930 impact van XBRL op assurance Nekeman Hakkennes · invloed die XBRL zal hebben op de financiële...
Transcript of 930 impact van XBRL op assurance Nekeman Hakkennes · invloed die XBRL zal hebben op de financiële...
De impact van XBRL op assurance
Het interne beheersingsproces voor de financiële rapportage
drs. Jeroen Nekeman
Frank Hakkennes MSc
28 maart, 2009
Vrije Universiteit Amsterdam
Postdoctoraal EDP audit
Begeleider aan de VU: J. Pasmooij RE RA RO
Bedrijfscoach bij Deloitte: ir. F. Geertman RE CISA
1
Management samenvatting
Volgens velen zal XBRL in de toekomst tot algemene standaard verheven worden op het gebied van het
geautomatiseerd opslaan en verwerken van bedrijfsinformatie en het rapporteren hiervan. Ook de financiële
jaarrekening kan zo met behulp van XBRL worden opgesteld. Uiteindelijk zal XBRL zelfs de traditionele
papieren jaarrekening zoals we die nu kennen kunnen vervangen. Twee belangrijke vragen bij het gebruik van
XBRL zijn: In hoeverre heeft de overgang naar XBRL invloed op het verkrijgen van assurance over de
financiële verslaglegging? En in welke mate verandert de taak van de IT auditor hierdoor? In dit onderzoek
staan deze vragen centraal. Aan de hand van een risicoanalyse hebben wij beschreven welke risico’s zich
aandienen bij het rapporteren van financiële rapportages met behulp van XBRL. Uit literatuuronderzoek hebben
wij opgemaakt dat er in hoofdlijnen vijf basiselementen aanwezig zijn ten aanzien van XBRL:
• Brondata
• Taxonomie
• XBRL Specificatie
• Instance document
• Style sheets
De brondata zijn de financiële gegevens over welke wordt gerapporteerd. De taxonomie bepaalt welke gegevens
in de rapportage worden opgenomen en wat hun betekenis is. De XBRL specificaties geven de technische
richtlijnen. Het instance document is het uiteindelijke informatiedocument dat de te rapporteren gegevens en
metadata hierover bevat. Tot slot kan met behulp van een style sheet de voor de specifieke situatie relevante
gegevens worden omgezet naar een voor mensen leesbare presentatievorm.
Nadat wij voor elke van deze elementen de specifieke risico’s hebben bepaald, hebben we vervolgens een set
controledoelstellingen en controleactiviteiten beschreven waarmee deze risico’s afgedekt kunnen worden. Deze
analyse is onder andere gebaseerd op een aantal interviews welke wij hebben afgenomen met experts op het
gebied van accounting, IT audit en consulting. Het resultaat vormt een normenkader dat in hoofdlijnen beschrijft
welke activiteiten ondernomen dienen te worden om assurance te kunnen verlenen op het totstandkomingproces
van een financiële rapportage in XBRL.
XBRL voegt een aantal nieuwe stappen toe aan het rapportageproces. Hierbij hebben wij controleactiviteiten
beschreven die specifiek zijn voor het XBRL proces. Hieruit concluderen wij dat in vergelijking met de
traditionele vorm van rapporteren extra of aangepaste activiteiten naadzakelijk zijn voor het verkrijgen van
assurance over het XBRL totstandkomingproces.
Niet voor alle risico’s zal de expertise van de IT-auditor noodzakelijk zijn. Echter voor een groot deel van de
beschreven activiteiten zal de IT auditor uitkomst kunnen bieden in het verlenen van zekerheid over de
verschillende deelprocessen. Onze conclusie luidt dan ook dat er bij het geven van assurance over het XBRL
rapportageproces een grotere rol voor de IT auditor is weggelegd, dan bij de traditionele vorm van rapporteren.
Het door ons opgestelde controleraamwerk kan dienen als startpunt bij het uitvoeren van een audit naar het
totstandkomingproces van een XBRL rapportage. Hierbij dient nog wel een vervolgstap te worden uitgevoerd,
waarbij de beschreven controleactiviteiten vertaald dienen te worden naar een specifieke situatie.
2
Inhoudsopgave
MANAGEMENT SAMENVATTING .....................................................................................................................1
INHOUDSOPGAVE............................................................................................................................................2
1 INTRODUCTIE................................................................................................................................................4
1.1 CONTEXT ......................................................................................................................................................... 4
1.2 PROBLEEMSTELLING ........................................................................................................................................... 4
1.2.1 Doelstelling ........................................................................................................................................... 4
1.2.2 Vraagstelling ......................................................................................................................................... 5
1.2.3 Deelvragen ............................................................................................................................................ 5
1.3 KADER............................................................................................................................................................. 5
1.4 ONDERZOEKSMETHODE EN AANPAK ...................................................................................................................... 5
1.5 OPZET VAN HET ONDERZOEK ................................................................................................................................ 6
2 XBRL..............................................................................................................................................................7
2.1 OPKOMST VAN XBRL......................................................................................................................................... 7
2.1.1 Ontwikkelingen in de informatiebehoefte ............................................................................................ 7
2.1.2 Verschillen XBRL met traditionele wijze van rapporteren ..................................................................... 8
2.1.3 Kanttekening bij de opkomst van XBRL................................................................................................. 8
2.2 KENMERKEN XBRL ............................................................................................................................................ 9
2.2.1 Data ...................................................................................................................................................... 9
2.2.2 XBRL Specificaties................................................................................................................................ 10
2.2.3 Taxonomie........................................................................................................................................... 10
2.2.4 Instance document.............................................................................................................................. 11
2.2.5 Style sheet ........................................................................................................................................... 12
2.2.6 Samenhang elementen ....................................................................................................................... 12
3 SCENARIO’S GEBRUIK VAN XBRL.................................................................................................................15
3.1 TRADITIONELE VERSLAGGEVING .......................................................................................................................... 15
3.2 XBRL RAPPORTAGE GEBASEERD OP TRADITIONELE VERSLAGGEVING........................................................................... 15
3.3 VERSLAGGEVING IN XBRL EN TRADITIONELE VERSLAGGEVING................................................................................... 16
3.4 VERSLAGGEVING IN XBRL ZONDER PRESENTATIE.................................................................................................... 16
3.5 VERSLAGGEVING IN XBRL MET PRESENTATIE......................................................................................................... 17
3.6 SELECTIE SCENARIO .......................................................................................................................................... 18
4 RISICO’S ......................................................................................................................................................19
4.1 DATA ............................................................................................................................................................ 19
3
4.2 XBRL SPECIFICATIES ........................................................................................................................................ 20
4.3 TAXONOMIE ................................................................................................................................................... 20
4.4 INSTANCE DOCUMENT ...................................................................................................................................... 21
4.5 STYLE SHEET ................................................................................................................................................... 22
4.6 CONCLUSIE..................................................................................................................................................... 22
5 CONTROLEAANPAK .....................................................................................................................................23
5.1 CONTROLEDOELSTELLINGEN............................................................................................................................... 23
5.2 CONTROLE ACTIVITEITEN ................................................................................................................................... 24
5.2.1 Juiste brongegevens............................................................................................................................ 24
5.2.2 Integriteit gegevens ............................................................................................................................ 25
5.2.3 XBRL specificaties................................................................................................................................ 26
5.2.4 Vereiste elementen en informatie....................................................................................................... 27
5.2.5 Vertrouwelijkheid................................................................................................................................ 28
5.2.6 Beschikbaarheid .................................................................................................................................. 28
5.3 GEVOLGEN TOEPASSING XBRL OP DE IT AUDIT...................................................................................................... 28
5.3.1 Uit te voeren werkzaamheden IT auditor............................................................................................ 28
5.3.2 Vorm en mate van assurance............................................................................................................. 29
5.3.3 Vervolgstappen ................................................................................................................................... 30
6 CONCLUSIE..................................................................................................................................................31
BRONVERMELDING........................................................................................................................................33
BIJLAGE A: XBRL TAXONOMIE JAARREKENING UNILEVER 2004......................................................................35
BIJLAGE B: XBRL INSTANCE DOCUMENT JAARREKENING UNILEVER 2004 ......................................................36
BIJLAGE C: INTERVIEWS .................................................................................................................................39
BIJLAGE D: RISICO’S .......................................................................................................................................47
BIJLAGE E: NORMENKADER............................................................................................................................48
4
1 Introductie
1.1 Context
Veel organisaties zouden in de huidige tijd financiële gegevens toegankelijk willen maken voor externe
partijen via het Internet (Efrim Boritz and No, 2005). XBRL (Extensible Business Reporting Language) is in het
leven geroepen om volgens een gestandaardiseerde wijze te werk te gaan. Heitmann en Öhling (2005) geven de
volgende definitie van XBRL:
XBRL is a general-purpose language for constructing and presenting documents with accepted formats
and rules. It uses metadata for explaining layout and logical structure of the content, and allows for
any user to extend the language for special purposes.
