My Essay

Tag: Professionele oordeelsvorming

  • Voldoende en geschikte controle-informatie

    Ja, lekker pakkende titel.

    Maar het gaat hier wel om een fundamentele discussie die het accountantsberoep en het toezicht door de AFM raakt. Waar vroeger de term voor een goede accountantscontrole “deugdelijke grondslag” was, is dat tegenwoordig “voldoende en geschikte controle-informatie”. Als de toezichthouder meent dat een controle niet goed is uitgevoerd is het standaard verwijt dat de accountant niet heeft aangetoond over voldoende en geschikte controle-informatie te beschikken. Maar wat is nu precies voldoende en geschikte controle-informatie?

    De behoefte aan een norm, ingevuld door “voldoende en geschikt”

    Voor accountants is dat een cruciale vraag, het bepaalt immers het verschil tussen een goede en een onvoldoende controle. Voor accountantsorganisaties, hun besturen, compliance officers, reviewers, kwaliteitsmanagers, en wat we allemaal hebben opgetuigd om de kwaliteit op het gewenste niveau te houden, is het al even cruciaal. Immers, je moet wel weten welke kwaliteit je nu precies nastreeft om te weten of je genoeg doet. Tenslotte is het voor tuchtrechter en toezichthouder van belang, want zij toetsen aan deze norm.

    En let op, dat is het specialisme dat accountants menen te hebben: toetsen aan een norm. Accountants bepalen de norm niet, ze toetsen er wel aan. Het zou dus wat knullig zijn als de norm waaraan accountants zichzelf en elkaar toetsen niet een zodanig heldere norm blijkt te zijn dat toetsing onmogelijk is.

    Kwaliteitsambities behoeven een norm

    Wat mij vaker is opgevallen, is dat accountantsorganisaties prachtige kwaliteitsambities hebben die helaas steevast mank gaan op de vraag wat kwaliteit eigenlijk is. Aan het woordenboek hebben we niet veel, daar wordt kwaliteit gedefinieerd als de mate waarin iets goed is. Dus als een accountantsorganisatie voor wat betreft de controle kwaliteit levert, moet de kwaliteitsambitie van die organisatie dus iets zeggen over de mate waarin ze haar controles goed uitvoert.

    Het enige echte kwaliteitscriterium: gemiste afwijkingen van materieel belang

    In de huidige accountantstheorie is kwaliteit te vinden in de hoogte van het accountantscontorlerisico. Dit is gedefinieerd als de kans dat een accountant een goedkeurende verklaring afgeeft terwijl de verantwoording waarover die verklaring wordt gegeven geen getrouw beeld geeft, ofwel afwijkingen van materieel belang bevat. In de praktijk is het onmogelijk nooit een onjuiste verklaring af te geven, maar evenmin is het vast te stellen hoe vaak het fout gaat. Immers, de meeste jaarrekeningen worden nooit meer nader onderzocht als de accountant klaar is. Als je als accountantsorganisatie of als toezichthouder werkelijk zou willen weten wat de kwaliteit van een controle is, zal je die controle gewoon over moeten doen. De AFM heeft de bevoegdheid daartoe op grond van artikel 51 van de Wta maar maakt daar naar mijn waarneming nimmer gebruik van. (Puur ter anekdote, ik weet zo zeker dat dit artikel daarvoor bedoeld is, omdat ik betrokken was bij het schrijven van de Wta en zelf nogal op dit artikel heb aangedrongen, precies met dit doel).

    Waarom kiezen toezichthouder en accountantsorganisaties niet voor het middel reperformance van de controle? Omdat dat duur is en zeer bewerkelijk natuurlijk. Maar er is nog een andere reden: het is subjectief. Ik kom daar op terug nadat ik heb aangetoond dat de controle zelf ook volstrekt subjectief is.

    Het ontbreken van harde objectiviteit

    Wat accountants en hun beroepsorganisatie, de NBA, niet graag expliciet uitspreken, en wat de AFM welhaast fundamenteel moet negeren, is dat de controle zelf nogal subjectief is. Die term klinkt ongemakkelijk, en er is een term die nauwkeuriger is: professionele oordeelsvorming. Dat betekent nog steeds “subjectief”, maar wel de subjectiviteit van een professional die zich niet laat beïnvloeden door oneigenlijke argumenten. Wie de Verordening Gedrags- en Beroepsregels Accountants, de VGBA, leest ziet dat daar precies goed wordt aangeduid hoe het zit. De accountant is gehouden zich te gedragen als een goede accountant, laat zich niet oneigenlijk beïnvloeden en komt tot uitspraken op basis van professionele oordeelsvorming. Maar onthou dat die term subjectiviteit impliceert. Harde objectiviteit bestaat niet in het accountantsoordeel.

