Onafhankelijke consultancy sinds 1992 Galerij 3, 1411 LH Naarden tel.: 035 6943060 / fax: 035 6951632
|
home
|
Chief Financial Officer, september-oktober 2007 "CFO-column: 'Deugdelijke controle, deugdelijke architectuur', door Ruud Veenstra Sinds de invoering van de Code Tabaksblat als reactie op de Ahold-affaire in 2003 komen de gevolgen van de fundamenteel gebrekkige accountantscontrole voor verantwoording en risico van het ondernemingsbestuur. Het bestuur dient op objectieve gronden te verklaren dat de controlesystemen adequaat en effectief zijn. Dat kan alleen als de controle enerzijds berust op fundamentele controleerbaarheid en anderzijds op een logisch stelsel van gegevensgerelateerde controles. Er is een audit gap tussen de huidige externe accountantscontrole en interne controle (zie mijn column in Chief Financial Officer van juli-augustus 2007). Niet de accountant, maar het bestuur moet verklaren dat de controlesystemen adequaat en effectief zijn, dus geschikt zijn voor het ondernemingsdoel én het beoogde resultaat opleveren. Anders dan in de VS, volgens de Sarbanes Oxley Act van 30 juli 2002, geeft de externe accountant daarover in Nederland geen oordeel. Zolang de accountants hun controlegrondslagen dus niet zelf fundamenteel verbeteren, moet in Nederland ieder ondernemingsbestuur ofwel verdergaande eisen stellen aan de adequaatheid van de externe accountantscontrole, ofwel autonoom de deugdelijke grondslag voor bedoelde verklaring realiseren. De deugdelijke grondslag vereist: (1) een doeltreffende architectuur van de operationele, logistieke en administratieve elektronische (en niet-elektronische) systemen, waaronder de controleerbaarheid van de door de systemen gerepresenteerde bedrijfsprocessen en 'geëlektroniseerde' bedrijfsprocessen (e-business, webservices); (2) verificatie van de werking van de systemen en de gegenereerde bedrijfsgegevens. VOORDURENDE VERIFICATIE Het Ahold-persbericht van 24 februari 2003 en Ahold-jaarverslag 2002 bevatten nagenoeg het volledige spectrum aan uiterst onaangename gevolgen die ontoereikende controles voor de jaarrekening en het voortbestaan van een onderneming kunnen hebben. Zonder adequate architectuur van de vigerende bedrijfsprocessen en geldstromen is het bereiken van effectieve mentale, economische en juridische beheersing van de onderneming onmogelijk. Control en controle die begint bij journaalposten is niet effectief en risico’s op onjuiste interne en externe verslaggeving moeten niet worden ‘ingeschat’, maar uitgesloten! De controle moet stevig verankerd zijn in de systeemarchitectuur, inclusief toereikende functiescheidingen, procedures, autorisatieregels, toegangsbeveiliging en traceerbaarheid van de rekenkundige en gecomputeriseerde samenhangen (audit trail). Dit geldt bij te ontwerpen systemen maar ook bij aanpassingen van bestaande systemen. In de praktijk ontbreekt daar nogal eens iets aan. Alleen als ‘controleerbaarheid’ consequent onderdeel is van de architectuur wordt een controleerbare organisatie met controleerbare informatie gecreëerd. Is (in theorie) aan de fundamentele eis van controleerbaarheid voldaan dan moet nog een sluitend stelsel van verificatie van de bedrijfsgegevens worden georganiseerd. Voortdurende verificatie van de werking van de systemen en de door de systemen gegenereerde gegevens is noodzakelijk omdat in de dagelijkse praktijk altijd verstoringen van allerlei aard optreden, variërend van ontwerp- en programmeerfouten tot onvoorziene variaties in de werkelijkheid tot technische storingen, of van denkfouten, onbegrip en slordigheden tot frauduleuze ingrepen. Sluitende gegevensgerelateerde controle wordt verkregen door een stelsel van verbandscontroles, totalencontroles en détailcontroles dat alle ondernemingsspecifieke verbanden tussen inkomende en uitgaande goederen- en dienstenstromen en kasstromen omvat, waaronder e-business en webservices. Alleen door stelselmatige verificatie kunnen juistheid, relevantie en volledigheid van de bedrijfsgegevens worden vastgesteld en gekwantificeerde uitspraken worden gedaan over de jaarrekening, interne en externe verslaggeving alsmede over de adequaatheid (opzet) en effectiviteit (werking) van de beheersings- en controlesystemen (zie Ruud Veenstra, ‘Volkomen controle: het kan én het moet’, De Accountant, mei 2007, pp. 32-33). Door de exacte feedback kunnen ondernemingsbeleid en uitvoering nauwkeurig worden (bij)gestuurd." |