Volgens velen zal XBRL in de toekomst tot algemene standaard verheven worden op het gebied van het
geautomatiseerd opslaan en verwerken van bedrijfsinformatie en het rapporteren hiervan. XBRL kan
bijvoorbeeld ingezet worden bij het voorbereiden, delen en analyseren van financiële rapportages. De financiële
informatie zoals jaarrekeningen en prognoses kunnen op het Internet worden geplaatst. Bovendien zal het
gebruik van XBRL zich niet beperken tot het Internet maar zal XBRL ook gebruikt worden voor overdracht van
financiële gegevens tussen verschillende organisaties. Een belangrijke vraag die hierbij gesteld kan worden is
hoe om te gaan met de integriteit, beschikbaarheid en vertrouwelijkheid van deze informatie en de
totstandkoming hiervan.
1.2 Probleemstelling
1.2.1 Doelstelling
Sinds de invoering van XBRL zijn er in de wetenschappelijke literatuur diverse onderzoeken geweest naar de
invloed die XBRL zal hebben op de financiële audit (Heitmann and Öhling, 2005; CICA, 2002). Deze
onderzoeken beperken zich over het algemeen tot de verandering die XBRL met zich meebrengt ten aanzien van
de werkzaamheden van de accountant. De impact die XBRL kan of zal hebben op de werkzaamheden van de IT
auditor is tot op heden nauwelijks onderzocht. Het is mogelijk dat door de invoering van XBRL, deze
werkzaamheden in meer of mindere mate aangepast moeten worden om bijvoorbeeld voor een financiële audit
ten behoeve van de jaarrekening voldoende zekerheid te kunnen geven.
5
1.2.2 Vraagstelling
De bovenstaande probleemstelling leidt in samenwerking met Deloitte Enterprise Risk Services (ERS) tot de
volgende onderzoeksvraag:
Wat is de impact van XBRL op IT-audit en assurance?
1.2.3 Deelvragen
Om het kader van het onderzoek verder af te bakenen en een heldere opbouw van de genoemde vraagstelling te
kunnen uitwerken, zal het antwoord op de probleemstelling worden geformuleerd met behulp van een drietal
deelvragen.
1. Wat zijn de relevante ontwikkelingen op het gebied van XBRL ?
2. Welke gevolgen heeft de toepassing van XBRL op het geven van assurance?
3. Veranderen de werkzaamheden van de IT-auditor door de toepassing van XBRL?
1.3 Kader
Het doel van het onderzoek is inzicht verkrijgen in de impact die XBRL heeft op het uitvoeren van een IT-audit.
Dit onderzoek richt zich enkel op de ondersteuning van de uitvoering van de financiële jaarrekeningcontrole.
Mogelijke andere vormen van auditing, zoals proces audits, privacy audit en reglementaire audits (bijv. SOX,
SAS, BASEL) vallen buiten het kader van dit onderzoek.
1.4 Onderzoeksmethode en aanpak
Om bovenstaande probleemstelling en deelvragen te kunnen beantwoorden is eerst een literatuurstudie
uitgevoerd. Deze literatuurstudie is in het bijzonder gericht op de eigenschappen en mogelijkheden van XBRL,
en de impact die XBRL heeft op de werkzaamheden van de IT auditor in relatie tot de jaarrekeningcontrole.
Vervolgens zijn aan de hand van deze literatuurstudie en interviews met vakdeskundigen, scenario’s opgesteld
die beschrijven in welke vorm XBRL ingezet kan worden. Een van deze scenario’s is voor het vervolg van het
onderzoek als uitgangspunt genomen en verder geanalyseerd.
Daarnaast zijn interviews afgenomen met vakdeskundigen die op verschillende wijzen betrokken zijn bij het
gebruik van XBRL en/of het verlenen van assurance in het kader van de jaarrekeningcontrole. Zo is er
gesproken met consultants welke XBRL implementaties begeleiden, accountants en IT auditors die
verantwoordelijk zijn voor het uitvoeren van de jaarrekeningcontrole. Deze groep bevat zowel personen die een
uitvoerende rol hebben als personen die een verantwoordelijke of management rol bekleden Deze interviews
zijn gebruikt om tot een risicoanalyse te komen en om inzicht te verkrijgen over de rol van de IT auditor.
6
1.5 Opzet van het onderzoek
De uitwerking van dit onderzoek bevat de volgende hoofdstukken:
1 Introductie
2 XBRL
3 Scenario’s gebruik van XBRL
4 Risico’s
5 Controleaanpak
6 Conclusie
Hoofdstuk 1 bevat de inleiding van dit onderzoek en beschrijft de context, probleemstelling, onderzoeksvraag en
deelvragen, het kaderen de gehanteerde methodiek.
Hoofdstuk 2 beschrijft de basis kenmerken en eigenschappen van XBRL. Hierbij wordt zowel ingegaan op een
de functionele aspecten van het gebruik van XBRL als de technische kenmerken.
Hoofdstuk 3 geeft daarna een beschrijving van de verschillende scenario’s waarin XBRL gebruikt kan worden
voor het beschikbaar stellen van financiële gegevens.
Op basis van een van deze scenario’s wordt vervolgens in hoofdstuk vier een risico analyse beschreven voor de
verschillende elementen van XBRL die zijn beschreven in hoofdstuk 2.
Aan de hand van de risico’s beschreven in hoofdstuk 4, wordt in hoofdstuk 5 een mogelijke controleaanpak
gegeven om deze risico’s te beheersen. Hierdoor wordt inzichtelijk welke risico’s anders zullen zijn bij het
gebruik van XBRL als dit wordt vergeleken met de traditionele aanpak van het rapporteren van financiële
gegevens. Dit zal resulteren in een controleraamwerk waarin op hoog niveau risico’s bij de totstandkoming van
een XBRL rapportage zijn gekoppeld aan controledoelstellingen. Het raamwerk is erop gericht inzicht te geven
op de risico’s en controledoelstellingen zoals van toepassing op het totstandkomingproces van een XBRL
rapportage. Het kan voor een auditor fungeren als startpunt voor het opstellen van een controleplan. Hiertoe
dient in het raamwerk per controleactiviteit nog een vervolg stap te worden uitgevoerd waarbij voor een
specifieke situatie beschreven wordt hoe kan worden vastgesteld dat aan de opgenomen norm wordt voldaan.
Tenslotte bevat hoofdstuk 6 een conclusie waarin de belangrijkste bevindingen uit dit onderzoek worden
samengevat en mogelijke onderwerpen worden aangedragen voor vervolgonderzoek.
7
2 XBRL
2.1 Opkomst van XBRL
2.1.1 Ontwikkelingen in de informatiebehoefte
De afgelopen tien jaren heeft het gebruik van Internet een enorme ontwikkeling door gemaakt. Hierdoor zijn in
verschillende bedrijfstakken de verwachtingen ten aanzien van informatie sterk veranderd (Ward Hanson;
2000). Er wordt verwacht dat informatie digitaal beschikbaar is. Maar ook ten aanzien van de verwerking van
informatie zijn de wensen van gebruikers toegenomen. Informatie dient steeds sneller voor gebruikers
beschikbaar te zijn. Veel organisaties hebben daarom hun bedrijfsprocessen zodanig aangepast dat de
informatieverwerkende processen zo veel mogelijk digitaal verlopen waardoor de omzetsnelheid van de
informatie toeneemt.