    Terug nu naar de controle-informatie. Dit is de informatie die de accountant verzamelt gedurende de controle teneinde een oordeel te vormen, veelal over een jaarrekening. De norm waarop een controle getoetst wordt in de praktijk is niet, zoals we zagen, reperformance, maar de vraag of in het accountantsdossier voldoende en geschikte controle-informatie is opgenomen.

    Reviewers, toetsers, toezichthouders, suggereren in hun uitspraken over dossiers dat hun oordeel over een dossier en dus een controle, hard is gerelateerd aan de vraag of dat dossier voldoende en geschikte controle-informatie bevat. In verslagen van deze beoordelingen wordt veelal uitgebreid uitgelegd welke informatie de toetser had willen aantreffen, niet heeft aangetroffen, en waarom daarmee de informatie onvoldoende is dan wel ongeschikt, en niet zelden beide. Daar valt echter op twee niveaus nogal wat op af te dingen.

    Hoeveel is voldoende, wat is geschikt?

    De beroepsorganisatie geeft een hele serie Nadere Voorschriften Controle- en Overige Standaarden, de NV COS, uit. In Standaard 200 wordt de algehele context van de controle gegeven, en daarin staat onder veel meer het volgende: “De Standaarden schrijven voor dat de accountant als basis voor zijn oordeel een redelijke mate van zekerheid moet verkrijgen over de vraag of de financiële overzichten als geheel vrij zijn van een afwijking van materieel belang die het gevolg is van fraude of van fouten. Een redelijke mate van zekerheid is een hoog niveau van zekerheid. Dit wordt verkregen wanneer de accountant voldoende en geschikte controle-informatie heeft verkregen teneinde het controlerisico (en dit is het risico dat een accountant een onjuist oordeel tot uitdrukking brengt wanneer de financiële overzichten een afwijking van het materieel belang bevatten) terug te brengen tot een aanvaardbaar laag niveau.” (vetgedrukt door mij).

    Wat is voldoende? Volgens Standaard 500: “voldoende zijn (van controle-informatie) – maatstaf voor de hoeveelheid controle-informatie. Hoeveel controle-informatie nodig is, is afhankelijk van de inschatting door de accountant van de risico’s op een afwijking van materieel belang en van de kwaliteit van die controle-informatie.” Kortom, of controle-informatie voldoende is, is in ultimo een kwestie van professionele inschatting door de accountant zelf.

    Wat is geschikt? Volgens diezelfde Standaard 500: “geschiktheid (van controle-informatie) – De maatstaf voor de kwaliteit van controle-informatie; dat wil zeggen de mate waarin die informatie relevant en betrouwbaar is voor het onderbouwen van de conclusies waarop de accountant zijn oordeel baseert“. Geschiktheid is dus een functie van relevantie en betrouwbaarheid. Over die betrouwbaarheid zegt de standaard: “Indien: 

    1. uit een bepaalde bron verkregen controle-informatie inconsistent is met uit een andere bron verkregen controle-informatie; of
    2. de accountant twijfelt aan de betrouwbaarheid van de informatie die als controle-informatie zal worden gebruikt,

    dient de accountant te bepalen welke aanpassingen of toevoegingen aan de controlewerkzaamheden nodig zijn om deze aangelegenheid op te lossen en dient hij te overwegen welk effect deze aangelegenheid eventueel heeft op andere aspecten van de controle. “. Ik vermoed dat ik niet hoef aan te wijzen hoe volstrekt subjectief dit is. Alles is afhankelijk van wat de accountant betwijfelt, en zelfs bij het vrij objectieve gegeven van inconsistentie is het vervolgens aan het subjectieve oordeel van de accountant wat deze daaraan gaat doen.

    Over relevantie stelt de standaard: “Relevantie gaat over de logische samenhang met, of invloed op, het doel van de controlemaatregel en, in voorkomend geval, de bewering in kwestie. De relevantie van informatie die als controle-informatie zal worden gebruikt, kan door de richting van de toetsingen worden beïnvloed. ” Dat is geheel waar, en tegelijk een open deur van jewelste voor iedereen met een accountantsopleiding. Het is dus waar, maar het stelt geen toetsbare norm in zichzelf. De norm voor relevantie is kennelijk geen andere dan dat je als accountant moet kunnen uitleggen dat de controle-informatie die je hebt verzameld in een logische relatie staat tot de bewering die je gecontroleerd hebt.

