Einde inhoudsopgave
Accountantsaansprakelijkheid (R&P nr. CA20) 2019/1.4.2.8
1.4.2.8 Wat zijn de procedurele voorschriften met betrekking tot de wettelijke controle?
mr. J.E. Brink-van der Meer, datum 01-12-2018
- Datum
01-12-2018
- Auteur
mr. J.E. Brink-van der Meer
- JCDI
JCDI:ADS302916:1
- Vakgebied(en)
Verbintenissenrecht / Algemeen
Juridische beroepen / Algemeen
Voetnoten
Voetnoten
NBA (2011).
Westra & Folkers (2012), p. 42 e.v.
Zie nader: paragraaf 2.4.2.5.
Stramien voor Assurance-opdrachten, paragraaf 22.
Richtlijnen voor de jaarverslaggeving, 930 Stramien voor de opstelling en vormgeving van jaarrekeningen, nr. 30.
Gortemaker & Wallage (2003), p. 11-24.
Zetteler & Pheijffer (2016), p. 9-17.
NV COS Standaard 500 Controle-informatie, paragraaf A3 en NV COS Standaard 200 Algemene doelstellingen van de onafhankelijke accountant, alsmede het uitvoeren van een controle overeenkomstig de Standaarden, paragraaf 5.
Campen (2013), p. 93-95.
Homan (2007), p. 66.
Artikel 8 lid 1 (Opdrachtgerichte kwaliteitsbeoordeling) EU-verordening ‘Eisen wettelijke controles van financiële overzichten van OOB’s’.
EU-verordening ‘Eisen wettelijke controles van financiële overzichten van OOB’s’.
Bosch & van der Zijde (2013).
Bosch & van der Zijde (2013).
In paragraaf 1.4.2.1 tot en met 1.4.2.7 heb ik hoofdzakelijk de inhoudelijke aspecten van de wettelijke controle weergegeven. In deze paragraaf zal ik de hiermee samenhangende procedurele voorschriften van de wettelijke controle bespreken.
Volgens de NBA bestaat de wettelijke controle uit 3 fasen:1
Fase I Risico-inschatting;
Fase II Inspelen op de risico’s;
Fase III Rapportage.
Westra & Folkers2 onderscheiden zeven fasen, te weten: fase 1 – cliënt en opdracht evaluatie, fase 2 – planning en materialiteit, fase 3 – risico inschatting, fase 4 – respons op de ingeschatte materiële risico’s, fase 5 -specifieke en afrondende werkzaamheden, fase 6 – evaluatie van de verkregen controle-informatie en fase 7 – communicatie van de bevindingen, inclusief verklaring. Deze fasen komen tevens aan de orde in het model van de NBA, ware het niet dat alsdan maar drie hoofdfasen worden onderscheiden.
Fase I Risico-inschatting
Voorbereidende controlewerkzaamheden
In deze fase worden eerst voorbereidende controlewerkzaamheden uitgevoerd, met als doel te bepalen of de opdracht dient te worden aangenomen. De volgende handelingen zijn in dit verband van belang. De accountant dient vast te stellen dat hij voldoet aan de beginselen van beroepsethiek (professionaliteit, integriteit, objectiviteit, vakbekwaamheid en zorgvuldigheid en vertrouwelijkheid).3 Hij dient te allen tijde aan deze beginselen te voldoen. De accountant dient ook onafhankelijk te zijn ten opzichte van zijn controlecliënt en/of een met deze controlecliënt verbonden derde (artikel 25a Wta en Verordening inzake de onafhankelijkheid van accountants bij assuranceopdrachten ‘ViO’).4 De accountant dient verder te onderzoeken of de opdracht elk van de onderstaande kenmerken omvat:5
het object van onderzoek is geschikt;
de criteria die worden gehanteerd zijn toepasbaar en beschikbaar voor de beoogde gebruikers;
de accountant heeft toegang tot toereikende informatie om zijn conclusie te onderbouwen;
de conclusie van de accountant zal, in de vorm die van toepassing is voor een opdracht tot het verkrijgen van een redelijke mate van zekerheid dan wel een opdracht tot het verkrijgen van een beperkte mate van zekerheid worden opgenomen in een schriftelijk rapport; en
de accountant is er van overtuigd dat de opdracht een rationeel doel dient.