Ook ten aanzien van financiële informatie zijn gedurende de afgelopen periode de wensen en eisen van
organisaties sterk veranderd. Dit is mede het gevolg van toenemende eisen ten aanzien van financiële
informatievoorziening in het kader van “Corporate governance”, externe verslaglegging, toezicht en (Europese)
harmonisatie (Hoekstra, D.J. en Snijders, P. 2008). Ook in Nederland wordt specifiek gewerkt aan de
harmonisatie van taxonomieën om het proces van samenstellen en uitwisselen van informatie te vereenvoudigen
(Pasmooij, 2009). Tegenwoordig stellen de meeste organisaties de financiële jaarverslagen en bedrijfsinformatie
digitaal beschikbaar via het Internet (Boritz, J.E. en No, W.G., 2007). Deze wijzigingen maken het mogelijk om
aan een deel van de verandering van de wensen van betrokken partijen, zoals inzichtelijkheid, kostenreductie en
mogelijkheden voor toegang tot de financiële informatie, tegemoet te komen. Tegelijkertijd is voor de
beschikbaarstelling van informatie in digitale vorm vaak veel handwerk noodzakelijk (het zogenaamde re-
keyen). Dit brengt voor de organisatie geen kosten reductie met zich mee. Tevens ontstaat bij het handmatig
opstellen van financiële overzichten, waarbij veel “copy en paste" activiteiten worden uitgevoerd, een
verhoogde kans op fouten. Hierdoor neemt de noodzaak van een betere benutting van de mogelijkheden die de
IT omgeving biedt verder toe. Er ontstaat een toenemende roep om een universele digitale methode waarbij
financiële informatie rechtstreeks uit de financiële systemen getrokken kan worden. Deze noodzaak voor een
digitale methode vormt de basis voor het ontstaan van XBRL. Momenteel zijn voor de standaardisatie van
gegevens verschillende taxonomieën beschikbaar (zoals IFRS GP en US GAAP). Daarnaast zijn op nationaal
niveau taxonomieën opgesteld die rekening houden met lokale wet- en regelgeving. Met ingang van 2009 heeft
de SEC het gebruik van XBRL voor beursgenoteerde organisaties in de verenigde staten verplicht gesteld. In
andere landen bestaat al langer de mogelijkheid om, al dan niet verplicht, financiële rapportages in XBRL te
rapporteren aan overheid of toezichthouders. Ook in Nederland wordt specifiek gewerkt aan de harmonisatie
van taxonomieën om het proces van samenstellen en uitwisselen van informatie te vereenvoudigen (Pasmooij,
2009).
8
2.1.2 Verschillen XBRL met traditionele wijze van rapporteren
Jaarlijks wordt door veel ondernemingen een verslag gemaakt van de financiële cijfers, wat in de vorm van een
jaarverslag wordt gepresenteerd aan de belanghebbenden. Deze wijze van rapporteren wordt al jaren gebruikt
waardoor ondernemingen, overheidsinstanties en andere belanghebbenden precies weten wat ze hier aan
hebben. Belanghebbenden hechten steeds minder waarde aan het uitgegeven jaarverslag. Hier liggen
verschillende redenen aan ten grondslag. Ten eerste is het totstandkomingproces erg omvangrijk. Vaak is het
jaarverslag pas enkele maanden na afsluiting van het boekjaar beschikbaar. Ten tweede heeft het verslag een
standaard vorm waardoor het niet altijd aansluit op de informatiebehoefte van de verschillende
belanghebbenden. Verder richt het jaarverslag zich voornamelijk op de financiële gegevens waarbij een veelheid
aan accounting en rapportage principes gebruikt wordt. (Nivra, 2007).
Door de opkomst van het gebruik van het Internet is globalisering een feit. Mede hierdoor verandert de
informatiebehoefte. Mensen raken er steeds meer aan gewend dat informatie digitaal beschikbaar is op het
moment dat zij hieraan behoefte hebben. Google heeft hier handig op ingespeeld door een effectieve methode te
ontwikkelen voor het indexeren van Internet sites waardoor gebruikers snel en makkelijk toegang kunnen
krijgen tot informatie. Deze ontwikkelingen hebben ook de verwachtingen ten aanzien van financiële informatie
van gebruikers veranderd. Dit heeft geleid tot de ontwikkeling van XBRL. XBRL maakt het mogelijk de eerder
beschreven tekortkomingen van de traditionele manier van rapporteren te overwinnen. Zo zijn financiële
rapportages beschikbaar met een druk op de knop en kunnen gebruikers de informatie opvragen die zij willen
zien.. Dit houdt in dat overzichten niet alleen jaarlijks maar op ieder gewenst moment kunnen worden
verkregen. De rapportages kunnen in meerdere vormen, zoals PDF, HTML of XML, worden aangeleverd.
Daarnaast zorgt het gebruik van een taxonomie voor een harmonisatie van rapportage standaarden, waardoor
vergelijking en integratie met andere standaarden eenvoudiger wordt. Ook kunnen de gegevens die nu op ieder
moment beschikbaar zijn worden ingezet om bedrijfsdoelstellingen weer te geven en tijdige bijsturing te geven
wanneer nodig (Nivra, 2007).
2.1.3 Kanttekening bij de opkomst van XBRL
Voordat XBRL succesvol kan worden doorgevoerd in de Nederlandse economie zullen eerst de voordelen
hiervan bij ondernemingen en overheid duidelijk moeten zijn. Momenteel zijn er bij verschillende partijen
behoorlijk sceptische gedachten over de invoering Momenteel staan verschillende partijen sceptisch tegenover
het gebruik van XBRL. Onder andere doordat er veel onduidelijkheid is over de vraag hoe gegevens in XBRL
moeten worden aangeleverd. Ondernemingen zouden XBRL wel willen implementeren maar weten door een
gebrek aan handleiding “Hoe implementeer ik XBRL” niet hoe (Accountancy nieuws, 2008). In het vervolg van
dit onderzoek geven wij een overzicht van mogelijke scenario’s voor het gebruik van XBRL. Door een aanname
te maken van de best mogelijke toepasbaarheid stellen wij vervolgens, door het uitvoeren van een risicoanalyse,
een normenkader op dat de gebruiker van XBRL als startpunt kan gebruiken voor de implementatie van XBRL.
In de politiek blijkt dat er eveneens geen overeenstemming is over het gebruik van XBRL. Dit leidt er toe dat
over de (verplichte) invoering van XBRL nog geen besluiten zijn genomen in Nederland. Er ontstaat met name
discussie over de noodzaak van assurance bij verantwoording van financiële cijfers in elektronische vorm en de
9
wijze waarop die kan worden gegeven. Uit de bijeenkomst georganiseerd door het Nivra van 8 januari 2009
blijkt dat er discussie is aangaande de verantwoording van financiële cijfers in elektronische vorm. (Accounts.nl,
2009). Momenteel is er nog weinig knowhow en software beschikbaar over het gebruik van XBRL. Hierdoor
zullen de kosten van een implementatie voorlopig erg prijzig zijn. De verwachting is dat wanneer XBRL meer
geïmplementeerd zal worden deze kosten zullen dalen. Verder blijkt dat het schrijven van een goed XBRL
programma nog zo makkelijk niet is. Door de eenvoudige technische principes van XBRL denken veel
ondernemingen zelf wel iets te kunnen schrijven. Maar de materie blijkt daarvoor toch te complex. Ook is er
nog steeds geen duidelijkheid over welke informatie er nu moet worden doorgegeven tussen de verschillende
partijen. Een oorzaak voor de onduidelijkheid over de informatie-uitwisseling is de moeilijkheid in te schatten
in welke mate Assurance noodzakelijk is bij het gebruik van XBRL (Vanderhaegen, 2006).