    De standaard stelt expliciet, en kennelijk volkomen terecht, dan ook “Of al dan niet voldoende en geschikte controle-informatie is verkregen om het controlerisico tot een aanvaardbaar laag niveau terug te brengen en daardoor de accountant in staat te stellen redelijke conclusies te trekken waarop hij zijn oordeel kan baseren, is een kwestie van professionele oordeelsvorming. 

    In algemene zin geeft de regelgeving die de controle van jaarrekeningen regelt dus geen toetsbare norm, anders dan de professionele oordeelsvorming van de accountant zelf. Voor toetsers, reviewers en toezichthouders zit er dan ook niets anders op dan twee mogelijke onderzoeken:

    1. Reperformance, waarbij het vraagstuk blijft of de professionele oordeelsvorming van de oorspronkelijke accountant “fout” is enkel en alleen omdat deze mogelijk afwijkt van de professionele oordeelsvorming door de toetser in kwestie. Het betekent tenminste dat deze toetser minimaal óók een ervaren controlerend accountant moet zijn om tot een serieus te nemen oordeel te kunnen komen.
    2. Interne inconsistenties in de controle. Zodra een controle een risico-inschatting bevat die volgens de accountant om controlewerkzaamheid X vraagt, en vervolgens is X niet uitgevoerd, of X is op logische gronden niet passend bij het gesignaleerde risico, mag je stellen dat de controle daar een fout bevat.

    Hier komt echter een volgend vraagstuk naar voren, het tweede niveau waarop twijfels mogen worden gesteld bij de uitspraak dat een dossier niet voldoende of geschikte controle-informatie bevat.

    Het risico-analyse model in detail beschouwd

    Het accountants-controle-risico-model zegt in een mathematisch nogal slordige vorm:

    ACR = IR x IBR x DR, DR = SR x UR

    Hierin is ACR het eerder genoemde accountantscontorlerisico, dit is in feite de variabele die de accountant zelf kiest. Het is de door de accountant, of door de accountantsorganisatie, aanvaardbaar geachte kans dat een goedkeurende verklaring wordt afgegeven bij een verantwoording die afwijkingen van materieel belang omvat. Let op, dat is dus iets anders dan de kans dat de accountant fouten maakt of informatie over het hoofd ziet. Dit blijkt nadrukkelijk uit de andere factoren in deze formule:

    IR is het inherente risico, dit is de kans dat een jaarrekening een afwijking van materieel belang omvat ongeacht de maatregelen van interne beheersing of de activiteiten van de accountant. Vaak wordt vrij makkelijk over deze formule heen gelezen, maar ze is essentieel in het begrijpen wat accountants doen, en of het een probleem is als de accountant fouten maakt. Om dit duidelijk te maken neem ik een extreem voorbeeld, dat niet klopt, maar slechts dient ter illustratie.

    Stel voor dat de regels zouden stellen dat de accountant verplicht is onderzoek te doen naar de omvang van de post chartale liquide middelen in de jaarrekening, kortom, naar het aanwezige contante kasgeld. En stel nu dat de jaarrekening betrekking heeft op een onderneming die uitsluitend een webwinkel exploiteert waarbij het onmogelijk is contant te betalen en de winkel koopt ook nooit contant in. En stel nu dat de accountant vergeet de niet bestaande chartale liquide middelen te onderzoeken. Dan is de accountant weliswaar niet compliant, maar er ontbreekt toch geen voldoende of geschikte controle-informatie. Immers, voor deze post is IR per definitie nul, en dus is ACR voor deze post nul.

    IBR heeft een minder extreme werking, maar wel vergelijkbaar. IBR betreft de kans dat de jaarrekening afwijkingen van materieel belang bevat ondanks de interne beheersingswerkzaamheden die door de huishouding, veelal de onderneming, die de jaarrekening opstelt, heeft toegepast. Om het eerdere voorbeeld hier te nemen: als de onderneming nu wel contante betalingen ontvangt, maar de interne controle op het kasverkeer is volledig sluitend, dan faalt de accountant opnieuw wel op het gebied van compliance als hij geen onderzoek doet naar de kas, maar opnieuw niet voor wat betreft de aanwezigheid van voldoende en geschikte controle-informatie.

