Bij het V&A VTO (Assurancepraktijk) van 16 maart jl. hebben we met een aantal praktijkaccountants stilgestaan bij de standaard voor Less Complex Entities die momenteel in ontwikkeling is. MKB accountantspraktijken staan binnenkort voor de keuzemogelijkheid om:
- Ofwel de nieuwe Standaard voor Less Complex Entities te gaan toepassen (IAASB heeft in een webinar in februari 2023 de verwachting uitgesproken dat de standaard eind 2023 definitief zal zijn).
- Ofwel de volledige set van controlestandaarden te gaan toepassen, maar daarbij meer handen en voeten te geven aan de schaalbaarheidsoverwegingen die nu reeds in de volledige set van controlestandaarden ter beschikking staan.
Omdat we nu nog niet goed zicht hebben op de finale inhoud van de LCE Standaard hebben we er tijdens het V&A VTO voor gekozen om een typisch MKB praktijkvraagstuk met elkaar te verkennen dat in de huidige controlestandaarden al sinds een aantal jaren wordt beschreven. In de kern komt dat neer op het dilemma dat de dga van een MKB onderneming enerzijds vanwege directe betrokkenheid en management oversight als effectieve interne beheersingsactiviteit kan worden bestempeld, terwijl anderzijds de dominantie van de dga kan worden gezien als verhoogd frauderisico: het risico van ‘management override’. Hierna zal ik eerst wat specifieker de passages in de A-paragrafen van COS 315 schetsen. Aansluitend geef ik enkele percepties van praktijkbeoefenaren weer. We hebben tevens bij wijze van eerste verkenning kort stil gestaan bij de NBA Praktijkhandreiking 1148 ‘Soft Controls’. Die zullen we daarom in dit blog slechts kort aanstippen. In een volgend blog zal ik de problematiek van management override belichten vanuit een wetenschappelijk onderzoek.
In de schaalbaarheidsoverwegingen behorend bij Controlestandaard 315 wordt bijvoorbeeld in A99 gesteld dat de governancefunctie bij een minder complexe entiteit “direct door de eigenaar-bestuurder wordt waargenomen als er geen andere eigenaren zijn”. Dit wordt vervolgd in A100 met de overweging dat bij minder complexe entiteiten vaak minder formele controledocumentatie beschikbaar is wat betreft de interne beheersingsomgeving. Hierbij wordt een interessant voorbeeld gegeven: veel voorkomend is het ontbreken van een formele gedragscode, en in plaats daarvan wordt een cultuur ontwikkeld waarbij het belang van integriteit en ethische waarden wordt benadrukt door middel van communicatie door en het voorbeeldgedrag van het management. Hieruit wordt de gevolgtrekking gemaakt dat in een dergelijke situatie het inzicht in de interne beheersingsomgeving moet worden gezocht in de houding, het bewustzijn en de handelingen van het management. Dat zou dan dus de focus moeten hebben van de MKB accountant.
De rol van de dga komt ook terug in de schaalbaarheidsoverwegingen wat betreft interne beheersingsactiviteiten, namelijk in A157. Als eerste wordt hier gesteld dat het bij minder complexe entiteiten minder praktisch uitvoerbaar kan zijn om functiescheiding te realiseren. A157 wijst er op dat het mogelijk is dat de eigenaar-bestuurder mogelijk meer effectief toezicht kan uitoefenen vanwege directe betrokkenheid vergeleken met een grotere entiteit (noot: hier wordt niet gezegd: meer complexe entiteit, maar dat terzijde). Het kan zelfs dienen als compensatie voor de beperktere mogelijkheden van functiescheiding. [wat je noemt ‘management oversight’]. Dezelfde A-paragraaf haast zich om daaraan direct toe te voegen dat als het management overheerst wordt door één enkele persoon sprake kan zijn van een potentiële tekortkoming in de interne beheersing, vanwege het doorbrekingsrisico [wat je noemt ‘management override’].
Dus dit is het dilemma: enerzijds kan de dga effectief toezicht (oversight) uitoefenen en zelfs functievermengingen compenseren, anderzijds is er een verhoogd frauderisico omdat dominantie (overheersing) ook uitgelegd kan worden als verhoogd risico van doorbreking.
We starten de bespreking met enkele verkennende vragen:
- Wat is doorgaans uw inschatting van het risico van management override in een doorsnee MKB omgeving? [laag – gemiddeld – hoog].
- Wat is doorgaans uw inschatting van de kwaliteit van management oversight in een doorsnee MKB omgeving? [laag – gemiddeld – hoog].
- Wat is doorgaans de gecombineerde inschatting van het risico van management override en management oversight in een doorsnee MKB omgeving? [laag – gemiddeld – hoog].
Het gaat er nu niet om om aan deze vraagstelling een wetenschappelijke geloofwaardigheid toe te dichten, maar meer om een eerste indicatie te verkrijgen hoe praktijkbeoefenaren dit vraagstuk zien. Dit was de uitkomst:
- 60% schat het risico van management override als hoog in, 40% als gemiddeld. Geen van de aanwezigen als laag.
