Peecher (2007): It’s all about audit quality: Perspectives on strategic-systems auditing
In dit paper wordt het Strategic-Systems Auditing behandeld, hierna SSA. SSA is proces van
controle wat gebaseerd is op bewijs-gedreven, geloof-gebaseerd en risico-inschattingen. Als de
accountant het bedrijfsconcept van de klant begrijpt kan hij op basis daarvan verwachtingen
opbouwen. Deze verwachtingen kunnen worden afgezet tegen de jaarrekeningcijfers die het
management presenteert (IST en SOLL).
Introductie
De auteurs zijn van mening dat Strategic-Systems Auditing (SSA) om controlekwaliteit gaat en dat
dit ook altijd zo was.
Vanaf het midden van de jaren ’90 is er sprake van een veranderende omstandigheden bij
ondernemingen (manier van waarde creatie en de processen in de organisatie) in combinatie met
veranderende wet- en regelgeving. Deze trends houden zich nog aan en gaan samen met een
verhoogde vraag vanuit de markt voor bescherming tegen fraude in de jaarrekeningen.
Ze veronderstellen hierbij dat SSA een gepaste en noodzakelijke manier is om de audit kwaliteit te
verbeteren in de jaren 90 en dat het nu ook nog steeds zo is.
The contemporary audit ecology (de huidige accounting omgeving)
Ze gebruiken hiervoor vier dimensies, zijnde:
1. Accountantskantoren passen op dit moment veel nieuwe business modellen, strategieën en
processen toe. Er is sprake van een toenemende snelheid van verandering door hoge
concurrentie.
2. Er is verhoogde zorg over en verantwoordelijkheid voor het detecteren van (management)
fraude die leiden tot afwijkingen in de jaarrekening.
3. Is er consistent bewijs dat, hoewel het niet vaak gebeurd, dat wanneer controles gefaald
hebben dit komt door een verkeerde toepassing van professional judgement.
4. Het Audit Risk Model is nog steeds het meest prominent toegepaste model voor controles.
De aard, context en omgeving van bedrijven is van grote invloed op de bedrijfsrisico’s, welke weer
de audit risico’s beïnvloeden. Door de grote technologische en financiële ontwikkelingen en
globalisatie zijn veel nieuwe bedrijfsmodellen ontstaan, waarbij er toenemend gebruik wordt
gemaakt van complexe schattingen in de financiële verslaggeving. Daar komt bij dat de druk op
management en beloningen uit earnings management steeds groter wordt. Dit maakt dat de kans op
materiële afwijkingen door fraude of fouten in de jaarrekening fors toenam. Om een oordeel over
de jaarrekening te vormen dient de accountant daarom in toenemende mate aan de hand van
opgebouwde verwachtingen en evidence de redelijkheid van de schattingen van het management
controleren. Daarom dient de accountant een diepgaande kennis te verwerven in het bedrijfsmodel
en processen van de te controleren bedrijven. Toch hebben veel fraudes plaatsgevonden, waarbij
bij > 80% management betrokken was.
Volgens de auteurs ontstaan de fouten in de jaarrekening door de volgende judgement errors:
Accountants hebben te weinig kennis over de omgeving waarin de klant zich bevindt;
Accountants begrijpen de verklaringen en verantwoording van het management onvoldoende;
Accountants zijn niet professioneel kritisch genoeg tegenover ongewone transacties, last minute
transacties of transacties met verbonden partijen.
Accountants slagen er niet in om een adequate risico inschatting te maken.
De niet adequate risico inschatting door de accountant wordt veroorzaakt doordat deze
onvoldoende beschikte over diepgaande kennis over de aard en complexiteit van de bedrijfsvoering
van de cliënt. De is een gevolg van de drie erboven. Indien de accountant haar klant en de omgeving
van de klant niet kent / begrijpt kan deze immers geen goede risk assesment maken.
Deze tekortkoming van de risico inschatting wordt veroorzaakt door het geldende Audit Risk Model,
welke als volgt werkt:
AUR: Combinatie van 1. er een materiële fout in de jaarrekening zit voor aanvang van de
controle (IR*CR = RoMM (Risk of Materiel Misstatement)) en 2. dat deze fout niet ontdekt wordt
(DR): oftewel de kans op een verkeerd oordeel bij de jaarrekening.
IR: De ingeschatte kans op een afwijking van materieel belang zonder controle
, CR: Het risico dat er een afwijking van materieel belang, alleen of geaccumuleerd, aanwezig is
die niet gedetecteerd wordt door de interne controle van het bedrijf.
DR: Het risico dat de accountant de afwijking van materieel belang, individueel of
geaccumuleerd, niet ontdekt. Daarbij geldt: DR = AP * TD.
AP = Analytical procedures
TD = Test of details. Deze kan weer onderverdeeld worden in sampling en non-sampling risks.
