NV COS 330

 

Inleiding

Toepassingsgebied van deze Standaard

1Deze Standaard behandelt de verantwoordelijkheid van de accountant voor het opzetten en implementeren van manieren om op de risico's op een afwijking van materieel belang in te spelen die hij overeenkomstig Standaard 315Standaard 315, Risico's op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving. bij een controle van financiële overzichten heeft geïdentificeerd en ingeschat.

Ingangsdatum

2Voor de ingangsdatum wordt verwezen naar de slotbepalingen.

Doelstelling

3Het doel van de accountant is het verkrijgen van voldoende en geschikte controle-informatie over de ingeschatte risico's op een afwijking van materieel belang door middel van het opzetten en implementeren van geschikte manieren om op deze risico's in te spelen.

Definities

4Voor de toepassing van de Standaarden hebben de volgende termen de hierna weergegeven betekenis:

  1. gegevensgerichte controle- een controlemaatregel die is opgezet om afwijkingen van materieel belang op het niveau van beweringen te detecteren. Gegevensgerichte controles bestaan uit:

    1. detailcontroles (van transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen); en
    2. gegevensgerichte cijferanalyses;

  2. toetsingen van interne beheersingsmaatregelen - een controlemaatregel die is opgezet om de effectieve werking te evalueren van interne beheersingsmaatregelen gericht op het voorkomen of het detecteren en corrigeren van een afwijking van materieel belang op het niveau van beweringen.

Vereisten

Algehele manieren om op risico's in te spelen

5De accountant dient algehele manieren op te zetten en te implementeren om op de ingeschatte risico's op een afwijking van materieel belang op het niveau van de financiële overzichten in te spelen. (Zie Par. A1, A2 en A3)

Controlewerkzaamheden gericht op de ingeschatte risico's op een afwijking van materieel belang op het niveau van beweringen

6De accountant dient verdere controlewerkzaamheden op te zetten en uit te voeren waarvan de aard, timing en omvang worden gebaseerd op, en een reactie zijn op, de ingeschatte risico's op een afwijking van materieel belang op het niveau van beweringen. (Zie Par. A4, A5, A6, A7 en A8)

7Bij het opzetten van verdere controlewerkzaamheden die zullen worden uitgevoerd dient de accountant:

  1. de redenen te overwegen die hebben geleid tot de inschatting van het risico op een afwijking van materieel belang op het niveau van beweringen voor elk(e) transactiestroom, rekeningsaldo en in de financiële overzichten opgenomen toelichting, waaronder:

    1. de waarschijnlijkheid dat een afwijking van materieel belang zich voordoet op grond van de specifieke kenmerken van de transactiestroom, het rekeningsaldo of de in de financiële overzichten opgenomen toelichting die op deze afwijking betrekking heeft (dat wil zeggen het inherente risico); en
    2. de vraag in hoeverre bij de risico-inschatting rekening is gehouden met de relevante interne beheersingsmaatregelen (dat wil zeggen het interne beheersingsrisico), waarbij wordt vereist dat de accountant controle-informatie verkrijgt om te bepalen of deze interne beheersingsmaatregelen effectief werken (dat wil zeggen dat de accountant voornemens is te steunen op de effectieve werking van de interne beheersingsmaatregelen bij het bepalen van de aard, timing en omvang van de gegevensgerichte controles); en (Zie Par. A9, A10, A11, A12, A13, A14, A15, A16, A17 en A18)

  2. overtuigender controle-informatie te verkrijgen naarmate het risico door de accountant hoger wordt ingeschat. (Zie Par. A19)

Toetsingen van interne beheersingsmaatregelen

8De accountant dient toetsingen van de interne beheersingsmaatregelen op te zetten en uit te voeren om voldoende en geschikte controle-informatie te verkrijgen over de effectieve werking van relevante interne beheersingsmaatregelen indien:

  1. de inschatting van de risico's op een afwijking van materieel belang op het niveau van beweringen de verwachting omvat dat de interne beheersingsmaatregelen effectief werken (dat wil zeggen dat de accountant voornemens is te steunen op de effectieve werking van interne beheersingsmaatregelen bij het bepalen van de aard, timing en omvang van gegevensgerichte controlewerkzaamheden); of
  2. gegevensgerichte controlewerkzaamheden alleen geen voldoende en geschikte controle-informatie op het niveau van beweringen kunnen verschaffen. (Zie Par. A20, A21, A23 en A24)

9Bij het opzetten en uitvoeren van systeemgerichte controles dient de accountant overtuigender controle-informatie te verkrijgen naarmate hij in sterkere mate wil steunen op de effectiviteit van een interne beheersingsmaatregel. (Zie Par. A25)

Aard en omvang van toetsingen van interne beheersingsmaatregelen

10Bij het opzetten en uitvoeren van toetsingen van interne beheersingsmaatregelen dient de accountant:

  1. in combinatie met het verzoeken om inlichtingen ook andere controlewerkzaamheden uit te voeren gericht op het verkrijgen van controle-informatie over de effectieve werking van de interne beheersingsmaatregelen, waaronder:

    1. de wijze waarop de interne beheersingsmaatregelen zijn toegepast op relevante tijdstippen gedurende de verslagperiode waarop de controle betrekking heeft;
    2. de consistentie waarmee ze zijn toegepast; en
    3. de vraag door wie of met welke middelen deze zijn toegepast. (Zie Par. A26, A27, A28 en A29)

  2. vast te stellen of de te toetsen interne beheersingsmaatregelen afhankelijk zijn van andere interne beheersingsmaatregelen (indirecte interne beheersingsmaatregelen) en zo ja, of het noodzakelijk is controle-informatie te verkrijgen die de effectieve werking van die indirecte interne beheersingsmaatregelen onderbouwt. (Zie Par. A30 en A31)

Timing van toetsingen van interne beheersingsmaatregelen

11Wanneer de accountant voornemens is te steunen op de interne beheersingsmaatregelen met betrekking tot een bepaald moment of een bepaalde periode, dient hij deze te toetsen volgens de hierna volgende paragrafen 12 en 15, teneinde een juiste basis te verkrijgen voor het feit dat hij voornemens is daarop te steunen. (Zie Par. A32)

Gebruikmaken van controle-informatie die in de loop van een tussentijdse periode is verkregen

12Indien de accountant controle-informatie verkrijgt over de effectieve werking van interne beheersingsmaatregelen gedurende een tussentijdse periode, dient hij:

  1. controle-informatie te verkrijgen over significante wijzigingen die zich na afloop van de tussentijdse periode in deze interne beheersingsmaatregelen hebben voorgedaan; en
  2. te bepalen welke aanvullende controle-informatie voor de resterende verslagperiode moet worden verkregen. (Zie Par. A33-A34)

Gebruikmaken van controle-informatie die tijdens vorige controles is verkregen

13Bij het bepalen of het passend is controle-informatie over de effectieve werking van interne beheersingsmaatregelen te gebruiken die uit vorige controles is verkregen en zo ja, hoe lang de periode is die kan verstrijken tot het moment dat een maatregel opnieuw moet worden getoetst, dient de accountant het volgende in aanmerking te nemen:

  1. de effectiviteit van andere elementen van de interne beheersing, met inbegrip van de interne beheersingsomgeving, het monitoren door de entiteit van de interne beheersingsmaatregelen en het proces van risico-inschatting van de entiteit;
  2. de risico's die voortkomen uit de kenmerken van de interne beheersingsmaatregelen, waaronder de vraag of deze geautomatiseerd of handmatig zijn;
  3. de effectiviteit van de general IT controls;
  4. de effectiviteit van de interne beheersingsmaatregel en het gebruik daarvan door de entiteit, met inbegrip van de aard en omvang van deviaties in de toepassing van de maatregel die gebleken zijn bij vorige controles, alsmede de vraag of er wijzigingen in het personeel hebben plaatsgevonden die een significante invloed hebben op de toepassing van de interne beheersingsmaatregel;
  5. de vraag of het achterwege blijven van wijzigingen in een bepaalde interne beheersingsmaatregel een risico vormt als gevolg van gewijzigde omstandigheden; en
  6. de risico's op een afwijking van materieel belang en de mate waarin wordt gesteund op de interne beheersingsmaatregel. (Zie Par. A35)

