Een goede accountantscontrole begint met een gedegen risicoanalyse. Binnen de controlepraktijk vormt risicoanalyse de fundering voor de planning, uitvoering en beoordeling van controlewerkzaamheden. Binnen de huidige NV COS 315 staat een gestructureerde en diepgaande risico-inschatting centraal.
In dit artikel leggen we uit wat risicoanalyse inhoudt, waarom het essentieel is binnen de accountantscontrole en welke rol IT, interne beheersing en frauderisico’s hierin spelen.
Wat is risicoanalyse?
Risicoanalyse is het proces waarbij een accountant onderzoekt waar risico’s op materiële fouten in de jaarrekening kunnen ontstaan. Het doel hiervan is om controlewerkzaamheden gericht en efficiënt uit te voeren.
Volgens NV COS 315 moet de accountant risico-inschattingswerkzaamheden uitvoeren om voldoende controle-informatie te verkrijgen voor:
- het identificeren van risico’s op materiële afwijkingen;
- het beoordelen van fraude- en foutenrisico’s;
- het ontwerpen van passende controlewerkzaamheden.
De risicoanalyse vormt daarmee de basis voor de gehele controleaanpak.
Het Audit Risk Model
Binnen de accountantscontrole wordt vaak gewerkt met het Audit Risk Model. Dit model beschrijft hoe verschillende risico’s samenhangen:
AR=IR×CR×DR
Waarbij:
- AR (Audit Risk) = accountantscontrolerisico;
- IR (Inherent Risk) = inherent risico;
- CR (Control Risk) = interne beheersingsrisico;
- DR (Detection Risk) = ontdekkingsrisico.
Hoe hoger het inherente risico en het interne beheersingsrisico, hoe lager het toegestane ontdekkingsrisico. Dat betekent dat de accountant meer controlewerkzaamheden moet uitvoeren.
De belangrijkste soorten risico’s
1. Inherent risico
Het inherente risico is de kans dat een fout ontstaat voordat rekening wordt gehouden met interne beheersingsmaatregelen. Sommige posten zijn van nature risicovoller dan andere.
Voorbeelden:
- complexe schattingen;
- subjectieve waarderingen;
- complexe transacties;
- snel veranderende markten.
2. Interne beheersingsrisico
Dit is het risico dat fouten niet tijdig worden voorkomen of ontdekt door de interne beheersing van een organisatie.
Denk aan:
- onvoldoende functiescheiding;
- zwakke IT-beveiliging;
- ontbrekende autorisaties;
- gebrekkige monitoring.
3. Ontdekkingsrisico
Het ontdekkingsrisico betreft het risico dat de accountant een materiële fout niet ontdekt tijdens de controlewerkzaamheden. Dit risico probeert de accountant te beperken door passende werkzaamheden uit te voeren.
Waarom is risicoanalyse zo belangrijk?
Een goede risicoanalyse zorgt ervoor dat de accountant:
- de juiste controleprioriteiten stelt;
- efficiënter controleert;
- risico’s op fraude beter signaleert;
- beter onderbouwde conclusies trekt.
Daarnaast verplicht NV COS 315 accountants om professioneel-kritisch te blijven en niet alleen informatie te verzamelen die eerdere aannames bevestigt.
De groeiende rol van IT in risicoanalyse
Moderne organisaties zijn sterk afhankelijk van IT-systemen. Daarom speelt IT een steeds grotere rol binnen de accountantscontrole.
NV COS 315 benadrukt dat accountants voldoende inzicht moeten hebben in:
- IT-applicaties;
- IT-infrastructuur;
- interfaces tussen systemen;
- geautomatiseerde processen;
- IT General Controls (ITGC’s).
Voorbeelden van IT-risico’s zijn:
- verouderde systemen;
- onvoldoende toegangsbeveiliging;
- fouten in interfaces;
- onvolledige data-conversies;
- afhankelijkheid van complexe automatisering.
Wanneer processen sterk geautomatiseerd zijn, kunnen uitsluitend gegevensgerichte werkzaamheden onvoldoende controle-informatie opleveren.
Frauderisico’s binnen de risicoanalyse
Frauderisico’s vormen een belangrijk onderdeel van de risicoanalyse. Volgens NV COS 240 moet de accountant expliciet onderzoeken of er aanwijzingen zijn voor fraude.
Frauderisico’s kunnen ontstaan door:
- prestatiedruk;
- financiële problemen;
- managementbias;
- gebrekkige interne beheersing;
- complexe transacties.
De accountant moet daarom alert zijn op signalen die wijzen op mogelijke manipulatie van cijfers of opzettelijke misleiding.
Significante risico’s
Niet alle risico’s zijn even belangrijk. Sommige risico’s worden aangemerkt als “significante risico’s”. Hierbij gaat het bijvoorbeeld om:
- complexe schattingen;
- subjectieve waarderingen;
- fusies en overnames;
- ingewikkelde verslaggevingsregels;
- transacties met hoge onzekerheid.
Voor significante risico’s zijn aanvullende controlewerkzaamheden vereist.
Documentatie van de risicoanalyse
Een accountant moet de volledige risicoanalyse zorgvuldig documenteren. Hieronder vallen onder andere:
- de uitgevoerde risico-inschattingswerkzaamheden;
- de geïdentificeerde risico’s;
- de beoordeling van interne beheersing;
- de gemaakte professionele afwegingen;
- de bespreking binnen het controleteam.
Goede documentatie is essentieel voor de onderbouwing van het controledossier.
Beperkingen van risicoanalyse
Hoewel risicoanalyse een krachtig hulpmiddel is, kent het model ook beperkingen:
- risico’s zijn moeilijk exact te kwantificeren;
- risico’s beïnvloeden elkaar onderling;
- lage risico-inschattingen kunnen leiden tot te weinig controlewerk;
- risicoanalyse blijft deels gebaseerd op professioneel oordeel.
Daarom blijft professioneel-kritisch denken van groot belang.
Conclusie
Risicoanalyse vormt het hart van de moderne accountantscontrole. Door systematisch risico’s te identificeren en beoordelen, kan een accountant gericht controlewerkzaamheden uitvoeren en de betrouwbaarheid van financiële informatie verhogen.
Binnen de huidige NV COS 315 ligt de nadruk sterk op professioneel-kritisch handelen, IT-risico’s, frauderisico’s en zorgvuldige documentatie. Organisaties opereren in een steeds complexere en meer digitale omgeving, waardoor een sterke risicoanalyse belangrijker is dan ooit.
Een effectieve risicoanalyse leidt niet alleen tot een betere controle, maar draagt ook bij aan meer vertrouwen in financiële verslaggeving en interne beheersing.