Deugdelijke controle, deugdelijke architectuur

Sinds de invoering van de code-Tabaksblat als reactie op de Ahold-affaire in 2003 komen de gevolgen van de fundamenteel gebrekkige accountantscontrole voor verantwoording en risico van het ondernemingsbestuur. Het bestuur dient op objectieve gronden te verklaren dat de controlesystemen adequaat en effectief zijn. Dat kan alleen als de controle enerzijds berust op fundamentele controleerbaarheid en anderzijds op een logisch stelsel van gegevensgerelateerde controles.

Er is een audit gap tussen de huidige externe accountantscontrole en interne controle (zie mijn column in Chief Financial Officer van juli-augustus 2007). Niet de accountant, maar het bestuur moet verklaren dat de controlesystemen adequaat en effectief zijn, dus geschikt zijn voor het ondernemingsdoel én het beoogde resultaat opleveren.

Anders dan in de VS, volgens de Sarbanes Oxley Act van 30 juli 2002, geeft de externe accountant daarover in Nederland geen oordeel. Zolang de accountants hun controlegrondslagen dus niet zelf fundamenteel verbeteren, moet in Nederland ieder ondernemingsbestuur ofwel verdergaande eisen stellen aan de adequaatheid van de externe accountantscontrole, ofwel autonoom de deugdelijke grondslag voor bedoelde verklaring realiseren.

De deugdelijke grondslag vereist: 1 een doeltreffende architectuur van de operationele, logistieke en administratieve elektronische (en niet elektronische) systemen, waaronder de controleerbaarheid van de door de systemen gerepresenteerde bedrijfsprocessen en ‘geëlektroniseerde’ bedrijfsprocessen (e-business, webservices); 2 verificatie van de werking van de systemen en de gegenereerde bedrijfsgegevens.


VOORTDURENDE VERIFICATIE
Het Ahold-persbericht van 24 februari 2003 en het Ahold-jaarverslag 2002 bevatten nagenoeg het volledige spectrum aan uiterst onaangename gevolgen die ontoereikende controles voor de jaarrekening en het voortbestaan van een onderneming kunnen hebben.

Zonder adequate architectuur van de vigerende bedrijfsprocessen en geldstromen is het bereiken van effectieve mentale, economische en juridische beheersing van de onderneming onmogelijk. Control en controle die begint bij journaalposten is niet effectief, en risico’s op onjuiste interne en externe verslaggeving moeten niet worden ‘ingeschat’, maar uitgesloten!

De controle moet stevig verankerd zijn in de systeemarchitectuur, inclusief toereikende functiescheidingen, procedures, autorisatie regels, toegangsbeveiliging en traceerbaarheid van de rekenkundige en gecomputeriseerde samenhangen (audit trail). Dit geldt bij te ontwerpen systemen, maar ook bij aanpassingen van bestaande systemen. In de praktijk ontbreekt daar nogal eens iets aan.

Alleen als ‘controleerbaarheid’ consequent onderdeel is van de architectuur, wordt een controleerbare organisatie met controleerbare informatie gecreëerd. Is (in theorie) aan de fundamentele eis van controleerbaarheid voldaan, dan moet nog een sluitend stelsel van verificatie van de bedrijfsgegevens worden georganiseerd.

Voortdurende verificatie van de werking van de systemen en de door de systemen gegenereerde gegevens is noodzakelijk, omdat in de dagelijkse praktijk altijd verstoringen van allerlei aard optreden, variërend van ontwerp- en programmeerfouten tot onvoorziene variaties in de werke lijkheid en technische storingen, of van denkfouten, onbegrip en slordigheden tot frauduleuze ingrepen.

Sluitende gegevensgerelateerde con trole wordt verkregen door een stelsel van verbandscontroles, totalencontro les en detailcontroles, dat alle ondernemingsspecifieke verbanden tussen inkomende en uitgaande goederen- en dienstenstromen en kasstromen omvat, waaronder e-business en webservices.

Alleen door stelselmatige verificatie kunnen de juistheid, relevantie en volledigheid van de bedrijfsgegevens worden vastgesteld en kunnen er gekwantificeerde uitspraken worden gedaan over de jaarrekening, over de interne en externe verslaggeving alsmede over de adequaatheid (opzet) en effectiviteit (werking) van de beheersings- en controlesystemen (zie Ruud Veenstra, ‘Volkomen controle: het kan én het moet’, De Accountant, mei 2007, pp. 32-33).

Door de exacte feedback kunnen ondernemingsbeleid en uitvoering nauwkeurig worden (bij)gestuurd.

DRS RUUD H. VEENSTRA RA heeft een lange staat van dienst als openbaar accountant van grote en internationale ondernemingen (vanaf 1970) en als onafhankelijk accountancy consultant (vanaf 1992). Daar naast publiceert hij regelmatig over vakonderwerpen. (www.veenstraaccountancy.nl)