2.2 Kenmerken XBRL
Dit hoofdstuk beschrijft de kenmerken en generieke concepten van XBRL. Zoals beschreven in sectie 2.1, wordt
XBRL gebruikt voor het digitaal uitwisselen van financiële informatie. XBRL is gebaseerd op XML technieken,
waarbij een onderscheid wordt gemaakt tussen de daadwerkelijke gegevens en de presentatie van deze
gegevens, ook wel metadata genoemd. De betekenis van gegevens wordt hierbij als ‘tag’ gekoppeld aan dit
gegeven. Dit is te vergelijken met het bekende HTML, waarbij met behulp van tags wordt aangegeven op welke
wijze gegevens weergegeven dienen te worden. Een simpel voorbeeld van HTML is bijvoorbeeld:
<u>HTML voorbeeld</u>
Voorbeeld code 2-1: HTML voorbeeld
In dit voorbeeld is de tekst ‘HTML voorbeeld’ het gegeven. Door middel van de tag ‘<u>’ wordt aangegeven
dat dit gegeven onderstreept weergegeven dient te worden. XBRL werkt op eenzelfde manier, waarbij gegevens
worden gecommuniceerd en doormiddel van tags wordt aangegeven wat de context en betekenis van deze
gegevens is. Hiertoe kent XBRL een vijftal elementen welke in dit hoofdstuk zullen worden beschreven: data,
XBRL specificaties, taxonomie, instance document en style sheet (Trites, 2006, Boritz, 2007).
Bij de uitwerking van deze elementen wordt gerefereerd naar het volgende voorbeeld uit de XBRL jaarrekening
van Unilever van 2004 (jaarverslag.info, 2004).
<ifrs-gp:IntangibleAssetsNet contextRef="BJ2004" decimals="0"
unitRef="EUR">18581000000</ifrs-gp:IntangibleAssetsNet>
Voorbeeld code 2-2: XBRL voorbeeld
2.2.1 Data
Het primaire doel van het gebruik van XBRL is het op een standaard wijze aanbieden en communiceren van
(financiële) gegevens. Bijvoorbeeld in het kader van rapportage van de jaarrekening. Hoewel gesteld kan
worden dat deze gegevens strikt genomen geen onderdeel van het XBRL mechanisme zelf vormen, nemen zij
een belangrijke plaats in bij het principe van XBRL. Deze gegevens kunnen verschillende soorten informatie
10
bevatten die een organisatie beschikbaar wil stellen. Dit kan onder andere gegevens voor de jaarrekening,
belasting of statistische gegevens betreffen, zoals beschreven in sectie 2.1.
In “Voorbeeld code 2-2: XBRL voorbeeld” is het gegeven dat wordt gecommuniceerd ‘18581000000’.
2.2.2 XBRL Specificaties
Naast enerzijds de gegevens die met XBRL beschikbaar worden gesteld, is er anderzijds het mechanisme
waarmee dit gebeurd. Een van de basis elementen hiervan zijn de XBRL specificaties. Deze specificaties geven
een beschrijving van de werking van XBRL en haar technische kader. Het beschrijft in detail de syntax welke
gebruikt dient te worden voor de verschillende onderdelen die hieronder verder worden besproken. De huidige
versie van de XBRL specificaties is versie 2.1, welke in december 2003 is uitgegeven door de XBRL
Specifications Working Group. In 2005 is hier een errata aan toegevoegd welke verdere aanpassingen en
aanvullingen hierop beschrijft. Deze huidige versie is beschikbaar op http://www.xbrl.org/Specifications/.
2.2.3 Taxonomie
Met behulp van een taxonomie wordt beschreven welke data elementen in een XBRL document gebruikt
kunnen worden. Hierbij worden verschillende taxonomieën gebruikt voor verschillende types van financiële
rapportages. Een taxonomie beschrijft de verschillende data-elementen welke gebruikt kunnen worden, en welke
relaties deze onderling hebben. Daarmee beschrijft de taxonomie de metadata of de definities van de gegevens
beschreven in sectie Data 2.2.1. De taxonomie zelf bevat geen data zoals financiële gegevens of toelichtingen.
Gezien het open-source format van XBRL kan iedereen zelf een taxonomie beschrijven en toepassen. Het is
hierbij echter van groot belang dat de instantie die de gegevens via XBRL beschikbaar stelt, dezelfde taxonomie
hanteert als de ontvangende partijen, om er zo voor te zorgen dat gegevens op dezelfde manier geclassificeerd
en geïnterpreteerd worden.
Er zijn een aantal gangbare taxonomieën goedgekeurd door XBRL International. De twee meest gebruikte
hiervan zijn die voor IFRS en US GAAP. Omdat de EU sinds 1 januari 2005 bedrijven onder haar jurisdictie
verplicht heeft gesteld te rapporteren volgends de IFRS (International Financial Reporting Standards)
richtlijnen, zal deze taxonomie binnen Europa een zeer belangrijke rol innemen bij het gebruik van XBRL (Pols,
2006). Het voornaamste doel van de IFRS Taxonomy Working Group is een taxonomie beschikbaar te stellen
die de meest gangbare elementen bevat, die in de praktijk worden toegepast bij de rapportage van de financiële
jaarrekening. Het resultaat is de IFRS-GP taxonomie, die gebruikt kan worden bij het beschikbaar stellen van
XBRL rapportages voor commerciële organisaties. Hierbij biedt de taxonomie de middelen voor organisaties
om hun financiële positie jaarlijks of per kwartaal inzichtelijk te maken voor de aandeelhouders en andere
belanghebbenden.
11
Voorbeelden van elementen die onderdeel uitmaken van de IFRS-GP taxonomie zijn weergegeven in Voorbeeld
code 2-3
<element id="ifrs-gp_ReceiptsFromCustomers"
name="ReceiptsFromCustomers" type="xbrli:monetaryItemType"
substitutionGroup="xbrli:item" xbrli:periodType="duration"
xbrli:balance="debit" nillable="true" />
<element id="ifrs-gp_FinancialRiskManagementObjectives"
name="FinancialRiskManagementObjectives"
type="xbrli:stringItemType" substitutionGroup="xbrli:item"
xbrli:periodType="duration" nillable="true" />
Voorbeeld code 2-3: Voorbeeld elementen IFRS-GP Taxonomie
Naast het gebruik van een enkele taxonomie, zoals IFRS-GP, is het ook mogelijk deze taxonomie aan te vullen
met aanvullingen voor specifieke elementen voor bijvoorbeeld een specifieke industrie, of plaatselijke
wetgeving. Een voorbeeld van een dergelijke aanvulling is het Nederlands Taxonomie Project (NTP) (Bal,
2008; PCAOB, 2005). Figuur 2-1 toont hoe een combinatie van gangbare taxonomieën en aanvullingen een
taxonomie kan vormen voor een specifieke organisatie.
Figuur 2-1: Samenstelling taxonomie
Voor de totstandkoming van de jaarrekening in XBRL van Unilever in 2004 (zie Voorbeeld code 2-2) is de
taxonomie gebruikt die is opgenomen in bijlage A. Uit deze taxonomie is op te maken dat de IFRS-GP
taxonomie ten grondslag ligt aan de door Unilever gebruikte specifieke taxonomie.
2.2.4 Instance document
Het daadwerkelijke document dat beschikbaar wordt gesteld met behulp van XBRL is het instance document. In
dit document komen taxonomie en data samen. Het bevat de gegevens welke beschikbaar worden gesteld en de
12
bijbehorende metadata, getagd volgens de gekozen taxonomie. De tags geven de juiste betekenis en context van
het gegeven zoals hierboven beschreven. Welke tags gebruikt kunnen worden is gedefinieerd in de gehanteerde
taxonomie. Nadat het instance document is opgezet, kan dit op elke denkbare wijze beschikbaar worden gesteld
aan belanghebbenden. Bijvoorbeeld door deze op het Internet te publiceren.
