U bent hier

Onderneming & Administratie
Accountantscontrole & CSRD8. Het controleproces 8.2 Inzicht en risicoanalyse
Voor Onderneming & Administratie

8.2 Inzicht en risicoanalyse

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: juni 2024

De tweede fase van een assurance-opdracht bestaat grotendeels uit het verkrijgen van inzicht in:

  • de onderneming die de accountant controleert;
  • de verslaggevingsstandaarden;
  • de interne beheersing die de onderneming heeft om onderkende risico’s en aandachtspunten te beheersen.

Op basis van deze facetten identificeert de accountant alle potentiële risico’s in de assurance-opdracht. Als de accountant alle potentiële risico’s eenmaal volledig heeft geïdentificeerd, zal hij deze wegen. Hiermee draagt de accountant er zorg voor dat de meest risicovolle gebieden in het verslag ook de meeste aandacht krijgen bij het uitvoeren van de assurance-werkzaamheden.

8.2.1 Risico-identificatie: de ondernemings(omgeving)

organisatiestructuur

Het identificeren van potentiële risico’s begint met het in kaart brengen van de organisatiestructuur van de onderneming. Daaronder valt:

  • wie de eigenaren van de onderneming zijn;
  • hoe de governancestructuur is ingericht;
  • wat het bedrijfsmodel is (inclusief de IT-omgeving).

Rollen

De accountant verkrijgt hiermee een beeld van de mogelijke krachten die in een onderneming kunnen spelen. Zo kan bij een scheiding tussen aandeelhouders en het bestuur sprake zijn van te ambitieuze doelstellingen vanuit de aandeelhouders. Zijn aandeelhouders en directie dezelfde personen, dan kan juist sprake zijn van het door elkaar lopen van zakelijk en privé.

Voor het bedrijfsmodel geldt dat er andere mogelijke risico’s optreden bij een onderneming die vooral aan individuele consumenten levert (denk aan mediagevoeligheid van energiebedrijven) dan bij een onderneming die vooral aan zakelijke klanten levert.

Sectoranalyse

Vervolgens analyseert de accountant de sector waarin de onderneming actief is, en welke regelgevende (en andere) externe factoren er in deze sector spelen. In vrijwel iedere sector is sprake van thema’s die de rapportage kunnen beïnvloeden, zoals de stikstofperikelen die van invloed zijn op de bouwsector en de arbeidsomstandigheden in de producerende landen van de kledingindustrie. Hierbij is het belangrijk dat de accountant alert is op mogelijke specifieke van toepassing zijnde wet- en regelgeving. Deze kan immers direct (bijvoorbeeld via boetes) of indirect (bijvoorbeeld via vergunningstrajecten) van invloed zijn op de rapportage.

Maatstaven

Vanuit de kennis van de onderneming en de (interne en externe) omgeving waarin de onderneming opereert, is het van belang dat de accountant zich een beeld vormt van de maatstaven die de omgeving hanteert om de prestaties van de onderneming te beoordelen. Dit kunnen zowel financiële maatstaven (bijvoorbeeld omzet en resultaat) als niet-financiële maatstaven (bijvoorbeeld CO2-uitstoot en man-vrouwverhouding) zijn. Middels het uitvoeren van cijferanalyses op voorlopige of tussentijdse cijfers zal de accountant zelf een beeld vormen van hoe de onderneming presteert ten opzichte van deze maatstaven.

Risico’s

verant-
woording

kwalitatief of kwantitatief

Deze cijferanalyse kan aanleiding geven tot het identificeren van potentiële risico’s. Denk aan een onderneming waar de CFO een bonus krijgt bij het behalen van reductiedoelstellingen op CO2-gebied. Als de onderneming deze doelstellingen nipt heeft behaald, is het risico op onvolledige verantwoording van de uitstoot groter dan wanneer de onderneming deze doelstellingen ruimschoots heeft behaald. Bij het identificeren van potentiële risico’s heeft de accountant aandacht voor de inherente risicofactoren. Deze factoren kunnen kwalitatief of kwantitatief zijn en omvatten:

  • complexiteit;
  • subjectiviteit;
  • wijzigingen (in grondslagen, meetmethoden of schattingen);
  • onzekerheid of vatbaarheid voor afwijkingen als gevolg van tendenties bij het bestuur van de onderneming.