- Wat betreft de kwaliteit van management oversight ontstond een spiegelbeeld: 40% schat de kwaliteit als hoog in, 60% als gemiddeld. Geen van de aanwezigen antwoordde met ‘laag’.
- Wat betreft de combinatie van beide elementen was het beeld volledig homogeen: iedereen schatte dit in als ‘gemiddeld’.
Aansluitend hebben we een vervolgvraag gesteld over hoe de praktijkbeoefenaar de integriteit van de cliënt in een doorsnee omgeving inschat, wederom op een categorische schaal van laag – gemiddeld – hoog. Uitkomst: 80% als gemiddeld, 20% als hoog. In de verdere bespreking werd door iemand als toelichting op de inschatting ‘gemiddeld’ gegeven dat hierin ook een element van twijfel over de integriteit is opgenomen. Een ander gaf aan: het gaat over de eigen portemonnee van de dga. Dit werd aangevuld door een derde die stelde dat commerciële rasondernemers lak hebben aan wet- en regelgeving, privé en zakelijk lopen ook behoorlijk door elkaar.
Een hieraan gerelateerd onderwerp betreft ‘Tendenties’. De uitkomst zien we terug in onderstaande figuur:
Figuur 1 Tendenties in MKB omgeving
De figuur laat zien dat in een doorsnee MKB omgeving ook sprake is van tendenties, het risico van management override is dus niet ondenkbeeldig. Tevens laat de figuur ook zien dat de dga veelal fiscaal ingegeven tendenties heeft, hetgeen onder andere tot uitdrukking komt in conservatieve schattingen en andere vormen van het resultaat drukken.
In een vervolgvraag werd gevraagd naar negatieve ervaringen die de praktijkbeoefenaren hadden opgedaan bij doorsnee MKB omgevingen. Uit de reacties volgden best stevige vraagstukken, zoals belastingontduiking / zwarte omzet, het niet voldoen aan wet- en regelgeving zoals de Wwft, de mazen opzoeken, en dergelijke. Een eenvoudige conclusie is daarmee dat daadwerkelijke manifestatie van het risico van management override aan de orde kan zijn.
Bij een tegenovergestelde vraag – namelijk naar positieve ervaringen met dga’s – komen anderzijds ook aansprekende voorbeelden voor het voetlicht: maatschappelijke betrokkenheid, toegevoegde waarde in de audit ervaren, opvolging geven aan punten in het accountantsverslag (management letter), constructieve medewerking met de audit, etc.
Het geheel illustreert dat situaties in het MKB nogal uiteen kunnen lopen. Elke situatie moet weer op eigen merites worden beoordeeld, ook wat betreft de integriteitinschatting van de dga.
Praktijkbeoefenaren geven aan dit soort dilemma’s lastig te vinden. Hoe kun je alles op waarde schatten, hoe ga je dit documenteren?
Afsluitend hebben we de NBA Praktijkhandreiking 1148 er bij gepakt. Deze handreiking bevat het soft control model van professor Muël Kaptein. Dit model is in diverse publicaties gehanteerd, en kan daarmee dienen als een passend kader.
We vroegen aan de praktijkbeoefenaren om een volgorde van belangrijkheid toe te kennen aan elk van de acht soft controls. In figuur 2 hebben we de uitkomst opgenomen:
Figuur 2 Belang van de acht soft controls
Zonder uitputtend te zijn was er één soft control die er behoorlijk uitsprong: voorbeeldgedrag. En dan zijn we eigenlijk weer terug bij wat we beschreven vanuit de A-paragrafen 99 en 100, namelijk dat het in dga-bestuurde ondernemingen extra belangrijk is om inzicht te verwerven in de tone at the top, de cultuur en hoe deze van ethiek is doordrongen. De dga verkeert in een positie om behoorlijke invloed uit te oefenen op hoe het er aan toe gaat in de organisatie. Dat kan zowel positief als negatief zijn. Met andere woorden: levert het een steunpunt op (soft control) of leidt het tot een rode vlag?
Ter afsluiting: hoewel praktijkhandreiking 1148 ook suggesties doet voor de documentatie van soft controls vinden mensen de inschatting van de IB omgeving en de IB activiteiten zoals hiervoor beschreven lastig. Als je het mij vraagt, maakt dat het juist van extra groot belang om hierover met elkaar in kantoorverband van gedachten te wisselen en een aantal gevarieerde praktijkcases de revue te laten passeren. Leren van en in de praktijk leidt tot verrijkende praktijkkennis en -ervaring!
Mocht je over deze problematiek verder willen doorpraten, voel je dan vrij om contact met mij op te nemen (niels@vna-aa.nl; 06-22232996).
Ik nodig je ook graag uit om eens een VTO voor de assurance of de non-assurancepraktijk bij te wonen. Zie hiervoor onze website: https://www.vna-aa.nl/open-inschrijvingen/. Voor meer informatie over de VTO’s kun je je vrijblijvend wenden tot coördinator Cornelis Kramer (cornelis@vna-aa.nl).
Prof. dr. Niels van Nieuw Amerongen RA
21 april 2023