toepassing is in de context van de aard en omstandigheden van de entiteit en haar omgeving omvatten:

• de financiële verslaggevingspraktijken van de entiteit in termen van het van toepassing zijnde stelsel inzake financiële verslaggeving, zoals:

• verslaggevingsprincipes en sectorspecifieke praktijken, inclusief sectorspecifieke significante transactiestromen, rekeningsaldi en daarmee verband houdende toelichtingen in de financiële overzichten (bijvoorbeeld leningen en investeringen bij banken, of onderzoek en ontwikkeling bij farmaceutische bedrijven);

• opbrengstverantwoording;

• administratieve verwerking van financiële instrumenten, inclusief gerelateerde kredietverliezen;

• activa, passiva en transacties in vreemde valuta;

• administratieve verwerking van ongebruikelijke of complexe transacties, waaronder transacties in controversiële of nieuwe gebieden (bijvoorbeeld crypto valuta).

• inzicht in de keuze en toepassing van de grondslagen voor financiële verslaggeving door de entiteit, inclusief eventuele wijzigingen daarin, evenals de redenen daarvoor, kan aangelegenheden omvatten zoals:

• de methoden die de entiteit gebruikt om significante en ongebruikelijke transacties te herkennen, te waarderen, te presenteren en toe te lichten;

• het effect van significante grondslagen voor financiële verslaggeving in controversiële of nieuwe gebieden waarvoor er een gebrek is aan gezaghebbende leidraden of consensus;

• wijzigingen in haar omgeving, zoals wijzigingen in het van toepassing zijnde stelsel inzake financiële verslaggeving of belastinghervormingen die een wijziging in de grondslagen voor financiële verslaggeving van de entiteit noodzakelijk maken;

• standaarden inzake financiële verslaggeving en wet- en regelgeving die nieuw zijn voor de entiteit en wanneer en hoe de entiteit dergelijke vereisten zal toepassen of naleven.

Het verwerven van inzicht in de entiteit en haar omgeving kan de accountant helpen bij het overwegen waar wijzigingen in de financiële verslaggeving van de entiteit (bijvoorbeeld vanuit voorgaande verslagperioden) kunnen worden verwacht.

Voorbeeld

Als de entiteit gedurende de verslagperiode een significante fusie of overname heeft gehad, zou de accountant waarschijnlijk veranderingen in transactiestromen, rekeningsaldi en daarmee verband houdende toelichtingen met betrekking tot die fusie of overname verwachten. Aan de andere kant, als er geen significante wijzigingen in het stelsel voor financiële verslaggeving waren gedurende de verslagperiode, kan het inzicht van de accountant helpen bevestigen dat het inzicht verkregen in de voorgaande verslagperiode van toepassing blijft.

Het van toepassing zijnde stelsel voor financiële verslaggeving in een entiteit in de publieke sector wordt bepaald door de wet- en regelgevingskaders die relevant zijn voor elke jurisdictie of binnen elk geografisch gebied. Aangelegenheden die overwogen kunnen worden bij de toepassing door de entiteit van het van toepassing zijnde stelsel inzake financiële verslaggeving en hoe het van toepassing is in de context van de aard en omstandigheden van de entiteit en haar omgeving, omvatten of de entiteit financiële verslaggeving volledig op basis van een stelsel van baten en lasten of op kasbasis toepast in overeenstemming met de International Public Sector Accounting Standards, of een hybride vorm.

(Zie Par. 19(c))

Bijlage 2 geeft voorbeelden van gebeurtenissen en omstandigheden die aanleiding kunnen geven voor het bestaan van risico's op een afwijking van materieel belang, ingedeeld naar inherente risicofactor

Inzicht in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving, helpt de accountant bij het identificeren van gebeurtenissen of omstandigheden, waarvan de kenmerken de vatbaarheid van beweringen over transactiestromen, rekeningsaldi of toelichtingen voor afwijkingen beïnvloeden. Deze kenmerken zijn inherente risicofactoren. Inherente risicofactoren kunnen de vatbaarheid van beweringen voor afwijkingen beïnvloeden door de waarschijnlijkheid van het voorkomen of de orde van grootte van de afwijking als deze zich zou voordoen te beïnvloeden. Inzicht in hoe inherente risicofactoren de vatbaarheid van beweringen voor afwijkingen beïnvloeden, kan de accountant helpen met een voorlopig inzicht in de waarschijnlijkheid of orde van grootte van afwijkingen, dat de accountant helpt bij het identificeren van risico's op een afwijking van materieel belang op het niveau van beweringen in overeenstemming met paragraaf 28 (b). Inzicht in de mate waarin inherente risicofactoren de vatbaarheid van beweringen voor afwijkingen beïnvloeden, helpt de accountant ook bij het inschatten van de waarschijnlijkheid en de orde van grootte van een mogelijke afwijking bij het inschatten van het inherente risico in overeenstemming met paragraaf 31(a). Inzicht in de inherente risicofactoren kan de accountant ook helpen bij het opzetten en verder uitvoeren van controlewerkzaamheden in overeenstemming met Standaard 330.

De identificatie door de accountant van risico's op een afwijking van materieel belang op het niveau van beweringen en de inschatting van inherent risico kan ook worden beïnvloed door controle-informatie die de accountant heeft verkregen bij het uitvoeren van andere risico-inschattingswerkzaamheden, verdere controlewerkzaamheden of bij het voldoen aan andere vereisten in de Standaarden (Zie Par. A95, A103, A111, A121, A124 en A151).

De mate van vatbaarheid voor een afwijking van een transactiestroom, rekeningsaldo of toelichting die voortkomt uit complexiteit of subjectiviteit hangt vaak nauw samen met de mate waaraan deze is onderworpen aan wijzigingen of onzekerheid.

Voorbeeld

Als de entiteit een schatting heeft die is gebaseerd op veronderstellingen, waarvan de keuze onderworpen is aan significante oordeelsvorming, zal de waardering van de schatting waarschijnlijk worden beïnvloed door zowel subjectiviteit als onzekerheid.

Hoe groter de mate waarin een transactiestroom, rekeningsaldo of toelichting vatbaar is voor een afwijking als gevolg van complexiteit of subjectiviteit, des te groter is de noodzaak voor de accountant om een professioneel-kritische instelling toe te passen. Wanneer een transactiestroom, rekeningsaldo of toelichting vatbaar is voor afwijkingen vanwege complexiteit, subjectiviteit, wijzigingen of onzekerheid, kunnen deze inherente risicofactoren mogelijkheden creëren voor tendentie bij het management, hetzij onopzettelijk of opzettelijk, en de vatbaarheid voor een afwijking als gevolg van tendentie bij het management beïnvloeden. De identificatie door de accountant van risico’s op een afwijking van materieel belang en een inschatting van het inherente risico op het niveau van beweringen worden ook beïnvloed door de onderlinge relaties tussen inherente risicofactoren.

Gebeurtenissen of omstandigheden die van invloed kunnen zijn op de vatbaarheid voor afwijkingen als gevolg van tendentie bij het management, kunnen ook van invloed zijn op de vatbaarheid voor afwijkingen als gevolg van andere frauderisicofactoren. Dit kan relevante informatie zijn om te gebruiken in overeenstemming met paragraaf 24 van Standaard 240, die van de accountant vereist om te evalueren of de informatie verkregen uit de andere risico-inschattingswerkzaamheden en daarmee verband houdende activiteiten erop duiden dat een of meer frauderisicofactoren aanwezig zijn.

De manier waarop het interne beheersingssysteem van de entiteit is ontworpen, geïmplementeerd en onderhouden varieert met de grootte en complexiteit van een entiteit. Minder complexe entiteiten kunnen bijvoorbeeld minder gestructureerde of eenvoudigere interne beheersingsmaatregelen (d.w.z. beleidslijnen en procedures) gebruiken om hun doelstellingen te bereiken.

Accountants van entiteiten in de publieke sector hebben vaak aanvullende verplichtingen met betrekking tot interne beheersing, bijvoorbeeld om te rapporteren over de naleving van een vastgestelde gedragscode of om te rapporteren over uitgaven ten opzichte van het budget. Accountants van entiteiten in de publieke sector kunnen ook verantwoordelijkheden hebben om te rapporteren over naleving van wet- en regelgeving of andere van kracht zijnde voorschriften. Als gevolg hiervan, kunnen hun overwegingen over het systeem van interne beheersing breder en gedetailleerder zijn.

Bijlage 5 biedt verdere leidraden voor het verwerven van inzicht in het gebruik van IT door de entiteit in de componenten van het systeem van interne beheersing

De algehele doelstelling en reikwijdte van een controle verschilt niet bij een entiteit die hoofdzakelijk actief is in een niet-geautomatiseerde omgeving, een volledig geautomatiseerde omgeving of een omgeving met een combinatie van handmatige en geautomatiseerde elementen (d.w.z. handmatige en geautomatiseerde interne beheersingsmaatregelen en andere middelen die worden gebruikt in het interne beheersingssysteem van de entiteit).

Bij het evalueren van de effectiviteit van de opzet van interne beheersingsmaatregelen en of deze zijn geïmplementeerd (zie paragrafen A175 tot en met A181), verschaft het inzicht van de accountant in elk van de componenten van het systeem van interne beheersing van de entiteit een voorlopig inzicht in hoe de entiteit bedrijfsrisico’s identificeert en daarop inspeelt. Het kan ook de identificatie en inschatting door de accountant van de risico’s op een afwijking van materieel belang op verschillende manieren beïnvloeden (zie paragraaf A86). Dit helpt de accountant bij het opzetten en uitvoeren van verdere controlewerkzaamheden, inclusief eventuele plannen om de effectieve werking van interne beheersingsmaatregelen te toetsen. Bijvoorbeeld:

• het inzicht van de accountant in de interne beheersingsomgeving van de entiteit, het risico-inschattingsproces van de entiteit, en het proces van de entiteit om componenten van interne beheersingsmaatregelen te monitoren, heeft waarschijnlijk meer invloed op de identificatie en inschatting van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten;

• het inzicht van de accountant in het informatiesysteem en de communicatie van de entiteit, en de component ‘interne beheersingsactiviteiten’ van de entiteit heeft waarschijnlijk meer invloed op de identificatie en inschatting van risico's op een afwijking van materieel belang op het niveau van beweringen.

(Zie Par. 21 – 24)

De interne beheersingsmaatregelen in de interne beheersingsomgeving, het risico-inschattingsproces van de entiteit en het proces van de entiteit om het systeem van interne beheersing te monitoren, zijn voornamelijk indirecte interne beheersingsmaatregelen (d.w.z. interne beheersingsmaatregelen die niet voldoende nauwkeurig zijn om afwijkingen op het niveau van beweringen te voorkomen, detecteren of te corrigeren, maar die andere interne beheersingsmaatregelen ondersteunen en daarom een indirect effect kunnen hebben op de waarschijnlijkheid dat een afwijking tijdig gedetecteerd of voorkomen wordt). Sommige interne beheersingsmaatregelen binnen deze componenten kunnen echter ook directe interne beheersingsmaatregelen zijn.

De interne beheersingsomgeving biedt een algemeen fundament voor de werking van de andere componenten van het systeem van interne beheersing. De interne beheersingsomgeving voorkomt, detecteert en corrigeert niet rechtstreeks afwijkingen. Het kan echter de effectiviteit van interne beheersingsmaatregelen in de andere componenten van het systeem van interne beheersing beïnvloeden. Evenzo zijn het risico-inschattingsproces van de entiteit en het proces voor het monitoren van het systeem van interne beheersing ontworpen om op een manier te werken die ook het hele systeem van interne beheersing ondersteunt.

Omdat deze componenten fundamenteel zijn voor het interne beheersingssysteem van de entiteit, kunnen tekortkomingen in hun werking gevolgen met een diepgaande invloed hebben voor het opstellen van de financiële overzichten. Daarom hebben het inzicht en de inschattingen van de accountant van deze componenten invloed op de identificatie en inschatting door de accountant van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en kan dit ook van invloed zijn op de identificatie en inschatting van risico's op een afwijking van materieel belang op het niveau van beweringen. Risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten beïnvloeden de opzet van algehele manieren van inspelen door de accountant inclusief, zoals uitgelegd in Standaard 330, invloed op de aard, timing en omvang van de verdere werkzaamheden van de accountant. Standaard 330, paragraaf A1-A3.

