250 Het in aanmerking nemen van wet- en regelgeving bij een controle van financiële overzichten
250 Het in aanmerking nemen van wet- en regelgeving bij een controle van financiële overzichten
Kernpunten
De betekenis van wet- en regelgeving en de mogelijk financiële impact daarvan verschilt sterk tussen organisaties onderling;
Verantwoordelijkheden management en met toezicht belaste personen conform die bij COS 240;
Niet alle afwijkingen van materieel belang als gevolg van het niet naleven van wet- en regelgeving kunnen worden gedetecteerd. Inherente beperkingen in dat verband zijn:
Niet alle wet- en regelgeving is van invloed op de financiële overzichten/worden vastgelegd in informatiesystemen ten behoeve van de financiële verslaggeving;
Samenspanning is altijd mogelijk;
Alleen een rechter kan vaststellen of sprake is van een daadwerkelijke overtreding van wet- en regelgeving. Er is dus altijd een inherente onzekerheid voordat de rechter uitspraak heeft gedaan.
Overtreding van wet- en regelgeving wordt onderscheiden in:
Overtreding die van directe invloed zijn op bedragen en toelichtingen in de financiële overzichten (belastingen, subsidies, pensioenen). De accountant moet zelf voldoende en geschikte controle-informatie verkrijgen over de naleving van deze bepalingen;
Overtredingen van wet- en regelgeving die deze directe invloed niet kennen (de “overige wet- en regelgeving), maar wel fundamenteel zijn voor de continuïteit van de bedrijfsvoering/ het voorkomen van sancties van materieel belang en dus indirect wel weer tot financiële consequenties leiden. De accountant moet gespecificeerde controlewerkzaamheden verrichten en niet meer dan dat.
Wat moet de accountant doen? (COS 250.10 e.v.)
Overweging hoe het zit met de naleving van wet- en regelgeving
In kaart brengen van de voor de entiteit relevante wet- en regelgeving;
Inzicht verkrijgen in de wijze waarop de entiteit omgaat met deze wet- en regelgeving;
Conform A8 voldoende en geschikte controle-informatie verkrijgen over naleving wet- en regelgeving die van directe invloed is op de financiële overzichten;
Met betrekking tot de naleving van overige wet- en regelgeving management en eventueel met governance belaste personen bevragen over de naleving. Ook kan de accountant correspondentie met vergunningverstrekkers/regelgevers “inspecteren”
Controlewerkzaamheden
Als de accountant informatie verkrijgt over (vermoeden van) overtreding moet hij te weten zien te komen wat de aard van de overtreding is en onder welke omstandigheden de overtreding (vermoedelijk) heeft plaatsgevonden en dient de accountant de impact op de financiële overzichten (dus ook de toelichtingen!) te beoordelen;
Bij vermoeden van overtreding bespreekt de accountant dit met het management en eventueel de met governance belaste personen. Als de verkregen informatie niet voldoende is naar het oordeel van de accountant roept hij juridische hulp in. Onvoldoende informatie leidt overigens ook tot de noodzaak voor de accountant zijn risico-inschatting en de waarde van bevestigingen door het management in overige onderdelen van de controle nog eens te overwegen;
Rapporteringen
(vermoeden van) overtreding van wet- en regelgeving dient aan de met governance belaste personen medegedeeld (in het accountantsverslag);
Indien er sprake is van opzettelijke overtreding van materieel belang dient dit terstond aan de met governance belaste personen te worden gerapporteerd;
Als laatstgenoemden betrokken zijn moet deze rapportering plaatsvinden aan eventueel aanwezig hoger orgaan.
Controleverklaring
Geregeld in Standaard 705; niet-naleving met invloed van materieel belang en niet op adequate wijze “weerspiegeld” in de financiële overzichten: verklaring met beperking of afkeurend oordeel;
Als door management en/of met governance belaste personen verhinderen dat de accountant voldoende en geschikte controle-informatie verkrijgt, leidt dat ex COS 705 tot een verklaring met beperking of een verklaring van oordeelonthouding wegens een beperking in de scope van de controle.
Melden aan derden (COS 250.28)
Denk na of dit tot de verantwoordelijkheden van de accountant behoort. Hoofdregel: win juridisch advies in (A19)
Mogelijk bijzondere bepalingen in publieke sector.
Tentamenvraag
Standaard 250 kan op volgende wijze in een tentamenvraag aan bod komen.
Sinds 1 januari 2016 geldt de meldplicht datalekken. Als er persoonsgegevens van gevoelige aard zijn gelekt dan is over het algemeen een melding noodzakelijk. Persoonsgegevens van gevoelige aard betreffen onder meer gegevens over de financiële of economische situatie van de betrokkene. Het datalek moet binnen 72 uur na de ontdekking worden aangemeld bij de Autoriteit Persoonsgegevens. Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen van maximaal € 820.000.
Bij Steengoed was er in juli 2017 sprake van een (mogelijk) datalek. Een hacker bleek toegang te hebben gekregen tot gegevens over de financiële situatie van sociale huurders. De hack is ontdekt door de eigen IT afdeling van Steengoed. Uit een interne analyse blijkt dat de hack voorkomen had kunnen worden wanneer in 2017 de juiste beveiligingsupdates van de softwareleveranciers zouden zijn doorgevoerd. Direct na het ontdekken zijn alle updates van applicaties doorgevoerd en is een proces in gang gezet om dit in de toekomst adequaat te doen. Hiermee wordt volgens Steengoed herhaling voorkomen.
Volgens de regelgeving moet een datalek gemeld worden. Steengoed heeft dit niet gedaan
omdat volgens haar niet zeker is of data zijn gestolen. De accountant wordt in februari 2018 in kennis gesteld van het bestaan van dit (mogelijk) datalek op het moment dat hij hier heel specifiek naar vraagt in de bevestiging bij de jaarrekening.
Wat is het effect van dit (mogelijk) datalek op de werkzaamheden en de rapportages van de accountant?
