Voorbereidingsopdracht college 3 – Auditing Theory – Naam student (studentnummer)
Persoonlijke analyse – artikel Knechel
Inleiding en aanleiding van het artikel
In dit artikel van Knechel worden ontwikkelingen omtrent de methode van het ‘business risk audit’
beschreven. In de jaren 80 vond commoditisering plaats van de controles, waardoor er in de jaren 90
een proces ontstond om dit tegen te gaan. Voorvallen rondom Enron en Ahold hebben ervoor
gezorgd dat er opspraak ontstond over de business risk audit. Mensen gingen zich afvragen of dit
model wel een verbetering was ten opzichte van de audit en of de kwaliteit dus omhoog ging.
In de laatste 20 jaren hebben zich belangrijke veranderingen voorgedaan in het accountantsberoep
en heeft deregulering van de auditmarkten plaatsgevonden, zo schrijft Knechel. Bedrijven konden
hierdoor meer gaan focussen op omzetgroei en kostenbesparingen doorvoeren. Deze
kostenbesparingen wilden bedrijven ook in de kosten van auditors doorvoeren, waardoor
accountants op een efficiëntere wijze te werk moesten gaan. De druk op de accountants nam
daardoor ook toe. Sommigen betogen ook dat deze veranderingen zorgden voor commoditisering
van de audits.
Volgens mij is dit artikel geschreven vanuit het perspectief van de accountant (oftewel de monitor).
Inhoud artikel + persoonlijke analyse
Accountantskantoren zijn audits meer gaan structureren. Het audit proces moest, zoals benoemd
hierboven, efficiënt ingericht worden. Accountants waren daar druk mee aan de slag gegaan. Echter,
het bedrijfsleven (dus de klanten van accountantskantoren) waren bezig met nieuwe ontwikkelingen
en nieuwe ideeën over risk management. Deze ontwikkeling leidde tot een perceptie van het
accountantscontrolerisico zoals dit in het COSO-raamwerk terugkomt. Het COSO-raamwerk zorgt
ervoor dat bedrijven risico’s beter identificeren en ook belangrijk of bedrijven controle hebben over
de risico’s. Het model kijkt dus eigenlijk of een bedrijf in control is en loopt daarbij vijf aspecten
door: control environment, risk assessment, control activities, information and communication en
monitoring.
Ik denk dat het wel logisch is dat accountants zoveel bezig waren met efficiëntie. Er ontstond
namelijk een bepaalde druk op accountants, omdat het bedrijfsleven behoefte had aan
kostenbesparingen en dus ook kostenbesparingen in audits. De omzet van accountantskantoren is
natuurlijk afhankelijk van de bedrijven in het bedrijfsleven en daardoor denk ik dat
accountantskantoren ook wel de noodzaak voelden om de controles aan te passen (of beter gezegd
efficiënter in te richten).
Bussiness Risk Audit niet succesvol?
Dit artikel gaat na of BRA wel of niet succesvol is geweest. Het kan zijn dat BRA ervoor heeft gezorgd
dat de voorvallen zijn ontstaan of dat de voorvallen ervoor gezorgd hebben dat BRA niet goed heeft
gewerkt door de voorvallen. Er waren een aantal accounting rituelen (numerous auditing-client
rituals) die zich voordeden om de connectie met klantverwachtingen op peil te houden. Dit ging
bijvoorbeeld om het introduceren en evalueren van nieuwe controlemethodologieën, onzekerheden
binnen teams en persoonlijke interacties en onzekerheden over de toekomst. Dit zijn een aantal
voorbeelden; Knechel geeft in totaal 13 redenen waarom de Business Risk Audit niet goed heeft
gewerkt en waarom de implementatie dus niet heeft geleid tot een verbetering van audits.
1
, Verschil traditional audit en Business Risk Audit
De Business Risk Audit is meer risicogericht ingericht dan de traditional audit. De toegevoegde
waarde van accountants wordt hierdoor wellicht hoger denk ik, omdat accountants dus ook echt
kijken naar de bedrijfsdoelstelling en tendenties en welke risico’s daaraan hangen. Hierdoor kunnen
de steekproeven ook uitgevoerd worden op de posten waar daadwerkelijk risico’s gezien worden.
Het verschil is me verder nog niet helemaal duidelijk, hoe een controle nu echt uitgevoerd werd bij
traditional audits en bij business risk audits. Wellicht dat we dit in het college nog duidelijker in
beeld kunnen krijgen?
Figuur 3
In figuur 3 wordt de Business Risk Audit afgebeeld. De BRA is eigenlijk een top-down benadering van
de controle, welke ten grondslag ligt aan de risico’s bij een onderneming. Het model wordt door de
vorm ook wel het trechtermodel genoemd en bestaat eigenlijk uit de volgende drie onderdelen van
boven naar beneden:
1. Strategic Analysis: analyse van de typologie van een onderneming en de externe risico’s die
daarbij komen kijken.
