De accountant komt langs: hij stelt tal van detailvragen en duikt in diverse rapportages, systemen en documenten. Elke maand doet de administratie tal van checks tijdens de maandafsluiting en voordat we onze cijfers intern en extern publiceren. Maar doet de accountant het werk van de administratie niet eigenlijk dunnetjes over? Mist Finance misschien belangrijke controles die de accountant nu juist wel doet? Weten zij van elkaar wat ze doen en maken ze optimaal gebruik van elkaars kennis en kunde? En welke rol speelt Internal Audit?

In 2012 is Exact begonnen met het inrichten en implementeren van een gestructureerd beheersingsraamwerk in de financiële administratie, het Risk Control Framework (RCF). De internal auditfunctie gebruikte dit RCF als norm in haar auditactiviteiten. Na twee jaar ervaring met dit raamwerk en een aantal interne reorganisaties verder, was het tijd voor een herijking van het RCF. Het was door de centralisatie van diverse lokale administratieve functies in drie regionale shared service centra duidelijk geworden dat veel financiële processen op verschillende manieren waren ingericht. Het harmoniseren van al die processen was echter een belangrijke doelstelling. Daarom hebben we het standaardiseren van werkprocessen gecombineerd met een volledige afstemming tussen de door Finance uitgevoerde beheersmaatregelen met de door de accountant verwachte kwaliteit ervan. De accountant hoeft vele controles niet zelf meer uit te voeren; hij kan onze beheersmaatregelen analyseren op basis van door Finance aangeleverde complete en betrouwbare informatie.
 

In de praktijk
Twee concrete detailvoorbeelden ter illustratie hoe dit in de praktijk werkt.

Maandelijks wordt een aansluiting gemaakt tussen de verwerkte verkooporders en de geboekte verkoopfacturen. Om de betrouwbaarheid van deze aansluiting vast te stellen, sloot de externe accountant de verwerkte verkooporders aan met het bronsysteem en de geboekte verkoopfacturen met de saldibalans. Deze aanvullende werkzaamheden zijn nu opgenomen in het RCF, worden uitgevoerd door de orderadministratie en worden maandelijks gedocumenteerd in de control tool.

De externe accountant dient vast te stellen of het openingssaldo op de bankrekening gelijk is aan het eindsaldo van het laatste bankafschrift van het voorgaande jaar. Maandelijks werden al balansspecificaties gemaakt door de financiële administratie. Echter hierbij werd alleen de eindbalans aangesloten met het bankafschrift. Nu is in het RCF opgenomen dat aan het begin van het jaar, aanvullend ook gecontroleerd wordt of het eindsaldo van het laatste bankafschrift van voorgaand jaar, aansluit met de openingsbalans.

Wij denken dat wij binnen Exact op deze manier ons financieel rapportagerisico niet alleen effectief, maar ook efficiënt beheersen. De accountantsrekening gaat omlaag, wij werken efficiënter en de kwaliteit van de beheersing gaat omhoog.
 

Key learnings
Wij hebben nu twee jaar ervaring met het nieuwe RCF en tweemaal is het RCF gebruikt als belangrijkste informatiebron voor de accountant. Het resultaat is dat wij veel beter dan voorheen kunnen aantonen waar wij volledig in control zijn en waar wat minder. En wij weten wat de accountant nodig heeft en bereiden ons daarop voor gedurende het jaar, en niet pas als de Prepared by Client-lijst binnenkomt of pas als de accountant op basis van de aangeleverde documentatie constateert dat bepaalde aansluitingen niet geheel helder zijn. Dat hebben wij tegen de tijd dat de accountant komt zelf al geconstateerd en zo mogelijk hersteld. Ook is de informatievoorziening richting de externe accountant veel efficiënter. Alle controle-informatie is reeds aanwezig in de control tool in de formats die zijn afgesproken met de externe accountant, zodat hij efficiënt zijn werk kan doen. Last but not least, wij zijn zelf ook efficiënter, omdat werkzaamheden nu éénmaal worden uitgevoerd en de informatiebehoefte van medewerkers, management, de CFO en internal audit in één keer wordt afgedekt.

We hebben een paar tips, mocht je een aanpak als onze overwegen:

  • Zorg voor draagvlak bij alle managers en directors in de organisatie: iedereen moet meedoen en realiseren dat het niet conform afspraken uitvoeren van beheersmaatregelen impact heeft op de jaarrekeningcontrole. Bij Exact was de CFO een drijvende kracht en werkte internal audit volledig mee.
  • Zorg voor een goed begrip van de controleaanpak van de externe accountant en ga hierover ook in gesprek. Veelal worden documenten geplaatst op een PBC en aangeleverd aan de externe accountant zonder dat er voldoende begrip is van wat de externe accountant met deze documenten doet. Wanneer je weet welke werkzaamheden op deze documenten worden uitgevoerd en welk auditrisico deze werkzaamheden moet afdekken, kan vaak een efficiëntere aanpak worden gekozen of blijkt misschien een ander document veel zinvoller te zijn. Binnen Exact heeft internal audit hier een grote rol in gespeeld.
  • Zorg voor draagvlak op partnerniveau bij de accountant; ook het auditteam moet anders gaan werken. Bij Exact hebben we veel gesprekken met de accountant gehad en de beoordeling van het eerste concept van het RCF is ook als apart (declarabel) project bij onze accountant neergelegd.
  • Zorg voor een systeem om efficiënt de uitvoering van beheersmaatregelen te kunnen monitoren; voor je het weet is iets gedurende een paar maanden niet gebeurd en moet je dat later in het jaar repareren. Daarmee voorkom je ook dat de accountant bij zijn controle ongeplande (en dus dure) extra werkzaamheden moet uitvoeren. Bij Exact hebben we ons (eigen) workflow systeem geparametriseerd zodat het RCF effectief en efficiënt wordt ondersteunt.
  • Laat de IAF zeker gedurende het eerste jaar veel werk uitvoeren op de effectiviteit van de beheersmaatregelen, inclusief correcte documentatie. Bij Exact hebben we gekozen om de kennis en kunde van de IAF substantieel op dit project in te zetten.
  • Zorg ervoor dat de onderbouwing van het RCF gedegen is en in lijn met diverse auditstandaarden (bijvoorbeeld relatie met grootboekrekeningen, management assertions, verhouding preventieve-detectieve controls, gebruik van prepared-by-entity documenten). Bij Exact heeft internal audit hier een grote rol in gespeeld.

Auteur Arjan Man is sinds eind 2012 Director Risk & Internal Audit bij Exact en lid van het bestuur van IIA Nederland. Daarvoor was hij consultant bij KPMG en bij PwC en internal auditor bij Euronext.