In dit artikel wordt de risicoanalyse beschreven. De risicoanalyse vormt de “rode draad” voor de controle. In de risicoanalyse wordt vastgelegd welke inherente risicofactoren in overweging zijn genomen en welke risico’s zijn onderkend, welke interne beheersingsmaatregelen de organisatie kent ter afdekking van dit risico, en de werkzaamheden die de accountant uitvoert tijdens de interim-controle en eindejaarsontrole ter afdekking van dit risico. Ten aanzien van de herziene COS 315 worden de volgende onderdelen hieronder beschreven.
Aanmaken inherente risicofactor
In de checklisten in de planningsfase (1-serie voor SRA CCM & planningsfase voor NCD) is er de mogelijkheid bijgekomen om inherente risicofactoren te kunnen aanmaken onder de button 'Signalering'.
Indien daarop geklikt wordt komt het volgende dialoogscherm op:
ad 1) dit betreft een link naar de herziene COS 315 op de site van NBA
ad 2) Hier kan een uitgebreide omschrijving worden gegeven van de inherente riscofactor
ad 3) Inschatting per inherente riscofactor. Zie ook bijlage 2 COS 315.
Als er met de muis over de informatie-icoon 'gehoverd' wordt, wordt de tooltip getoond met relevante informatie over de inherente risicofactor uit bijlage 2 van COS 315.
Indien een inherente risicofactor wordt aangevinkt, dient er ook een inschatting van de factor plaats te vinden (L/M/H) om zodoende het spectrum van het inherente risico te kunnen bepalen.
Ad 4) Betreft een checkbox om alle gekoppelde risico's te laten zien
Ad 5) Op deze plek kunnen risico's gekoppeld worden aan de zojuist aangemaakte inherente risicofactor.
Aanmaken risico
U kunt vanuit elke willekeurige checklist en elk willekeurig werkprogramma een risico aanmaken door middel van de optie “Signalering” in het tekstmenu:
Indien u op deze menukeuze klikt, opent het risicosignaleringsscherm:
Van het risico dient u een verkorte omschrijving en eventueel een gedetailleerde omschrijving te maken. Vanaf Managers 2022 is de herziene standaard COS 315 geïmplementeerd waarbij de volgende onderdelen ingevuld dienen te worden.
1) Er kunnen inherente risicofactoren gekoppeld worden aan het risico;
2) Aangeven van de 'Waarschijnlijkheid' dat het risico zich voordoet;
3) Aangeven van de 'Orde van grootte' indien het risico zich voordoet;
4) Inschatting inherent risico toegevoegd;
Tweede tabblad risicodialoogvenster "Extra info":
U kunt met een vink achter "Verantwoording" aangeven of het een risico op financiële verantwoording op geheel betreft. Het veld er onder "Koppelen posten/processen" kunt u het risico koppelen aan een post of proces. U zult dan het risico later terugvinden indien u in het desbetreffende werkprogramma staat, dat gekoppeld is aan dit proces of deze post.
U dient ook aan te geven welk soort risico het betreft.
5) Hier kan de risicosoort worden aangegeven.
Voor SRA CCM kan de keuze gemaakt worden voor :
- Fraude
- Significant
- RAMB
- LRAMB
Voor Novak Controle kan de keuze gemaakt worden voor:
- Risicosoort 'significant' is toegevoegd;
- Risicosoort 'control risico' is omgezet naar 'RAMB';
- Risicosoort 'IB-risico' wordt niet meer gebruikt (dit is dan ook tekstueel vermeld). Deze is vervangen door punt 8 Intern beheersingsrisico die apart is opgenomen in de dialoog. De bestaande risico's dienen opnieuw beoordeeld te worden en risicosoort dient aangepast te worden.
6) Volgens COS 315.28 dient de accountant risico's op een afwijking van materieel belang te identificeren en te bepalen of deze bestaan op:
- het niveau van de financiële overzichten
- het niveau van beweringen voor transactiestromen, rekeningsaldi en toelichtingen.
In dit blok kan worden aangegeven of en zo ja, op welke toelichting het risico betrekking heeft.
