Tekortkomingen in de soft controls van een cliënt worden ‘red flags’ of rode vlaggen genoemd. Deze tekortkomingen beïnvloeden niet alleen de beoordeling van de interne beheersing, maar brengen ook de integriteit en continuïteit van de organisatie in gevaar. Red flags kunnen leiden tot incidenten, slechte prestaties, verkeerde strategische keuzes en ongewenst gedrag zoals fraude of grensoverschrijdend gedrag. Dit kan vervolgens weer resulteren in verzuim, verlies van talent en reputatieschade.
De Nationale Beroepsorganisatie van Accountants (NBA) verwijst niet voor niets vaak naar deze red flags in Handreiking 1148 over soft controls. Het identificeren van tekortkomingen in de organisatiecultuur is namelijk de belangrijkste reden dat accountants op soft controls controleren. Deze red flags raken immers direct aan de jaarrekeningcontrole, ook al zijn ze niet zichtbaar in ‘harde’ stukken zoals beleid, transacties, procedures en regels.
Wat zijn deze red flags precies? Hoe kunnen accountants die vaststellen, en ze vervolgens meewegen in de audit? Op dergelijke vragen wordt in dit artikel ingegaan.
Soft controls
Soft controls zijn een manier om de factor ‘mens’ mee te wegen bij de jaarrekeningcontrole. Het zijn factoren die niet in ‘harde’ structuren en procedures kunnen worden vastgelegd, maar gaan over de cultuur van een organisatie en het gedrag van het management en de medewerkers. De NBA heeft vastgelegd in Standaard 315 dat soft controls een vaste plek verdienen binnen de audit. Het geeft hiervoor praktische richtlijnen in Handreiking 1148↗.
Van belang is te constateren dat het meenemen van soft controls bij de jaarrekening een vak in ontwikkeling is. Het is aan de accountant om naar eigen inzicht invulling te geven aan de controlestandaarden. De in dit artikel beschreven praktijken zijn illustratief.
Tekortkomingen
Tekortkomingen in de interne beheersing zijn door de NBA als volgt gedefinieerd (COS 265, para. 8):
- tekortkoming in de interne beheersing – Deze bestaat wanneer:
- een interne beheersingsmaatregel op dusdanige wijze is opgezet, geïmplementeerd of operationeel is dat deze niet in staat is om afwijkingen in de financiële overzichten tijdig te voorkomen, of te detecteren en te corrigeren; of
- een interne beheersingsmaatregel ontbreekt die nodig is om afwijkingen in de financiële overzichten tijdig te voorkomen, of te detecteren en te corrigeren.
Aangezien soft controls feitelijk interne beheersingsmaatregelen zijn, kunnen gebrekkige soft controls leiden tot tekortkomingen in de interne beheersing. Soft controls kunnen dusdanig gebrekkig zijn dat deze afwijkingen niet tijdig kunnen voorkomen, detecteren of corrigeren.
Stel dat een financieel medewerker afwijkt van een bepaald aanbestedingsproces, dan mag je verwachten dat een collega hem of haar daarop aanspreekt. Maar als de aanspreekbaarheid (een van de acht soft controls) ondermaats is, bijvoorbeeld omdat medewerkers op de afdeling zich niet veilig voelen om elkaar feedback te geven, dan wordt de afwijking van deze financieel medewerker niet gecorrigeerd. Voor de accountant is deze lage aanspreekbaarheid een red flag: het is een interne beheersingsmaatregel die tekortschiet.
Significante tekortkomingen
Soms zijn tekortkomingen zo groot dat de accountant deze moet communiceren met het management van de cliënt. Dat geldt ook voor tekortkomingen (red flags) met betrekking tot de soft controls. Hiervoor moet de tekortkoming ‘voldoende belangrijk’ zijn om de ‘aandacht van de met governance belaste personen te verdienen’ (COS 265, para. 8).
Net als bij ‘normale’ significante tekortkomingen dient de communicatie hierover schriftelijk te gebeuren. De accountant geeft een omschrijving van de tekortkoming en de mogelijke gevolgen daarvan, en schetst dit binnen de juiste context. Voor veel cliënten is het begrip ‘soft controls’ nog onbekend. Ook kan een dergelijke constatering over de organisatiecultuur als gevoelig worden ervaren door het management. Daarom is het belangrijk dat de accountant zorgvuldig de tijd neemt om over de significante tekortkoming te rapporteren en dit vooraf tactisch te communiceren.
De Soft Controls Scan van Active Integrity hanteert bijvoorbeeld een methode waarbij de cliënt en haar medewerkers al vanaf het begin worden betrokken bij het soft controls onderzoek. Dit kan helpen om eventuele significante tekortkomingen beter te kunnen communiceren.
Impact van red flags
Hoe kan de accountant tekortkomingen en significante tekortkomingen in het kader van soft controls meewegen bij de audit? Wat is de impact van deze rode vlaggen?
Cultuur en gedrag hebben een brede impact op een organisatie. Wanneer bepaalde soft controls schieten, kunnen zij dus verschillende gevolgen hebben voor de jaarrekeningcontrole. Soft controls gaan namelijk niet alleen over de interne beheersing, maar spelen ook een rol bij het vaststellen van inherente risico’s en afwijkingen van materieel belang. In een ander artikel gaan we dieper in op deze gevolgen.
Tekortkomingen oplossen
Tekortkomingen in soft controls zijn uiteindelijk aanknopingspunten voor verbetering. Accountants hebben een sleutelpositie, niet alleen om de cliënt hierover te informeren maar ook te adviseren. Met de juiste aanpak kunnen soft controls op een duurzame manier verbeterd worden en tekortkomingen worden opgelost. Dergelijke stappen dragen niet alleen bij aan de interne beheersing, maar zullen de organisatie ook helpen om strategische doelen te behalen. Door samen met de cliënt op te trekken op het gebied van soft controls, kan de accountant daaraan bijdragen.