14Indien de accountant voornemens is de in het kader van vorige controles verkregen controle-informatie over de effectieve werking van specifieke interne beheersingsmaatregelen te gebruiken, dient hij de blijvende relevantie van deze controle-informatie vast te stellen door controle-informatie te verkrijgen in verband met de vraag of zich na afloop van de vorige controle significante wijzigingen in die interne beheersingsmaatregelen hebben voorgedaan . De accountant dient controle-informatie te verkrijgen over de vraag of dergelijke wijzigingen hebben plaatsgevonden door het verzoeken om inlichtingen in combinatie met waarneming of inspectie om het inzicht in deze specifieke maatregelen te bevestigen en hij dient:

  1. wanneer zich wijzigingen hebben voorgedaan die van invloed zijn op de blijvende relevantie van deze controle-informatie die in vorige controles is verkregen, de interne beheersingsmaatregelen voor de lopende controle te toetsen; en (Zie Par. A36)
  2. wanneer zich geen wijzigingen hebben voorgedaan, de interne beheersingsmaatregelen ten minste één keer per drie controles te toetsen en bij iedere controle een deel van de interne beheersingsmaatregelen te toetsen om de mogelijkheid te voorkomen dat in één afzonderlijke controleperiode alle interne beheersingsmaatregelen worden getoetst waarop hij voornemens is te steunen, zonder interne beheersingsmaatregelen te toetsen in de twee daaropvolgende controleperioden. (Zie Par. A37, A38 en A39)

Interne beheersingsmaatregelen voor significante risico's

15Indien de accountant voornemens is te steunen op interne beheersingsmaatregelen voor een risico dat hij als een significant risico heeft aangemerkt, dient hij deze interne beheersingsmaatregelen gedurende de lopende controleperiode te toetsen.

Evalueren van de effectieve werking van interne beheersingsmaatregelen

16Bij het evalueren van de effectieve werking van relevante interne beheersingsmaatregelen dient de accountant te evalueren of de afwijkingen die door middel van gegevensgerichte controles zijn gedetecteerd, een aanwijzing zijn voor het niet effectief werken van deze interne beheersingsmaatregelen. Wanneer er door middel van gegevensgerichte controles geen afwijkingen worden gedetecteerd, verschaft dit echter nog geen controle-informatie die aantoont dat de interne beheersingsmaatregelen die op de te toetsen bewering betrekking hebben, effectief zijn. (Zie Par. A40)

17Indien wordt gedetecteerd dat er deviaties zijn van de interne beheersingsmaatregelen waarop de accountant voornemens is te steunen, dient hij om specifieke inlichtingen te verzoeken teneinde kennis te verkrijgen over deze aangelegenheden en over de potentiële gevolgen daarvan. Tevens dient hij te bepalen of: (Zie Par. A41)

  1. de toetsingen van interne beheersingsmaatregelen die zijn uitgevoerd, een passende basis vormen voor het steunen op deze interne beheersingsmaatregelen;
  2. aanvullende toetsingen van interne beheersingsmaatregelen noodzakelijk zijn; of
  3. het nodig is op de mogelijke risico's op een afwijking in te spelen door het uitvoeren van gegevensgerichte controles.

Gegevensgerichte controles

18Ongeacht de inschatting van de risico's op een afwijking van materieel belang dient de accountant gegevensgerichte controles op te zetten en uit te voeren voor elk van de transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen die van materieel belang zijn. (Zie Par. A42, A43, A44, A45, A46 en A47)

19De accountant dient te overwegen of werkzaamheden inzake externe bevestigingen moeten worden uitgevoerd als gegevensgerichte controles (Zie Par. A48, A49, A50 en A51).

Gegevensgerichte controles met betrekking tot het proces van het opstellen van de financiële overzichten

20De gegevensgerichte controles die de accountant uitvoert, dienen in ieder geval de volgende controlewerkzaamheden bij het proces van het opstellen van de financiële overzichten te omvatten:

  1. het aansluiten of afstemmen van informatie in de financiële overzichten op de onderliggende administratieve vastleggingen, inclusief het aansluiten of afstemmen van informatie in toelichtingen ongeacht of dergelijke informatie is verkregen binnen of buiten het grootboek en subgrootboeken; en
  2. het onderzoeken van journaalboekingen van materieel belang en van andere aanpassingen die tijdens het opstellen van de financiële overzichten zijn gemaakt. (Zie Par. A52)

Gegevensgerichte controles die op significante risico's inspelen

21Indien de accountant heeft bepaald dat een ingeschat risico op een afwijking van materieel belang op het niveau van beweringen een significant risico vormt, dient hij gegevensgerichte controles uit te voeren die specifiek op dat risico inspelen. Wanneer de aanpak van een significant risico slechts uit gegevensgerichte controles bestaat, dienen de werkzaamheden onder meer te bestaan uit detailcontroles. (Zie Par. A53)

Timing van de gegevensgerichte controles

22Indien op een tussentijdse datum gegevensgerichte controles worden uitgevoerd, dient de accountant het resterende deel van de verslagperiode te bestrijken door:

  1. het uitvoeren van gegevensgerichte controles in combinatie met toetsingen van interne beheersingsmaatregelen voor de resterende periode; of
  2. indien de accountant bepaalt dat dit voldoende is, het slechts uitvoeren van verdere gegevensgerichte controles die een redelijke basis verschaffen voor het doortrekken van zijn conclusies van de tussentijdse datum naar de einddatum van de verslagperiode. (Zie Par. A54, A55, A56 en A57)

23Indien de accountant op een tussentijdse datum afwijkingen detecteert die hij niet had verwacht tijdens de inschatting van de risico's op een afwijking van materieel belang, dient hij te evalueren of de desbetreffende inschatting van het risico en de voor de resterende periode in de planning opgenomen aard, timing en omvang van de gegevensgerichte controles moeten worden aangepast. (Zie Par. A58)

Adequaatheid van de presentatie en van de in de financiële overzichten opgenomen toelichtingen

24De accountant dient controlewerkzaamheden uit te voeren om te evalueren of de presentatie van de financiële overzichten als geheel in overeenstemming is met het van toepassing zijnde stelsel inzake financiële verslaggeving. Bij het maken van deze evaluatie, dient de accountant te overwegen of de financiële overzichten zijn gepresenteerd op een wijze die het volgende op passende wijze weerspiegelt:

  • de classificatie en beschrijving van de financiële informatie en de onderliggende transacties, gebeurtenissen en omstandigheden; en
  • de presentatie, structuur en inhoud van de financiële overzichten. (Zie Par. A59)

Evaluatie van het voldoende en geschikt zijn van controle-informatie

25De accountant dient op basis van de uitgevoerde controlewerkzaamheden en de verkregen controle-informatie, voorafgaand aan de afronding van de controle, te evalueren of de inschatting van de risico's op een afwijking van materieel belang op het niveau van beweringen nog steeds geldt. (Zie Par. A60 en A61)

26De accountant dient te concluderen of voldoende en geschikte controle-informatie is verkregen. Bij het vormen van zijn oordeel dient de accountant alle relevante controle-informatie te overwegen, ongeacht of die de in de financiële overzichten opgenomen beweringen ondersteunen of daarmee in tegenspraak lijken te zijn. (Zie Par. A62)

27Indien de accountant geen voldoende en geschikte controle-informatie heeft verkregen met betrekking tot een van materieel belang zijnde en in de financiële overzichten opgenomen bewering, dient hij te proberen om verdere controle-informatie te verkrijgen. Indien de accountant niet in staat is voldoende en geschikte controle-informatie te verkrijgen, dient hij over de financiële overzichten een oordeel met beperking of een oordeelonthouding te formuleren.

Documentatie

28De accountant dient het volgende in de controledocumentatie op te nemen: Standaard 230, Controledocumentatie, paragraaf 8, 9, 10, 11 en A6.

  1. de algehele manieren om op de ingeschatte risico's op een afwijking van materieel belang op het niveau van de financiële overzichten in te spelen, alsmede de aard, timing en omvang van de verdere controlewerkzaamheden die zijn uitgevoerd;
  2. de samenhang van deze werkzaamheden met de ingeschatte risico's op het niveau van beweringen; en
  3. de uitkomsten van de controlewerkzaamheden, met inbegrip van de conclusies wanneer deze niet anderszins duidelijk zijn. (Zie Par. A63)

29Indien de accountant voornemens is gebruik te maken van bij vorige controles verkregen controle-informatie over de effectieve werking van interne beheersingsmaatregelen, dient hij de bereikte conclusies betreffende het steunen op dergelijke in het kader van een voorgaande controle getoetste maatregelen in de controledocumentatie op te nemen.