Bewering:
U vindt voor de beweringen de volgende afkorting: V A W B R P. Deze letters zijn hier ter ruimtebesparing opgenomen en zijn afkortingen voor de volgende beweringen:
V Volledigheid;
A Nauwkeurigheid, afgrenzing en voorkomen;
W Waardering en toerekening;
B Bestaan;
R Rechten en verplichtingen;
P Presentatie en classificatie;
Indien u met uw muis over een letter heen gaat, zal een tool tip aangeven waar de afkorting voor staat.
7) Hier kan worden aangeven of gegevensgerichte werkzaamheden alleen niet voldoende en toereikende controle-informatie kunnen verschaffen voor de risico's op een afwijking van materieel belang op het niveau van de beweringen. In het dialoogvenster is dit afgekort tot GGWO (gegevensgerichte werkzaamheden ontoereikend). In de tooltip staat de volledige omschrijving.
ad 8) Inschatting van het intern beheersingsrisico (L/M/H) en daaronder de onderbouwing van de inschatting.
Derde tabblad risicodialoogvenster "Controls":
Indien een risico aangemaakt wordt vanuit 1.14.11 t/m 1.14.35 (processen) of in de 2.x.1-serie komt een derde tabblad "Controls" zichtbaar in de Risicosignalering htmlscherm. Indien aanwezig en gewenst, dan kunnen de keycontrol(s) gekoppeld worden aan het risico dat gemaakt wordt.
Derde tabblad risicodialoogvenster "Groepscontrole":
Indien het een groepscontrole betreft en de juiste structuur is opgezet in CaseWare Working Papers, is dit tabblad zichtbaar bij het aanmaken van een risico in de hoofd entiteit.
Als u op de knop "OK" klikt, wordt er automatisch een risicodocument aangemaakt om het risico te kunnen volgen.
De risicodocumenten kunt u vinden onder de map 5.1.1 in de documentmanager.
Als u op de Risico klikt, komt u uit in het risicoformulier.
De risicoformulier bestaat uit de volgende hoofdstukken:
- Risico informatie bestaat uit:
1.1) Inherente risicofactoren: Hier vindt u, indien gekoppeld de inherente risicofactoren inclusief inschatting terug. Met de icoon kan eventueel de inherente risicofactor dialoog geraadpleegd worden en eventueel aangepast.
1.2) Risico: Hier wordt de inschatting van het inherente risico getoond. Dit betreft informatie uit de 1ste tabblad "risico algemeen" en 2de tabblad "extra info" van de risicosignalering dialoog.
Tenslotte wordt ook onder het kopje Inherent beheersingsrisico het ingeschatte intern beheersingsrisico getoond inclusief de onderbouwing van deze inschatting.
De informatie van de risicosignalering kan eventueel aangepast worden middels "Muteren risico" in de header van de document. - Beweringen: In dit hoofdstuk worden de beweringen getoond die aangevinkt zijn in de 2de tabblad "extra info" van de risicosignalering dialoog
- Risico Initieel: Hier kunt u linken leggen naar documenten (planningsfase) die met het risico te maken hebben. Processen die aangevinkt zijn in de risicosignalering dialoog tijdens het aanmaken van het risico zullen hier direct gekoppeld en zichtbaar zijn;
- Controleaanpak Interim: Hier staan “links” naar de gekoppelde werkprogramma’s in de interim-fase. Eventueel kunt u handmatig zelf nog relevante werkprogramma’s koppelen.
Door op het nummer van het werkprogramma te klikken, komt u in het desbetreffende werkprogramma. In het werkprogramma kunt u in de kolom risico een rechter muisklik geven en werkprogramma- instructies koppelen aan een of meerdere risico’s;
U kunt echter ook vanuit het risicoformulier zelf instructies aanmaken die later terugkomen in de gekoppelde werkprogramma’s. Dit doet u middels de button instructies aanmaken (automatische koppeling van de instructie aan dit risico).
U komt dan in het volgende scherm, waarin u een onderwerp kunt ingeven en de instructie zelf.