    Echt interessant wordt de aanpak echter bij DR. Dit is het detectie-risico, het is de kans dat de accountant ondanks de geplande en uitgevoerde werkzaamheden een afwijking van materieel belang in de jaarrekening niet ziet. Dit risico valt uiteen in SR, het wat onhandig genoemde “steekproefrisico” en UR, het uitvoeringsrisico.

    Op dat steekproefrisico kom ik verderop terug. Voor dit moment volstaat dat dit niet per definitie ziet op statistische steekproeven, maar het is kort gezegd het risico dat de accountant zijn waarnemingen technisch correct doet, en toch zaken mist omdat hij nu eenmaal niet alles bekijkt.

    Het uitvoeringsrisico is de kans dat de accountant een afwijking van materieel belang over het hoofd ziet omdat hij, simpel gezegd, zijn werk niet goed doet.

    Hoe werkt dit nu in de praktijk? De accountant heeft slechts één variabele zelf in de hand: het SR. De logica in het geheel is dat de accountant meer controle-informatie verzamelt (=SR) naarmate de andere factoren meer kans leveren op gemiste afwijkingen van materieel belang. De formule wordt er iets minder leesbaar van, maar in feite zou deze correcter worden genoteerd als:

    SR = (IR x IBR x UR) x (1/ACR)

    Dit heeft een belangrijke implicatie. Doordat de accountant op voorhand al rekening houdt met het feit dat hij, ofwel zijn team, fouten zal maken in de uitvoering van de controle, plant de accountant méér werkzaamheden en verzamelt dus meer controle-informatie dan nodig zou zijn bij een foutloos uitgevoerde controle. Maar dat betekent ook dat het enkele feit dat een fout wordt gevonden in een dossier nog volstrekt niets zegt over de vraag of het dossier als geheel voldoende en geschikte controle-informatie bevat.

    De schijn-objectiviteit van steekproeven

    We hebben nog een ander probleem bij het vaststellen van de norm waaraan een goede controle moet voldoen. Geheel onwetenschappelijk, maar wel gebaseerd op mijn waarnemingen en de geluiden die ik al jaren hoor, vermoed ik dat de toezichtactiviteiten van de AFM hebben geleid tot een verschijnsel dat twintig jaar geleden nog weinig dominant aanwezig was: de verschuiving van de kritische deelwaarneming naar de statistische steekproef.

    Een kritische deelwaarneming onderscheidt zich van een statistische steekproef op allerlei manieren, maar twee belangrijke verschillen zijn dat de wijze waarop de statistische steekproef tot stand komt niet of beperkte gebaseerd is op de professionele oordeelsvorming van de accountant en meer of volledig op objectieve criteria en aselecte selectie van te onderzoeken elementen enerzijds, en anderzijds dat de uitkomsten van een statistische steekproef op objectieve gronden geprojecteerd kunnen worden naar een populatie, terwijl dit bij de kritische deelwaarneming vrijwel volledig gebaseerd is op, opnieuw, professionele oordeelsvorming.

    In het accountantsberoep is, naar mijn waarneming, de opvatting steeds sterker ontstaan dat professionele oordeelsvorming zoveel mogelijk moet worden uitgebannen, met name door het verminderen van systeemgerichte controles, en door het maximaal inzetten op statistische steekproeven. Over de verschraling van de accountantscontrole die ontstaan is door het loslaten van systeemgerichte controles schrijf ik nog wel eens. Voor dit verhaal wil ik wijzen op de denkfouten rond statistische steekproeven.

    Laat ik eerst een uitstapje maken naar natuurkunde. Ik heb een blauwe maandag natuurkunde gestudeerd, en een van de zaken die je daar vrij goed ingeprent krijgt is de noodzaak grootheden in een vergelijking gelijk te houden. In de formule

    E=mc^2

    staat E voor energie, m voor massa en c voor de lichtsnelheid. Klopt dat wel? De eenheid van energie is Joule, de eenheid van massa is kilogram en de eenheid van (licht)snelheid is meter per seconde. Wil deze formule kunnen kloppen, dan moeten we de eenheden kunnen invullen. Daarbij is het goed te weten dat Joule ook wel kan worden geschreven als kg x m^2 x s^-2. Vul nu de eenheden links en rechts in, en dat blijkt te kloppen.