Sampling risk – Het risico dat de accountant een uitspraak doet over een populatie terwijl dit niet
kan en het oordeel, zou hij alles hebben gezien, anders zou zijn.
Non-sampeling risk – Dit risico wordt gevormd door factoren die er toe kunnen leiden dat
accountant een fout oordeel geeft over een populatie los van de grote van het sample. Dus door een
onvolledige controle op de data.
“An aspect of audit risk that results from an incomplete examination of the available data. It is
the failure of an auditor to catch a mistake or a misstatement. This may be caused by either
misinterpreting the evidence or misapplying procedures that are inappropriate. Opposite of
sampling risk.”
Probleem ARM volgens de auteurs
Het ARM houdt geen rekening met de complexe omgeving van de klant.
Omdat het non-sampling risico niet is opgenomen in het Audit Risk Model, wordt in de
traditionele controle hier geen werkzaamheden aan verricht, waardoor de risico inschatting en
werkzaamheden alsnog bloot staan aan het risico van fouten
SSA doet dit wel en is dus superieur aan het ARM.
What is SSA?
Figuur 1: staat centraal in het paper!
Het figuur is in drie onderdelen, de EBS, MII en MBR.
EBS 1. Analyse entities business states
• Suppliers:
• Customers:
• Competitors:
• Kapitaalverstrekkers/financiering:
• Regulators
• Strategische samenwerkingspartners:
--> op de juiste wijze verwerkt
MII 2. Management Information Intermediaries:
• Manual processes:
• Automated processes
--> op de jusite wijze gepresenteerd
MBR 3. Management business representations
• Journal en general ledger (grootboek en saldibalans) accuraat geboekt?
• Jaarrekening (BW2 titel 9; IFRS): voldaan aan regels?
• Accuratesse gebruikte bedragen en toelichting.
• Compliance met reporting framework.
--> de drie bronnen van audit evidence dienen hetzelfde verhaal te vertellen
Entity Business States (EBS)
De entity business states zijn de ondernemingsstrategieën, de omstandigheden, de
bedrijfsprocessen, de economische gebeurtenissen (die in het verleden en in het heden
plaatsvinden) en de waarschijnlijke toekomstige relaties met andere bedrijven.
= alle relaties die de cliënt heeft met diens externe omgeving. Hieruit kan de accountant relevante
informatie halen om schattingen in de jaarrekening door het management te toetsen
In dit paper wordt het Strategic-Systems Auditing behandeld, hierna SSA. SSA is proces van
controle wat gebaseerd is op bewijs-gedreven, geloof-gebaseerd en risico-inschattingen. Als de
accountant het bedrijfsconcept van de klant begrijpt kan hij op basis daarvan verwachtingen
opbouwen. Deze verwachtingen kunnen worden afgezet tegen de jaarrekeningcijfers die het
management presenteert (IST en SOLL).
Introductie
De auteurs zijn van mening dat Strategic-Systems Auditing (SSA) om controlekwaliteit gaat en dat
dit ook altijd zo was.
Vanaf het midden van de jaren ’90 is er sprake van een veranderende omstandigheden bij
ondernemingen (manier van waarde creatie en de processen in de organisatie) in combinatie met
veranderende wet- en regelgeving. Deze trends houden zich nog aan en gaan samen met een
verhoogde vraag vanuit de markt voor bescherming tegen fraude in de jaarrekeningen.
Ze veronderstellen hierbij dat SSA een gepaste en noodzakelijke manier is om de audit kwaliteit te
verbeteren in de jaren 90 en dat het nu ook nog steeds zo is.
The contemporary audit ecology (de huidige accounting omgeving)
Ze gebruiken hiervoor vier dimensies, zijnde:
1. Accountantskantoren passen op dit moment veel nieuwe business modellen, strategieën en
processen toe. Er is sprake van een toenemende snelheid van verandering door hoge
concurrentie.
2. Er is verhoogde zorg over en verantwoordelijkheid voor het detecteren van (management)
fraude die leiden tot afwijkingen in de jaarrekening.
3. Is er consistent bewijs dat, hoewel het niet vaak gebeurd, dat wanneer controles gefaald
hebben dit komt door een verkeerde toepassing van professional judgement.