30In de documentatie van de accountant dient duidelijk naar voren te komen dat informatie in de financiële overzichten in overeenstemming is met of aansluit op de onderliggende administratieve vastleggingen inclusief het aansluiten of afstemmen van toelichtingen ongeacht of dergelijke informatie is verkregen binnen of buiten het grootboek en subgrootboeken.

Toepassingsgerichte en overige verklarende teksten

Algehele manieren om op risico's in te spelen

(Zie Par. 5)

A1Algehele manieren om op de ingeschatte risico's op een afwijking van materieel belang op het niveau van de financiële overzichten in te spelen, kunnen het volgende inhouden:

  • het opdrachtteam er nadrukkelijk op wijzen dat het noodzakelijk is een professioneel-kritische instelling te handhaven;
  • het inschakelen van meer ervaren staf of staf met specifieke bekwaamheden dan wel het gebruikmaken van deskundigen;
  • het intensiveren van het toezicht;
  • het bij het selecteren van de uit te voeren aanvullende controlewerkzaamheden inbouwen van een hogere mate van onvoorspelbaarheid;
  • het doorvoeren van algemene aanpassingen ten aanzien van de aard, timing of omvang van de controlewerkzaamheden, bijvoorbeeld door het uitvoeren van gegevensgerichte controles op de einddatum van de verslagperiode in plaats van op een tussentijdse datum; of door het aanpassen van de aard van de controlewerkzaamheden gericht op het verkrijgen van overtuigender controle-informatie.

A2De inschatting van de risico's op een afwijking van materieel belang op het niveau van de financiële overzichten, en daarmee de algehele manieren van de accountant om op die risico's in te spelen, worden beïnvloed door zijn begrip van de interne beheersingsomgeving. Een effectieve interne beheersingsomgeving kan ertoe leiden dat de accountant meer vertrouwen stelt in de interne beheersing en in de betrouwbaarheid van de binnen de entiteit gegenereerde controle-informatie, alsmede dat de accountant bijvoorbeeld op een tussentijdse datum controlewerkzaamheden uitvoert in plaats van aan het einde van de verslagperiode. Tekortkomingen in de interne beheersingsomgeving hebben evenwel het tegenovergestelde effect; de accountant kan bijvoorbeeld op een niet effectieve interne beheersingsomgeving inspelen door:

  • meer controlewerkzaamheden aan het einde van de periode in plaats van op een tussentijdse datum uit te voeren;
  • uitgebreider controle-informatie te verkrijgen uit gegevensgerichte controles;
  • het aantal locaties uit te breiden dat in de controle wordt betrokken.

A3Dergelijke overwegingen zijn daarom in significante mate van invloed op de algehele benadering van de accountant, zoals de nadruk die wordt gelegd op gegevensgerichte controles (gegevensgerichte aanpak) of op een aanpak waarbij zowel systeemgerichte als gegevensgerichte controles worden uitgevoerd (gecombineerde aanpak).

Controlewerkzaamheden gericht op de ingeschatte risico's op een afwijking van materieel belang op het niveau van beweringen

De aard, timing en omvang van verdere controlewerkzaamheden

(Zie Par. 6)

A4De inschatting door de accountant van de geïdentificeerde risico's op het niveau van beweringen vormt de basis voor het bepalen van de passende controleaanpak voor de opzet en uitvoering van verdere controlewerkzaamheden. De accountant kan bijvoorbeeld bepalen dat:

  1. hij alleen door het uitvoeren van toetsingen van interne beheersingsmaatregelen op effectieve wijze op het ingeschatte risico op een afwijking van materieel belang in een bepaalde bewering kan inspelen;
  2. het uitvoeren van enkel gegevensgerichte controles passend is voor bepaalde beweringen, en dat hij daarom bij de desbetreffende risico-inschatting geen rekening houdt met de gevolgen van de interne beheersingsmaatregelen. Dit kan het geval zijn indien de werkzaamheden van de accountant met betrekking tot risico-inschatting geen effectieve interne beheersingsmaatregelen voor die bewering aan het licht hebben gebracht of indien het toetsen van de interne beheersingsmaatregelen ondoelmatig zou zijn en op grond daarvan de accountant niet voornemens is te steunen op de effectieve werking van de interne beheersingsmaatregelen bij het bepalen van de aard, timing en omvang van de gegevensgerichte controles; of
  3. een gecombineerde benadering met gebruikmaking van zowel toetsingen van interne beheersingsmaatregelen als gegevensgerichte controles een effectieve benadering is.

Zoals vereist op grond van paragraaf 18, zet de accountant evenwel gegevensgerichte controles op en voert hij deze uit voor elk van de transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen, onafhankelijk van de geselecteerde benadering.

A5De aard van een controlemaatregel verwijst naar het doel (namelijk toetsingen van de interne beheersingsmaatregelen dan wel gegevensgerichte controles) alsmede naar het soort daarvan (namelijk inspectie, waarneming, het verzoeken om inlichtingen, het verzoek tot externe bevestiging, de rekenkundige controle, het opnieuw uitvoeren of cijferanalyse). De aard van de controlewerkzaamheden is van het grootste belang voor de wijze waarop op de ingeschatte risico's wordt ingespeeld.

A6De timing van een controlemaatregel verwijst naar het moment waarop de maatregel wordt uitgevoerd, dan wel naar de periode of datum waarop de controle-informatie betrekking heeft.

A7De omvang van een controlemaatregel heeft betrekking op het aantal elementen dat wordt gecontroleerd, bijvoorbeeld de steekproefomvang of het aantal uit te voeren waarnemingen van een interne beheersingsactiviteit.

A8Door het opzetten en uitvoeren van verdere controlewerkzaamheden waarvan de aard, timing en omvang gebaseerd zijn op en die inspelen op de ingeschatte risico's op een afwijking van materieel belang op het niveau van beweringen wordt een duidelijk verband gelegd tussen de verdere controlewerkzaamheden en de risico-inschatting.

Manieren om op de ingeschatte risico's op het niveau van beweringen in te spelen

(Zie Par. 7(a))

Aard

A9De door de accountant ingeschatte risico's kunnen zowel van invloed zijn op beide soorten van controlewerkzaamheden die moeten worden uitgevoerd als op de combinatie daarvan. Wanneer bijvoorbeeld een risico hoog wordt ingeschat, kan de accountant de volledigheid van de contractvoorwaarden laten bevestigen door de tegenpartij, in aanvulling op het inspecteren van het document. Verder kunnen sommige controlewerkzaamheden meer geschikt zijn voor bepaalde beweringen dan voor andere. Met betrekking tot bijvoorbeeld opbrengsten is het mogelijk dat toetsingen van interne beheersingsmaatregelen het beste inspelen op het ingeschatte risico op een afwijking in de bewering "volledigheid", terwijl gegevensgerichte controles het beste inspelen op het ingeschatte risico op een afwijking in de bewering "voorkomen".

A10De redenen die bij de inschatting van een risico worden gegeven, zijn van belang bij het bepalen van de aard van de controlewerkzaamheden. Indien bijvoorbeeld een risico lager wordt ingeschat vanwege de kenmerken van een bepaalde transactiestroom en los van de daarop betrekking hebbende interne beheersingsmaatregelen, kan de accountant bepalen dat het enkel uitvoeren van gegevensgerichte cijferanalyses voldoende en geschikte controle-informatie verschaft. Indien daarentegen een risico lager wordt ingeschat vanwege interne beheersingsmaatregelen en de accountant voornemens is gegevensgerichte controles op te zetten uitgaande van deze inschatting als laag, voert hij toetsingen van interne beheersingsmaatregelen uit zoals op grond van paragraaf 8(a) is vereist. Dit kan bijvoorbeeld het geval zijn bij een transactiestroom met redelijk gelijksoortige, niet gecompliceerde kenmerken die routinematig wordt verwerkt en door het informatiesysteem van de entiteit intern wordt beheerst.

Timing

A11De accountant kan toetsingen van interne beheersingsmaatregelen dan wel gegevensgerichte controles op een tussentijdse datum of aan het einde van de periode uitvoeren. Hoe groter het risico op een afwijking van materieel belang, des te groter is de waarschijnlijkheid dat de accountant besluit dat het effectiever is om gegevensgerichte controles op of rond de einddatum van de verslagperiode uit te voeren, veeleer dan op een daaraan voorafgaande datum, dan wel om controlewerkzaamheden onaangekondigd of op onverwachte momenten uit te voeren (bijvoorbeeld door onaangekondigd controlewerkzaamheden uit te voeren op specifiek uitgekozen locaties). Dit is in het bijzonder van belang bij het overwegen van de manier waarmee op de risico's op fraude kan worden ingespeeld. Zo is het mogelijk dat de accountant, wanneer de risico's op opzettelijke afwijkingen of op manipulatie zijn geïdentificeerd, tot het besluit komt dat het niet effectief zou zijn om controlewerkzaamheden uit te voeren teneinde de controlebevindingen van een tussentijdse datum door te trekken naar het einde van de verslagperiode.