Tevens dient een lijst met risicofactoren te worden opgemaakt. Hierbij kan gedacht worden aan risico’s ten aanzien van fraude6 en transacties met verbonden partijen. Tot slot dient de accountant de voorwaarden van de controleopdracht overeen te komen met het management of de met governance belaste personen, naar gelang wat passend is.7 In paragraaf 3.2.4 ga ik nader in op de eisen in wet- en regelgeving met betrekking tot het aangaan van een overeenkomst van opdracht en de voorwaarden waaraan dient te zijn voldaan voordat de overeenkomst mag worden aangegaan.
Een kort uitstapje in verband met het begrip ‘de met governance belaste personen’. Dit zijn volgens de begrippenlijst bij de NV COS: ‘De persoon (personen) of organisatie(s) met verantwoordelijkheid voor het uitoefenen van toezicht op de strategische richting van de entiteit en op de verantwoordingsplicht van de entiteit. Deze verantwoordelijkheid omvat het uitoefenen van toezicht op het proces van financiële verslaggeving. Voor bepaalde entiteiten in sommige rechtsgebieden kan ook leidinggevend personeel behoren tot de met governance belaste personen, bijvoorbeeld bij het dagelijks bestuur betrokken leden van een governance- orgaan van een entiteit in de private of publieke sector of een eigenaar-bestuurder”. In dit proefschrift zal ik ‘de met governance belaste personen’ aanduiden als ‘raad van commissarissen’. Hieronder dienen tevens de niet uitvoerende bestuurders bij een one tier bestuur te worden verstaan.
Na aanvaarding van de opdracht maar vóór uitvoering van de werkzaamheden dient de accountant instemming te verkrijgen van het management dat het zijn verantwoordelijkheid ter zake van de controle erkent en begrijpt.
Het management en, waar van toepassing, de raad van commissarissen moeten erkennen en begrijpen dat zij de verantwoordelijkheid hebben:
Voor het opstellen van de financiële overzichten in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving, met inbegrip van de getrouwe weergave daarvan voor zover relevant;
Voor een zodanige interne beheersing die het management en, waar van toepassing, de raad van commissarissen nodig achten om het opstellen mogelijk te maken van financiële overzichten die geen afwijking van materieel belang bevatten die het gevolg is van fraude of fouten; en
Om de accountant te voorzien van:
Toegang tot alle informatie waar het management en, waar van toepassing, degenen belast met governance zich van bewust zijn dat die relevant is voor het opstellen van de financiële overzichten, zoals de vastleggingen, documentatie en andere aangelegenheden;
Aanvullende informatie die de accountant van het management en, waar van toepassing, van de raad van commissarissen kan vragen voor het doel van de controle; en
Onbeperkte toegang tot die personen binnen de entiteit van wie de accountant vaststelt dat het noodzakelijk is controle-informatie te verkrijgen.8
Controleplanning
Vervolgens wordt de controle gepland, teneinde de algehele controleaanpak en het programma te ontwikkelen. In dit verband: (i) dient de algehele controleaanpak te worden opgesteld, (ii) dienen besprekingen met het controleteam plaats te vinden en (iii) dient aandacht te worden gegeven aan de materialiteit. Ten aanzien van de materialiteit is het volgende van belang. ‘Informatie is materieel indien het weglaten of het onjuist weergeven daarvan de economische beslissingen die gebruikers op basis van de jaarrekening nemen, zou kunnen beïnvloeden. De materialiteit van de post of fout is afhankelijk van de omvang daarvan, beoordeeld onder de bijzondere omstandigheden waaronder het weglaten of onjuist weergeven plaatsvindt. Het begrip materialiteit verschaft dus meer een drempel of kritische grens, dan dat het een primair kwalitatief kenmerk is dat informatie moet bezitten om nuttig te zijn’.9
Om enig inzicht te geven laat ik nu de NV COS 300 ‘Planning van een controle van financiële overzichten’ volgen:
De accountant dient een algehele controleaanpak tot stand te brengen waarin de reikwijdte, de timing en de richting van de controle wordt uiteengezet en die de basis vormt voor de ontwikkeling van het controleprogramma.
Bij het opstellen van de algehele controleaanpak dient de accountant:
De kenmerken van de opdracht te bepalen die de reikwijdte daarvan definiëren;
Zich te vergewissen van de rapportagedoelstellingen van de opdracht teneinde de timing van de controle te plannen en de vereiste soort communicatie te bepalen;
De factoren te overwegen die op grond van het professionele oordeel van de accountant significant zijn voor het aansturen van de door het opdrachtteam uit te voeren werkzaamheden;
De uitkomsten in overweging te nemen van de voorbereidende opdrachtactiviteiten en, voor zover van toepassing, na te gaan of de kennis die is verkregen bij andere opdrachten voor de entiteit, die zijn uitgevoerd door de opdrachtpartner, relevant is; en
De aard, timing en omvang van de benodigde middelen voor de uitvoering van de opdracht te bepalen.