Bij het openen van het desbetreffende werkprogramma wordt de instructie automatisch bovenin het werkprogramma toegevoegd, gekoppeld aan het risico. - Werkprogramma –instructies interim: hierin vindt u de gekoppelde werkprogramma-instructies terug die gekoppelde zijn aan de desbetreffende risico (zie vorige stap);
Aan de iconen rechts van de instructies is het te zien waar het vandaan komt. In de tooltip is ook informatie te vinden waar het vandaan komt
Instructie aangemaakt vanuit risicoformulier (stap 4) is ook daar direct te muteren. - Key controls: De key controls worden overgenomen vanuit de checklist die bij het proces hoort waaraan een risico is gekoppeld. Onderin de checklist van de 1.14.x-serie kunt u middels de rechtermuistoets key-controls toevoegen (tot maximaal 10) .
De gekoppelde keycontrols komen terug in het risicoformulier, inclusief het wel/niet effectief zijn van de key control. Of een keycontrol effectief is kunt u aangeven in de checklist die bij het proces hoor vanuit de 2.x.1-serie.
Onderbouwing: u kunt hier eventuele toelichtingen bij de keycontrols kwijt. - Conclusies na interim: Hier geeft u aan of de keycontrols wel of niet effectief is. Of dat het niet van toepassing is.
Voor voorgedefinieerde risico's heeft deze keuze invloed op de werkprogramma-instructies die uitgevoerd dienen te worden. - Aanpak werkzaamheden: Hier ziet u weer de aan dit risico gekoppelde (eindejaars)werkprogramma(’s). U kunt de werkprogramma(’s) openen door op het nummer te klikken. Door in het werkprogramma in de risicokolom door middel van een rechter muisklik een risico te selecteren, kunt u werkprogramma-instructies koppelen aan risico’s.
- Aanvullende werkzaamheden bij niet effectieve key controls: middels de button kunt u een instructie aanmaken (automatisch gekoppeld aan het risico), die terugkomt in de gekoppelde (eindejaars) werkprogramma
- Werkprogramma-instructies: Hier vindt u de aangemaakte instructie terug. Aangemaakt bij “aanvullende werkzaamheden bij niet effectieve key controls” & gekoppeld vanuit de werkprogramma tijdens "aanpak werkzaamheden".
- Eindconclusie: Hier kunt u gemotiveerd aangeven of een risico al dan niet voldoende is afgedekt.
In het risicoanalyseoverzicht vindt u alle gesignaleerde risico’s. U vindt deze terug onder de volgende icoon in het Flashboard:
Door op de omschrijving te klikken komt u in het onderliggende risicodocument.
Overzicht inherente risicofactoren
Om de inherente risicofactoren te tonen zijn 3 documenten ontwikkeld:
In SRA CCM zijn deze: 1.14.43, 2.30.3 en 3.5.4 'Overzicht inherente risicofactoren';
In Novak Controledossier is dit RA.01.00
Het document heeft de volgende functionaliteiten:
ad 1) Omschrijving van de inherente risicofactor
ad 2) Mogelijkheid de inherente risicofactor te muteren
ad 3) Mogelijkheid om de inherente risicofactor te verwijderen
ad 4) Gekoppelde categorie inherente risicofactoren
ad 5) Inschatting categorie inherente risicofactoren
ad 6) Onderbouwing inschatting categorie inherente risicofactoren
ad 7) Hier kan de motivatie ingegeven worden indien een inherente risicofactor niet tot een risico heeft geleid
ad 8) Gekoppelde risico's. Met een dubbelklik op het risico kan het risico html geraadpleegd worden
ad 9) Mogelijkheid om een nieuwe inherente risicofactor of een nieuw risico aan te maken
ad 10) Met het pus/min teken kunnen de gekoppelde inherente risicofactor separaat getoond / verborgen worden ten behoeve van het overzicht. Het pus/min teken in de kolom zorgt voor het collectief tonen/verbergen van de inherente risicofactoren
ad 11) Gekoppelde post/proces aan een inherente risicofactor
Daarnaast is het ook mogelijk om de inherente risicofactoren te filteren op risicosoort middels rechtermuisknop klik op de kolom. Op dezelfde manier kan de filter deactiveert worden.
Als een filter actief is, is dit te zien in de freeze van het overzicht