A12Daartegenover staat dat controlewerkzaamheden die voorafgaand aan de einddatum van de verslagperiode worden uitgevoerd, een hulpmiddel voor de accountant kunnen zijn om significante aangelegenheden in een vroeg stadium van de controle te identificeren, waarna hij deze met de hulp van het management kan oplossen, of voor dergelijke aangelegenheden een effectieve controlebenadering kan opzetten.

A13Bovendien kunnen sommige controlewerkzaamheden alleen op of na de einddatum van de verslagperiode worden uitgevoerd, bijvoorbeeld:

  • het aansluiten of afstemmen van de financiële overzichten met de onderliggende administratieve vastleggingen , inclusief het aansluiten of afstemmen van toelichtingen ongeacht of dergelijke informatie is verkregen binnen of buiten het grootboek en subgrootboeken;
  • het onderzoeken van tijdens het opstellen van de financiële overzichten aangebrachte aanpassingen; en
  • werkzaamheden die inspelen op het risico dat de entiteit aan het einde van de periode onbehoorlijke verkoopovereenkomsten kan zijn aangegaan of transacties op de einddatum van de periode niet zou hebben afgerond.

A14Verdere relevante factoren die van invloed zijn op de overweging van de accountant op welk moment hij controlewerkzaamheden uitvoert, zijn onder meer de volgende:

  • de interne beheersingsomgeving;
  • het moment waarop relevante informatie beschikbaar is (zo kunnen elektronische bestanden op een later moment worden overschreven of kunnen procedures die moeten worden geobserveerd alleen op bepaalde momenten voorkomen);
  • de aard van het risico (indien bijvoorbeeld het risico bestaat dat de opbrengsten door middel van het vervaardigen van valse verkoopovereenkomsten als te hoog worden voorgesteld om aan de winstverwachtingen te voldoen, zou de accountant wellicht de op de einddatum van de verslagperiode beschikbare contracten wensen te onderzoeken);
  • de periode of de datum waarop de controle-informatie betrekking heeft.
  • de timing van het opstellen van de financiële overzichten, in het bijzonder voor die toelichtingen die verdere uitleg geven over bedragen die zijn vastgelegd in het overzicht van de financiële positie, het overzicht van gerealiseerde en niet-gerealiseerde resultaten, het mutatieoverzicht van het eigen vermogen of het kasstroomoverzicht.

Omvang

A15De omvang van een controlemaatregel die noodzakelijk wordt geacht, wordt bepaald na het overwegen van de materialiteit, het ingeschatte risico en de mate van zekerheid die de accountant voornemens is te verkrijgen. Wanneer één bepaalde doelstelling wordt bereikt door middel van een combinatie van werkzaamheden, wordt de omvang van elk van deze werkzaamheden afzonderlijk overwogen. In het algemeen neemt de omvang van de werkzaamheden toe wanneer het risico op een afwijking van materieel belang groter is. Voor het inspelen op het ingeschatte risico op een afwijking van materieel belang die het gevolg is van fraude kan bijvoorbeeld een grotere steekproefomvang of het uitvoeren van gegevensgerichte cijferanalyses op een meer gedetailleerd niveau geschikt zijn. Het vergroten van de omvang van controlewerkzaamheden is echter enkel effectief indien de controlemaatregel zelf op het specifieke risico inspeelt.

A16Het gebruik van auditsoftwaretoepassingen kan een meer uitgebreide toetsing van elektronische transacties en grootboekbestanden mogelijk maken, hetgeen nuttig kan zijn wanneer de accountant besluit om de omvang van het toetsen aan te passen, bijvoorbeeld om in te spelen op de risico's op een afwijking van materieel belang die het gevolg is van fraude. Dergelijke technieken kunnen worden gebruikt om een steekproef van transacties uit belangrijke elektronische bestanden te trekken, om transacties met specifieke kenmerken te sorteren dan wel om de gehele populatie te toetsen in plaats van enkel een selectie daaruit.

Overwegingen die specifiek voor entiteiten in de publieke sector gelden

A17Bij het uitvoeren van controles van entiteiten in de publieke sector kunnen het controlemandaat en andere specifieke controlevoorschriften van invloed zijn op de overwegingen van de accountant inzake de aard, timing en omvang van verdere controlewerkzaamheden.

Overwegingen die specifiek voor kleinere entiteiten gelden

A18Bij zeer kleine entiteiten kunnen mogelijk niet veel interne beheersingsactiviteiten door de accountant worden geïdentificeerd, of kan de door de entiteit vastgelegde documentatie daarvan beperkt zijn. Daarom kan het efficiënter zijn dat de accountant verdere controlewerkzaamheden uitvoert die hoofdzakelijk bestaan uit gegevensgerichte controles. In sommige zeldzame gevallen maakt het ontbreken van interne beheersingsactiviteiten of van andere componenten van interne beheersing het onmogelijk om voldoende en geschikte controle-informatie te verkrijgen.

Het hoger inschatten van het risico

(Zie Par. 7(b))

A19Wanneer overtuigender controle-informatie moet worden verkregen omdat het risico hoger wordt ingeschat, kan de accountant de hoeveelheid controle-informatie vergroten, dan wel controle-informatie verkrijgen die relevanter of betrouwbaarder is, bijvoorbeeld door meer nadruk te leggen op het verkrijgen van controle-informatie van derden of door het verkrijgen vanuit een aantal onafhankelijke bronnen van ondersteunende informatie.

Toetsingen van interne beheersingsmaatregelen

Het opzetten en uitvoeren van toetsingen van interne beheersingsmaatregelen

(Zie Par. 8)

A20Toetsingen van interne beheersingsmaatregelen worden alleen uitgevoerd voor die interne beheersingsmaatregelen waarvan de accountant heeft vastgesteld dat deze zodanig zijn opgezet dat ze een afwijking van materieel belang in een bewering kunnen voorkomen, of detecteren en corrigeren. Indien op verschillende momenten van de gecontroleerde periode in belangrijke mate verschillende interne beheersingsmaatregelen werden gehanteerd, worden zij allemaal afzonderlijk overwogen.

A21Het toetsen van de effectieve werking van interne beheersingsmaatregelen verschilt van het verwerven van inzicht bij het evalueren van de opzet en implementatie van interne beheersingsmaatregelen. Dezelfde soorten controlewerkzaamheden worden evenwel gehanteerd. Daarom kan de accountant beslissen dat het efficiënt is de effectieve werking van interne beheersingsmaatregelen op hetzelfde moment te toetsen als het evalueren van de opzet daarvan en het vaststellen dat die zijn geïmplementeerd.

A22Bovendien, kunnen sommige werkzaamheden met betrekking tot het inschatten van risico's, hoewel deze niet specifiek als toetsingen van interne beheersingsmaatregelen zijn opgezet, toch controle-informatie verschaffen over de effectieve werking van de interne beheersingsmaatregelen en daarom toch als toetsingen van interne beheersingsmaatregelen worden gebruikt. Zo kunnen de werkzaamheden voor de risico-inschatting van de accountant bestaan uit:

  • het verzoeken om inlichtingen over de wijze waarop het management van begrotingen gebruikmaakt;
  • het waarnemen van de door het management gemaakte vergelijking van de begrote en gerealiseerde lasten;
  • het inspecteren van de verslagen van het onderzoek naar de verschillen tussen de begrote en de gerealiseerde bedragen.

Deze controlewerkzaamheden verschaffen informatie met betrekking tot de opzet van de begrotingsprocedures van de entiteit en de vraag of deze zijn ingevoerd, maar kunnen ook controle-informatie opleveren over de effectiviteit van de werking van begrotingsprocedures bij het voorkomen of detecteren van afwijkingen van materieel belang in de rubricering van lasten.