(Zie Par. 21)

De aard van de interne beheersingsomgeving in een minder complexe entiteit zal waarschijnlijk verschillen van de interne beheersingsomgeving in een meer complexe entiteit. Zo is het bijvoorbeeld mogelijk dat zich onder de met governance belaste personen in minder complexe entiteiten geen onafhankelijk of extern lid bevindt, en dat de governancefunctie direct door de eigenaar-bestuurder wordt waargenomen als er geen andere eigenaren zijn. In die situatie zijn sommige overwegingen over de interne beheersingsomgeving van de entiteit mogelijk minder relevant of niet van toepassing.

Bovendien is het mogelijk dat controle-informatie over elementen van de interne beheersingsomgeving in minder complexe entiteiten niet beschikbaar is in de vorm van documenten, met name waar communicatie tussen management en ander personeel informeel is, maar de informatie kan nog steeds relevant en betrouwbaar zijn in de omstandigheden.

Voorbeelden

• De organisatiestructuur in een minder complexe entiteit zal waarschijnlijk eenvoudiger zijn en kan een klein aantal werknemers omvatten dat betrokken is bij functies in verband met financiële verslaggeving.

• Als de rol van governance rechtstreeks door de eigenaar-bestuurder wordt uitgeoefend, kan de accountant bepalen dat de onafhankelijkheid van de met governance belaste personen niet relevant is.

• Minder complexe entiteiten hebben misschien geen schriftelijke gedragscode, maar ontwikkelen in plaats daarvan een cultuur die het belang van integriteit en ethisch gedrag benadrukt door mondelinge communicatie en door voorbeeldgedrag van het management. Bijgevolg zijn de houding, het bewustzijn en handelingen van het management of de eigenaar-bestuurder van bijzonder belang voor het inzicht van de accountant in de interne beheersingsomgeving van een minder complexe entiteit

(Zie Par. 21(a))

Controle-informatie voor het inzicht van de accountant in de interne beheersingsomgeving kan worden verkregen via een combinatie van verzoeken om inlichtingen en andere risico-inschattingswerkzaamheden (d.w.z. bevestigende verzoeken om inlichtingen door waarneming of inspectie van documenten).

Bij het overwegen van de mate waarin het management blijk geeft van toewijding aan integriteit en ethische waarden, kan de accountant inzicht verwerven door verzoeken om inlichtingen bij het management en werknemers en door informatie uit externe bronnen te overwegen, over:

• hoe het management zijn visie op bedrijfspraktijken en ethisch gedrag aan werknemers communiceert; en

• inspectie van de schriftelijke gedragscode van het management en waarnemen of het management handelt op een manier die die code ondersteunt.

(Zie Par. 21(b))

De evaluatie door de accountant:

• van hoe de entiteit gedrag vertoont dat consistent is met de toewijding van de entiteit aan integriteit en ethische waarden;

• of de interne beheersingsomgeving een geschikte basis biedt voor de andere componenten van het interne beheersingssysteem van de entiteit; en

• of geïdentificeerde tekortkomingen in de interne beheersing de andere componenten van het systeem van interne beheersing ondermijnen,

helpt de accountant bij het identificeren van potentiële kwesties in de andere componenten van het interne beheersingssysteem. Dit komt omdat de interne beheersingsomgeving fundamenteel is voor de andere componenten van het interne beheersingssysteem van de entiteit. Deze evaluatie kan de accountant ook helpen bij het verwerven van inzicht in risico’s waarmee de entiteit geconfronteerd wordt en daarom bij het identificeren en inschatten van de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten en op het niveau van beweringen (zie paragraaf A86).

De evaluatie van de accountant van de interne beheersingsomgeving is gebaseerd op het inzicht verkregen in overeenstemming met paragraaf 21(a).

Sommige entiteiten kunnen worden gedomineerd door een enkele persoon die veel zelf kan bepalen. De handelingen en houding van die persoon kunnen een diepgaande invloed hebben op de cultuur van de entiteit, die weer een diepgaande invloed kan hebben op de interne beheersingsomgeving. Een dergelijk effect kan positief of negatief zijn.

Voorbeeld

Directe betrokkenheid door een enkele persoon kan cruciaal zijn om de entiteit in staat te stellen de groei- en andere doelstellingen te realiseren en kan ook significant bijdragen aan een effectief systeem van interne beheersing. Anderzijds kan een dergelijke concentratie van kennis en autoriteit ook leiden tot een hogere vatbaarheid voor afwijkingen door het doorbreken van interne beheersmaatregelen door het management.

De accountant kan overwegen hoe de verschillende elementen van de interne beheersingsomgeving kunnen worden beïnvloed door de filosofie en werkstijl van het senior management, rekening houdend met de betrokkenheid van onafhankelijke leden van de met governance belaste personen.

Hoewel de interne beheersingsomgeving een geschikte basis kan vormen voor het systeem van interne beheersing en kan helpen het risico op fraude te verminderen, is een geschikte interne beheersingsomgeving niet noodzakelijkerwijs een effectief afschrikmiddel tegen fraude.

Voorbeeld

Personeelsbeleidslijnen en procedures gericht op het aannemen van competent financieel, administratief, en IT-personeel kunnen het risico op fouten bij het verwerken en vastleggen van financiële informatie beperken. Dergelijke beleidslijnen en procedures kunnen echter niet de doorbreking van interne beheersingsmaatregelen door senior management beperken (bijvoorbeeld om winsten te overschatten).

De evaluatie van de accountant van de interne beheersingsomgeving met betrekking tot het gebruik van IT door de entiteit kan aangelegenheden omvatten als:

• de vraag of governance over IT in verhouding staat tot de aard en complexiteit van de entiteit en de bedrijfsactiviteiten mogelijk gemaakt door IT, inclusief de complexiteit of volwassenheid van het technologieplatform of architectuur van de entiteit en de mate waarin de entiteit afhankelijk is van IT-applicaties ter ondersteuning van de financiële verslaggeving;

• de organisatiestructuur van het management met betrekking tot IT en de toegewezen middelen (bijvoorbeeld of de entiteit in een geschikte IT-omgeving en noodzakelijke verbeteringen heeft geïnvesteerd, of dat een voldoende aantal geschikte deskundige personen in dienst zijn, ook wanneer de entiteit commerciële software gebruikt (met geen of beperkte) modificaties)).

(Zie Par. 22 - 23)

(Zie Par. 22(a))

Zoals uitgelegd in paragraaf A62, geven niet alle bedrijfsrisico's aanleiding tot risico's op een afwijking van materieel belang. Bij het verwerven van inzicht in hoe het management en de met governance belaste personen bedrijfsrisico's hebben geïdentificeerd die relevant zijn voor het opstellen van de financiële overzichten en hebben besloten hoe op deze risico’s in te spelen, zijn aangelegenheden die de accountant kan overwegen onder meer hoe het management of, in voorkomend geval, de personen belast met governance:

• de doelstellingen van de entiteit met voldoende precisie en duidelijkheid heeft gespecificeerd om de identificatie en inschatting van de risico's met betrekking tot de doelstellingen mogelijk te maken;

• de risico's voor het bereiken van de doelstellingen van de entiteit heeft gespecificeerd en de risico’s heeft geanalyseerd als basis voor het bepalen hoe de risico's moeten worden beheerd; en

• het potentieel voor fraude heeft beschouwd bij het overwegen van de risico's om de doelstellingen van de entiteit te bereiken. Standaard 240, paragraaf 19.

De accountant kan de implicaties van dergelijke bedrijfsrisico’s voor het opstellen van de financiële overzichten van de entiteit en andere aspecten van het interne beheersingssysteem overwegen.

(Zie Par. 22(b))

De evaluatie door de accountant van het risico-inschattingsproces van de entiteit kan de accountant helpen bij het verwerven van inzicht waar de entiteit risico's heeft geïdentificeerd die zich kunnen voordoen en hoe de entiteit heeft ingespeeld op die risico's. De evaluatie van de accountant hoe de entiteit de bedrijfsrisico’s identificeert, inschat en erop inspeelt, helpt de accountant bij het inzicht of deze risico's als passend voor de aard en complexiteit van de entiteit zijn geïdentificeerd, ingeschat en hoe erop is ingespeeld. Deze evaluatie kan de accountant ook helpen bij het identificeren en inschatten van risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten en op het niveau van beweringen (Zie Par. A86).

(Zie Par. 22(b))

De evaluatie door de accountant van de geschiktheid van het risico-inschattingsproces van de entiteit is gebaseerd op het inzicht verkregen in overeenstemming met paragraaf 22(a).

Of het risico-inschattingsproces van de entiteit geschikt is voor de omstandigheden gezien de aard en complexiteit van de entiteit is een kwestie van professionele oordeelsvorming door de accountant.

Voorbeeld

In sommige minder complexe entiteiten, en met name door de eigenaar bestuurde entiteiten, kan een geschikte risico-inschatting worden uitgevoerd door de directe betrokkenheid van het management of de eigenaar-bestuurder (de manager of eigenaar-bestuurder kan bijv. routinematig tijd besteden aan het monitoren van de activiteiten van concurrenten en andere ontwikkelingen in de markt om nieuwe bedrijfsrisico’s te identificeren). De informatie van deze risico-inschatting in dit soort entiteiten is vaak niet formeel gedocumenteerd, maar uit de besprekingen die de accountant heeft met het management, kan blijken dat het management in feite risico-inschattings-werkzaamheden uitvoert.

(Zie Par. 24)

In minder complexe entiteiten, en met name door de eigenaar bestuurde entiteiten, is het inzicht van de accountant in het proces van de entiteit om het systeem van interne beheersing te monitoren vaak gericht op hoe het management of de eigenaar-bestuurder direct betrokken is bij activiteiten, omdat er mogelijk geen andere monitoringactiviteiten zijn.

Voorbeeld

Het management kan klachten van klanten ontvangen over onnauwkeurigheden in hun maandelijkse overzichten die de eigenaar-bestuurder alert maakt op kwesties met de tijdigheid van het moment waarop klantbetalingen zijn opgenomen in de administratieve vastleggingen.

Er zijn entiteiten die geen formeel proces voor het monitoren van het systeem van interne beheersing hebben. Bij deze entiteiten kan inzicht in dit proces verkregen worden uit het inzicht in periodieke beoordelingen van management accounting informatie die is opgezet om bij te dragen aan hoe de entiteit afwijkingen voorkomt of detecteert.

(Zie Par. 24(a))

Aangelegenheden die relevant kunnen zijn voor de accountant om te overwegen bij het verwerven van inzicht hoe de entiteit het systeem van interne beheersing monitort, omvatten:

• de opzet van de monitoringactiviteiten, bijvoorbeeld of het periodieke of doorlopende monitoring is;

• deuitvoering en frequentie van de monitoringactiviteiten;

• de evaluatie van de resultaten van de monitoringactiviteiten, op een tijdige basis, om te bepalen of de interne beheersingsmaatregelen effectief zijn geweest; en

• hoe vastgestelde tekortkomingen zijn behandeld door passende corrigerende maatregelen, inclusief tijdige communicatie van dergelijke tekortkomingen aan degenen die verantwoordelijk zijn voor het nemen van corrigerende maatregelen.

De accountant kan ook overwegen hoe het proces van de entiteit om het systeem van interne beheersing te monitoren interne beheersingsmaatregelen met betrekking tot informatieverwerking behandelt waarbij IT wordt gebruikt. Dit kan bijvoorbeeld omvatten:

• interne beheersingsmaatregelen om complexe IT-omgevingen te monitoren die:

• de voortdurende effectieve opzet van interne beheersingsmaatregelen met betrekking tot informatieverwerking evalueren en deze wijzigen, voor zover van toepassing, voor veranderingen in omstandigheden; of

• de effectieve werking van interne beheersingsmaatregelen met betrekking tot informatieverwerking evalueren.

• interne beheersingsmaatregelen die de toegangsrechten monitoren die zijn toegepast in geautomatiseerde interne beheersingsmaatregelen met betrekking tot informatieverwerking die de functiescheiding afdwingen;

• interne beheersingsmaatregelen die monitoren hoe fouten of tekortkomingen in de interne beheersing met betrekking tot de automatisering van financiële verslaggeving worden geïdentificeerd en behandeld.

(Zie Par. 24(a)(ii))

Bijlage 4 bevat verdere overwegingen voor het verwerven van inzicht in interne auditfunctie van de entiteit.