De accountant dient een controleprogramma te ontwikkelen dat een beschrijving dient te bevatten van:
De aard, timing en omvang van de geplande risico-inschattingswerkzaamheden, zoals bepaald in Standaard 3155;
De aard, timing en omvang van de geplande verdere controlewerkzaamheden op het niveau van beweringen, zoals bepaald in Standaard 3306;
De geplande overige controlewerkzaamheden die moeten worden uitgevoerd zodat de opdracht in overeenstemming met de Standaarden wordt uitgevoerd.
Risico-inschattingswerkzaamheden
Nadat de controleplanning tot stand is gekomen, dient controle-informatie te worden verzameld.10 Bij de beantwoording van de vraag of sprake is van voldoende en geschikte controle-informatie, speelt uiteraard een rol dat de accountant bij zijn onderzoek zowel (i) de onzekerheid over het feitenmateriaal dat aan de jaarrekening ten grondslag ligt dient te verminderen tot een aanvaardbaar laag niveau en (ii) dient na te gaan of het beeld dat het management in de jaarrekening construeert op basis van het materiaal getrouw is. De accountant dient voldoende en geschikte controle-informatie te verkrijgen teneinde het controlerisico terug te brengen tot een aanvaardbaar laag niveau.11 Het controlerisico is het risico dat de accountant een niet passend oordeel tot uitdrukking brengt wanneer de financiële overzichten een afwijking van materieel belang bevatten. Om het controlerisico terug te kunnen brengen, dienen risico-inschattingswerkzaamheden te worden uitgevoerd. Risico-inschattingswerkzaamheden zijn controlewerkzaamheden die worden uitgevoerd gericht op het verwerven van inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing, voor het onderkennen en inschatten van de risico’s van een afwijking van materieel belang.12 Er wordt in dit verband aandacht besteed aan: bedrijfs- en frauderisico’s, opzet en implementatie van relevante interne beheersingsmaatregelen en risico’s op het niveau van financiële overzichten en beweringen.
Omstreeks 1980 is in Nederland de controleaanpak gebaseerd op risicoanalyse geïntroduceerd. Doel van deze aanpak is om de inspanningen van de accountant te richten op die posten en stromen in de jaarrekening waar het grootste risico bestaat op een materiële fout. Uitgangspunt hierbij is dat de accountant het risico van het afgeven van een verkeerde verklaring zoveel mogelijk beperkt (het accountantscontrolerisico). De aanpak gebaseerd op een risicoanalyse als controlebenadering is inmiddels algemeen aanvaard.13
Voldoende en geschikte controle informatie wordt verkregen door inspectie, waarneming, externe confirmatie, herberekening, herhaling van de uitvoering en cijferanalyses (hierbij kan gebruik worden gemaakt van steekproeven) en verzoek om inlichtingen.14
De betrouwbaarheid van controle informatie wordt beïnvloed door de aard en herkomst van de controle informatie. De betrouwbaarheid is afhankelijk van de omstandigheden waaronder zij is verkregen. Indien de informatie wordt verkregen van onafhankelijke bronnen, geldt in zijn algemeenheid dat de informatie betrouwbaarder is dan wanneer de informatie is verkregen uit interne bronnen. Ten aanzien van informatie uit interne bronnen dient de accountant een professioneel-kritische instelling te tonen.15
Met betrekking tot het verzoek om inlichtingen is onder andere artikel 2:141 lid 2 BW relevant op basis waarvan het bestuur jaarlijks de raad van commissarissen schriftelijk op de hoogte dient te stellen van de hoofdlijnen van het strategisch beleid, de algemene en financiële risico‘s en het beheers- en controlesysteem van de vennootschap. Voor beursgenoteerde ondernemingen wordt de bestuursverantwoordelijkheid ten aanzien van financiële gegevens en inlichtingen en de informatieverplichting van de raad van commissarissen uitgewerkt in de Nederlandse Corporate Governance Code 2016.