A23Daarnaast kan de accountant een toetsing van interne beheersingsmaatregelen opzetten die gelijktijdig wordt uitgevoerd met een detailcontrole voor dezelfde transactie. Hoewel het doel van een toetsing van interne beheersingsmaatregelen verschilt van het doel van een detailcontrole, kunnen beide gelijktijdig worden bereikt door het uitvoeren van een toetsing van interne beheersingsmaatregelen en een detailcontrole voor dezelfde transactie, ook wel bekend als de 'dual-purpose test'. Zo kan de accountant een toetsing opzetten ten behoeve van het onderzoeken van een factuur alsmede de uitkomsten daarvan evalueren om vast te stellen of deze is goedgekeurd en om gegevensgerichte controle-informatie over de transactie te verkrijgen. Een 'dual-purpose test' wordt opgezet en geëvalueerd door elke doelstelling van de toetsing afzonderlijk in acht te nemen.

A24Zoals is besproken in Standaard 315, kan de accountant in sommige gevallen tot de conclusie komen dat het onmogelijk is om effectieve gegevensgerichte controles op te zetten waarmee voldoende en geschikte controle-informatie op het niveau van beweringen kan worden verkregen. Standaard 315, paragraaf 30. Dit kan zich voordoen wanneer de entiteit met een geautomatiseerd systeem werkt en van de transacties geen documentatie wordt vervaardigd of bewaard, anders dan via het geautomatiseerde systeem zelf. In dergelijke gevallen is op grond van paragraaf 8(b) vereist dat de accountant de relevante interne beheersingsmaatregelen toetst.

Controle-informatie en de voorgenomen mate waarin op interne beheersingsmaatregelen wordt gesteund

(Zie Par. 9)

A25Er kan naar een hoger betrouwbaarheidsniveau inzake de effectieve werking van interne beheersingsmaatregelen worden gestreefd wanneer de gekozen controlebenadering voornamelijk bestaat uit toetsingen van interne beheersingsmaatregelen, met name wanneer het niet mogelijk of wanneer het niet realiseerbaar is om uit alleen gegevensgerichte controles voldoende en geschikte controle-informatie te verkrijgen.

Aard en omvang van toetsingen van interne beheersingsmaatregelen

Andere controlewerkzaamheden in combinatie met het verzoeken om inlichtingen

(Zie Par.10(a))

A26Het verzoeken om inlichtingen alleen is niet voldoende om de effectieve werking van interne beheersingsmaatregelen te toetsen. Daarom worden in combinatie met het verzoeken om inlichtingen andere controlewerkzaamheden uitgevoerd. In dit opzicht zou het verzoeken om inlichtingen, in combinatie met inspectie of met het opnieuw uitvoeren, meer betrouwbaarheid kunnen verschaffen dan het verzoeken om inlichtingen samen met waarneming, omdat een waarneming slechts betrekking kan hebben op het moment dat deze wordt gedaan.

A27De aard van een bepaalde interne beheersingsmaatregel heeft invloed op het soort controlewerkzaamheden die vereist zijn om controle-informatie over de effectieve werking van deze interne beheersingsmaatregel te verkrijgen. Indien de effectieve werking bijvoorbeeld blijkt uit documentatie, kan de accountant besluiten die documentatie te inspecteren om controle-informatie over de effectieve werking te verkrijgen. Voor andere interne beheersingsmaatregelen is er evenwel mogelijk geen documentatie aanwezig of is deze niet relevant. Zo is het mogelijk dat er over de werking van sommige onderdelen van de interne beheersingsomgeving geen documentatie beschikbaar is, zoals over de wijze waarop bevoegdheden en verantwoordelijkheden worden toegekend, of over sommige interne beheersingsactiviteiten, zoals interne beheersingsactiviteiten die op geautomatiseerde wijze worden uitgevoerd. In dergelijke omstandigheden kan mogelijk controle-informatie over de effectieve werking worden verkregen door het verzoeken om inlichtingen in combinatie met controlewerkzaamheden, zoals waarneming of het gebruikmaken van auditsoftwaretoepassingen.

Omvang van toetsingen van interne beheersingsmaatregelen

A28Wanneer overtuigender controle-informatie nodig is met betrekking tot de effectiviteit van een interne beheersingsmaatregel, kan het passend zijn de omvang van toetsingen van interne beheersingsmaatregelen te vergroten. Evenals ten aanzien van de mate waarin de accountant steunt op interne beheersingsmaatregelen, kan hij bij het bepalen van de omvang van de toetsingen van interne beheersingsmaatregelen onder meer het volgende in aanmerking nemen:

  • de frequentie waarmee de entiteit de interne beheersingsmaatregel gedurende de periode heeft uitgevoerd;
  • de tijdsduur tijdens de controleperiode waarin de accountant op de effectieve werking van de interne beheersingsmaatregelen steunt;
  • de verwachte mate van afwijking van een interne beheersingsmaatregel;
  • de relevantie en de betrouwbaarheid van de controle-informatie die moet worden verkregen in verband met de effectieve werking van de interne beheersingsmaatregel op het niveau van beweringen;
  • de mate waarin controle-informatie wordt verkregen uit andere toetsingen van interne beheersingsmaatregelen die op de bewering betrekking hebben.

Standaard 530Standaard 530, Het gebruiken van steekproeven bij een controle. bevat verdere leidraden voor de omvang van de toetsing.

A29Vanwege de inherente consistentie van geautomatiseerde gegevensverwerking behoeft het wellicht niet noodzakelijk te zijn om de omvang van toetsingen van interne beheersingsmaatregelen betreffende een geautomatiseerde interne beheersingsmaatregel te vergroten. Van een geautomatiseerde interne beheersingsmaatregel kan worden verwacht dat deze consistent werkt tenzij in het programma (met inbegrip van tabellen, bestanden of andere permanente data die door het programma worden gebruikt) wijzigingen zijn geïmplementeerd. Nadat de accountant heeft vastgesteld dat de geautomatiseerde interne beheersingsmaatregel naar behoren werkt (hetgeen kan plaatsvinden op het moment dat deze interne beheersingsmaatregel voor het eerst is geïmplementeerd, of op elk ander moment), kan hij overwegen welke werkzaamheden moeten worden uitgevoerd om vast te stellen dat de interne beheersingsmaatregel effectief blijft werken. Dergelijke toetsingen kunnen onder meer inhouden het vaststellen dat:

  • geen wijzigingen in het programma zijn aangebracht buiten de passende interne beheersmaatregelen inzake programmawijzigingen om;
  • de toegestane versie van het programma is gebruikt voor het verwerken van transacties; en
  • dat andere relevante 'general controls' effectief werken;
  • tot dergelijke toetsingen ook het vaststellen zou kunnen behoren dat geen wijzigingen in de programma's zijn aangebracht, hetgeen bijvoorbeeld het geval kan zijn als de entiteit van standaardsoftwaretoepassingen gebruikmaakt zonder dat wijzigingen worden aangebracht of onderhoud wordt uitgevoerd. Zo kan de accountant de registratie van de 'IT security' inspecteren om controle-informatie te verkrijgen dat gedurende de periode geen ongeoorloofde toegang heeft plaatsgevonden.

Het toetsen van indirecte interne beheersingsmaatregelen

(Zie Par. 10(b))

A30In sommige gevallen kan het noodzakelijk zijn controle-informatie te verkrijgen ter ondersteuning van de effectieve werking van indirecte beheersingsmaatregelen. Wanneer bijvoorbeeld de accountant besluit een toetsing uit te voeren op de effectiviteit van een beoordeling door een gebruiker van een uitzonderingsrapportage waarin verkopen staan vermeld die de toegestane kredietlimiet overschrijden, vormen zowel de beoordeling door de gebruiker als de daarmee verband houdende opvolging de interne beheersingsmaatregel die voor de accountant van direct belang is. Interne beheersingsmaatregelen met betrekking tot de nauwkeurigheid van de in de rapportage opgenomen informatie (bijvoorbeeld de general IT controls) worden aangeduid als 'indirecte' interne beheersingsmaatregelen.

A31Als gevolg van de inherente consistentie bij geautomatiseerde gegevensverwerking kan controle-informatie over de implementatie van geautomatiseerde applicationcontrols, gezien in combinatie met controle-informatie over de effectieve werking van de generalcontrols van de entiteit (in het bijzonder de interne beheersingsmaatregelen betreffende wijzigingen binnen de geautomatiseerde systemen) tevens belangrijke controle-informatie verschaffen met betrekking tot de effectieve werking daarvan.