Als voorbeeld is in bijlage B het instance document opgenomen van de XBRL jaarrekening van Unilever van
2004. Het Voorbeeld code 2-2 is een klein gedeelte van dit instance document. Hierbij geeft “<ifrs-
gp:IntangibleAssetsNet contextRef="BJ2004" decimals="0" unitRef="EUR">” de metadata voor het gegeven
“18581000000”. Deze metadata beschrijft in dit geval dat uit de IFRS-GP taxonomie verwezen wordt naar een
‘IntangibleAssetsNet’ gegeven, wat staat voor de netto waarde van de immateriële vaste activa. Als context is
beschreven dat dit gegeven refereert aan het boekjaar 2004, 0 decimalen heeft en een waarde in Euro’s
representeert.
2.2.5 Style sheet
Nadat het instance document met gegevens en metadata beschikbaar is gesteld, kunnen de belanghebbenden dit
document gebruiken om de financiële gegevens van een organisatie te bekijken. Het instance document zelf is
door de grote hoeveelheid metadata niet erg leesbaar voor de gebruiker. Zie bijvoorbeeld bijlage B voor een
instance document van een jaarrekening in XBRL. Om er voor te zorgen dat de gegevens ook voor de
gebruikers makkelijk te interpreteren zijn, dient een vertaalslag gemaakt te worden van het instance document
naar een makkelijk leesbare versie. Dit kan gedaan worden met zogenaamde style sheets.
Een style sheet kan aan de hand van de gehanteerde taxonomie de tags die in het instance document staan
interpreteren en deze zo op de juiste wijzen presenteren. Het resultaat is een voor gebruikers makkelijk te
interpreteren document, bijvoorbeeld in pdf, Word of Excel vorm, of beschikbaar gesteld via een Internet
pagina. Bovendien maakt het gebruik van style sheets het mogelijk specifieke data-elementen uit het geheel te
selecteren en te presenteren. Hierdoor is het mogelijk verschillende presentaties op te stellen, gebaseerd op één
instance document, waarbij elke presentatie een uitwerking geeft die voor een specifieke doelgroep van belang
is.
2.2.6 Samenhang elementen
De elementen beschreven in de voorgaande secties geven organisaties de mogelijkheid financiële informatie
digitaal beschikbaar te stellen en geeft gebruikers van XBRL de mogelijkheid die informatie in te zien die voor
hen relevant is.
13
Figuur 2-2: Elementen XBRL
14
De samenhang tussen de verschillende elementen is te zien in Figuur 2-2 waarbij de positie van elk element
schematisch is weergegeven. Het proces van het tot stand komen van een op XBRL gebaseerde rapportage
begint met de financiële gegevens van de organisatie (1). Aan de hand van de gehanteerde taxonomie (3)
worden deze gegevens voorzien van een tag die de betekenis en context van het gegeven(de data) beschrijft. Het
resultaat is het instance document (4), welke alle gegevens bevat met daaraan hun metadata gekoppeld. Dit
instance document wordt beschikbaar gesteld aan de belanghebbenden, bijvoorbeeld via Internet. Vervolgens
kan het instance document met een style sheet (5) worden ingelezen en geïnterpreteerd. Het style sheet zorgt
ervoor dat die gegevens die interessant zijn voor de belanghebbenden op een duidelijke manier worden
gepresenteerd (6). Tenslotte bepalen de XBRL specificaties (2) hoe de taxonomie, het instance document en de
style sheets vorm moeten worden gegeven, en welke (technische) richtlijnen hierbij gehanteerd dienen te
worden.
15
3 Scenario’s gebruik van XBRL
In hoofdstuk 2 zijn de basiselementen uiteengezet welke noodzakelijk zijn voor het rapporteren van (financiële)
gegevens met behulp van XBRL. In de praktijk blijkt dat er nog geen eenduidige methodiek wordt gehanteerd
voor het gebruik van XBRL. In diverse publicaties (AWG, 2006; Boritz, 2007; Bal, 2008) wordt uiteengezet op
welke manieren XBRL gebruikt kan worden voor het beschikbaar stellen van rapportages. In dit hoofdstuk
worden de belangrijkste scenario’s hiervoor beschreven. Hierbij is steeds verwezen naar de basiselementen van
XBRL zoals beschreven in hoofdstuk 2.
3.1 Traditionele verslaggeving
Het eerste scenario beschrijft de traditionele methode van rapporteren doormiddel van een papieren rapportage
zoals de jaarrekening van een organisatie. Feitelijk is hierbij geen sprake van het gebruik van XBRL. Deze vorm
van rapporteren is de huidige standaard en vormt het uitgangspunt voor elke organisatie die XBRL zal (gaan)
gebruiken. In dit traditionele scenario worden de te rapporteren gegevens verzamelt en wordt hiervan een
rapportage opgesteld in papieren vorm. Deze rapportage wordt vervolgens verstrekt aan de belanghebbenden of
beschikbaar gesteld via bijvoorbeeld het Internet. Uit deze rapportage kunnen detail presentaties afgeleid
worden door de gebruikers, dit valt buiten de verantwoordelijkheid van de organisatie. Zie voor een
schematische weergave van dit scenario figuur 3-1.
(1) Gegevens
(2) Rapportage(3) Presentatie
Figuur 3-1: Traditionele verslaggeving
3.2 XBRL rapportage gebaseerd op traditionele verslaggeving
Bij de ingebruikname van XBRL kunnen organisaties er voor kiezen om de traditionele manier van rapporteren
niet volledig te laten vervangen, maar deze twee vormen naast elkaar te gebruiken. In hoofdlijnen zijn hiervoor
twee manieren: XBRL rapportages opstellen op basis van de rapportages die volgen uit de traditionele methode,
of de twee methodes onafhankelijk van elkaar toepassen (zie scenario 3). Voor beide scenario’s geldt dat de
traditionele vorm van rapporteren ongewijzigd wordt voortgezet zoals beschreven in sectie 3.1. In dit scenario
vormen de papieren rapportages de basis voor de rapportages in XBRL vorm, zie figuur 3-2. De gegevens uit de
traditionele rapportages (2) worden getagd aan de hand van de gehanteerde taxonomie (3) en opgenomen in het
instance document (4). Vervolgens wordt dit document beschikbaar gesteld aan de belanghebbende en kan dit
document met behulp van een style sheet (5) worden geconverteerd naar een voor mensen leesbare presentatie
(6b). Belanghebbenden hebben in dit scenario de mogelijkheid de rapportages gepresenteerd te krijgen op basis
van de traditionele rapportage (6a), of op basis van het XBRL instance document (6b). Denk hierbij
bijvoorbeeld aan een aandeelhouder welke graag de volledige jaarrekening wil inzien. Daarnaast kan de
belastingdienst specifieke gegevens inzien uit XBRL met behulp van een specifiek style sheet
16
Figuur 3-2: XBRL rapportage gebaseerd op traditionele verslaggeving
3.3 Verslaggeving in XBRL en traditionele verslaggeving
Evenals in het voorgaande scenario, wordt XBRL in dit scenario gebruikt naast de traditionele methode. De
traditionele methode wordt onveranderd toegepast zoals beschreven in sectie 3.1.Onafhankelijk van deze
rapportage wordt een XBRL rapport opgesteld. Het verschil met het voorgaande scenario is dat de gegevens die
worden opgenomen in het instance document niet zijn gebaseerd op de papieren rapportage, maar op de
(financiële) data uit de organisatie en haar verschillende informatiesystemen. Evenals in het vorige scenario kan
de organisatie haar gegevens met behulp van beide methodes beschikbaar stellen.
Figuur 3-3: Verslaggeving in XBRL en traditionele verslaggeving
3.4 Verslaggeving in XBRL zonder presentatie
In dit vierde scenario wordt de traditionele methode van verslaggeving volledig vervangen door XBRL. Hierbij
worden de rapportages beschikbaar gesteld zoals beschreven in hoofdstuk 2. De gegevens van de organisatie,
bijvoorbeeld uit de informatiesystemen, worden aan de hand van de gehanteerde taxonomie opgenomen in het
instance document. Dit document wordt vervolgens beschikbaar gesteld aan de belanghebbenden, bijvoorbeeld
via het Internet. De belanghebbenden kunnen met behulp van een style sheet de specifieke elementen laten
presenteren in bijvoorbeeld een tekst of spreadsheet bestand. In dit scenario ligt de interpretatie van het instance
document bij de belanghebbenden in plaats van de organisatie. Een andere mogelijkheid van dit scenario is dat
17
het instance document bij de belanghebbenden direct digitaal kan worden ingelezen door haar
informatiesystemen. Hierdoor kan een automatische koppeling tot stand komen zonder dat hier nog interventie
door mensen bij noodzakelijk is. Zie figuur 3-4 voor een schematische weergave van dit scenario.