4. Het Audit Risk Model is nog steeds het meest prominent toegepaste model voor controles.
De aard, context en omgeving van bedrijven is van grote invloed op de bedrijfsrisico’s, welke weer
de audit risico’s beïnvloeden. Door de grote technologische en financiële ontwikkelingen en
globalisatie zijn veel nieuwe bedrijfsmodellen ontstaan, waarbij er toenemend gebruik wordt
gemaakt van complexe schattingen in de financiële verslaggeving. Daar komt bij dat de druk op
management en beloningen uit earnings management steeds groter wordt. Dit maakt dat de kans op
materiële afwijkingen door fraude of fouten in de jaarrekening fors toenam. Om een oordeel over
de jaarrekening te vormen dient de accountant daarom in toenemende mate aan de hand van
opgebouwde verwachtingen en evidence de redelijkheid van de schattingen van het management
controleren. Daarom dient de accountant een diepgaande kennis te verwerven in het bedrijfsmodel
en processen van de te controleren bedrijven. Toch hebben veel fraudes plaatsgevonden, waarbij
bij > 80% management betrokken was.
Volgens de auteurs ontstaan de fouten in de jaarrekening door de volgende judgement errors:
Accountants hebben te weinig kennis over de omgeving waarin de klant zich bevindt;
Accountants begrijpen de verklaringen en verantwoording van het management onvoldoende;
Accountants zijn niet professioneel kritisch genoeg tegenover ongewone transacties, last minute
transacties of transacties met verbonden partijen.
Accountants slagen er niet in om een adequate risico inschatting te maken.
De niet adequate risico inschatting door de accountant wordt veroorzaakt doordat deze
onvoldoende beschikte over diepgaande kennis over de aard en complexiteit van de bedrijfsvoering
van de cliënt. De is een gevolg van de drie erboven. Indien de accountant haar klant en de omgeving
van de klant niet kent / begrijpt kan deze immers geen goede risk assesment maken.
Deze tekortkoming van de risico inschatting wordt veroorzaakt door het geldende Audit Risk Model,
welke als volgt werkt:
AUR: Combinatie van 1. er een materiële fout in de jaarrekening zit voor aanvang van de
controle (IR*CR = RoMM (Risk of Materiel Misstatement)) en 2. dat deze fout niet ontdekt wordt
(DR): oftewel de kans op een verkeerd oordeel bij de jaarrekening.
IR: De ingeschatte kans op een afwijking van materieel belang zonder controle
, CR: Het risico dat er een afwijking van materieel belang, alleen of geaccumuleerd, aanwezig is
die niet gedetecteerd wordt door de interne controle van het bedrijf.
DR: Het risico dat de accountant de afwijking van materieel belang, individueel of
geaccumuleerd, niet ontdekt. Daarbij geldt: DR = AP * TD.
AP = Analytical procedures
TD = Test of details. Deze kan weer onderverdeeld worden in sampling en non-sampling risks.
Sampling risk – Het risico dat de accountant een uitspraak doet over een populatie terwijl dit niet
kan en het oordeel, zou hij alles hebben gezien, anders zou zijn.
Non-sampeling risk – Dit risico wordt gevormd door factoren die er toe kunnen leiden dat
accountant een fout oordeel geeft over een populatie los van de grote van het sample. Dus door een
onvolledige controle op de data.
“An aspect of audit risk that results from an incomplete examination of the available data. It is
the failure of an auditor to catch a mistake or a misstatement. This may be caused by either
misinterpreting the evidence or misapplying procedures that are inappropriate. Opposite of
sampling risk.”
Probleem ARM volgens de auteurs
Het ARM houdt geen rekening met de complexe omgeving van de klant.
Omdat het non-sampling risico niet is opgenomen in het Audit Risk Model, wordt in de
traditionele controle hier geen werkzaamheden aan verricht, waardoor de risico inschatting en
werkzaamheden alsnog bloot staan aan het risico van fouten
SSA doet dit wel en is dus superieur aan het ARM.
What is SSA?
Figuur 1: staat centraal in het paper!
Het figuur is in drie onderdelen, de EBS, MII en MBR.
EBS 1. Analyse entities business states
• Suppliers:
• Customers:
• Competitors:
• Kapitaalverstrekkers/financiering:
• Regulators
• Strategische samenwerkingspartners:
--> op de juiste wijze verwerkt
MII 2. Management Information Intermediaries:
• Manual processes:
• Automated processes
--> op de jusite wijze gepresenteerd
MBR 3. Management business representations
• Journal en general ledger (grootboek en saldibalans) accuraat geboekt?
• Jaarrekening (BW2 titel 9; IFRS): voldaan aan regels?
• Accuratesse gebruikte bedragen en toelichting.
• Compliance met reporting framework.
--> de drie bronnen van audit evidence dienen hetzelfde verhaal te vertellen
Entity Business States (EBS)
De entity business states zijn de ondernemingsstrategieën, de omstandigheden, de
bedrijfsprocessen, de economische gebeurtenissen (die in het verleden en in het heden
plaatsvinden) en de waarschijnlijke toekomstige relaties met andere bedrijven.
= alle relaties die de cliënt heeft met diens externe omgeving. Hieruit kan de accountant relevante
informatie halen om schattingen in de jaarrekening door het management te toetsen