Timing van toetsingen van interne beheersingsmaatregelen

Periode waarin op de interne beheersingsmaatregelen zal worden gesteund

(Zie Par. 11)

A32Controle-informatie die alleen op een bepaald moment betrekking heeft, kan voldoende zijn voor het door de accountant beoogde doel, bijvoorbeeld het toetsen van de interne beheersingsmaatregelen betreffende de voorraadopname op de einddatum van de verslagperiode. Indien de accountant echter voornemens is gedurende een bepaalde periode op een interne beheersingsmaatregel te steunen, is het passender controles uit te voeren die het mogelijk maken controle-informatie te verschaffen die aantoont dat de interne beheersingsmaatregel op relevante momenten tijdens die periode effectief heeft gewerkt. Deze controles kunnen onder meer bestaan uit het toetsen van de wijze waarop deze entiteit de interne beheersingsmaatregelen monitort.

Gebruikmaken van controle-informatie die tijdens een tussentijdse periode is verkregen

(Zie Par. 12 (b))

A33Relevante factoren bij het bepalen welke aanvullende controle-informatie moet worden verkregen over interne beheersingsmaatregelen die gedurende de periode na de tussentijdse periode hebben gewerkt, zijn onder meer:

  • de significantie van de ingeschatte risico's op een afwijking van materieel belang op het niveau van beweringen;
  • de specifieke interne beheersingsmaatregelen die tijdens de tussentijdse periode werden getoetst, alsmede de belangrijke wijzingen daarin sinds zij werden getoetst, waaronder wijzingen in het informatiesysteem, in de processen en in het personeel;
  • de mate waarin controle-informatie over de effectieve werking van die maatregelen is verkregen;
  • de duur van het resterende deel van de periode;
  • de mate waarin de accountant voornemens is de uitvoering van gegevensgerichte controlewerkzaamheden te beperken op basis van het steunen op interne beheersingsmaatregelen;
  • de interne beheersingsomgeving.

A34Aanvullende controle-informatie kan bijvoorbeeld worden verkregen door toetsingen van interne beheersingsmaatregelen uit te voeren voor het resterende deel van de periode, dan wel door te toetsen hoe de entiteit de interne beheersingsmaatregelen monitort.

Gebruikmaken van controle-informatie die tijdens vorige controles is verkregen

(Zie Par. 13)

A35In sommige omstandigheden kan controle-informatie die bij vorige controles is verkregen controle-informatie verschaften wanneer de accountant controlewerkzaamheden uitvoert om de blijvende relevantie daarvan vast te stellen. Zo kan de accountant tijdens het uitvoeren van een vorige controle hebben vastgesteld dat een geautomatiseerde interne beheersingsmaatregel naar behoren werkte. De accountant kan vervolgens controle-informatie verkrijgen om vast te stellen of er in de geautomatiseerde interne beheersingsmaatregel wijzigingen zijn aangebracht die van invloed zijn op de doorlopende effectieve werking, bijvoorbeeld door het verzoeken om inlichtingen bij het management alsmede door logboeken te inspecteren teneinde vast te stellen welke interne beheersingsmaatregelen werden gewijzigd. Het overwegen van de controle-informatie over deze wijzigingen kan leiden tot een toe- of afname van de in de lopende periode te verkrijgen controle-informatie over de effectieve werking van de interne beheersingsmaatregelen.

Interne beheersingsmaatregelen die zijn gewijzigd sinds vorige controles

(Zie Par. 14(a))

A36Wijzigingen kunnen de relevantie van de bij vorige controles verkregen controle-informatie aantasten zodat hierop niet langer kan worden gesteund. Zo hebben wijzigingen in een systeem die een entiteit in staat stellen een nieuw verslag uit dit systeem te verkrijgen, waarschijnlijk geen invloed op de relevantie van de bij een vorige controle verkregen controle-informatie; een wijziging waardoor data op een andere manier worden gegroepeerd of berekend heeft hierop echter wel een invloed.

Interne beheersingsmaatregelen die niet zijn gewijzigd sinds vorige controles

(Zie Par. 14(b))

A37De beslissing van de accountant om al dan niet te steunen op de controle-informatie die bij vorige controles is verkregen voor interne beheersingsmaatregelen die:

  1. niet zijn gewijzigd nadat zij de laatste keer zijn getoetst; en
  2. geen interne beheersingsmaatregelen vormen die erop gericht zijn een significant risico te beperken,is een kwestie van professionele oordeelsvorming. Bovendien is ook de tijdsduur die is verstreken tot het moment waarop dergelijke interne beheersingsmaatregelen opnieuw worden getoetst, een kwestie van professionele oordeelsvorming, hoewel op grond van paragraaf 14(b) is vereist dat deze toetsing ten minste één keer per drie jaar wordt uitgevoerd.

A38In het algemeen geldt dat hoe groter het risico op een afwijking van materieel belang is, of hoe meer wordt gesteund op de interne beheersingsmaatregelen, des te korter naar alle waarschijnlijkheid de periode zal zijn, voor zover bestaande, die is verstreken sinds het moment van de laatste toetsing. Factoren die deze periode kunnen verkorten, of die ertoe leiden dat in het geheel niet wordt gesteund op de bij vorige controles verkregen controle-informatie, zijn onder meer:

  • een tekortschietende interne beheersingsomgeving;
  • het tekortschietende monitoren van de interne beheersingsmaatregelen;
  • een significant handmatig element in de relevante interne beheersingsmaatregelen;
  • wijzigingen in de personeelsbezetting die een significante invloed hebben op de toepassing van de interne beheersingsmaatregelen;
  • veranderende omstandigheden die wijzigingen in de interne beheersingsmaatregelen noodzakelijk maken;
  • tekortschietende general IT controls.

A39Indien de accountant voornemens is voor een aantal interne beheersingsmaatregelen op de bij vorige controles verkregen controle-informatie te steunen, verschaft het toetsen van een aantal van deze interne beheersingsmaatregelen gedurende elke controleperiode bevestigende informatie over de blijvende effectieve werking van de interne beheersingsomgeving. Dit levert een bijdrage aan de beslissing van de accountant of het passend is te steunen op de bij vorige controles verkregen controle-informatie.

Het evalueren van de effectieve werking van interne beheersingsmaatregelen

(Zie Par. 16-17)

A40Een afwijking van materieel belang die door de werkzaamheden van de accountant wordt gedetecteerd, is een sterke aanwijzing van het bestaan van een significante tekortkoming in de interne beheersing.

A41Het begrip effectiviteit van de werking van interne beheersingsmaatregelen erkent dat er enige deviaties kunnen optreden in de wijze waarop de interne beheersingsmaatregelen door de entiteit worden toegepast. Deviaties ten opzichte van de voorgeschreven interne beheersingsmaatregelen kunnen worden veroorzaakt door factoren als wijzigingen in de personeelsbezetting van belangrijke functies, significante seizoensgebonden fluctuaties in het aantal transacties en menselijke fouten. De gedetecteerde mate waarin wordt afgeweken, met name in vergelijking met de verwachte mate, kan een aanwijzing zijn dat niet kan worden gesteund op de interne beheersingsmaatregel, om het risico op het niveau van beweringen terug te brengen naar het niveau dat door de accountant was ingeschat.

Gegevensgerichte controles

(Zie Par. 18)

A42Op grond van paragraaf 18 is vereist dat de accountant gegevensgerichte controles opzet en uitvoert voor elk van de van materieel belang zijnde transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen, ongeacht de ingeschatte risico's op een afwijking van materieel belang. Dit vereiste geeft weer dat:

  1. de risico-inschatting door de accountant een kwestie van oordeelsvorming is, waardoor het dus mogelijk is dat niet alle risico´s op een afwijking van materieel belang worden geïdentificeerd; en
  2. er inherente beperkingen zijn met betrekking tot de interne beheersing, waaronder doorbreken daarvan door het management.

Aard en omvang van gegevensgerichte controles

A43Afhankelijk van de omstandigheden kan de accountant besluiten dat:

  • het uitvoeren van alleen gegevensgerichte cijferanalyses voldoende zal zijn om het controlerisico tot een aanvaardbaar laag niveau terug te brengen. Dit is bijvoorbeeld het geval wanneer de risico-inschatting door de accountant wordt onderbouwd door controle-informatie die uit toetsingen van interne beheersingsmaatregelen is verkregen;
  • alleen detailcontroles geschikt zijn;
  • een combinatie van gegevensgerichte cijferanalyses en detailcontroles het beste is om op de ingeschatte risico's in te spelen.

A44In het algemeen kunnen gegevensgerichte cijferanalyses beter worden gebruikt ten aanzien van grote aantallen transacties die min of meer voorspelbaar zijn in de tijd. Standaard 520Standaard 520, Cijferanalyses. stelt vereisten vast en verschaft leidraden voor de uitvoering van cijferanalyses tijdens een controle.