In de NV COS Standaard 500 Controle-informatie wordt over het voorgaande het volgende opgemerkt: “Het verzoeken om inlichtingen kan belangrijke controle-informatie verschaffen en kan zelfs controle-informatie voor een afwijking leveren, maar verschaft op zichzelf gewoonlijk niet voldoende controle-informatie over de afwezigheid van een afwijking van materieel belang op het niveau van beweringen, noch over de effectieve werking van interne beheersingsmaatregelen”.16 “Een doeltreffende toetsing verschaft geschikte controle-informatie die, samen met andere verkregen of nog te verkrijgen controle-informatie, volstaat voor de doeleinden van de accountant. Bij het selecteren van te toetsen elementen wordt van de accountant vereist dat hij op grond van paragraaf 7 de relevantie en betrouwbaarheid van de als controle-informatie te gebruiken informatie vaststelt; het andere aspect van effectiviteit (het voldoende zijn) is een belangrijke overweging bij het selecteren van de te toetsen elementen. De accountant beschikt over de volgende middelen om te toetsen elementen te selecteren:
alle elementen selecteren (een onderzoek van de volledige populatie);
specifieke elementen selecteren; en
steekproeven gebruiken bij een controle.
De toepassing van een of meer van deze middelen kan geëigend zijn afhankelijk van de specifieke omstandigheden, bijvoorbeeld de risico’s op een afwijking van materieel belang met betrekking tot de getoetste bewering, en van de uitvoerbaarheid en effectiviteit van de verschillende middelen’.17
Fase II Inspelen op risico’s
Nadat de risico’s voldoende zijn ingeschat, moet hierop worden ingespeeld en worden de verdere controlewerkzaamheden opgezet en uitgevoerd, met als doel het op gepaste wijze inspelen op de ingeschatte risico’s van afwijkingen van materieel belang. In dit verband dient onder andere de algemene aanpak te worden bijgewerkt en dient een controleprogramma dat ingeschatte risico’s van materieel belang koppelt aan verdere controlewerkzaamheden te worden gebruikt. Door implementatie van voorgaande, dient het controlerisico te worden teruggebracht tot een aanvaardbaar laag niveau.18 Bij het controlerisico zijn twee elementen van belang:
Inherente en interne beheersingsrisico’s; de financiële overzichten kunnen een afwijking van materieel belang bevatten.
Ontdekkingsrisico; de accountant kan falen in het ontdekken van een afwijking van materieel belang in de financiële overzichten.
Om het controlerisico terug te brengen tot een aanvaardbaar laag niveau, dient de accountant voldoende en geschikte controle-informatie te verkrijgen. In dit verband wordt van de accountant vereist dat hij de risico’s van afwijkingen van materieel belang inschat en het ontdekkingsrisico beperkt. Dit kan worden bewerkstelligd door het uitvoeren van werkzaamheden die inspelen op de ingeschatte risico’s van afwijkingen van materieel belang, zowel op het niveau van financiële overzichten als op het niveau van beweringen, op het niveau voor transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen. Hierbij dient ook te worden gedacht aan het verrichten van aanvullende werkzaamheden bij de constatering van een verhoogd risico op fraude (zie paragraaf 1.4.2.5).19 De accountant vraagt zo nodig advies aan vakbekwame personen bij de uitvoering van de wettelijke controle (artikel 17 lid 1 Bta).
Met betrekking tot vakbekwame personen is het volgende van belang: een accountant heeft niet ‘alle wijsheid in pacht’. Met name in situaties die nieuw of complex zijn, wordt verwacht dat de accountant advies vraagt aan vakbekwame personen. Dit kunnen ook andere deskundigen dan accountants zijn, zoals actuarissen en fiscalisten. Deze vakbekwame personen kunnen zich zowel binnen als buiten de accountantsorganisaties bevinden.20 Het begrip ‘vakbekwame personen’ wordt binnen deze context overigens nergens gedefinieerd.
Fase III Rapportage
In de laatste fase wordt de verkregen controle informatie geëvalueerd en beoordeeld. Er moet worden bepaald of de controle-informatie voldoende en passend is om het controlerisico terug te brengen tot een aanvaardbaar laag niveau. Daarbij wordt onder andere nagegaan of aanvullende controle werkzaamheden zijn vereist, en zo ja welke. Indien er aanvullende controle werkzaamheden zijn vereist, dienen wederom risico-inschattingswerkzaamheden te worden uitgevoerd. Tijdens deze fase dient te worden bepaald of het ingeschatte risico is gewijzigd, of de conclusies uit de uitgevoerde werkzaamheden juist zijn, of zich verdachte omstandigheden hebben voorgedaan, of aanvullende risico’s op de juiste wijze zijn opgepakt en of eventuele aanvullende controlewerkzaamheden correct zijn uitgevoerd. Is hieraan voldaan, dan kan de controleverklaring worden opgesteld, zoals uitgewerkt in 1.4.2.6.