Figuur 3-4: Verslaggeving in XBRL zonder presentatie
3.5 Verslaggeving in XBRL met presentatie
Het laatste scenario vormt een variant op scenario’s 2,3 en 4, waarbij enkel het moment van overdracht van de
gegevens anders is. In de voorgaande scenario’s is beschreven dat de organisatie het instance document
beschikbaar stelt aan de belangstellende. Laatstgenoemde kunnen hier vervolgens de voor hen relevante
gegevens uit extraheren met behulp van een style sheet. Dit style sheet kan bijvoorbeeld door de organisatie
beschikbaar zijn gesteld, maar kan ook van een derde partij komen. Indien de organisatie dit extractieproces in
eigen beheer wil houden, kan zij er ook voor kiezen om het instance document niet direct te delen, maar hier
eerst zelf een of meerdere presentaties voor te creëren. Deze presentaties kunnen vervolgens beschikbaar
worden gesteld aan de belanghebbenden. In figuur 3-5 wordt dit schematisch weergegeven. Het gedeelte tussen
de stippellijnen refereert aan scenario 3. Niet weergegeven is de uitgangssituatie van scenario 2, deze volgt
exact dezelfde opzet.
Figuur 3-5: Verslaggeving in XBRL met presentatie
18
3.6 Selectie scenario
De verschillende scenario’s zoals in de eerdere secties van hoofdstuk drie beschrijven verschillen in brondata, te
gebruiken middelen en uit te voeren activiteiten en zullen daardoor verschillende risico’s kennen. Deze risico’s
zullen in hoofdstuk 4 worden beschreven. In het kader van assurance betekent dit ook dat maatregelen om deze
risico’s te mitigeren kunnen verschillen per scenario. In dit onderzoek wordt een van de bovenstaande scenario’s
verder uitgewerkt.
In een recente publicatie van het Securities and Exchange Comission (SEC, 2008) wordt aangegeven dat steeds
meer organisaties naast de traditionele papieren publicaties informatie digitaal beschikbaar stellen. Ook een
publicatie van de Assurance Working Group van XBRL International geeft ditzelfde beeld (Trites, 2006). Een
volledige overgang naar XBRL waarbij de traditionele rapportages vervallen wordt echter op de korte termijn
nog niet verwacht. In lijn met de genoemde publicaties wordt verwacht dat het gebruik van XBRL stapsgewijs
zal worden ingevoerd, waarbij XBRL rapportages eerst naast bestaande traditionele rapportages beschikbaar
worden gesteld. Dit komt overeen met scenario’s 2 of 3 zoals in secties 3.2 en 3.3 beschreven. Zoals in
hoofdstuk 2.1 beschreven werd zal de grootste meerwaarde van het gebruik van XBRL ontstaan als deze
rechtstreeks wordt aangesloten op de informatiesystemen van de organisatie. Het vervolg van dit onderzoek
richt zich op scenario 3. In dit scenario worden XBRL rapportages naast de traditionele rapportages opgesteld,
waarbij de brongegevens rechtstreeks uit de informatiesystemen van de organisatie komen.
19
4 Risico’s
Om de impact van het gebruik van XBRL op de werkzaamheden van de IT auditor te kunnen bepalen is het
noodzakelijk eerst vast te stellen welke risico’s er zijn bij het gebruik van XBRL in het kader van een
(financiële) rapportage. Aan het totstandkomingproces zijn een aantal risico’s verbonden die een auditor in acht
zou moeten nemen bij het geven van assurance over dit proces. In dit hoofdstuk worden deze risico’s in kaart
gebracht aan de hand van de elementen beschreven in hoofdstuk twee. Hierbij worden de geïdentificeerde
risico’s per XBRL element besproken. Om de volledigheid van deze risico’s te toetsen en de relevantie hiervan
vast te stellen zijn diverse interviews afgenomen. Allereerst met mensen die ervaring hebben met het gebruik
van XBRL. Vervolgens met mensen die naar verwachting in de toekomst te maken zullen gaan krijgen met
XBRL, zoals IT auditors en accountants. De geïnterviewde personen hebben verschillende achtergronden en
werkgebieden en zullen zo op verschillende wijzen met XBRL in aanraking komen. Zo is er gesproken met
personen met een accountancy achtergrond, een consultancy achtergrond en een IT achtergrond. Door de
verschillende achtergronden van de geïnterviewden worden de risico’s van het XBRL totstandkomingproces
vanuit verschillende perspectieven bekeken. Twee van de geïnterviewden beschikken over zowel een
accountancy (RA) als IT audit (RE) achtergrond. Een overzicht van alle geïnterviewde personen is opgenomen
in bijlage C.
4.1 Data
Gegevens gebruikt voor het samenstellen van een jaarrekening kunnen uit verschillende bronnen komen. Dit
kunnen verschillende systemen zijn waaruit XBRL de data verzameld door bijvoorbeeld een script te gebruiken.
Het kan ook mogelijk zijn dat gegevens worden gebruikt die niet in een informatiesysteem zijn vastgelegd maar
die bijvoorbeeld hardcopy zijn opgeslagen. In dit geval dienen deze gegevens eerst gedigitaliseerd te worden,
wat over het algemeen een handmatige activiteit is. Bij deze handmatige acties bestaat het risico dat er fouten
worden gemaakt waardoor de juistheid of volledigheid van gegevens onvoldoende gewaarborgd is.
Daarnaast kan het voorkomen dat de gegevens, welke wel in de verschillende informatiesystemen beschikbaar
zijn, niet direct gebruikt kunnen worden voor rapportage in XBRL. Deze gegevens dienen eerst geconverteerd
of verrijkt te worden, alvorens ze gebruikt kunnen worden voor XBRL rapportages. Evenals het eerste risico
bestaat bij deze extra conversiestap de kans op fouten, waardoor het risico bestaat dat informatie onjuist of
onvolledig wordt geconverteerd. Hierdoor is er bij gebruik van XBRL ook een risico dat niet alle relevante data
wordt opgenomen in het uiteindelijke instance document.
Een aandachtspunt dat hierbij aansluit is het onderzoeksgebied van de IT auditor. Deze zal voor de
jaarrekeningcontrole assurance afgeven over de interne controlemaatregelen voor de diverse systemen die
relevante (financiële) gegevens verwerken en/of opslaan. Een voorbeeld is een business warehouse applicatie
die buiten de scope van de audit valt. Indien deze applicatie echter wordt gebruikt voor de genoemde conversie
naar door XBRL bruikbare gegevens, zal over dit systeem/proces ook assurance verleend moeten worden.
Gebeurd dit niet, dan bestaat het risico dat de resultaten van de conversie niet juist of onvolledig zijn.
20
Tot slot dient de data welke als input gebruikt wordt voor de XBRL rapportage beschikbaar te zijn wanneer de
organisatie deze rapportage wil genereren. Indien deze informatie (systemen) niet beschikbaar is kan de
conversie naar het XBRL instance document niet to stand komen. Dit brengt het risico met zich mee dat de
uiteindelijke presentatie niet tijdig beschikbaar kan worden gesteld.
4.2 XBRL Specificaties
Zoals in paragraaf 2.2.2 besproken is geeft de XBRL specificatie de richtlijnen waaraan de verschillende
elementen, zoals taxonomie en instance document, moeten voldoen. Feitelijk bepaald de specificatie daarmee de
werking van XBRL. Het is essentieel dat een juiste versie van de specificatie wordt gebruikt. Momenteel is
XBRL international de partij die duidelijkheid zal moeten geven over de specificatie die gebruikt dient te
worden voor het opstellen van jaarrekeningen met behulp van XBRL, en stelt deze dan ook beschikbaar op haar
website. XBRL software gebruikt door organisaties en intermediairs dient conform deze richtlijnen te werken.