A45De aard van het risico en van de bewering is van belang voor het opzetten van detailcontroles. Detailcontroles betreffende de beweringen 'bestaan' en 'voorkomen' zouden kunnen inhouden dat een selectie wordt gemaakt uit elementen die in een in de financiële overzichten opgenomen bedrag zijn begrepen en dat de daarop betrekking hebbende controle-informatie wordt verkregen. Aan de andere kant kunnen detailcontroles betreffende de bewering 'volledigheid' inhouden dat een selectie wordt gemaakt uit elementen waarvan wordt verwacht dat zij in het desbetreffende in de financiële overzichten opgenomen bedrag zijn begrepen en dat wordt onderzocht of dit inderdaad het geval is.

A46Omdat bij de inschatting van het risico op een afwijking van materieel belang rekening wordt gehouden met de interne beheersing, moet de omvang van de gegevensgerichte controles mogelijk worden vergroot wanneer de uitkomsten uit de toetsingen van interne beheersingsmaatregelen onbevredigend zijn. Het vergroten van de omvang van een controlemaatregel is echter alleen passend als deze controlemaatregel zelf relevant is voor het specifieke risico.

A47Bij het opzetten van detailcontroles wordt de omvang van de te toetsen elementen gewoonlijk uitgedrukt in termen van de steekproefomvang. Andere aangelegenheden zijn daarbij echter ook relevant, waaronder de vraag of het effectiever is andere selectiemethoden gericht op toetsing te hanteren. Standaard 500 verschaft hierover aanvullende leidraden.Standaard 500, Controle-informatie, paragraaf 10.

Overwegen of werkzaamheden inzake externe bevestiging moeten worden uitgevoerd

(Zie Par. 19)

A48Werkzaamheden inzake externe bevestiging zijn veelal relevant bij beweringen geassocieerd met rekeningsaldi en de elementen daarvan, maar behoeven niet tot deze elementen te worden beperkt. Zo is het mogelijk dat de accountant verzoekt om externe bevestiging van de voorwaarden van overeenkomsten, contracten of transacties afgesloten tussen een entiteit en andere partijen. Werkzaamheden inzake externe bevestiging kunnen tevens worden uitgevoerd om controle-informatie te verkrijgen over het niet vervuld zijn van bepaalde voorwaarden. Zo kan een verzoek specifiek de bevestiging nastreven dat er geen nevenovereenkomsten bestaan die relevant kunnen zijn voor de afgrenzingsbewering voor de opbrengsten van een entiteit. Andere situaties waarin werkzaamheden inzake externe bevestigingen relevante controle-informatie kunnen verschaffen bij het inspelen op ingeschatte risico's op een afwijking van materieel belang zijn onder meer:

  • de banksaldi en andere informatie die verband houden met bancaire relaties;
  • saldi en voorwaarden van handelsvorderingen;
  • voorraden opgeslagen door derde partijen in douane-entrepots voor verwerking of in consignatie;
  • aktes inzake eigendomstitels bijgehouden door advocaten of kapitaalverschaffers om redenen van veilige bewaring of als zekerheid;
  • beleggingen aangehouden door derde partijen bij wijze van zekerheid, of aangekocht van effectenmakelaars maar nog niet overhandigd op de balansdatum;
  • aan kredietverschaffers verschuldigde bedragen, met inbegrip van relevante terugbetalingsvoorwaarden en restrictieve contractclausules;
  • op leveranciers van toepassing zijnde rekeningsaldi en voorwaarden.

A49Hoewel externe bevestigingen relevante controle-informatie voor bepaalde beweringen kunnen verschaffen, bestaan er beweringen waarvoor externe bevestigingen minder relevante controle-informatie verschaffen. Zo verschaffen externe bevestigingen minder relevante controle-informatie met betrekking tot de inbaarheid van rekeningsaldi van handelsvorderingen dan voor het bestaan daarvan.

A50De accountant kan vaststellen dat werkzaamheden inzake externe bevestigingen die met een bepaald doel zijn uitgevoerd, de gelegenheid bieden om controle-informatie over andere aangelegenheden te verkrijgen. Zo omvatten bevestigingsverzoeken voor bankrekeningsaldi vaak verzoeken om informatie die relevant is voor andere beweringen in de financiële overzichten. Dergelijke overwegingen kunnen een invloed uitoefenen op de beslissing van de accountant over de vraag of werkzaamheden inzake externe bevestigingen zullen worden uitgevoerd.

A51Factoren die een hulpmiddel kunnen vormen voor de accountant bij het bepalen of werkzaamheden inzake externe bevestigingen als gegevensgerichte controlewerkzaamheden moeten worden uitgevoerd, zijn onder meer:

  • de kennis van de bevestigende partij van het object van onderzoek - antwoorden kunnen betrouwbaarder zijn indien zij worden verstrekt door een persoon bij de bevestigende partij die over de benodigde kennis beschikt van de informatie die het voorwerp van de bevestiging uitmaakt;
  • de mogelijkheid of de bereidheid van de beoogde bevestigende partij om een antwoord te verstrekken - zo is het mogelijk dat de bevestigende partij:

    • de verantwoordelijkheid voor het antwoorden op een bevestigingsverzoek niet aanvaardt;
    • van mening is dat het verstrekken van een antwoord te duur of te tijdrovend is;
    • zich zorgen maakt over de mogelijke juridische aansprakelijkheid die uit het verstrekken van een antwoord resulteert;
    • verantwoording aflegt voor transacties die luiden in verschillende valuta; of
    • actief is in een omgeving waarin het antwoorden op een verzoek tot bevestiging geen significant aspect van de dagelijkse activiteiten uitmaakt.

In dergelijke situaties is het mogelijk dat bevestigende partijen geen antwoord verstrekken, op informele wijze antwoorden of het gebruik dat van het antwoord wordt gemaakt, trachten te beperken.

  • de objectiviteit van de beoogde bevestigende partij - indien de bevestigende partij een verbonden partij is van de entiteit, kunnen antwoorden op verzoeken tot bevestigingen minder betrouwbaar zijn.

Gegevensgerichte controles met betrekking tot het proces van het opstellen van de financiële overzichten

(Zie Par. 20)

A52De aard en ook de omvang van de gegevensgerichte werkzaamheden van de accountant met betrekking tot het proces van het opstellen van de financiële overzichten zijn afhankelijk van de aard en complexiteit van het proces van financiële verslaggeving van de entiteit en de daarmee samenhangende risico's op een afwijking van materieel belang.

Gegevensgerichte controles die inspelen op significante risico´s

(Zie Par. 21)

A53Paragraaf 21 van deze Standaard vereist van de accountant dat deze gegevensgerichte controles uitvoert die specifiek inspelen op de risico's die hij als significant heeft aangemerkt. Controle-informatie in de vorm van externe bevestigingen die rechtstreeks door de accountant van passende bevestigende partijen wordt verkregen, vormt voor de accountant een hulpmiddel bij het verkrijgen van controle-informatie met het betrouwbaarheidsniveau dat de accountant nodig heeft om in te spelen op significante risico's op een afwijking van materieel belang die het gevolg is van fraude of van fouten. Indien de accountant bijvoorbeeld constateert dat het management onder druk staat om aan winstverwachtingen te voldoen, kan er een risico zijn dat het management het opnemen van opbrengsten te hoog voorstelt door ten onrechte reeds winst op te nemen uit hoofde van verkoopovereenkomsten met voorwaarden die slechts een latere winstopname toestaan, dan wel door te factureren voorafgaand aan de verzending. In deze omstandigheden kan de accountant bijvoorbeeld werkzaamheden inzake externe bevestigingen opzetten, niet alleen om de openstaande saldi te bevestigen, maar ook om de details van de verkoopovereenkomsten, met inbegrip van de datum, de mogelijkheden van retourneren en de leveringsvoorwaarden te bevestigen. Bovendien kan de accountant het nuttig achten om dergelijke werkzaamheden inzake externe bevestigingen aan te vullen met het verzoeken om inlichtingen over wijzigingen in de verkoopovereenkomsten en de leveringsvoorwaarden bij personeelsleden binnen de entiteit die niet bij de financiële activiteiten zijn betrokken. Gegevensgerichte controles met betrekking tot significante risico's worden meestal zodanig opgezet dat zij zeer betrouwbare controle-informatie opleveren.