Tevens dienen de controlebevindingen bij het bestuur en de raad van commissarissen te worden gerapporteerd. De accountant geeft bij een OOB zijn accountantsverklaring niet eerder af dan nadat de kwaliteitsbeoordeling, welke vereist is bij OOB’s,21 is voltooid (zie hierover nader paragraaf 2.4.2.4). Tot slot dient een controledossier te worden ingericht conform de eisen uit het Besluit toezicht accountantsorganisaties. Uit die eisen volgt onder meer dat een accountantsorganisatie een standaard voor de inrichting van een controledossier dient te hebben (artikel 11 lid 2 Bta).
In het controledossier worden ten minste de volgende gegevens en bescheiden schriftelijk of elektronisch vastgelegd:
de overeenkomst tussen de accountantsorganisatie en de controlecliënt en de eventuele wijzigingen daarin;
de correspondentie met betrekking tot de controlecliënt, voor zover deze betrekking heeft op de wettelijke controle;
een controleplan waarin de vermoedelijke reikwijdte en aanpak van de wettelijke controle worden vastgelegd;
een beschrijving van de aard en de omvang van de uitgevoerde controlewerkzaamheden;
de begin- en einddatum van uitvoering van de in het controleplan onderscheiden fasen van controlewerkzaamheden;
de voornaamste bevindingen van de uitgevoerde controlewerkzaamheden;
de uit de bevindingen, bedoeld in onderdeel f, getrokken conclusies;
het oordeel van de externe accountant, zoals dat blijkt uit de door hem af te geven accountantsverklaring;
de gegevens die worden vastgelegd ingevolge de artikelen 12, derde lid, 13, tweede lid, 17, tweede lid, 20, derde lid, en 37, tweede lid; en
de overige relevante gegevens en bescheiden die van belang zijn voor de onderbouwing van de door de externe accountant afgegeven verklaring en voor het toezicht op de naleving van de bij en krachtens de wet, de Wab en de verordening22 gestelde regels (artikel 11 lid 3 Bta).
Een accountantsorganisatie dient er voor te zorgen dat de externe accountant uiterlijk 60 dagen na de ondertekening van de accountantsverklaring voornoemde gegevens en bescheiden in het controledossier heeft opgenomen en het controledossier heeft afgesloten (artikel 11 lid 5 Bta). Het dossier dient gedurende zeven jaar nadat de wettelijke controle is afgesloten te worden bewaard (artikel 11 lid 6 Bta).
Met het controledossier legt de accountant verantwoording af over de uitgevoerde controle. De accountant moet zich tegenover de volgende partijen kunnen verantwoorden:
de eigen accountantsorganisatie,
de AFM als zij een onderzoek komt doen, en
een derde in het kader van een due-diligenceonderzoek.23
Volgens de AFM voldoet een goed controledossier aan de volgende vier kenmerken:24
alle relevante controlestappen en hun onderlinge samenhang zijn duidelijk opgenomen.
er is voldoende motivering opgenomen van de keuzes die de accountant heeft gemaakt in het kader van zijn professionele oordeelsvorming. De door de accountant gemaakt keuzes op basis van zijn professionele kennis moeten in het controledossier worden geëxpliciteerd en de accountant legt verantwoording hierover af.
de uitgevoerde controlewerkzaamheden zijn voldoende gedetailleerd vastgelegd. Hierbij dient te worden verwezen naar achterliggende documentatie, waaruit blijkt dat de werkzaamheden werkelijk zijn verricht op adequate wijze.
het dossier is compleet en overzichtelijk. Dit betekent dat alle relevante documenten zijn opgenomen.
Ten aanzien van de in het controledossier opgenomen controledocumentatie stelt NV COS 230 paragraaf 8 dat de accountant de controledocumentatie zo dient op te stellen dat die voldoende is om een ervaren accountant die niet eerder bij de controle betrokken was, in staat stelt inzicht te verwerven in:
de aard, timing en omvang van de controlewerkzaamheden die zijn uitgevoerd overeenkomstig de Standaarden en de van toepassing zijnde door wet- en regelgeving gestelde vereisten;
de uitkomsten van de uitgevoerde controlewerkzaamheden, alsmede de verkregen controle-informatie; en
significante aangelegenheden die tijdens de controle aan de orde zijn gekomen, de daaruit getrokken conclusies; en
significante professionele oordeelsvormingen die tot die conclusies hebben geleid.