De verzoeken om inlichtingen van de accountant bij de juiste personen binnen de interne auditfunctie helpen de accountant inzicht te verwerven in de aard van de verantwoordelijkheden van de interne auditfunctie. Als de accountant bepaalt dat de verantwoordelijkheden van de functie verband houden met de financiële verslaggeving van de entiteit, kan de accountant nader inzicht verwerven in de activiteiten die door de interne audit zijn uitgevoerd of zullen worden uitgevoerd door het auditplan van de interne auditfunctie voor de verslagperiode te beoordelen, voor zover dit bestaat, en dat plan te bespreken met de juiste personen binnen de interne auditfunctie. Dit inzicht, samen met de informatie die verkregen is uit verzoeken om inlichtingen van de accountant, kan ook informatie verschaffen die direct relevant is voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang. Als de accountant op basis van het voorlopige inzicht in de interne auditfunctie verwacht gebruik te maken van het werk van de interne auditfunctie om de aard of timing van controlewerkzaamheden te wijzigen of de omvang daarvan te verminderen, is Standaard 610 Standaard 610 (herzien 2013), Gebruikmaken van het werk van interne auditors. van toepassing.

(Zie Par. 24(b))

Tot de monitoringactiviteiten van het management kan behoren het gebruikmaken van informatie die uit communicatie met externe partijen is verkregen zoals klachten van klanten of opmerkingen van regelgevende instanties die kunnen duiden op problemen of die de aandacht vestigen op gebieden waarop verbeteringen nodig zijn.

Het inzicht van de accountant in de informatiebronnen die door de entiteit worden gebruikt bij het monitoren van het systeem van interne beheersing van de entiteit, inclusief of de gebruikte informatie relevant en betrouwbaar is, helpt de accountant bij het evalueren of het proces van de entiteit om het systeem van interne beheersing van de entiteit te monitoren, geschikt is. Als het management veronderstelt dat informatie die wordt gebruikt voor monitoring relevant en betrouwbaar is, zonder een basis voor die veronderstelling te hebben, kunnen eventuele fouten in de informatie ertoe leiden dat het management verkeerde conclusies trekt uit zijn monitoringactiviteiten.

De evaluatie van de accountant over hoe de entiteit doorlopende en afzonderlijke evaluaties uitvoert voor het monitoren van de effectiviteit van interne beheersingsmaatregelen, helpt de accountant bij het verwerven van inzicht of de ander componenten van het interne beheersingssysteem van de entiteit aanwezig zijn en functioneren. Dit helpt daarom bij het verwerven van inzicht in de andere componenten van het interne beheersingssysteem van de entiteit. Deze evaluatie kan de accountant ook helpen bij het identificeren en inschatten van risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten en op het niveau van beweringen (zie paragraaf A86).

(Zie Par. 24(c))

(Zie Par. 24(c))

De evaluatie door de accountant van de geschiktheid van het proces van de entiteit om het systeem van interne beheersing te monitoren, is gebaseerd op het inzicht van de accountant in het proces van de entiteit om het systeem van interne beheersing te monitoren.

(Zie Par. 25-26)

De interne beheersingsmaatregelen in het ‘informatiesysteem en communicatie’ en ‘interne beheersingsactiviteiten’ zijn primair directe interne beheersingsmaatregelen (d.w.z. interne beheersingsmaatregelen die voldoende nauwkeurig zijn om afwijkingen op het niveau van beweringen te voorkomen, detecteren of corrigeren).

Van de accountant wordt vereist om inzicht te verwerven in het informatiesysteem en de communicatie van de entiteit. Dit is nodig omdat inzicht in de beleidslijnen van de entiteit die de transactiestromen en andere aspecten van de informatieverwerkingsactiviteiten van de entiteit definiëren die relevant zijn voor het opstellen van de financiële overzichten en het evalueren of de component op passende wijze het opstellen van de financiële overzichten van de entiteit ondersteunt, de identificatie en inschatting van de accountant van risico's op een afwijking van materieel belang op het niveau van beweringen ondersteunt. Dit inzicht en deze evaluatie kunnen ook leiden tot de identificatie van risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten, wanneer de resultaten van de werkzaamheden van de accountant niet consistent zijn met verwachtingen over het systeem van interne beheersing van de entiteit die mogelijk waren gebaseerd op informatie die verkregen is tijdens het proces voor aanvaarding of continuering van de opdracht. (Zie Par. A86)

Van de accountant wordt vereist om specifieke interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ te identificeren, de opzet te evalueren en te bepalen of de interne beheersingsmaatregelen zijn geïmplementeerd, aangezien dit de accountant helpt inzicht te verwerven in de aanpak van het management om in te spelen op bepaalde risico's. Dit biedt daarom een basis voor de opzet en de uitvoering van verdere controlewerkzaamheden die inspelen op deze risico's, zoals vereist door Standaard 330. Hoe hoger in het spectrum van inherent risico een risico is ingeschat, hoe overtuigender de controle-informatie moet zijn. Zelfs wanneer de accountant niet van plan is om de effectieve werking van geïdentificeerde interne beheersingsmaatregelen te toetsen, kan het inzicht van de accountant nog steeds van invloed zijn op de opzet van de aard, timing en omvang van gegevensgerichte controlewerkzaamheden die inspelen op de daarmee samenhangende risico’s op een afwijking van materieel belang.

Zoals uitgelegd in paragraaf A49, verwerft de accountant inzicht in de entiteit en haar omgeving en het van toepassing zijnde stelsel inzake financiële verslaggeving. Dit inzicht kan de accountant helpen bij het ontwikkelen van initiële verwachtingen over de transactiestromen, rekeningsaldi en toelichtingen die significante transactiestromen, rekeningsaldi en toelichtingen kunnen zijn. Bij het verwerven van inzicht in de component ‘informatie systeem en communicatie’ in overeenstemming met paragraaf 25(a), kan de accountant deze initiële verwachtingen gebruiken om de mate van inzicht in de informatieverwerkingsactiviteiten van de entiteit die moet worden verkregen, te bepalen.

Het inzicht van de accountant in het informatiesysteem omvat het verwerven van inzicht in de beleidslijnen die informatiestromen met betrekking tot de significante transactiestromen, rekeningsaldi en toelichtingen van de entiteit en andere gerelateerde aspecten van de informatieverwerkingsactiviteiten van de entiteit definiëren. Deze informatie, en de informatie verkregen uit de evaluatie van de accountant van het informatiesysteem, kan de verwachtingen van de accountant over de significante transactiestromen, rekeningsaldi en toelichtingen die aanvankelijk zijn geïdentificeerd, bevestigen of verder beïnvloeden (Zie Par. A126).

Om inzicht te verwerven in hoe informatie met betrekking tot significante transactiestromen, rekeningsaldi en toelichtingen door het informatiesysteem van de entiteit verwerkt wordt, kan de accountant ook interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ identificeren die moeten worden geïdentificeerd in overeenstemming met paragraaf 26 (a). De identificatie en evaluatie van interne beheersingsmaatregelen door de accountant in de component ‘interne beheersingsactiviteiten’ kan zich eerst richten op interne beheersingsmaatregelen op journaalboekingen en interne beheersingsmaatregelen waarvan de accountant van plan is om de effectieve werking te toetsen bij het opzetten van de aard, timing en omvang van gegevensgerichte werkzaamheden.

De inschatting door de accountant van inherent risico kan ook het onderkennen van interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ beïnvloeden. De identificatie van interne beheersingsmaatregelen door de accountant met betrekking tot significante risico’s kan bijvoorbeeld alleen te onderkennen zijn wanneer de accountant het inherente risico op het niveau van beweringen heeft ingeschat in overeenstemming met paragraaf 31. Bovendien kunnen interne beheersingsmaatregelen die inspelen op risico's waarvoor de accountant heeft vastgesteld dat gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen, (in overeenstemming met paragraaf 33), ook pas te onderkennen zijn als de inschattingen van het inherente risico door de accountant zijn uitgevoerd.

De identificatie en inschatting door de accountant van risico's op een afwijking van materieel belang op het niveau van beweringen wordt beïnvloed door zowel:

• inzicht van de accountant in de beleidslijnen van de entiteit voor de informatieverwerkingsactiviteiten in de component ‘informatiesysteem- en communicatie’; en

• identificatie en evaluatie van de accountant van interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’.

(Zie Par. 25)

Bijlage 3, paragrafen 15–19, bevat verdere overwegingen met betrekking tot het informatiesysteem en communicatie

Het informatiesysteem en gerelateerde bedrijfsprocessen in minder complexe entiteiten zullen waarschijnlijk minder geavanceerd zijn dan in grotere entiteiten, en zal waarschijnlijk een minder complexe IT-omgeving met zich meebrengen; echter, de rol van het informatiesysteem is net zo belangrijk. Minder complexe entiteiten met een directe betrokkenheid van het management hebben mogelijk geen behoefte aan uitgebreide beschrijvingen van administratieve verwerkingsprocedures, geavanceerde administratieve vastleggingen of uitgeschreven beleidslijnen. Inzicht in de relevante aspecten van het informatiesysteem van de entiteit kan daarom minder inspanning vergen bij een controle van een minder complexe entiteit en kan een groter aantal verzoeken om inlichtingen dan waarneming of inspectie van documentatie inhouden. De noodzaak om inzicht te verwerven blijft echter belangrijk om een basis te vormen voor de opzet van verdere controlewerkzaamheden in overeenstemming met Standaard 330 en kan de accountant verder helpen bij het identificeren of inschatten van risico’s op een afwijking van materieel belang. (Zie Par. A86)

(Zie Par. 25(a))

In het interne beheersingssysteem van de entiteit zijn aspecten opgenomen die betrekking hebben op de verslaggevingsdoelstellingen van de entiteit, inclusief de financiële verslaggevingsdoelstellingen, maar kunnen ook aspecten omvatten die betrekking hebben op de doelstellingen op het gebied van de activiteiten of de naleving van wet- en regelgeving, wanneer dergelijke aspecten relevant zijn voor financiële verslaggeving. Inzicht in hoe de entiteit transacties initieert en informatie vastlegt als onderdeel van het inzicht van de accountant in het informatiesysteem kan informatie omvatten over de systemen van de entiteit (de beleidslijnen) die zijn opgezet om nalevings- en operationele doelstellingen te bereiken, omdat dergelijke informatie relevant is voor het opstellen van de financiële overzichten. Verder kunnen sommige entiteiten informatiesystemen hebben die in hoge mate geïntegreerd zijn zodat interne beheersingsmaatregelen op een manier kunnen worden opgezet om tegelijkertijd financiële verslaggevings-, compliance- en operationele doelstellingen en combinaties daarvan te bereiken.

Inzicht in het informatiesysteem van de entiteit omvat ook inzicht in de middelen die worden gebruikt bij de informatieverwerkingsactiviteiten van de entiteit. Informatie over de betrokken personele inzet die relevant kan zijn voor het verwerven van inzicht in risico's voor de integriteit van het informatiesysteem omvat onder meer:

• de competentie van de personen die het werk uitvoeren;

• of er voldoende middelen zijn; en

• of er sprake is van een passende functiescheiding.

Aangelegenheden die de accountant kan overwegen bij het verwerven van inzicht in de beleidslijnen die de informatiestromen definiëren met betrekking tot de significante transactiestromen, rekeningsaldi en toelichtingen van de entiteit in de component ‘informatiesysteem en communicatie’ omvatten de aard van:

1. de gegevens of informatie met betrekking tot te verwerken transacties, andere gebeurtenissen en omstandigheden;

2. de informatieverwerking om de integriteit van die gegevens of informatie te handhaven; en

3. de informatieprocessen, personeel en andere middelen die bij het informatieverwerkingsproces worden gebruikt.

Verwerven van inzicht in de bedrijfsprocessen van de entiteit, waaronder hoe transacties zijn ontstaan, helpt de accountant bij het verwerven van inzicht in het informatiesysteem van de entiteit op een manier die geschikt is voor de omstandigheden van de entiteit.

Het inzicht van de accountant in het informatiesysteem kan op verschillende manieren worden verkregen en kan omvatten:

• verzoeken om inlichtingen bij relevant personeel over de procedures die worden gebruikt voor het initiëren, vastleggen, verwerken en rapporteren van transacties of over het financiële verslaggevingsproces van de entiteit;

• inspectie van beleidslijnen of proceshandboeken of andere documentatie van het informatiesysteem van de entiteit;

• waarneming van de uitvoering van de beleidslijnen of de procedures door het personeel van de entiteit; of

• transacties selecteren en traceren via het van toepassing zijnde proces in het informatiesysteem (d.w.z. een lijncontrole uitvoeren).