Het niet gebruiken van XBRL volgens deze richtlijnen leidt tot het risico dat XBRL rapportages op een onjuiste
manier worden opgesteld, beschikbaar gesteld of verkeerd worden uitgelezen en geïnterpreteerd.
Naast het verkeerd gebruiken van XBRL, bestaat ook het risico dat voor de verschillende elementen een
verschillende versie van de specificaties wordt gebruikt. Het kan bijvoorbeeld voorkomen dat de taxonomie is
opgesteld conform specificatie versie X, maar het instance document volgens versie Y. Dit kan er toe leiden dat
deze elementen niet goed op elkaar zijn afgestemd, verkeerd opgebouwd zijn, of dat gegevens niet of verkeerd
zijn geïnterpreteerd.
4.3 Taxonomie
Taxonomieën worden gebruikt, zoals in paragraaf 2.2.3 is beschreven, om informatie en context over gegevens
vast te leggen. Er zijn een aantal standaard taxonomieën beschikbaar. Daarnaast zijn taxonomieën ontwikkeld
specifiek voor een bepaald, land, sector of onderneming. Het succes van XBRL hangt voor een groot deel samen
met het gebruik van de juiste taxonomieën en een kwalitatief hoogstaande inrichting daarvan. Aan het gebruik
van taxonomieën zijn een aantal risico’s verbonden.
Ten eerste moet zekerheid verkregen worden over het gebruik van de juiste taxonomie. Criteria hiervoor zijn
onder andere het doel van de rapportage (jaarrekening, fiscaal, statistisch, etc.), de te hanteren wetgeving en
richtlijnen en industrie of sector en specifieke wensen van de onderneming zelf. Indien een onjuiste taxonomie
wordt gehanteerd bestaat het risico dat niet alle relevante gegevens worden opgenomen in de rapportage, dat de
waarden van posten over- of onder gewaardeerd worden gerapporteerd of gegevens onjuist worden
gerapporteerd. Vanuit dit oogpunt dient ook rekening gehouden te worden met de mogelijkheid verschillende
taxonomieën te hanteren en uit te breiden met extensies (zie sectie 2.2.3). Doorgaans voorziet een standaard
taxonomie niet in de rapportage behoeften van ondernemingen. XBRL maakt gebruik van open source
principes. Hierdoor kunnen ondernemingen zelfstandig aanvullende taxonomieën ontwikkelen. In het bijzonder
wanneer ondernemingen zelfstandig aanvullingen op standaard taxonomieën ontwikkelen en gebruiken, bestaat
het risico dat deze onvolledig zijn, of juist te veel gegevens bevatten.
21
Naast de juistheid van de te hanteren taxonomie, dient de organisatie die rapporteert en de gebruikers die deze
informatie ontvangen en interpreteren, over dezelfde taxonomie te beschikken. Is dit niet het geval, dan bestaat
het risico dat de ontvangende partijen gegevens verkeerd interpreteren, omdat zij een andere en onjuiste
taxonomie gebruiken en daarmee de gegevens verkeerd interpreteren.
Niet alleen dienen de organisatie en de ontvangende partijen de data met dezelfde taxonomie te interpreteren,
deze taxonomie dient ook van dezelfde versie te zijn. Indien de organisatie rapporteert op basis van taxonomie
versie X, en de ontvangers interpreteren deze met versie Y, bestaat het risico dat interpretatiefouten worden
gemaakt en informatie zo onvolledig of onjuist wordt geïnterpreteerd.
4.4 Instance document
Voordat het instance document opgesteld kan worden, dient er eerst een mapping plaats te vinden tussen de in
de taxonomie gedefinieerde data elementen, en de gegevens uit de bron systemen welke deze data bevatten.
Indien deze mapping niet goed wordt uitgevoerd, bestaat het risico dat verkeerde informatie wordt opgehaald
om de verschillende data elementen in het instance document te vullen. John Turner geeft in zijn artikel
“Assusrance Considerations for Interactive Data” het volgende voorbeeld: een blik totmaten dat als label
aardappels mee krijgt. Hieruit blijkt welke gevolgen het verkeerd taggen van data kan hebben. Deze (verkeerde
of onvolledige) gegevens worden opgenomen in het instance document en daarmee (foutief) gerapporteerd. Een
ander aandachtsgebied bij het verkrijgen van de benodigde gegevens uit de bron systemen, is dat informatie over
de juiste periode wordt gebruikt. Wordt bijvoorbeeld over een boekjaar gerapporteerd, dan dient alle relevante
informatie voor dat boekjaar meegenomen te worden, en niet de informatie over het voorgaande boekjaar (J.
Turner, 2007).
Naast het invoeren van verkeerde data, bestaat ook het risico dat verkeerde metadata wordt opgenomen in het
instance document. Dit kan gebeuren als de data elementen gedefinieerd in de taxonomie niet op de juiste wijze
worden overgenomen. Het risico bestaat dat tags onjuist of niet worden gebruikt, terwijl zij voor de rapportage
noodzakelijk zijn. Als bijvoorbeeld een noodzakelijke tag voor valuta wordt weggelaten en verschillende valuta
voor verschillende gegevens worden gebruikt, kan niet meer worden herleid welke cijfers in welke valuta
worden gerapporteerd.
Naast gegevens en meta data kunnen er ook opmerkingen worden opgenomen in het instance document,
bijvoorbeeld als verklarende tekst. Het gebruik van commentaar brengt echter twee risico’s met zich mee.
Allereerst kan het zijn dat bepaalde begeleidende teksten enkel voor intern gebruik bedoeld zijn. Indien deze
niet worden verwijderd voor publicatie, bestaat het risico dat derden kennis van de inhoud vernemen. Het
tweede risico geldt andersom, wanneer teksten ter verklaring van gegevens gebruikt worden, maar de ontvanger
de rapportage zonder deze informatie ontvangt.
Als het instance document eenmaal is opgesteld en de juiste gegevens bevat, is het zaak dat deze niet meer
kunnen worden aangepast door ongeautoriseerde personen. Kan dit wel, dan bestaat het risico dat gegevens
bewust of onbewust worden aangepast, waardoor de juistheid en volledigheid van de inhoud van het instance
document in het geding komt.
22
Na het opstellen, dient het instance document beschikbaar te worden gesteld aan de belanghebbende partij(en).
Hierbij dienen enkel deze partijen toegang tot de rapportage te hebben. Hebben derden ook toegang, dan bestaat
het risico dat ongeautoriseerde personen toegang hebben tot gevoelige informatie. Ook wanneer derden geen
directe toegang tot de rapportages hebben bestaat het risico dat zij ongeautoriseerd kennis van de rapportage
kunnen nemen, bijvoorbeeld door de communicatie op te vangen of door een zogenaamde ‘man-in-the-middle
attack’.
Indien het document via het Internet beschikbaar wordt gesteld, is het ook noodzakelijk dat dit tijdig
beschikbaar is en opgevraagd kan worden. Indien dit niet het geval is, bestaat het risico dat belanghebbenden
niet op tijd de door hen benodigde informatie ontvangen.
4.5 Style sheet
Wanneer het instance document is opgesteld kan dit met behulp van style sheets worden uitgelezen om hier een
presentatie van te geven. Bijvoorbeeld in een spreadsheet of tekstbestand. Zie ook sectie 2.2.5. Om de
gerapporteerde gegevens op de juiste manier te interpreteren is het noodzakelijk dat zowel de organisatie die de
gegevens beschikbaar stelt als de ontvangende partij dezelfde context aan de gegevens geeft. Hierbij bestaat het
risico dat het beschikbaar gestelde instance document met een andere taxonomie is opgesteld dan is gebruikt
voor de style sheet. Hierdoor kan het voorkomen dat aan gegevens een verkeerde interpretatie wordt gegeven,
omdat een verkeerde betekenis aan een tag wordt gegeven. Tevens kan het gebeuren dat het instance document
tags bevat die niet terugkomen in de style sheet, terwijl de gegevens voor de rapportage wel relevant zijn.