    Laten we nu datzelfde eens doen met de ACR-formule, waarbij ik zelf eenheden verzin om mijn punt te maken. Die eenheden zijn “po” en “stat”, ofwel “professionele oordeelsvorming” en “statistiek”. En ik moet nog wat smokkelen ook, ik definieer “po x iets anders = heel veel po”. Als we het mathematisch vrij zwakke risico-analysemodel nu blootstellen aan de toets op de eenheden, met mijn natuurkundig al helemaal zwakke idee over eenheden, dan krijgen we, als we onszelf graag wijs maken dat statistiek in essentie objectiever is dan professionele oordeelsvorming:

    SR(stat) = (IR(po) x IBR(po) x UR(po)) x (1/ACR(po))

    ofwel

    stat = po x po x po x 1/po = po x po

    Hoe valt dit correct te maken? Simpel, door te accepteren dat statistiek in de accountantscontrole een prima gereedschap is voor het uitwerken en vormgeven van professionele oordeelsvorming en daarmee bepaald niet superieur is aan de kritische deelwaarneming. Dan wordt de formule in eenheden immers

    po = po x po

    Mathematisch en natuurkundig nog steeds een gruwel, maar accountants zijn gelukkig noch wiskundigen, noch natuurkundigen.

    Conclusies

    1. Het accountantscontrolerisico ziet op de strekking van de verklaring bij een verantwoording die mogelijk afwijkingen van materieel belang omvat. Het ziet nadrukkelijk niet op de vraag of een controle fouten bevat.
    2. Een dossier review geeft geen antwoord op de vraag of een controle goed is uitgevoerd. Alleen een tweede controle van dezelfde jaarrekening kan daar een sluitend antwoord op geven.
    3. De kwaliteit van controles is vast te stellen door opnieuw uitvoeren van de controle door reviewer of toezichthouder. Noch accountantsorganisaties, noch de tuchtrechter, noch de toezichthouder kiezen daar voor hoewel de wetgever de benodigde bevoegdheid daartoe expliciet wel bij de toezichthouder heeft gelegd.
    4. Oordeelsvorming van accountants is subjectief. Subjectiviteit die begrensd wordt door eisen gesteld in de VGBA, maar nog steeds subjectief.
    5. We beschikken niet over een objectieve norm om vast te stellen wat een deugdelijke grondslag is, of wat voldoende of geschikte controle-informatie is.
    6. De statistische steekproef is niet superieur aan de kritische deelwaarneming. Beide zijn verschillende gereedschappen voor de uitwerking van hetzelfde: professionele oordeelsvorming.
    7. Accountantscontrole is geen wetenschap, is niet objectief, en kent geen objectieve kwaliteitsnorm. De enige relevante norm is professionele oordeelsvorming.

    Implicaties

    1. Een toezichthouder, toetser of reviewer kan slechts tot een relevant oordeel over de kwaliteit van een controle komen indien deze zelf een ervaren controlerend accountant is.
    2. Een toezichthouder, toetser of reviewer dient bescheiden te zijn in het beoordelen van een controle na reperformance. Ook als bij reperformance een tweede accountant tot een ander oordeel komt, wil dat niet zeggen dat de eerste accountant kwalitatief op onvoldoende onderbouwde wijze tot diens oordeel is gekomen.
    3. Een toezichthouder, toetser of reviewer dient zich bij uitspraken over voldoende en geschikte controle-informatie te beperken tot inconsistenties in het controle-dossier en zich apart uit te spreken over compliance met controlestandaarden zonder daaraan uitspraken over voldoende en geschikte controle-informatie te verbinden.
    4. Een toezichthouder, toetser of reviewer voegt daadwerkelijk waarde toe door zich niet te richten op een algeheel oordeel over de uitgevoerde controle maar door de kritische professionele oordeelsvorming van de accountant te stimuleren.
    5. De huidige Wet toezicht accountantsorganisaties is correct ingericht, de uitspraken in eerste en tweede aanleg van de rechters in de zaken aangespannen door PwC en EY tegen de AFM, waren correct en geven geen aanleiding de Wta te herzien. In tegendeel, de taak van de AFM is niet toezicht te houden op uitgevoerde wettelijke controles, maar op accountantsorganisaties. Juist omdat de norm voor kwaliteit niet objectief valt te stellen, en de oordeelsvorming zonder reperformance onvolledig is, en in alle gevallen in hoge mate subjectief, heeft de wetgever er voor gekozen de kwaliteitsbewaking terzake controles bij accountantsorganisaties te leggen en het toezicht te richten op die kwaliteitsbewaking.