De accountant kan ook geautomatiseerde technieken gebruiken om directe toegang tot of een digitale download te verkrijgen van de databases in het informatiesysteem van de entiteit die administratieve gegevens van transacties opslaan. Door geautomatiseerde hulpmiddelen of technieken op deze informatie toe te passen, kan de accountant het verkregen inzicht bevestigen over hoe transacties door het informatiesysteem worden verwerkt door journaalboekingen of andere digitale vastleggingen met betrekking tot een bepaalde transactie of een volledige populatie van transacties, te traceren van initiatie in de administratieve vastleggingen tot opname in het grootboek. Analyse van complete of grote sets transacties kan ook leiden tot het identificeren van variaties van de normale of verwachte verwerkingsprocedures voor deze transacties, die kunnen leiden tot de identificatie van risico's op een afwijking van materieel belang.

Financiële overzichten kunnen informatie bevatten die is verkregen buiten het grootboek en subgrootboeken. Voorbeelden van dergelijke informatie die de accountant kan overwegen omvatten:

• informatie verkregen uit leaseovereenkomsten die relevant zijn voor toelichtingen in de financiële overzichten;

• informatie toegelicht in de financiële overzichten die wordt gegenereerd door het risicomanagementsysteem van een entiteit;

• informatie over reële waarde die door deskundigen ingeschakeld door het management is opgesteld en toegelicht in de financiële overzichten;

• informatie toegelicht in de financiële overzichten die is verkregen uit modellen of uit andere berekeningen die gebruikt zijn om schattingen te ontwikkelen die zijn opgenomen of toegelicht worden in de financiële overzichten, inclusief informatie met betrekking tot de onderliggende gegevens en veronderstellingen die gebruikt zijn in die modellen, zoals:

• intern ontwikkelde veronderstellingen die de gebruiksduur van een actief kunnen beïnvloeden; of

• gegevens zoals rentevoeten die worden beïnvloed door factoren waarop de entiteit geen invloed heeft.

• informatie toegelicht in de financiële overzichten over gevoeligheidsanalyses afgeleid van financiële modellen die aantoont dat het management alternatieve veronderstellingen heeft overwogen;

• informatie opgenomen of toegelicht in de financiële overzichten die is verkregen uit de belastingaangiften en vastleggingen van de entiteit;

• informatie toegelicht in de financiële overzichten die is verkregen uit analyses die zijn opgesteld om de beoordeling van het management van de mogelijkheid van de entiteit om de continuïteit te handhaven te ondersteunen, zoals eventuele toelichtingen met betrekking tot gebeurtenissen of omstandigheden die zijn geïdentificeerd die gerede twijfel kunnen doen ontstaan over de mogelijkheid van de entiteit om de continuïteit te handhaven. Standaard 570, paragraaf 19‒20.

Bepaalde bedragen of toelichtingen in de financiële overzichten van de entiteit (zoals toelichtingen over kredietrisico, liquiditeitsrisico en marktrisico) kunnen gebaseerd zijn op informatie verkregen uit het risicomanagementsysteem van de entiteit. De accountant hoeft echter geen inzicht te verwerven in alle aspecten van het risicomanagementsysteem, en past professionele oordeelsvorming toe bij het bepalen van het benodigde inzicht.

Het inzicht van de accountant in het informatiesysteem omvat de IT-omgeving die relevant is voor de transactiestromen en informatieverwerking in het informatiesysteem van de entiteit omdat het gebruik van IT-applicaties door de entiteit of andere aspecten in de IT-omgeving aanleiding kan geven tot risico’s door het gebruik van IT.

Het inzicht in het bedrijfsmodel van de entiteit en hoe het gebruik van IT wordt geïntegreerd, kan ook nuttige context bieden voor de aard en omvang van IT die in het informatiesysteem wordt verwacht.

Het inzicht van de accountant in de IT-omgeving kan gericht zijn op het identificeren en verwerven van inzicht in de aard en het aantal van de specifieke IT-applicaties en andere aspecten van de IT-omgeving die relevant zijn voor de stromen van transacties en informatieverwerking in het informatiesysteem. Veranderingen in de stroom van transacties of informatie binnen het informatiesysteem kunnen het gevolg zijn van programmawijzigingen in IT-applicaties of directe wijzigingen in gegevens in databases die betrokken zijn bij de verwerking of opslag van die transacties of informatie.

De accountant kan de IT-applicaties en de ondersteunende IT-infrastructuur gelijktijdig identificeren met het inzicht in hoe informatie met betrekking tot significante transactiestromen, rekeningsaldi en toelichtingen door het informatiesysteem van de entiteit verwerkt wordt.

(Zie Par. 25(b))

In grotere, meer complexe entiteiten, kan informatie die de accountant kan overwegen bij het verwerven van inzicht in de communicatie van de entiteit afkomstig zijn van handboeken over beleidsprocedures en over financiële verslaggeving.

In minder complexe entiteiten kan communicatie minder gestructureerd zijn (formele handboeken worden bijvoorbeeld niet gebruikt) vanwege minder verantwoordelijkheidsniveaus en een grotere zichtbaarheid en beschikbaarheid van het management. Ongeacht de grootte van de entiteit vergemakkelijken open communicatiekanalen de rapportage van uitzonderingen en het opvolgen daarvan.

(Zie Par. 25(c))

De evaluatie door de accountant of het informatiesysteem en de communicatie van de entiteit de opstelling van de financiële overzichten op passende wijze ondersteunt, is gebaseerd op het inzicht verkregen in paragraaf 25(a)-(b).

(Zie Par. 26)

Bijlage 3, paragrafen 20 en 21 bevatten verdere overwegingen met betrekking tot interne beheersingsactiviteiten.

De component ‘interne beheersingsactiviteiten’ omvat interne beheersingsmaatregelen die zijn opgezet om te zorgen voor de juiste toepassing van beleidslijnen (die ook interne beheersingsmaatregelen zijn) in alle andere componenten van het interne beheersingssysteem van de entiteit en omvat zowel directe als indirecte interne beheersingsmaatregelen.

Voorbeeld

De interne beheersingsmaatregelen die een entiteit heeft ingesteld om ervoor te zorgen dat het personeel de jaarlijkse fysieke voorraad naar behoren opneemt en vastlegt houden rechtstreeks verband met de risico's op een afwijking van materieel belang die relevant zijn voor de beweringen ‘bestaan’ en ‘volledigheid’ voor het rekeningsaldo van de voorraad.

De identificatie en evaluatie van interne beheersingsmaatregelen door de accountant in de component ‘interne beheersingsactiviteiten’ is gericht op interne beheersingsmaatregelen met betrekking tot informatieverwerking. Dit zijn interne beheersingsmaatregelen die worden toegepast tijdens de verwerking van informatie in het informatiesysteem van de entiteit die direct inspelen op risico's voor de integriteit van informatie (d.w.z. de volledigheid, nauwkeurigheid en geldigheid van transacties en andere informatie). Van de accountant wordt echter niet vereist om alle interne beheersingsmaatregelen met betrekking tot informatieverwerking te identificeren en te evalueren die verband houden met de beleidslijnen van de entiteit die de transactiestromen en andere aspecten van de informatieverwerkingsactiviteiten van de entiteit definiëren voor de significante transactiestromen, rekeningsaldi en toelichtingen.

Er kunnen ook directe interne beheersingsmaatregelen zijn die bestaan in de interne beheersingsomgeving, het risico-inschattingsproces van de entiteit of het proces van de entiteit om het systeem van interne beheersing te monitoren, die kunnen worden geïdentificeerd in overeenstemming met paragraaf 26. Hoe indirecter de relatie tussen interne beheersingsmaatregelen die andere interne beheersingsmaatregelen ondersteunen en de interne beheersingsmaatregel die worden overwogen echter is, hoe minder effectief die interne beheersingsmaatregel kan zijn bij het voorkomen, of detecteren en corrigeren van gerelateerde afwijkingen. ‘

Voorbeeld

Gewoonlijk is een beoordeling door een verkoopmanager van een samenvatting van de verkoopactiviteit voor specifieke winkels per regio alleen indirect gerelateerd aan de risico’s op een afwijking van materieel belang die relevant is voor de bewering van de volledigheid van verkoopopbrengsten. Dienovereenkomstig kan het minder effectief zijn om in te spelen op die risico's dan interne beheersingsmaatregelen die directer daaraan zijn gerelateerd, zoals de aansluiting van vervoersdocumenten met factuurdocumenten

Paragraaf 26 vereist ook dat de accountant general IT controls voor IT-applicaties en andere aspecten van de IT-omgeving identificeert en evalueert, waarvan de accountant heeft vastgesteld dat deze onderhevig zijn aan risico's die voortkomen uit het gebruik van IT, omdat general IT controls de blijvende effectieve werking van interne beheersingsmaatregelen met betrekking tot informatieverwerking ondersteunen. Een general IT-control alleen is meestal niet voldoende om in te spelen op een risico op een afwijking van materieel belang op het niveau van beweringen.

De interne beheersingsmaatregelen waarvan de accountant de opzet moet identificeren en evalueren en de implementatie daarvan moet bepalen in overeenstemming met paragraaf 26, zijn:

• interne beheersingsmaatregelen waarvan de accountant van plan is om de effectieve werking te toetsen voor het bepalen van de aard, timing en omvang van gegevensgerichte werkzaamheden. De evaluatie van dergelijke interne beheersingsmaatregelen vormt de basis voor de opzet van de accountant van het toetsen van interne beheersingsmaatregelen in overeenstemming met Standaard 330. Deze interne beheersingsmaatregelen omvatten ook interne beheersingsmaatregelen die inspelen op risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen;

• interne beheersingsmaatregelen die inspelen op significante risico's en interne beheersingsmaatregelen met betrekking tot journaalboekingen. De identificatie en evaluatie van dergelijke interne beheersingsmaatregelen door de accountant kunnen ook van invloed zijn op het inzicht van de accountant in de risico’s op een afwijking van materieel belang, inclusief de identificatie van aanvullende risico’s op een afwijking van materieel belang (zie paragraaf A95). Dit inzicht biedt ook de basis voor de opzet van de accountant van de aard, timing en omvang van gegevensgerichte controlewerkzaamheden die inspelen op de gerelateerde ingeschatte risico's op een afwijking van materieel belang;

• andere interne beheersingsmaatregelen die de accountant overweegt en die geschikt zijn om de accountant in staat te stellen de doelstellingen van paragraaf 13 met betrekking tot risico's op het niveau van beweringen te bereiken, gebaseerd op de professionele oordeelsvorming van de accountant.

Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ moeten worden geïdentificeerd wanneer dergelijke interne beheersingsmaatregelen voldoen aan een of meer van de criteria in paragraaf 26(a). Wanneer echter meerdere interne beheersingsmaatregelen dezelfde doelstelling bereiken, is het niet nodig om elk van de interne beheersingsmaatregelen met betrekking tot een dergelijke doelstelling te identificeren.

(Zie Par. 26)

Voorbeelden van interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ zijn autorisaties en goedkeuringen, aansluitingen, verificaties (zoals bewerkings- en validatie controles of geautomatiseerde berekeningen), functiescheiding en fysieke of logische interne beheersingsmaatregelen, inclusief die voor de bescherming van activa.

Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ kunnen ook interne beheersingsmaatregelen omvatten die zijn vastgesteld door het management die inspelen op risico’s op een afwijking van materieel belang in verband met toelichtingen die niet in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving zijn opgesteld. Dergelijke interne beheersingsmaatregelen kunnen betrekking hebben op informatie die is opgenomen in de financiële overzichten die is verkregen buiten het grootboek en subgrootboeken.

Ongeacht of interne beheersingsmaatregelen zich binnen de IT-omgeving of in handmatige systemen bevinden, kunnen interne beheersingsmaatregelen verschillende doelstellingen hebben en kunnen ze worden toegepast op verschillende organisatorische en functionele niveaus.

(Zie Par. 26)

Interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ voor minder complexe entiteiten zijn waarschijnlijk vergelijkbaar met die in grotere entiteiten, maar de formaliteit waarmee ze werken kan variëren. Verder kunnen in minder complexe entiteiten meer interne beheersingsmaatregelen direct door het management worden toegepast.

Voorbeeld

De exclusieve bevoegdheid van het management om klanten krediet te verlenen en significante aankopen goed te keuren kan een effectieve interne beheersingsmaatregel bieden over significante rekeningsaldi en transacties.

Het kan minder praktisch uitvoerbaar zijn om functiescheiding in minder complexe entiteiten met minder medewerkers tot stand te brengen. In een door de eigenaar bestuurde entiteit kan de eigenaar-bestuurder echter mogelijk meer effectief toezicht uitoefenen door directe betrokkenheid dan bij een grotere entiteit, wat de over het algemeen beperktere mogelijkheden voor functiescheiding kan compenseren. Hoewel, zoals ook uitgelegd in Standaard 240, overheersing van het management door een enkel persoon kan een potentiële tekortkoming in de interne beheersing zijn, omdat er een mogelijkheid is voor het management om de interne beheersing te doorbreken. Standaard 240, paragraaf A28.

