Een auditdossier bevat veel meer dan cijfers en hun onderbouwing. Mede door de invoering van de ISA-normen (de ‘International Standards on Auditing’) start de audit dan ook steeds vanuit een risicoanalyse, alvorens er naar de cijfers wordt gekeken.
In het kader van deze risicoanalyse wordt op een bepaald moment van de analyse de vraag gesteld: “What Can Go Wrong?” (WCGW)
Auditdossier
Voordat de eindejaarscijfers worden geauditeerd, wordt er steeds een risicoanalyse uitgevoerd. Deze analyse begint met het verwerven van inzicht in de activiteiten van de onderneming en de controleomgeving. Zo heeft een aannemingsbedrijf een ander risicoprofiel dan een onderneming in de dienstensector, en dient ook de financiële audit hieraan te worden aangepast.
Daarna gaat de auditor globaal en per rubriek van de jaarrekening na wat het risico is op een afwijking van materieel belang voor de onderneming. Dit is een afwijking waarbij het weglaten of het onjuist weergeven van informatie in de jaarrekening, de economische beslissingen die gebruikers op basis van de jaarrekening nemen, zou kunnen beïnvloeden.
De mate van belangrijkheid van een risico wordt bepaald op basis van de impact die de afwijking kan hebben op de jaarrekening, en de kans dat de afwijking zich kan voortdoen.
What can go wrong?
Voor die rubrieken van de jaarrekening waaraan een risico werd gekoppeld, zal het auditteam vervolgens de vraag stellen: “What Can Go Wrong?”. WCGW is een methode waarbij de auditor nagaat wat er fout kan lopen bij de processen van een onderneming. Voor de rubriek omzet zal er bijvoorbeeld onderzocht worden wat er fout kan gaan bij de initiatie van de verkoopfactuur. Een mogelijke WCGW zou hierbij kunnen zijn dat niet alle verkopen in de juiste periode geregistreerd zijn.
Na het bepalen wat er fout kan lopen per transactie, dient de auditor ook na te gaan welke interne controleprocedures zijn opgezet om deze risico’s te vermijden. Hierbij bekijkt hij of de interne controles voldoende sterk zijn uitgewerkt en of ze effectief zijn. Het resultaat van deze analyse kan uitmonden in een aanbevelingsbrief, waarbij de tekortkomingen en verbeterpunten met betrekking tot de interne controleprocessen op een duidelijke manier gecommuniceerd worden aan de onderneming.
Hiervoor kunnen de auditexperts één of meerdere methodes toepassen:
- Observatie – de auditor volgt de ingave van een document mee (op het scherm)
- Controle – de auditor test de procedures door een IT audit te (laten) doen (door lijsten te vergelijken), of gaat aan de hand van steekproeven na of de documenten juist zijn verwerkt
- Herdoen - optellingen worden nageteld
- De auditor maakt gebruik van de interne controles, of
- van andere externe controles.
Hoe beter de interne procedures zijn, hoe betrouwbaarder de cijfers van de onderneming. Het auditteam zal het aantal uit te voeren controles aanpassen aan de kwaliteit van de interne procedures.
Conclusie
De analyse van de “What Can Go Wrong” verplicht de auditor en de onderneming om na te gaan welke processen aanleiding kunnen geven tot afwijkingen en welke controleprocessen hiervoor zijn geïmplementeerd.
De auditor zal zijn inzicht in de activiteiten van de onderneming en de controleomgeving verbeteren zodat hij een auditplan kan opstellen, specifiek gericht op de karakteristieken van de processen van de onderneming.
