In oktober 2023 heeft de FRC een herziene versie gepubliceerd van ISA (VK) 505 - Externe Bevestigingen. Deze zal van kracht zijn voor controles van financiële overzichten voor perioden die aanvangen op of na 15 december 2024. Nu we bijna een jaar na de publicatie van deze herziening zijn, blikken we terug op de kernelementen van ISA 505.
Wat is ISA 505?
ISA 505 behandelt het gebruik door de accountant van externe bevestigingsprocedures als onderdeel van het verkrijgen van controle-informatie. Gerelateerde ISA's zijn ISA 500 (Controle-informatie) en ISA 330 (Reacties van de accountant op ingeschatte risico's).
Achtergrond
Afgezien van enkele wijzigingen in 2022, was de eigenlijke kernstandaard sinds 2017 niet herzien. In de tussentijd zijn digitale hulpmiddelen (zoals Circit) veel populairder geworden.
De herziene versie van ISA 505 (mei 2022) bevat richtlijnen voor het gebruik van digitale platforms in het bevestigingsproces om informatie te verifiëren en om de betrouwbaarheid en geloofwaardigheid van controle-informatie die via dit proces wordt verkregen, te helpen verbeteren.
De gerelateerde ISA 500 wijst erop dat de betrouwbaarheid van controle-informatie wordt beïnvloed door drie belangrijke kenmerken, namelijk:
- Controle-informatie is betrouwbaarder wanneer deze wordt verkregen van onafhankelijke bronnen buiten de entiteit;
- Controle-informatie rechtstreeks door de accountant verkregen is betrouwbaarder dan controle-informatie die indirect of door gevolgtrekking is verkregen; en
- Controle-informatie is betrouwbaarder wanneer deze bestaat in documentaire vorm, zoals op papier, elektronisch of via een ander medium.
Update mei 2022
Het doel van externe bevestigingen is het verkrijgen van relevante en betrouwbare controle-informatie. De geactualiseerde versie van ISA 505 van mei 2022, schetst de volgende belangrijke elementen van het proces:
- Het gebruik van digitale platforms,
- Aangescherpte vereisten voor het onderzoeken van uitzonderingen en
- Een verbod op negatieve bevestigingen
We zullen de elementen van digitale platforms en negatieve bevestigingen specifiek nader bekijken.
Gebruik van digitale platforms
De FRC heeft een maatregel geïntroduceerd om ervoor te zorgen dat bevestigingen rechtstreeks kunnen worden verkregen door toegang te krijgen tot informatie die door derden wordt bewaard via webportals of software-interfaces. Platforms zoals Circit kunnen de efficiëntie en betrouwbaarheid van responspercentages verbeteren als onderdeel van een veilig en goed gecontroleerd proces.
ISA 505 waarschuwt accountants voor de gevaren die gepaard gaan met het verkrijgen van bevestigingsreacties, zowel op papier als in elektronische vorm: de reactie kan afkomstig zijn van een onjuiste bron; een respondent kan onbevoegd zijn om te reageren, of de integriteit van de verzending kan in gevaar komen.
Door gebruik te maken van een digitaal bevestigingsplatform kan veel van deze problemen verlichten door de veiligheid van de overdracht te verbeteren, transparantie te bieden over de volledigheid en te helpen ervoor te zorgen dat het verzamelde bewijsmateriaal alle relevante beweringen ondersteunt. Het overstappen op een digitaal proces verhoogt ook de veiligheid door de identiteit van een afzender van informatie in elektronische vorm te valideren, bijvoorbeeld met elektronische digitale handtekeningen.
Negatieve bevestigingen
Een negatieve bevestiging is wanneer de bevestigende partij alleen rechtstreeks reageert op de accountant als zij het niet eens is met de informatie in het verzoek. Het voorstel verbiedt negatieve bevestigingen, omdat deze niet zo effectief zijn als positieve.
Negatieve bevestigingen kunnen problematisch zijn, omdat het uitblijven van een reactie op een verzoek niet expliciet aangeeft dat de beoogde bevestigende partij het heeft ontvangen of de juistheid van de informatie in het verzoek verifieert. Bevestigende partijen reageren eerder op een verzoek, waarbij ze hun onenigheid aangeven, wanneer de informatie in het verzoek niet in hun voordeel is, en reageren minder snel anderszins.
Herziening oktober 2023
Elektronische bevestigingen en digitale beveiliging
De herziening van de standaard in oktober 2023 erkent de toenemende rol van digitale technologieën in auditprocessen nog meer, aangezien deze zich richt op het gebruik van elektronische bevestigingen door uitgebreide richtlijnen over dit onderwerp te bieden. Het benadrukt de rol van de accountant bij het waarborgen van de veiligheid en integriteit van de gebruikte elektronische kanalen.
Het benadrukt veilige methoden, zoals encryptie en digitale handtekeningen, om onderschepping of wijziging van bevestigingen te voorkomen.
Negatieve bevestigingen
De herziening behandelt ook opnieuw negatieve bevestigingen, waarbij dit keer wordt gesteld dat negatieve bevestigingen niet zijn toegestaan als enige inhoudelijke procedure, tenzij aan zeer specifieke voorwaarden is voldaan, zoals wanneer het risico op een materiële afwijking laag is en de accountant vertrouwen heeft in de controles met betrekking tot die bewering.
Conclusie: Digitale bevestigingen verbeteren de betrouwbaarheid
Eén ding is duidelijk uit zowel de herziening als de update: digitale bevestigingsplatforms spelen een sleutelrol in het proces.
De FRC heeft specifieke richtlijnen opgenomen voor het gebruik van digitale platforms voor bevestigingen vanwege de voordelen die ze bieden: verhoogde efficiëntie, onveranderlijkheid van verkregen antwoorden en de zekerheid dat antwoorden afkomstig zijn van een juiste, geautoriseerde bron. Deze platforms verbeteren de betrouwbaarheid van audits door veilige, fraudebestendige antwoorden te garanderen via technieken zoals encryptie en digitale handtekeningen.
Dit is een belangrijke indicator voor bedrijven die de juiste technologie implementeren hen kan helpen voorop te blijven lopen bij het beoordelen en verbeteren van auditprocessen.
Door de efficiëntie en nauwkeurigheid van reacties te verbeteren, verminderen ze risico's die verband houden met fraude en ongeautoriseerde toegang, waardoor ze onmisbare hulpmiddelen zijn in de huidige digitale auditomgeving. Bedrijven die deze technologieën toepassen, zijn beter gepositioneerd om te voldoen aan evoluerende standaarden en robuuste auditpraktijken te handhaven.