(Zie Par. 26(a))

(Zie Par. 26(a)(i))

Ongeacht of de accountant van plan is om de effectieve werking van interne beheersingsmaatregelen die inspelen op significante risico’s te toetsen, kan het verkregen inzicht over de aanpak van het management om in te spelen op deze risico's een basis vormen voor de opzet en de uitvoering van gegevensgerichte werkzaamheden die inspelen op significante risico's zoals vereist door Standaard 330. Standaard 330, paragraaf 21. Hoewel risico's met betrekking tot significante niet-routinematige of oordeelsvormende aangelegenheden waarschijnlijk vaak minder onderworpen zijn aan routinematige interne beheersingsmaatregelen, is het mogelijk dat het management op een andere manier op dergelijke risico's inspeelt. Dienovereenkomstig kan het inzicht van de accountant of de entiteit interne beheersingsmaatregelen heeft opgezet en geïmplementeerd voor significante risico's die voortkomen uit niet-routinematige of oordeelsvormende aangelegenheden omvatten of en hoe het management inspeelt op de risico's. De manieren om op risico’s in te spelen kunnen omvatten:

• interne beheersingsmaatregelen, zoals een beoordeling van veronderstellingen door het senior management of deskundigen;

• gedocumenteerde processen voor schattingen;

• goedkeuring door de met governance belaste personen.

Voorbeeld

Indien er sprake is van eenmalige gebeurtenissen, zoals de ontvangst van een kennisgeving van een significante rechtszaak, kan bij het overwegen van de manier waarop de entiteit hierop heeft ingespeeld rekening worden gehouden met aangelegenheden zoals de vragen of de entiteit al dan niet geschikte deskundigen (zoals interne of externe juridisch adviseurs) heeft ingeschakeld, of een inschatting is gemaakt van de mogelijke gevolgen en hoe wordt voorgesteld om de omstandigheden toe te lichten in de financiële overzichten.

Standaard 240 Standaard 240, paragraaf 28 en A33. vereist dat de accountant inzicht verwerft in de interne beheersingsmaatregelen met betrekking tot ingeschatte risico’s op een afwijking van materieel belang als gevolg van fraude (die worden behandeld als significante risico's), en legt verder uit dat het belangrijk is voor de accountant om inzicht te verwerven in de interne beheersingsmaatregelen die het management heeft opgezet, geïmplementeerd en onderhouden om fraude te voorkomen en te detecteren.

(Zie Par. 26(a)(ii))

Interne beheersingsmaatregelen die inspelen op de risico’s op een afwijking van materieel belang op het beweringenniveau die naar verwachting voor alle controles worden geïdentificeerd, zijn interne beheersingsmaatregelen met betrekking tot journaalboekingen. De manier waarop een entiteit informatie van transactieverwerking opneemt in het grootboek omvat normaal gesproken het gebruik van journaalboekingen, hetzij standaard of niet-standaard, of geautomatiseerd of handmatig. De mate waarin andere interne beheersingsmaatregelen worden geïdentificeerd, kan variëren op basis van de aard van de entiteit en de geplande aanpak van de accountant van verdere controlewerkzaamheden.

Voorbeeld

Bij een controle van een minder complexe entiteit is het informatiesysteem van de entiteit mogelijk niet complex en kan de accountant mogelijk niet van plan zijn om te steunen op de effectieve werking van interne beheersingsmaatregelen. Verder kan de accountant geen significante risico's of andere risico’s op een afwijking van materieel belang hebben geïdentificeerd waarvoor het noodzakelijk is voor de accountant om de opzet van interne beheersingsmaatregelen te evalueren en te bepalen dat deze zijn geïmplementeerd. Bij een dergelijke controle kan de accountant bepalen dat er geen andere geïdentificeerde interne beheersingsmaatregelen zijn dan de interne beheersingsmaatregelen van de entiteit met betrekking tot journaalboekingen.

Bij handmatige grootboeksystemen kunnen niet-standaard journaalboekingen mogelijk worden geïdentificeerd door inspectie van grootboeken, dagboeken en ondersteunende documentatie. Wanneer geautomatiseerde procedures worden gebruikt voor het bijhouden van het grootboek en het opstellen van financiële overzichten, is het mogelijk dat dergelijke boekingen alleen in elektronische vorm bestaan waardoor ze gemakkelijker zijn te identificeren door het gebruik van geautomatiseerde technieken.

Voorbeeld

Bij de controle van een minder complexe entiteit kan de accountant mogelijk een totale lijst van alle journaalboekingen in een eenvoudige spreadsheet extraheren. Het is dan mogelijk dat de accountant de journaalboekingen sorteert door verschillende filters toe te passen, zoals valutabedrag, naam van de opsteller of beoordelaar, journaalboekingen die alleen de balans en winst - en verliesrekening ophogen, of om de vermelding aan de hand van de datum waarop de journaalboeking naar het grootboek is geboekt te bekijken om de accountant te helpen bij het opzetten van manieren van inspelen op de geïdentificeerde risico's met betrekking tot journaalposten.

(Zie Par. 26(a)(iii))

De accountant bepaalt of er risico's op een afwijking van materieel belang op het niveau van beweringen bestaan waarvoor het niet mogelijk is om voldoende en geschikte controle-informatie te verkrijgen door gegevensgerichte werkzaamheden alleen. Van de accountant wordt vereist, in overeenstemming met Standaard 330, Standaard 330, paragraaf 8(b)., om toetsingen van interne beheersingsmaatregelen op te zetten en uit te voeren die inspelen op dergelijke risico’s op een afwijking van materieel belang wanneer gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen op het niveau van beweringen. Als gevolg hiervan moeten, wanneer dergelijke interne beheersingsmaatregelen bestaan die inspelen op deze risico's, deze worden geïdentificeerd en geëvalueerd.

In andere gevallen, wanneer de accountant van plan is rekening te houden met de effectieve werking van interne beheersingsmaatregelen bij het bepalen van de aard, timing en omvang van gegevensgerichte werkzaamheden in overeenstemming met Standaard 330, moeten dergelijke interne beheersingsmaatregelen ook worden geïdentificeerd omdat Standaard 330 Standaard 330, paragraaf 8(a). vereist dat de accountant toetsingen van die interne beheersingsmaatregelen opzet en uitvoert.

Voorbeelden

De accountant kan van plan zijn om de effectieve werking van interne beheersingsmaatregelen te toetsen:

• met betrekking tot routinematige transactiestromen omdat dergelijke toetsingen effectiever of efficiënter kunnen zijn voor grote hoeveelheden homogene transacties.

• met betrekking tot de volledigheid en nauwkeurigheid van informatie die afkomstig is van de entiteit (bijvoorbeeld interne beheersingsmaatregelen met betrekking tot het opstellen van door het systeem gegenereerde rapporten), om de betrouwbaarheid van die informatie te bepalen, wanneer de accountant van plan is rekening te houden met de effectieve werking van die interne beheersingsmaatregelen bij het opzetten en uitvoeren van verdere controlewerkzaamheden.

• met betrekking tot doelstellingen op het gebied van de bedrijfsactiviteiten en de naleving van wet- en regelgeving wanneer deze betrekking hebben op gegevens die de accountant evalueert of gebruikt bij het toepassen van controlewerkzaamheden.

De plannen van de accountant om de effectieve werking van interne beheersingsmaatregelen te toetsen kunnen ook worden beïnvloed door de geïdentificeerde risico's op een afwijking van materieel belang op het niveau van de financiële overzichten. Bijvoorbeeld als tekortkomingen zijn geïdentificeerd met betrekking tot de interne beheersingsomgeving, kan dit de algemene verwachtingen van de accountant met betrekking tot de effectieve werking van directe interne beheersingsmaatregelen beïnvloeden.

(Zie Par. 26(a)(iv))

Andere interne beheersingsmaatregelen die de accountant kan overwegen die geschikt zijn om de opzet te identificeren en te evalueren en om de implementatie te bepalen, kunnen omvatten:

• interne beheersingsmaatregelen die inspelen op risico's die als hoger worden ingeschat in het spectrum van inherent risico maar die niet als significant risico aangemerkt zijn;

• interne beheersingsmaatregelen met betrekking tot het aansluiten van gedetailleerde vastleggingen met het grootboek; of

• aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie bij gebruik van een serviceorganisatie. Standaard 402, Overwegingen met betrekking tot controles van entiteiten die gebruikmaken van een serviceorganisatie.

(Zie Par. 26(b)-(c))

Bijlage 5 bevat voorbeeldkenmerken van IT-applicaties en andere aspecten van de IT-omgeving en leidraden met betrekking tot die kenmerken, die relevant kunnen zijn bij het identificeren van IT-applicaties en andere aspecten van de IT-omgeving die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT.

(Zie Par. 26(b))

Inzicht in de risico's die voortkomen uit het gebruik van IT en de general IT controls die door de entiteit zijn geïmplementeerd om in te spelen op deze risico's, kan van invloed zijn op:

• de beslissing van de accountant over het al dan niet toetsen van de effectieve werking van de interne beheersingsmaatregelen die inspelen op risico’s op een afwijking van materieel belang op het niveau van beweringen;

Voorbeeld

Wanneer general IT controls niet effectief zijn opgezet of niet passend zijn geïmplementeerd om in te spelen op risico's die voortkomen uit het gebruik van IT (bijvoorbeeld interne beheersingsmaatregelen voorkomen of detecteren niet op een passende manier ongeautoriseerde programmawijzigingen of ongeautoriseerde toegang tot IT-applicaties), kan dit gevolgen hebben voor de beslissing van de accountant om te steunen op geautomatiseerde interne beheersingsmaatregelen binnen de betrokken IT-applicaties.

• de inschatting door de accountant van het interne beheersingsrisico op het niveau van beweringen;

Voorbeeld

De blijvende effectieve werking van een interne beheersingsmaatregel met betrekking tot informatieverwerking kan afhangen van bepaalde general IT controls die ongeautoriseerde programmawijzigingen in de interne beheersingsmaatregel voor IT informatieverwerking voorkomen of detecteren (d.w.z., interne beheersingsmaatregelen inzake programmawijzigingen over de gerelateerde IT-applicatie). In dergelijke omstandigheden kan de verwachte effectieve werking (of het ontbreken daarvan) van de general IT controls de inschatting door de accountant van het interne beheersingsrisico beïnvloeden (het interne beheersingsrisico kan bijvoorbeeld hoger zijn wanneer wordt verwacht dat dergelijke general IT controls niet effectief zijn of als de accountant niet van plan is om de general IT controls te toetsen).

• de strategie van de accountant voor het toetsen van informatie afkomstig van de entiteit die wordt gegenereerd door of informatie betreft uit de IT-applicaties van de entiteit;

Voorbeeld

Wanneer informatie afkomstig van de entiteit om te gebruiken als controle-informatie gegenereerd is door IT-applicaties, kan de accountant bepalen om interne beheersingsmaatregelen met betrekking tot door het systeem gegenereerde rapporten te toetsen, inclusief identificatie en toetsing van de general IT controls die inspelen op risico’s van ongepaste of ongeautoriseerde programmawijzigingen of directe gegevenswijzigingen in de rapporten.

• de inschatting door de accountant van inherent risico op het niveau van beweringen;

Voorbeeld

Wanneer er significante of uitgebreide programmeringswijzigingen in een IT-applicatie zijn om nieuwe of herziene rapportagevereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving te adresseren, kan dit een indicator zijn voor de complexiteit van de nieuwe vereisten en hun effect op de financiële overzichten van de entiteit. Wanneer dergelijke uitgebreide programmering of veranderingen in gegevens voorkomen, is de IT-applicatie waarschijnlijk ook onderhevig aan risico's die voortkomen uit het gebruik van IT.

• de opzet van verdere controlewerkzaamheden.

Voorbeeld

Wanneer er significante of uitgebreide programmeringswijzigingen in een IT-applicatie zijn om nieuwe of herziene rapportagevereisten van het van toepassing zijnde stelsel inzake financiële verslaggeving te adresseren, kan dit een indicator zijn voor de complexiteit van de nieuwe vereisten en hun effect op de financiële overzichten van de entiteit. Wanneer dergelijke uitgebreide programmering of veranderingen in gegevens voorkomen, is de IT-applicatie waarschijnlijk ook onderhevig aan risico's die voortkomen uit het gebruik van IT.