2. Process Analysis: kijken hoe het proces is ingericht en hoe de ondervonden bedrijfsrisico’s
beheerst worden door de onderneming.
3. Residual Risks: de risico’s die overblijven na de interne controle van de onderneming en die
de accountant dus tijdens de controle wil ondervinden. De accountant wil deze risico’s
afdekken.
Als het aantal residual risks dat overblijft uit de trechter van dit model relatief heel groot is ten
opzichte van het aantal afgedekte risico’s door de onderneming zelf, zegt dit iets over de AO/IB
omgeving van de onderneming. Er blijven natuurlijk altijd risico’s over bij een onderneming; als alles
volledig in orde zou zijn en er geen risico meer is, is de toegevoegde waarde van de accountant nihil.
Echter, de AO/IB omgeving geeft (naar mijn eigen inzicht vanuit eerdere opleiding en werkervaring)
een indicatie over of de controle van de accountant systeemgericht of vooral gegevensgericht
ingericht kan worden. Wanneer de AO/IB omgeving heel goed op orde is, kan de controle vaak
efficiënter ingericht worden door systeemgerichte werkzaamheden. Wanneer dit niet het geval is,
wordt een controle gegevensgericht uitgevoerd.
Conclusie / eigen inzicht
In het artikel geeft Knechel geen eenduidige conclusie. Er wordt dus niet geconstateerd of er een
bepaald model per definitie wel of niet toegepast dient te worden, maar dat dit verschilt per
organisatie. Zelf zou ik ook denken dat het Business Risk Audit model en dus de top-down
benadering niet zomaar aan de kant geschoven dient te worden. Het model zorgt voor een duidelijk
inzicht in de risico’s en de beheersing van de risico’s.
Ik merk zelf ook bij de accountantskantoren waar ik werkte tijdens stage en waar ik nu werk, dat het
risicogericht insteken van de werkzaamheden steeds belangrijker wordt. Eerder heb ik tijdens stage
gewerkt bij een accountantskantoren (dit was in 2019) op de samenstelafdeling en daar werd
destijds het risicogericht samenstellen van de jaarrekening steeds belangrijker. Daarnaast werk ik nu
op de controleafdeling en verandert het daar ook steeds meer naar risicogericht insteken van de
control, zodat er ook daadwerkelijk minder werkzaamheden worden gedaan voor materiële posten
met weinig risico en meer werkzaamheden voor materiële posten met een hoog risico. Ik denk dat
de BRA hier ook inzicht aangeeft aan de voorkant van de risico-inschatting.
2
Persoonlijke analyse – artikel Knechel
Inleiding en aanleiding van het artikel
In dit artikel van Knechel worden ontwikkelingen omtrent de methode van het ‘business risk audit’
beschreven. In de jaren 80 vond commoditisering plaats van de controles, waardoor er in de jaren 90
een proces ontstond om dit tegen te gaan. Voorvallen rondom Enron en Ahold hebben ervoor
gezorgd dat er opspraak ontstond over de business risk audit. Mensen gingen zich afvragen of dit
model wel een verbetering was ten opzichte van de audit en of de kwaliteit dus omhoog ging.
In de laatste 20 jaren hebben zich belangrijke veranderingen voorgedaan in het accountantsberoep
en heeft deregulering van de auditmarkten plaatsgevonden, zo schrijft Knechel. Bedrijven konden
hierdoor meer gaan focussen op omzetgroei en kostenbesparingen doorvoeren. Deze
kostenbesparingen wilden bedrijven ook in de kosten van auditors doorvoeren, waardoor
accountants op een efficiëntere wijze te werk moesten gaan. De druk op de accountants nam
daardoor ook toe. Sommigen betogen ook dat deze veranderingen zorgden voor commoditisering
van de audits.
Volgens mij is dit artikel geschreven vanuit het perspectief van de accountant (oftewel de monitor).
Inhoud artikel + persoonlijke analyse
Accountantskantoren zijn audits meer gaan structureren. Het audit proces moest, zoals benoemd
hierboven, efficiënt ingericht worden. Accountants waren daar druk mee aan de slag gegaan. Echter,
het bedrijfsleven (dus de klanten van accountantskantoren) waren bezig met nieuwe ontwikkelingen
en nieuwe ideeën over risk management. Deze ontwikkeling leidde tot een perceptie van het
accountantscontrolerisico zoals dit in het COSO-raamwerk terugkomt. Het COSO-raamwerk zorgt
ervoor dat bedrijven risico’s beter identificeren en ook belangrijk of bedrijven controle hebben over
de risico’s. Het model kijkt dus eigenlijk of een bedrijf in control is en loopt daarbij vijf aspecten
door: control environment, risk assessment, control activities, information and communication en
monitoring.