Aandachtsgebieden bij risico-identificatie

aard

geografie

toezicht

strategie

Inzicht in de onderneming en haar omgeving is een breed begrip, zeker als het gaat over duurzaamheidsinformatie. Vandaar dat in de assurance-standaarden aandachtsgebieden zijn gegeven waar de accountant opmerkzaam op moet zijn bij dit onderdeel van risico-identificatie:

  • de aard van de activiteiten van de onderneming, waaronder de impact die de onderneming heeft op duurzaamheidsonderwerpen. Hieronder vallen de relevante activiteiten in de waardeketen;
  • de geografische locaties en juridische ondernemingen waar de activiteiten van de onderneming plaatsvinden, en hoeveel de locaties bijdragen aan de algehele informatie in de duurzaamheidsverslaggeving;
  • het toezicht op en de verantwoordelijkheid voor de totstandkoming van de informatie in de duurzaamheidsverslaggeving binnen de onderneming;
  • de strategie en gekozen doelstellingen van de onderneming voor de duurzaamheidsonderwerpen in de duurzaamheidsverslaggeving, waaronder eventuele publiekelijk bekendgemaakte ambities en doelstellingen;
  • de belangrijkste bedrijfsrisico’s met betrekking tot specifieke duurzaamheidsonderwerpen en de verslaggeving rondom die risico’s en onderwerpen;
  • de door de onderneming geselecteerde onderwerpen in de duurzaamheidsverslaggeving, inclusief de wijze van selectie van onderwerpen en de onderwerpen die de onderneming niet heeft geselecteerd.

8.2.2 Risico-identificatie: het verslaggevingsstelsel

complex

derden

Het verslaggevingsstelsel is het tweede deelgebied waar de accountant aandacht voor heeft bij het identificeren van risico’s. Daarbij geldt dat sommige verslaggevingsgebieden complexer zijn dan andere. Zo is bijvoorbeeld de rapportage over de uitstoot in Scope 1 en Scope 2 in beginsel minder complex dan de uitstoot in Scope 3 (zie hoofdstuk 3). Deze hogere complexiteit komt vooral doordat het bedrijf in Scope 3 normaliter meer gebruikmaakt van schattingen en veronderstellingen. Ook speelt het gegeven mee dat rapporterende ondernemingen voor informatie over Scope 3 afhankelijker zijn van de kwaliteit van de aangeleverde data van derden.

Risicoprofiel

ESRS

kwalitatieve informatie

waardeketen

nieuwe 
standaarden

Verder kan ook de aard van de informatie die een onderneming moet rapporteren volgens het verslaggevingsstelsel tot grotere risico’s leiden. Zo leiden de volgende elementen uit de ESRS in beginsel tot een hoger risicoprofiel van de gerapporteerde informatie:

  • Meer kwalitatieve informatie. Kwalitatieve informatie is in de basis subjectiever en ook moeilijker vergelijkbaar (en dus toetsbaar) dan kwantitatieve informatie.
  • Toekomstgerichte informatie. Het stellen van doelen in de toekomst en het rapporteren over scenario’s, verwachtingen en actieplannen kent meer onzekerheid dan historische informatie.
  • Waardeketen. Afhankelijkheid van partijen uit de waardeketen en de kwaliteit van aangeleverde data door deze partijen uit de waardeketen maakt deze informatie complexer dan eigen informatie.
  • Nieuwe standaarden. Verplichte financiële rapportage op basis van algemeen erkende grondslagen vindt al jarenlang plaats. Met de CSRD gaat dit ook voor niet-financiële informatie gelden. Het kost tijd om nieuwe standaarden volledig te doorgronden, wat leidt tot een hoger risicoprofiel. Dit geldt met name voor de gebieden waar sprake is van oordeelsvorming, zoals de dubbele materialiteit.

Criteria

Een laatste aspect waar doorgaans sneller risico’s worden geïdentificeerd ligt bij het rapporteren van de criteria die ondernemingen zelf hebben ontwikkeld. Doordat deze minder gestandaardiseerd zijn, zijn deze in beginsel moeilijker te doorgronden voor gebruikers van rapportages dan maatstaven die rechtstreeks uit gerenommeerde standaarden te herleiden zijn (zoals de CO2-maatstaven uit paragraaf 8.2.1).

8.2.3 Risico-identificatie: intern beheersingssysteem

COSO-model

Het derde deelgebied waar de accountant naar kijkt bij het identificeren van potentiële risico’s is het interne beheersingssysteem. Daartoe benut de accountant het gerenommeerde COSO-model, waarop in 2023 een uitbreiding is gepubliceerd. Deze uitbreiding richt zich specifiek op een effectieve interne controle over duurzaamheidsrapportage, en is gebaseerd op de vijf pijlers uit het COSO-framework:

  • beheersingsomgeving;
  • risico-inschatting;
  • beheersingsactiviteiten;
  • informatie en communicatie;
  • monitoring activiteiten.

Voor de beheersingsomgeving zal de accountant al veel inzichten hebben verkregen vanuit het eerste deelgebied (zie paragraaf 8.2.1). Het proces van risico-inschatting is richtinggevend voor de risico-inschatting die de accountant zelf maakt: hoe volwassener de analyse is die de onderneming maakt, hoe meer de accountant hier gebruik van kan maken in het bepalen van de eigen werkzaamheden.