Voor de IT-applicaties die relevant zijn voor het informatiesysteem, kan inzicht in de aard en complexiteit van de specifieke IT-processen en general IT controls van de entiteit , de accountant helpen bij het bepalen op welke IT-applicaties de entiteit steunt voor het nauwkeurig verwerken en handhaven van de integriteit van informatie in het informatiesysteem. Dergelijke IT-applicaties kunnen onderhevig zijn aan risico’s die voortkomen uit het gebruik van IT.

Bij het identificeren van de IT-applicaties die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT, moet rekening worden gehouden met interne beheersingsmaatregelen die door de accountant zijn geïdentificeerd omdat dergelijke interne beheersingsmaatregelen het gebruik van IT of het steunen op IT kunnen inhouden. De accountant kan zich concentreren op de vraag of een IT-applicatie geautomatiseerde interne beheersingsmaatregelen bevat waarop het management steunt en die de accountant heeft geïdentificeerd, inclusief interne beheersingsmaatregelen die inspelen op risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie verschaffen. De accountant kan ook overwegen hoe informatie wordt opgeslagen en verwerkt in het informatiesysteem met betrekking tot significante transactiestromen, rekeningsaldi en toelichtingen en of het management steunt op general IT controls om de integriteit van die informatie te handhaven.

De door de accountant geïdentificeerde interne beheersingsmaatregelen kunnen afhankelijk zijn van door het systeem gegenereerde rapporten, in welk geval de IT-applicaties die deze rapporten genereren onderhevig kunnen zijn aan risico's die voortkomen uit het gebruik van IT. In andere gevallen is het mogelijk dat de accountant niet van plan is om te steunen op interne beheersingsmaatregelen met betrekking tot de door het systeem gegenereerde rapporten en van plan is om direct de invoer en uitvoer van dergelijke rapporten te toetsen, in welk geval de accountant mogelijk niet de gerelateerde IT-applicaties identificeert als onderhevig aan risico's die voortkomen uit IT.

De mate van inzicht van de accountant in de IT-processen, inclusief de mate waarin de entiteit beschikt over general IT controls, zal variëren met de aard en de omstandigheden van de entiteit en haar IT-omgeving, evenals op basis van de aard en omvang van de interne beheersingsmaatregelen die door de accountant zijn geïdentificeerd. Het aantal IT-applicaties dat onderhevig is aan risico's die voortkomen uit het gebruik van IT zal ook variëren op basis van deze factoren.

Voorbeelden

• Een entiteit die commerciële software gebruikt en geen toegang heeft tot de broncode om programmawijzigingen aan te brengen, heeft waarschijnlijk geen proces voor programmawijzigingen, maar kan een proces of procedures hebben om de software te configureren (bijvoorbeeld het rekeningschema, rapportage parameters of drempels). Bovendien kan de entiteit een proces of procedures hebben om toegang tot de applicatie te beheren (bijv. een aangewezen persoon met beheerderstoegang voor de commerciële software). In dergelijke omstandigheden is het onwaarschijnlijk dat de entiteit geformaliseerde general IT controls heeft of nodig heeft.

• Een grotere entiteit daarentegen kan in hoge mate op IT steunen en de IT-omgeving kan betrekking hebben op meerdere IT-applicaties en de IT-processen voor het beheer van de IT-omgeving kunnen complex zijn (er bestaat bijvoorbeeld een speciale IT-afdeling die programmawijzigingen ontwikkelt en implementeert en toegangsrechten beheert), inclusief dat de entiteit geformaliseerde general IT -controls met betrekking tot de IT-processen heeft geïmplementeerd.

• Wanneer het management niet steunt op geautomatiseerde interne beheersingsmaatregelen of general IT controls om transacties te verwerken of de gegevens bij te houden en de accountant geen geautomatiseerde interne beheersingsmaatregelen of andere interne beheersingsmaatregelen met betrekking tot informatieverwerking (of die afhankelijk zijn van general IT controls) heeft geïdentificeerd, kan de accountant van plan zijn om alle informatie die door de entiteit met IT is gegenereerd rechtstreeks te toetsen en kan de accountant mogelijk geen IT-applicaties identificeren die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT.

• Wanneer het management steunt op een IT-applicatie om gegevens te verwerken of te onderhouden, de hoeveelheid gegevens significant is en het management steunt op de IT-applicatie om geautomatiseerd interne beheersingsmaatregelen uit te voeren die de accountant ook heeft geïdentificeerd, zal de IT-applicatie waarschijnlijk onderhevig zijn aan risico’s die voortkomen uit het gebruik van IT.

Wanneer een entiteit een grotere complexiteit in de IT-omgeving heeft, vereist het identificeren van de IT-applicaties en andere aspecten van de IT-omgeving, het bepalen van de gerelateerde risico's die voortkomen uit het gebruik van IT en het identificeren van general IT-controls waarschijnlijk de betrokkenheid van teamleden met gespecialiseerde IT-vaardigheden. Een dergelijke betrokkenheid is waarschijnlijk essentieel en moet mogelijk uitgebreid zijn voor complexe IT-omgevingen.

De andere aspecten van de IT-omgeving die onderhevig kunnen zijn aan risico's die voortkomen uit het gebruik van IT, omvatten het netwerk, besturingssysteem en databases en, in bepaalde omstandigheden, interfaces tussen IT-applicaties. Andere aspecten van de IT-omgeving worden over het algemeen niet geïdentificeerd wanneer de accountant geen IT-applicaties identificeert die onderhevig zijn aan risico's die voortkomen uit het gebruik van IT. Wanneer de accountant IT-applicaties heeft geïdentificeerd die onderhevig zijn aan risico's die voortkomen uit IT, worden andere aspecten van de IT-omgeving (bijvoorbeeld database, besturingssysteem, netwerk) waarschijnlijk geïdentificeerd omdat dergelijke aspecten de geïdentificeerde IT-applicaties ondersteunen en daarmee interactie hebben.

(Zie Par. 26(c))

Bijlage 6 bevat overwegingen voor het verwerven van inzicht in general IT controls.

Bij het identificeren van de risico's die voortkomen uit het gebruik van IT, kan de accountant rekening houden met de aard van de geïdentificeerde IT-applicatie of een ander aspect van de IT-omgeving en de redenen waarom risico's kunnen ontstaan uit het gebruik van IT. Voor sommige geïdentificeerde IT-applicaties of andere aspecten van de IT-omgeving, kan de accountant van toepassing zijnde risico's identificeren die voortkomen uit het gebruik van IT en die voornamelijk betrekking hebben op niet-geautoriseerde toegang of ongeautoriseerde programmawijzigingen, evenals risico's die verband houden met ongepaste gegevenswijzigingen (bijvoorbeeld het risico op ongepaste wijzigingen in de gegevens door directe databasetoegang of de mogelijkheid om informatie rechtstreeks te manipuleren).

De omvang en aard van de van toepassing zijnde risico's die voortkomen uit het gebruik van IT variëren afhankelijk van de aard en kenmerken van de geïdentificeerde IT-applicaties en andere aspecten van de IT-omgeving. Van toepassing zijnde IT-risico's kunnen ontstaan wanneer de entiteit voor geïdentificeerde aspecten van de IT-omgeving (bijvoorbeeld het uitbesteden van de hosting van de IT-omgeving aan een derde of het gebruikmaken van een shared service center voor centraal beheer van IT-processen in een groep) externe of interne dienstverleners gebruikt. Van toepassing zijnde risico's die voortkomen uit het gebruik van IT kunnen ook worden geïdentificeerd met betrekking tot cybersecurity. Het is waarschijnlijker dat er meer risico’s zullen voortkomen uit het gebruik van IT wanneer de hoeveelheid of de complexiteit van geautomatiseerde application controls hoger is en het management meer steunt op deze interne beheersingsmaatregelen voor de effectieve verwerking van transacties of het effectieve onderhoud van de integriteit van onderliggende informatie.

(Zie Par. 26(d))

Bij het evalueren van de opzet van een geïdentificeerde interne beheersingsmaatregel overweegt de accountant of de interne beheersingsmaatregel, afzonderlijk of in combinatie met andere interne beheersingsmaatregelen, in staat is om effectief afwijkingen van materieel belang te voorkomen of te detecteren en te corrigeren van (d.w.z. de interne beheersingsdoelstelling).

De accountant bepaalt de implementatie van een geïdentificeerde interne beheersingsmaatregel door vast te stellen dat de interne beheersingsmaatregel bestaat en dat de entiteit deze toepast. Het heeft weinig zin dat de accountant de implementatie beoordeelt van een interne beheersingsmaatregel die niet effectief is opgezet. Daarom evalueert de accountant de opzet van een interne beheersingsmaatregel eerst. Een niet-adequaat opgezette interne beheersingsmaatregel kan een tekortkoming in de interne beheersing vormen.

Risico-inschattingswerkzaamheden om controle-informatie te verkrijgen over de opzet en de implementatie van geïdentificeerde interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ kunnen omvatten:

• verzoeken om inlichtingen bij personeel van de entiteit;

• waarneming van de toepassing van specifieke interne beheersingsmaatregelen;

• inspectie van documenten en rapporten.

Verzoek om inlichtingen alleen is echter niet voldoende voor dergelijke doeleinden.

De accountant kan verwachten, op basis van ervaring uit de vorige controle of op basis van de risico-inschattingswerkzaamheden in de huidige verslagperiode, dat het management geen effectieve interne beheersingsmaatregelen heeft opgezet of geïmplementeerd om in te spelen op een significant risico. In dergelijke gevallen kunnen de werkzaamheden die worden uitgevoerd om het vereiste in paragraaf 26 (d) te adresseren, bestaan uit het vaststellen dat dergelijke interne beheersingsmaatregelen niet effectief zijn opgezet of geïmplementeerd. Als de resultaten van de werkzaamheden aangeven dat interne beheersingsmaatregelen nieuw zijn opgezet of geïmplementeerd, dan moet de accountant de werkzaamheden in paragraaf 26(b)-(d) uitvoeren voor de nieuw opgezette of geïmplementeerde interne beheersingsmaatregelen.

De accountant kan concluderen dat een interne beheersingsmaatregel, die effectief is opgezet en geïmplementeerd, geschikt kan zijn om de effectieve werking te toetsen, zodat de accountant de effectieve werking in overweging kan nemen bij het opzetten van gegevensgerichte werkzaamheden. Als een interne beheersingsmaatregel echter niet effectief is opgezet of geïmplementeerd, heeft het geen zin om deze te toetsen. Wanneer de accountant van plan is een interne beheersingsmaatregel te toetsen, is de informatie die verkregen is over de mate waarin de interne beheersingsmaatregel inspeelt op risico(s) op een afwijking van materieel belang, een factor voor de risico-inschatting van de accountant van de interne beheersingsmaatregel op het niveau van beweringen.

Het evalueren van de opzet en het bepalen van de implementatie van geïdentificeerde interne beheersingsmaatregelen in de component ‘interne beheersingsactiviteiten’ is niet voldoende om hun effectieve werking te toetsen. Voor geautomatiseerde interne beheersingsmaatregelen kan de accountant echter van plan zijn om de effectieve werking van geautomatiseerde interne beheersingsmaatregelen te toetsen door general IT controls, die zorgen voor de consistente werking van een geautomatiseerde controle, te identificeren en te toetsen. Dit in plaats van het direct toetsen van de effectieve werking van de geautomatiseerde interne beheersingsmaatregelen. Het verkrijgen van controle-informatie over de implementatie van een handmatige interne beheersingsmaatregel op een bepaald tijdstip levert geen controle-informatie op over de effectieve werking van de interne beheersingsmaatregel op andere tijdstippen tijdens de gecontroleerde periode. Toetsingen van de effectieve werking van interne beheersingsmaatregelen, inclusief toetsingen van indirecte interne beheersingsmaatregelen, zijn verder beschreven in Standaard 330. Standaard 330, paragraaf 8–11.

Wanneer de accountant niet van plan is om de effectieve werking van geïdentificeerde interne beheersingsmaatregelen te toetsen, kan het verworven inzicht van de accountant nog steeds helpen bij de opzet van de aard, timing en omvang van gegevensgerichte controlewerkzaamheden die inspelen op de gerelateerde risico’s op een afwijking van materieel belang.

Voorbeeld

De resultaten van deze risico-inschattingswerkzaamheden kunnen een basis vormen voor de overweging van de accountant van mogelijke deviaties in een populatie bij het opzetten van steekproeven bij een controle.