Ik denk dat het wel logisch is dat accountants zoveel bezig waren met efficiëntie. Er ontstond
namelijk een bepaalde druk op accountants, omdat het bedrijfsleven behoefte had aan
kostenbesparingen en dus ook kostenbesparingen in audits. De omzet van accountantskantoren is
natuurlijk afhankelijk van de bedrijven in het bedrijfsleven en daardoor denk ik dat
accountantskantoren ook wel de noodzaak voelden om de controles aan te passen (of beter gezegd
efficiënter in te richten).
Bussiness Risk Audit niet succesvol?
Dit artikel gaat na of BRA wel of niet succesvol is geweest. Het kan zijn dat BRA ervoor heeft gezorgd
dat de voorvallen zijn ontstaan of dat de voorvallen ervoor gezorgd hebben dat BRA niet goed heeft
gewerkt door de voorvallen. Er waren een aantal accounting rituelen (numerous auditing-client
rituals) die zich voordeden om de connectie met klantverwachtingen op peil te houden. Dit ging
bijvoorbeeld om het introduceren en evalueren van nieuwe controlemethodologieën, onzekerheden
binnen teams en persoonlijke interacties en onzekerheden over de toekomst. Dit zijn een aantal
voorbeelden; Knechel geeft in totaal 13 redenen waarom de Business Risk Audit niet goed heeft
gewerkt en waarom de implementatie dus niet heeft geleid tot een verbetering van audits.
1
, Verschil traditional audit en Business Risk Audit
De Business Risk Audit is meer risicogericht ingericht dan de traditional audit. De toegevoegde
waarde van accountants wordt hierdoor wellicht hoger denk ik, omdat accountants dus ook echt
kijken naar de bedrijfsdoelstelling en tendenties en welke risico’s daaraan hangen. Hierdoor kunnen
de steekproeven ook uitgevoerd worden op de posten waar daadwerkelijk risico’s gezien worden.
Het verschil is me verder nog niet helemaal duidelijk, hoe een controle nu echt uitgevoerd werd bij
traditional audits en bij business risk audits. Wellicht dat we dit in het college nog duidelijker in
beeld kunnen krijgen?
Figuur 3
In figuur 3 wordt de Business Risk Audit afgebeeld. De BRA is eigenlijk een top-down benadering van
de controle, welke ten grondslag ligt aan de risico’s bij een onderneming. Het model wordt door de
vorm ook wel het trechtermodel genoemd en bestaat eigenlijk uit de volgende drie onderdelen van
boven naar beneden:
1. Strategic Analysis: analyse van de typologie van een onderneming en de externe risico’s die
daarbij komen kijken.
2. Process Analysis: kijken hoe het proces is ingericht en hoe de ondervonden bedrijfsrisico’s
beheerst worden door de onderneming.
3. Residual Risks: de risico’s die overblijven na de interne controle van de onderneming en die
de accountant dus tijdens de controle wil ondervinden. De accountant wil deze risico’s
afdekken.
Als het aantal residual risks dat overblijft uit de trechter van dit model relatief heel groot is ten
opzichte van het aantal afgedekte risico’s door de onderneming zelf, zegt dit iets over de AO/IB
omgeving van de onderneming. Er blijven natuurlijk altijd risico’s over bij een onderneming; als alles
volledig in orde zou zijn en er geen risico meer is, is de toegevoegde waarde van de accountant nihil.
Echter, de AO/IB omgeving geeft (naar mijn eigen inzicht vanuit eerdere opleiding en werkervaring)
een indicatie over of de controle van de accountant systeemgericht of vooral gegevensgericht
ingericht kan worden. Wanneer de AO/IB omgeving heel goed op orde is, kan de controle vaak
efficiënter ingericht worden door systeemgerichte werkzaamheden. Wanneer dit niet het geval is,
wordt een controle gegevensgericht uitgevoerd.
Conclusie / eigen inzicht
In het artikel geeft Knechel geen eenduidige conclusie. Er wordt dus niet geconstateerd of er een
bepaald model per definitie wel of niet toegepast dient te worden, maar dat dit verschilt per
organisatie. Zelf zou ik ook denken dat het Business Risk Audit model en dus de top-down
benadering niet zomaar aan de kant geschoven dient te worden. Het model zorgt voor een duidelijk
inzicht in de risico’s en de beheersing van de risico’s.
Ik merk zelf ook bij de accountantskantoren waar ik werkte tijdens stage en waar ik nu werk, dat het
risicogericht insteken van de werkzaamheden steeds belangrijker wordt. Eerder heb ik tijdens stage
gewerkt bij een accountantskantoren (dit was in 2019) op de samenstelafdeling en daar werd
destijds het risicogericht samenstellen van de jaarrekening steeds belangrijker. Daarnaast werk ik nu
op de controleafdeling en verandert het daar ook steeds meer naar risicogericht insteken van de
control, zodat er ook daadwerkelijk minder werkzaamheden worden gedaan voor materiële posten
met weinig risico en meer werkzaamheden voor materiële posten met een hoog risico. Ik denk dat
de BRA hier ook inzicht aangeeft aan de voorkant van de risico-inschatting.
2