Timing van gegevensgerichte controles

(Zie Par. 22-23)

A54In de meeste gevallen verschaft controle-informatie uit gegevensgerichte controles die in het kader van vorige controles zijn verricht, weinig of geen controle-informatie voor de lopende periode. Er zijn echter uitzonderingen. Zo is het mogelijk dat een in het kader van een voorgaande controle verkregen standpunt van een juridisch raadgever met betrekking tot de structuur van een securitisatie waarin geen wijzigingen zijn opgetreden, relevant is voor de lopende periode. In dergelijke gevallen kan het passend zijn controle-informatie uit gegevensgerichte controles die in het kader van een vorige controle zijn verricht, te gebruiken indien die controle-informatie en het object van onderzoek niet wezenlijk zijn gewijzigd en indien controlewerkzaamheden worden uitgevoerd om de blijvende relevantie gedurende de lopende periode vast te stellen.

Gebruikmaken van controle-informatie die gedurende een tussentijdse periode is verkregen

(Zie Par. 22)

A55In sommige situaties kan de accountant bepalen dat het effectief is op een tussentijdse datum gegevensgerichte controlewerkzaamheden uit te voeren, en informatie inzake het saldo aan het einde van de verslagperiode te vergelijken met en af te stemmen op de vergelijkbare informatie met betrekking tot de tussentijdse datum, teneinde:

  1. bedragen te identificeren die ongebruikelijk lijken;
  2. deze bedragen te onderzoeken; en
  3. gegevensgerichte cijferanalyses of detailcontroles uit te voeren met betrekking tot de tussenliggende periode.

A56Het uitvoeren van tussentijdse gegevensgerichte controlewerkzaamheden zonder het uitvoeren van aanvullende controlewerkzaamheden op een later tijdstip verhoogt het risico dat eventuele afwijkingen die op de einddatum van de verslagperiode bestaan, niet door de accountant worden gedetecteerd. Dit risico wordt groter naarmate het resterende deel van de periode langer is. Factoren zoals hieronder vermeld kunnen van invloed zijn op de beslissing om al dan niet gegevensgerichte controles op een tussentijdse datum uit te voeren:

  • de interne beheersingsomgeving en andere relevante interne beheersingsmaatregelen;
  • het op een later moment beschikbaar zijn van informatie die de accountant nodig heeft om zijn werkzaamheden te kunnen uitvoeren;
  • het doel van de gegevensgerichte controle;
  • het ingeschatte risico op een afwijking van materieel belang;
  • de aard van de transactiestroom of het rekeningsaldo en de daarmee verband houdende beweringen;
  • de mate waarin de accountant in staat is passende gegevensgerichte controlewerkzaamheden, dan wel gegevensgerichte controlewerkzaamheden in combinatie met toetsingen van interne beheersingsmaatregelen, uit te voeren die betrekking hebben op het resterende deel van de periode teneinde het risico terug te brengen dat afwijkingen die mogelijk op de einddatum van de verslagperiode bestaan, niet worden gedetecteerd.

A57Onderstaande factoren kunnen van invloed zijn op het al dan niet uitvoeren van gegevensgerichte cijferanalyses met betrekking tot de periode tussen de tussentijdse datum en de einddatum van de verslagperiode:

  • de vraag of de desbetreffende transactiestromen of rekeningsaldi aan het einde van de periode redelijk voorspelbaar zijn voor wat betreft bedrag, relatief belang en samenstelling;
  • de vraag of de procedures die de entiteit hanteert voor het analyseren en corrigeren van dergelijke transactiestromen of rekeningsaldi op tussentijdse momenten en voor het tot stand brengen van goede afgrenzingsprocedures passend zijn;
  • de vraag of het voor de financiële verslaggeving van belang zijnde informatiesysteem informatie over de eindsaldi en de transacties in het resterende deel van de periode zal opleveren die onderzoek mogelijk maakt naar:

    1. significante ongebruikelijke transacties of boekingen (met inbegrip van die op of rond de einddatum van de verslagperiode);
    2. andere oorzaken van significante fluctuaties of verwachte fluctuaties, die niet zijn opgetreden; en
    3. veranderingen in de samenstelling van de transactiestromen of de rekeningsaldi.

Afwijkingen die op een tussentijdse datum zijn gedetecteerd

(Zie Par. 23)

A58Wanneer de accountant besluit dat de geplande aard, timing en omvang van de gegevensgerichte controlewerkzaamheden die op het resterende gedeelte van de verslagperiode betrekking hebben, moeten worden aangepast als gevolg van onverwachte afwijkingen die op een tussentijdse datum zijn gedetecteerd, kunnen dergelijke aanpassingen een uitbreiding of een herhaling aan het einde van de verslagperiode inhouden van de werkzaamheden die op de tussentijdse datum zijn uitgevoerd.

Adequaatheid van de presentatie en van de in de financiële overzichten

(Zie Par. 24)

A59Het evalueren van de juiste presentatie, rangschikking en inhoud van de financiële overzichten omvat bijvoorbeeld overwegingen van de gebruikte terminologie zoals vereist door het van toepassing zijnde stelsel inzake financiële verslaggeving, de mate van verstrekte detaillering samenvoeging en opsplitsing van bedragen alsmede de grondslagen van de gepresenteerde bedragen.

Evaluatie van de toereikendheid en geschiktheid van de controle-informatie

(Zie Par. 25, 26 en 27)

A60Een controle van de financiële overzichten is een cumulatief en iteratief proces. Tijdens de uitvoering van de geplande controlewerkzaamheden kan de verkregen controle-informatie de accountant ertoe brengen de aard, timing of omvang van andere geplande werkzaamheden aan te passen. Er kan informatie onder zijn aandacht komen die significant verschilt van de informatie waarop de risico-inschatting was gebaseerd. Bijvoorbeeld:

  • de omvang van de afwijkingen die de accountant door het uitvoeren van gegevensgerichte controles detecteert, kan zijn oordeelsvorming betreffende de risico-inschattingen wijzigen en kan een aanwijzing zijn voor een significante tekortkoming in de interne beheersing;
  • de accountant kan zich bewust worden van tegenstrijdigheden in de administratieve vastleggingen, dan wel tegenstrijdige of ontbrekende controle-informatie;
  • cijferanalyses die in het stadium van de algehele beoordeling van de controle worden uitgevoerd, kunnen duiden op een voorheen niet gedetecteerd risico op een afwijking van materieel belang;
  • In dergelijke omstandigheden kan de accountant genoodzaakt zijn de geplande controlewerkzaamheden te heroverwegen, op grond van het opnieuw bestuderen van de ingeschatte risico's voor alle of sommige transactiestromen, rekeningsaldi, in de financiële overzichten opgenomen toelichtingen en daarmee verband houdende beweringen. Standaard 315 bevat verdere leidraden voor het herzien door de accountant van de risico-inschatting. Standaard 315, paragraaf 31.

A61De accountant kan er niet van uitgaan dat een geval van fraude of van een fout een geïsoleerde gebeurtenis is. Daarom is de afweging van de wijze waarop het detecteren van een afwijking invloed heeft op de ingeschatte risico's op een afwijking van materieel belang, belangrijk voor de vraag of de inschatting nog steeds van toepassing is.

A62De oordeelsvorming van de accountant ten aanzien van het voldoende en geschikt zijn van de controle-informatie wordt onder meer beïnvloed door de volgende factoren:

  • de significantie van een mogelijke afwijking in de bewering en de waarschijnlijkheid dat deze afzonderlijk of gezamenlijk met andere mogelijke afwijkingen een effect van materieel belang heeft op de financiële overzichten;
  • de effectiviteit van de reacties van het management en van de interne beheersingsmaatregelen om op de risico's in te spelen;
  • de bij vorige controles opgedane ervaring met soortgelijke mogelijke afwijkingen;
  • de resultaten van uitgevoerde controlewerkzaamheden, met inbegrip van de vraag of dergelijke werkzaamheden specifieke fraudegevallen of fouten aan het licht brachten;
  • de herkomst en de betrouwbaarheid van de beschikbare informatie;
  • het overtuigende karakter van de controle-informatie;
  • het inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing.

Documentatie

(Zie Par. 28)

A63De vorm en omvang van controledocumentatie is een kwestie van professionele oordeelsvorming en wordt mede bepaald door de aard, omvang en complexiteit van de entiteit en haar interne beheersing, de informatie die vanuit de entiteit ter beschikking staat, en de controlemethodologie en -technieken die bij de controle zijn gehanteerd.