De accountant identificeert de risico's op een afwijking van materieel belang op het niveau van de financiële overzichten om te bepalen of de risico's een diepgaande invloed hebben op de financiële overzichten en daarom een algehele manier van inspelen vereisen in overeenstemming met Standaard 330. Standaard 330, paragraaf 5.

Bovendien kunnen risico's op een afwijking van materieel belang op het niveau van de financiële overzichten ook individuele beweringen beïnvloeden en het identificeren van deze risico's kan de accountant helpen bij het inschatten van risico’s op een afwijking van materieel belang op het niveau van beweringen en bij het opzetten van verdere controlewerkzaamheden om in te spelen op de geïdentificeerde risico's.

Risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten betreffen risico's die een diepgaande invloed hebben op de financiële overzichten als geheel en hebben mogelijk invloed op een groot aantal beweringen. Risico’s van deze aard zijn niet noodzakelijkerwijs risico's die in verband kunnen worden gebracht met specifieke beweringen op het niveau van transactiestromen, rekeningsaldi of toelichtingen (bijv. het risico dat het management de interne beheersingsmaatregelen doorbreekt). Ze vertegenwoordigen eerder omstandigheden die de risico's op een afwijking van materieel belang op het niveau van beweringen diepgaand kunnen vergroten. De evaluatie door de accountant van de vraag of geïdentificeerde risico's diepgaand verband houden met de financiële overzichten ondersteunt de inschatting door de accountant van de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten. In andere gevallen kan een aantal beweringen ook worden geïdentificeerd als vatbaar voor het risico en kan daarom van invloed zijn op de risico-identificatie en inschatting van de accountant van risico's op een afwijking van materieel belang op het niveau van beweringen.

Voorbeeld

De entiteit wordt geconfronteerd met operationele verliezen en liquiditeitsproblemen en is afhankelijk van financiering die nog niet is veilig gesteld. In een dergelijke omstandigheid kan de accountant bepalen dat de continuïteitsveronderstelling aanleiding geeft tot een risico op een afwijking van materieel belang op het niveau van de financiële overzichten. In deze situatie moet het stelsel inzake financiële verslaggeving mogelijk worden toegepast met gebruik van een liquidatiebasis, wat waarschijnlijk een diepgaande invloed zal hebben op alle beweringen.

De identificatie en inschatting door de accountant van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten wordt beïnvloed door het inzicht van de accountant in het interne beheersingssysteem van de entiteit, in het bijzonder het inzicht van de accountant in de interne beheersingsomgeving, het risico-inschattingsproces van de entiteit en het proces van de entiteit om het systeem van interne beheersing te monitoren, en:

• het resultaat van de bijbehorende evaluaties vereist op grond van paragrafen 21(b), 22(b), 24(c) en 25(c); en

• eventuele tekortkomingen in de interne beheersing die zijn geïdentificeerd in overeenstemming met paragraaf 27.

In het bijzonder kunnen risico's op het niveau van de financiële overzichten voortkomen uit tekortkomingen in de interne beheersingsomgeving of uit externe gebeurtenissen of omstandigheden zoals verslechterende economische omstandigheden.

Risico’s op een afwijking van materieel belang als gevolg van fraude kunnen met name relevant zijn voor de overweging van de accountant van de risico’s op een afwijking van materieel belang op het niveau van de financiële overzichten.

Voorbeeld

De accountant begrijpt uit verzoeken om inlichtingen bij het management dat de financiële overzichten van de entiteit gebruikt worden in besprekingen met kredietverschaffers om verdere financiering veilig te stellen om werkkapitaal te behouden. De accountant kan daarom bepalen dat er een grotere vatbaarheid voor afwijkingen is vanwege frauderisicofactoren die het inherente risico beïnvloeden (d.w.z. de vatbaarheid van de financiële overzichten voor afwijkingen van materieel belang vanwege het risico op frauduleuze financiële verslaggeving, zoals te hoge opgave van activa en opbrengsten en te lage opgave van verplichtingen en kosten om ervoor te zorgen dat financiering zal worden verkregen).

Door het inzicht van de accountant, inclusief de bijbehorende evaluaties, van de interne beheersingsomgeving en andere componenten van het systeem van interne beheersing kan twijfel ontstaan over de mogelijkheid van de accountant om controle-informatie te verkrijgen waarop het controleoordeel kan worden gebaseerd of kan reden zijn om de opdracht terug te geven indien dat onder de van toepassing zijnde wet- of regelgeving mogelijk is.

Voorbeelden

• Als gevolg van de evaluatie van de interne beheersingsomgeving van de entiteit kunnen de twijfels van de accountant over de integriteit van het management van de entiteit zo ernstig zijn dat de accountant tot de conclusie komt dat het risico dat het management in de financiële overzichten een opzettelijke onjuiste voorstelling van zaken geeft dermate groot is dat geen controle kan worden uitgevoerd.

• Als gevolg van het evalueren van het informatiesysteem en de communicatie van de entiteit, bepaalt de accountant dat significante wijzigingen in de IT-omgeving slecht zijn beheerd met weinig toezicht van het management en de met governance belaste personen. De accountant concludeert dat er significante twijfels zijn over de toestand en betrouwbaarheid van de administratieve vastleggingen van de entiteit. In dergelijke omstandigheden kan de accountant bepalen dat het onwaarschijnlijk is dat voldoende en geschikte controle-informatie beschikbaar zal zijn ter onderbouwing van een goedkeurend oordeel over de financiële overzichten.

Standaard 705 Standaard 705, Aanpassingen van het oordeel in de controleverklaring van de onafhankelijke accountant. stelt eisen en geeft leidraden bij het bepalen of het nodig is voor de accountant om een oordeel met beperking te geven of een oordeelonthouding af te geven of, indien vereist in sommige gevallen, om de opdracht terug te geven indien dat onder de van toepassing zijnde wet of regelgeving mogelijk is.

Voor entiteiten in de publieke sector kan de identificatie van risico's op het niveau van de financiële overzichten overweging van aangelegenheden omvatten die verband houden met het politieke klimaat, het publieke belang en de programmagevoeligheid.

Bepaling van relevante beweringen en de significante transactiestromen, rekeningsaldi en toelichtingen vormen de basis voor de reikwijdte van het inzicht van de accountant in het informatiesysteem van de entiteit zoals vereist in overeenstemming met paragraaf 25 (a). Dit inzicht kan de accountant verder helpen bij het identificeren en inschatten van risico's op een afwijking van materieel belang (Zie Par. A86).

De accountant kan geautomatiseerde technieken gebruiken om te helpen bij de identificatie van significante transactiestromen, rekeningsaldi en toelichtingen.

Voorbeelden

• Een volledige populatie van transacties kan worden geanalyseerd met gebruik van geautomatiseerde hulpmiddelen en technieken om hun aard, bron, grootte en hoeveelheid te begrijpen. Door geautomatiseerde technieken toe te passen, kan de accountant bijvoorbeeld identificeren dat een rekening met een nul-saldo aan het einde van de verslagperiode bestond uit talrijke compenserende transacties en journaalboekingen die plaatsvonden tijdens de verslagperiode, wat aangeeft dat het rekeningsaldo of de transactiestroom significant kan zijn (bijvoorbeeld een salarisrekening). Deze zelfde salarisrekening kan ook onkostenvergoedingen aan het management (en andere werknemers) identificeren, die een significante toelichting kunnen zijn als gevolg van betalingen aan verbonden partijen.

• Door de stromen van een hele populatie van opbrengsttransacties te analyseren, kan de accountant eenvoudiger een significante transactiestroom identificeren die nog niet eerder was geïdentificeerd.

Significante toelichtingen omvatten zowel kwantitatieve als kwalitatieve toelichtingen waarvoor er een of meer relevante beweringen zijn. Voorbeelden van toelichtingen die kwalitatieve aspecten hebben en die mogelijk relevante beweringen hebben en die daarom door de accountant als significant kunnen worden beschouwd, omvatten toelichtingen over:

• liquiditeits- en schuldconvenanten van een entiteit in financiële nood;

• gebeurtenissen of omstandigheden die hebben geleid tot de verantwoording van een bijzondere waardevermindering;

• belangrijkste bronnen van schattingsonzekerheid, inclusief veronderstellingen over de toekomst;

• de aard van een wijziging in de grondslagen voor financiële verslaggeving en andere relevante toelichtingen vereist door het van toepassing zijnde stelsel inzake financiële verslaggeving, waar bijvoorbeeld nieuwe vereisten inzake financiële verslaggeving naar verwachting een significante invloed op de financiële positie en de financiële prestaties van de entiteit zullen hebben;

• op aandelen gebaseerde betalingsregelingen, inclusief informatie over hoe alle opgenomen bedragen werden bepaald, en andere relevante toelichtingen;

• verbonden partijen en transacties met verbonden partijen;

• gevoeligheidsanalyse, inclusief de effecten van veranderingen in veronderstellingen die in de waarderingsmethoden van de entiteit gebruikt worden met de bedoeling om gebruikers in staat te stellen de onderliggende waarderingsonzekerheid van een vastgelegd of toegelicht bedrag te begrijpen.

(Zie Par. 31-33)

(Zie Par. 31)

De accountant beoordeelt de waarschijnlijkheid en de orde van grootte van afwijkingen voor geïdentificeerde risico’s op een afwijking van materieel belang. De significantie van de combinatie van de waarschijnlijkheid dat een afwijking voorkomt en de orde van grootte van de mogelijke afwijking waar de afwijking zou voorkomen, bepaalt waar op het spectrum van het inherente risico het geïdentificeerde risico wordt ingeschat, hetgeen de opzet van verdere controlewerkzaamheden van de accountant om in te spelen op risico’s aangeeft.

Het inschatten van het inherente risico op geïdentificeerde risico’s op een afwijking van materieel belang helpt de accountant ook bij het bepalen van significante risico's. De accountant bepaalt significante risico's omdat specifieke manieren van inspelen op significante risico's vereist zijn in overeenstemming met Standaard 330 en andere Standaarden.

Inherente risicofactoren beïnvloeden de inschatting van de accountant van de waarschijnlijkheid en de orde van grootte van afwijking voor de geïdentificeerde risico’s op een afwijking van materieel belang op het niveau van beweringen. Hoe groter de mate waarin een transactiestroom, rekeningsaldo of toelichting gevoelig is voor een afwijking van materieel belang, hoe hoger de inherente risico-inschatting waarschijnlijk is. Overwegen van de mate waarin inherente risicofactoren de vatbaarheid van een bewering voor afwijking beïnvloeden, helpt de accountant bij een passende inschatting van het inherente risico voor risico’s op een afwijking van materieel belang op het niveau van beweringen en op een nauwkeurigere manier van inspelen op een dergelijk risico.

Bij het inschatten van het inherente risico past de accountant professionele oordeelsvorming toe bij het bepalen van de significantie van de combinatie van de waarschijnlijkheid en de orde van grootte van een afwijking.

Het ingeschatte inherente risico met betrekking tot een bepaald risico op een afwijking van materieel belang op het niveau van beweringen betekent een oordeelsvorming binnen een interval van lager naar hoger in het spectrum van inherent risico. De oordeelsvorming over waar in het interval het inherente risico wordt ingeschat, kan variëren op basis van de aard, omvang en complexiteit van de entiteit en houdt rekening met de geschatte waarschijnlijkheid en orde van grootte van de afwijkingen en inherente risicofactoren.

Bij het overwegen van de waarschijnlijkheid van een afwijking, overweegt de accountant de mogelijkheid dat er een afwijking kan voorkomen, rekening houdend met de inherente risicofactoren.

Bij het overwegen van de orde van grootte van een afwijking beschouwt de accountant de kwalitatieve en kwantitatieve aspecten van de mogelijke afwijking (d.w.z. afwijkingen in beweringen over transactiestromen, rekeningsaldi of toelichtingen kunnen als van materieel belang worden beoordeeld vanwege de omvang, aard of omstandigheden).

De accountant gebruikt de significantie van de combinatie van de waarschijnlijkheid en de orde van grootte van een mogelijke afwijking bij het bepalen waar op het spectrum van inherent risico (d.w.z. het interval) het inherente risico is ingeschat. Hoe hoger de combinatie van waarschijnlijkheid en orde van grootte, hoe hoger de inschatting van inherent risico; hoe lager de combinatie van waarschijnlijkheid en orde van grootte, hoe lager de inschatting van inherent risico.