Zekerheid

beheersingsmaatregelen

informatie-systeem

kwalitatieve informatie

Aandacht voor de interne beheersingsactiviteiten zal de accountant vooral hebben bij een assurance-opdracht met een redelijke mate van zekerheid. Dit geldt ook voor de monitoring van de effectieve werking van deze beheersingsactiviteiten. De accountant onderscheidt twee typen beheersingsactiviteiten, namelijk preventieve beheersingsmaatregelen en detectieve en corrigerende maatregelen. Hierbij besteedt de accountant ook aandacht aan de effectiviteit van de beheersingsmaatregelen in de IT-omgeving. Het inzicht in het informatiesysteem bestaat zowel uit het rapportageproces als de onderliggende bedrijfsprocessen. Voor het rapportageproces besteedt de accountant expliciet aandacht aan het proces van de onderneming voor het opstellen, verzamelen, samenvoegen en beoordelen van kwalitatieve informatie. Bij de onderliggende bedrijfsprocessen analyseert de accountant vooral de administratieve processen om tot de te rapporteren informatie te komen. Dit bevat ook de analyse van de bijbehorende rollen en verantwoordelijkheden.

Risico’s in informatie- en communicatiesystemen

ERP-systeem

Nieuwe standaarden bevatten extra potentiële risico’s. Deze zijn ook aanwezig in de informatie- en communicatiesystemen. De huidige situatie bevat voor veel ondernemingen meer ad-hocprocessen, die minder gestructureerd zijn dan financiële processen. Informatie kan vooralsnog niet rechtstreeks vanuit het systeem worden afgeleid en vraagt meer gebruik van spreadsheets, omdat een alomvattend ERP-systeem nog niet beschikbaar is.

8.2.4 Risico-inschatting

accountantscontrolerisico

Doelstelling van de assurance-werkzaamheden is om het accountantscontrolerisico tot een aanvaardbaar laag niveau te reduceren. Het accountantscontrolerisico is de functie van het inherente risico (paragrafen 8.2.1 en 8.2.2), het interne beheersingsrisico (paragraaf 8.2.3) en het detectierisico.

Detectierisico

foutevaluatie

kans en impact

Het detectierisico is het risico dat de accountant een aanwezige fout niet constateert, of iets als fout bestempelt dat geen fout is. In de basis geldt dat het detectierisico kleiner wordt als de accountant meer werkzaamheden verricht. Hoe groter het inherente risico en het interne beheersingsrisico, hoe meer werkzaamheden de accountant zal verrichten. Het maken van een gedegen risico-inschatting is daarmee één van de meest cruciale elementen in het hele controleproces. De accountant schat zowel de kans op een fout in, als de impact daarvan op de gebruikers van de rapportage. Nadere invulling aan de kans op een fout geeft hij door middel van de inherente risicofactoren, die eerder in paragraaf 8.2.1 zijn benoemd. De accountant schat alle onderkende potentiële risico’s en aandachtspunten in van hoog naar laag. Daarbij richt hij zich zowel op de kwantitatieve maatstaven als de kwalitatieve teksten in de duurzaamheidsrapportage.

8.2.5 Management override

verplicht risico

Een bijzonder onderdeel van de risico-inschatting vormt de inschatting rondom het risico van het doorbreken van interne beheersingsmaatregelen door het management, waardoor het beeld van het verslag mogelijk niet beter wordt dan gerechtvaardigd. Dit is een verplicht risico bij de controle van de jaarrekening. Ook bij duurzaamheidsrapportages vormt dit een toenemend risico vanuit:

  • interne prikkels, zoals bonussen of specifieke duurzaamheidsdoelstellingen voor het management;
  • externe prikkels, zoals media-aandacht, toenemende kans op claims en juridische geschillen, alsook het voldoen aan wet- en regelgeving;
  • minder gestructureerde informatie, waardoor het management dit makkelijker kan beïnvloeden.

De accountant weegt af waar dit verplichte risico zich voor kan doen, om zo zijn werkzaamheden te richten op het meest risicovolle rapportagegebied.

8.2.6 Planningsbespreking

assurance-team

deskundige

Zowel met de onderneming die de opdracht verstrekt als intern met het assurance-team houdt de accountant een afzonderlijke planningsbespreking. In deze bespreking komen de belangrijkste actualiteiten, risico’s, aandachtspunten en werkzaamheden ter sprake. Naar verwachting zal bij de assurance-opdrachten voor duurzaamheidsinformatie meer gebruikgemaakt worden van externe deskundigen dan bij de controle van financiële informatie. Het is aan te raden om deze deskundigen ook bij de planningbespreking(en) uit te nodigen. Dit zowel in het kader van het leereffect voor de teamleden als voor een juiste afstemming van de inhoud en timing van de uit te voeren werkzaamheden.