Voor een risico dat als hoger wordt ingeschat in het spectrum van inherent risico, betekent dit niet dat zowel orde van grootte als waarschijnlijkheid als hoog moeten worden ingeschat. Het is eerder het kruispunt van de grootte en waarschijnlijkheid van de afwijking van materieel belang in het spectrum van inherent risico dat zal bepalen of het ingeschatte inherente risico hoger of lager is in het spectrum van inherent risico. Een hogere inherente risico-inschatting kan ook voortkomen uit verschillende combinaties van waarschijnlijkheid en orde van grootte. Een hogere inherente risico-inschatting zou bijvoorbeeld kunnen resulteren uit een lagere waarschijnlijkheid maar een zeer hoge orde van grootte.

Om geschikte strategieën te ontwikkelen om te reageren op risico's op een afwijking van materieel belang, kan de accountant risico’s op een afwijking van materieel belang aanduiden binnen categorieën in het spectrum van inherent risico, op basis van hun inschatting van inherent risico. Deze categorieën kunnen op verschillende manieren worden beschreven. Ongeacht de gebruikte methode van categorisatie, is de inschatting door de accountant van inherent risico passend wanneer de opzet en de uitvoering van verdere controlewerkzaamheden om de geïdentificeerde risico’s op een afwijking van materieel belang op het niveau van beweringen te behandelen, adequaat inspelen op de inschatting van inherent risico en de redenen voor die inschatting.

(Zie Par. 31(b))

Bij het inschatten van de geïdentificeerde risico's op een afwijking van materieel belang op het niveau van beweringen, kan de accountant concluderen dat sommige risico's op een afwijking van materieel belang meer diepgaand verband houden met de financiële overzichten als geheel en mogelijk van invloed zijn op een groot aantal beweringen, in welk geval de accountant de identificatie van risico's op een afwijking van materieel belang op het niveau van de financiële overzichten bijwerkt.

In omstandigheden waarin risico's op een afwijking van materieel belang worden geïdentificeerd als risico’s op het niveau van de financiële overzichten vanwege hun diepgaande invloed op een aantal beweringen en die tevens identificeerbaar zijn met specifieke beweringen, is van de accountant vereist om rekening te houden met die risico's bij het inschatten van het inherente risico voor risico’s op een afwijking van materieel belang op het niveau van beweringen.

Bij het uitoefenen van professionele oordeelsvorming over de inschatting van het risico op een afwijking van materieel belang, kunnen accountants in de publieke sector rekening houden met de complexiteit van wet- en regelgeving en andere voorschriften , en met de risico’s op niet-naleving van autoriteiten.

(Zie Par. 32)

De bepaling van significante risico's stelt de accountant in staat om meer aandacht te besteden aan die risico’s die zich aan de bovengrens van het spectrum van inherent risico bevinden door de uitvoering van bepaalde vereiste manieren van inspelen, waaronder:

• Interne beheersingsmaatregelen die inspelen op significante risico's, moeten worden geïdentificeerd in overeenstemming met paragraaf 26(a)(i), met een vereiste om te evalueren of de interne beheersingsmaatregel effectief is opgezet en geïmplementeerd in overeenstemming met paragraaf 26(d).

• Standaard 330 vereist dat interne beheersingsmaatregelen die inspelen op significante risico's, worden getoetst in de huidige verslagperiode (wanneer de accountant voornemens is te steunen op de effectieve werking van dergelijke interne beheersingsmaatregelen) en om gegevensgerichte werkzaamheden te plannen en uit te voeren die specifiek inspelen op het geïdentificeerde significante risico. Standaard 330, paragraaf 15 en 21.

• Standaard 330 vereist dat de accountant meer overtuigende controle-informatie verkrijgt naarmate de risico-inschatting van de accountant hoger is. Standaard 330, paragraaf 7(b).

• Standaard 260 vereist communicatie met de met governance belaste personen over de significante risico's geïdentificeerd door de accountant. Standaard 260, paragraaf 15.

• Standaard 701 vereist dat de accountant bij het bepalen van significante risico's rekening houdt met die aangelegenheden die significante aandacht van de accountant vereisen, hetgeen aangelegenheden zijn die kernpunten van controle kunnen zijn. Standaard 701, Communicatie van kernpunten van de controle in de controleverklaring van de onafhankelijke accountant, paragraaf 9.

• Tijdige beoordeling van controledocumentatie door de opdrachtpartner in de geschikte fasen tijdens de controle maakt het mogelijk dat significante aangelegenheden, waaronder significante risico's, tijdig kunnen worden opgelost tot tevredenheid van de opdrachtpartner op of vóór de datum van de controleverklaring. Standaard 220, paragraaf 17 en A19.

• Standaard 600 vereist meer betrokkenheid van de opdrachtpartner op groepsniveau als het significante risico betrekking heeft op een groepsonderdeel in een groepscontrole en voor het opdrachtteam op groepsniveau om het vereiste werk bij het groepsonderdeel door de accountant van het groepsonderdeel te sturen. Standaard 600, paragraaf 30 en 31.

Bij het bepalen van significante risico's kan de accountant eerst die ingeschatte risico’s op een afwijking van materieel belang identificeren die hoger zijn ingeschat op het spectrum van inherent risico om de basis te vormen voor het overwegen welke risico's dicht bij de bovengrens kunnen liggen. Dit zal verschillen van entiteit tot entiteit, en zal niet noodzakelijk hetzelfde zijn voor een entiteit van verslagperiode op verslagperiode. Het kan afhankelijk zijn van de aard en omstandigheden van de entiteit waarvoor het risico ingeschat wordt.

De bepaling van welke van de ingeschatte risico's op een afwijking van materieel belang dicht bij de bovengrens van het spectrum van inherent risico ligt, en daarom significante risico's zijn, is een kwestie van professionele oordeelsvorming, tenzij het risico moet worden behandeld als een significant risico in overeenstemming met de vereisten van een andere Standaard. Standaard 240 biedt verdere vereisten en leidraden met betrekking tot de identificatie en inschatting van de risico’s op een afwijking van materieel belang als gevolg van fraude. Standaard 240, paragraaf 26–28.

Voorbeeld

• Gewoonlijk wordt contant geld bij een supermarkt als een grote waarschijnlijkheid op mogelijke afwijkingen bepaald (vanwege het risico dat geld wordt verduisterd), maar de orde van grootte is meestal erg laag (vanwege de lage niveaus van fysiek contant geld verwerkt in de winkels). De combinatie van deze twee factoren op het spectrum van inherent risico zou er waarschijnlijk niet toe leiden om het bestaan van contant geld als een significant risico te bepalen.

• Een entiteit is in onderhandeling om een bedrijfssegment te verkopen. De accountant overweegt het effect op bijzondere waardevermindering van goodwill, en kan bepalen dat er een grotere waarschijnlijkheid is op mogelijke afwijking en een grotere omvang als gevolg van de impact van inherente risicofactoren van subjectiviteit, onzekerheid en vatbaarheid voor tendentie bij het management of andere frauderisicofactoren. Dit kan ertoe leiden dat een bijzondere waardevermindering van goodwill als een significant risico wordt aangemerkt.

De accountant houdt bij de inschatting ook rekening met de relatieve effecten van inherente risicofactoren bij het inschatten van inherent risico. Hoe lager het effect van inherente risicofactoren, hoe lager het ingeschatte risico waarschijnlijk zal zijn. Risico’s op een afwijking van materieel belang kunnen zijn ingeschat als een hoger inherent risico en daarom mogelijk als een significant risico worden beschouwd, als gevolg van de volgende aangelegenheden:

• transacties waarvoor meerdere aanvaardbare wijzen van administratieve verwerking bestaan, zodat sprake is van subjectiviteit;

• schattingen met een hoge schattingsonzekerheid of complexe modellen;

• complexiteit in gegevensverzameling en -verwerking ter ondersteuning van rekeningsaldi;

• rekeningsaldi of kwantitatieve toelichtingen met complexe berekeningen;

• verslaggevingsprincipes die mogelijk op verschillende manieren worden geïnterpreteerd;

• wijzigingen in de bedrijfsactiviteiten van de entiteit die veranderingen in de administratieve verwerking met zich meebrengen, bijvoorbeeld fusies en overnames.

(Zie Par. 33)

Vanwege de aard van een risico op een afwijking van materieel belang en de interne beheersingsactiviteiten die inspelen op dat risico, is in sommige omstandigheden het toetsen van de effectieve werking van interne beheersingsmaatregelen de enige manier om voldoende en geschikte controle-informatie te verkrijgen. Dienovereenkomstig is er een vereiste voor de accountant om dergelijke risico’s te identificeren vanwege de implicaties voor de opzet en de uitvoering van verdere controlewerkzaamheden in overeenstemming met Standaard 330 om in te spelen op risico's op een afwijking van materieel belang op het niveau van beweringen.

Paragraaf 26(a)(iii) vereist ook de identificatie van interne beheersingsmaatregelen die inspelen op risico's waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie kunnen verschaffen omdat van de accountant wordt vereist, in overeenstemming met Standaard 330 Standaard 330, paragraaf 8., om dergelijke toetsingen van interne beheersingsmaatregelen op te zetten en uit te voeren.

Waar routinematige zakelijke transacties worden onderworpen aan hoog geautomatiseerde verwerking met weinig of geen handmatige interventie, is het niet altijd mogelijk om alleen gegevensgerichte werkzaamheden uit te voeren met betrekking tot het risico. Dit kan het geval zijn in omstandigheden waarin een significante hoeveelheid informatie van een entiteit alleen in elektronische vorm is geïnitieerd, vastgelegd, verwerkt of gerapporteerd zoals in een informatiesysteem dat een hoge mate van integratie in al de IT-applicaties bevat. In dergelijke gevallen:

• is controle-informatie mogelijk alleen beschikbaar in elektronische vorm en is de toereikendheid en geschiktheid ervan gewoonlijk afhankelijk van de effectiviteit van interne beheersingsmaatregelen met betrekking tot de nauwkeurigheid en volledigheid ervan;

• is de mogelijkheid dat onjuiste informatie tot stand wordt gebracht of gewijzigd zonder dat de fout wordt gedetecteerd mogelijk groter als geschikte interne beheersingsmaatregelen niet effectief werken.

Voorbeeld

Het is doorgaans niet mogelijk om voldoende en geschikte controle-informatie te verkrijgen met betrekking tot opbrengsten voor een telecommunicatie-entiteit alleen op basis van gegevensgerichte werkzaamheden. Dit komt omdat de informatie van oproep- of gegevensactiviteit niet bestaat in een vorm die waarneembaar is. In plaats daarvan wordt het toetsen van substantiële interne beheersingsmaatregelen meestal uitgevoerd om te bepalen dat de oorsprong en voltooiing van oproepen en gegevensactiviteit correct wordt vastgelegd (bijv. minuten van een oproep of volume van een download) en correct vastgelegd in het factureringssysteem van de entiteit.

Standaard 540 biedt verdere leidraden met betrekking tot schattingen van risico’s waarvoor gegevensgerichte werkzaamheden alleen niet voldoende en geschikte controle-informatie bieden. Standaard 540, paragraaf A87-A89. In relatie tot schattingen is dit mogelijk niet beperkt tot geautomatiseerde verwerking, maar kan dit ook van toepassing zijn op complexe modellen.

Controle-informatie verkregen bij het uitvoeren van risico-inschattingswerkzaamheden vormt de basis voor de identificatie en inschatting van de risico’s op een afwijking van materieel belang. Dit vormt de basis voor de opzet van de accountant van de aard, timing en omvang van verdere controlewerkzaamheden die inspelen op de ingeschatte risico's op een afwijking van materieel belang op het niveau van beweringen in overeenstemming met Standaard 330. Dienovereenkomstig vormt de controle-informatie verkregen uit de risico-inschattingswerkzaamheden een basis voor de identificatie en inschatting van risico’s op een afwijking van materieel belang als gevolg van fraude of fouten, op het niveau van de financiële overzichten en beweringen.

Controle-informatie uit risico-inschattingswerkzaamheden omvat zowel informatie die de beweringen van het management ondersteunt en bevestigt en alle informatie die dergelijke beweringen tegenspreekt. Standaard 500, paragraaf A1.

Bij het evalueren van de controle-informatie uit de risico-inschattingswerkzaamheden overweegt de accountant of voldoende inzicht in de entiteit en haar omgeving, het van toepassing zijnde stelsel inzake financiële verslaggeving en het interne beheersingssysteem van de entiteit is verkregen om de risico's op een afwijking van materieel belang te kunnen identificeren, evenals of er enige informatie is die tegenstrijdig is en die kan duiden op een risico op een afwijking van materieel belang.