Ook als zowel de rapporterende als ontvangende partij dezelfde taxonomie gebruikt bestaat er het risico dat het
instance sheet niet juist wordt ingelezen en/of geïnterpreteerd. Leesfouten kunnen optreden in de gebruikte
software, data-elementen kunnen worden overgeslagen of foutief worden weergegeven.
Tevens bestaat bij het converteren van het instance document naar een presentatievorm het risico dat gegevens
aan de presentatie worden toegevoegd die niet in het instance document zijn opgenomen. Het risico bestaat dat
deze verrijking niet strookt met de gegevens zoals gepubliceerd door de rapporterende organisatie.
4.6 Conclusie
Zoals in dit hoofdstuk beschreven, brengt rapportage met behulp van XBRL een aantal risico’s met zich mee
welke specifiek van toepassing zijn voor XBRL. Op hoofdlijnen zijn deze risico’s gelijk aan die bij een
traditionele rapportage in papieren vorm, namelijk schending van de integriteit en vertrouwelijkheid van de te
publiceren gegevens. Deze risico’s manifesteren zich bij de verschillende XBRL elementen of processen, welke
in het traditionele scenario niet aanwezig zijn. Hieruit kunnen wij concluderen dat het gebruik van XBRL
nieuwe risico’s met zich mee brengt welke afgedekt dienen te worden alvorens assurance gegeven kan worden
over de integriteit en vertrouwelijkheid van het totstandkomingproces van de XBRL rapportage. In hoofdstuk 5
gaan wij verder in op de normen die getoetst kunnen worden om deze risico’s te beperken en in hoeverre de
expertise van de IT auditor kan bijdragen of noodzakelijk is voor de beoordeling van deze normen.
Een overzicht van de geïdentificeerde risico’s is gegeven in bijlage D.
23
5 Controleaanpak
In hoofdstuk 5 wordt ingegaan op de rol van de IT auditor bij het verkrijgen van Assurance over het XBRL
totstandkomingproces. Om deze rol te bepalen wordt in paragraaf 5.1 ingegaan op de controle doelstellingen,
die noodzakelijk zijn om de risico’s van toepassing op het totstandkomingproces van een XBRL rapportage af te
dekken. Het totaal vormt een normenkader dat als uitgangspunt gebruikt kan worden om assurance te verkrijgen
over het totstandkomingproces van een rapportage in XBRL. In paragraaf 5.2 wordt ingegaan op de specifieke
activiteiten die uitgevoerd dienen te worden voor elke doelstelling om assurance over het totstandkomingproces
van de XBRL rapportage te kunnen verlenen. Als aanvulling hierop zullen we in sectie 5.3 aangeven in hoeverre
wij verwachten dat deze activiteiten wel of niet behoren tot het expertisegebied van de IT auditor. Een volledig
overzicht hiervan is gegeven in bijlage E. Het controle raamwerk kan worden gezien als een startpunt voor een
werkprogramma dat daadwerkelijk in de praktijk gebruikt kan worden om assurance te verlenen, hiervoor zal
nog een extra stap genomen moeten worden. Namelijk het in detail beschrijven van de controles en de
specifieke activiteiten om deze te toetsen.
5.1 Controledoelstellingen
De verschillende specifieke risico’s voor het gebruik van XBRL, beschreven in hoofdstuk 4, zijn opgesteld aan
de hand van de verschillende elementen die gebruikt worden bij het opstellen van een rapportage in XBRL. Om
tot een controleaanpak te komen, worden eerst verschillende controledoelstellingen opgesteld om deze risico’s
af te dekken. In hoofdstuk 4 zijn verschillende risico’s beschreven die dezelfde strekking hebben, maar op een
verschillend XBRL element van toepassing zijn. De doelstellingen zijn op een hoger niveau gedefinieerd zodat
deze betrekking hebben op de verschillende type risico’s en eenvoudig te beschrijven zijn. In paragraaf 5.2
worden deze controledoelstellingen vervolgens toegepast op de verschillende elementen van het XBRL proces
omdat wel specifieke controleactiviteiten noodzakelijk zijn per element.
De eerste doelstelling die afgeleid kan worden uit de beschreven risico’s is dat de gegevens die worden gebruikt
voor de XBRL rapportage afgeleid zijn van de juiste brongegevens. De gebruikte gegevens dienen de gevraagde
informatie te bevatten en volledig te zijn en bijvoorbeeld ook van toepassing te zijn op de juiste periode. Deze
doelstelling heeft betrekking op risico’s, 4.1, 4.2, 5.2 en 5.4.
De tweede doelstelling stelt dat binnen het volledige proces de gebruikte data overeen moet komen met de
gebruikte brongegevens. Met andere woorden, de gegevens welke worden gebruikt bij de verschillende stappen
in het proces dienen te allen tijde overeen te komen met de gegevens uit de bronsystemen en dienen in de
verschillende stappen niet aangepast te worden of een andere betekenis te krijgen. Ook na publicatie dienen de
gepresenteerde gegevens niet aangepast te kunnen worden. Deze doelstelling heeft betrekking op risico’s 1.1,
1.2, 1.3, 1.4, 4.6 en 5.3.
De derde doelstelling die uit de beschreven risico’s afgeleid kan worden, is dat het gehele totstandkomingproces
van de XBRL rapportage dient te voldoen aan de gehanteerde XBRL specificaties. Dit om bijvoorbeeld
interpretatiefouten te voorkomen. Deze doelstelling heeft betrekking op risico’s 2.1 en 2.2.
24
De vierde doelstelling die onderscheiden kan worden is dat naast de juistheid van de gegevens, en de
gehanteerde specificaties, de XBRL rapportage ook moet voldoen aan alle gestelde randvoorwaarden. Zo dient
de rapportage alle relevante en verplichte gegevens te bevatten, in de gevraagde vorm. Hieronder valt
bijvoorbeeld het rapporteren over alle vereiste elementen in het kader van wet en regelgeving. Deze doelstelling
heeft betrekking op risico’s 3.1, 3.2, 3.3, 4.3, 4.4, 4.5 en 5.1.
De vijfde doelstelling die onderzocht is, zijn de gepresenteerde gegevens, die enkel voor bevoegde personen
beschikbaar dienen te zijn. Dit betreft niet alleen de uiteindelijke presentatie, maar ook de verschillende
deelproducten die worden opgesteld of gebruikt bij de totstandkoming. Deze doelstelling heeft betrekking op
risico 4.7.
De zesde doelstelling stelt dat de presentatie tijdig beschikbaar dient te zijn, wanneer opgevraagd door
belanghebbenden. Deze doelstelling heeft betrekking op risico 4.8.
Samenvattend zijn bovenstaande doelstelling beschreven in tabel 5-1.
Nr. Doelstelling
I De juiste brongegevens worden gebruikt voor de rapportage.
II Alle gebruikte en gerapporteerde gegevens komen overeen met de brongegevens.
III Alle XBRL elementen dienen conform de gehanteerde XBRL specificaties opgezet te zijn.
IV De rapportage bevat alle vereiste elementen en informatie.
V De rapportage en deelproducten zijn alleen toegankelijk voor geautoriseerde personen.
VI De presentatie is tijdig beschikbaar.
Tabel 5-1: normen
5.2 Controle activiteiten
In deze paragraaf wordt ingegaan op de specifieke activiteiten voor elke doelstelling die uitgevoerd dienen te
worden om assurance over het totstandkomingsproces van de XBRL rapportage te kunnen verlenen. Hierbij
maken wij steeds de link met de geïdentificeerde risico’s uit hoofdstuk 4, en het XBRL element waar deze
activiteit op van toepassing is. Een overzicht van alle activiteiten en de genoemde relaties is gegeven in bijlage
E.
5.2.1 Juiste brongegevens
Om aan de eerste doelstelling, “De juiste brongegevens worden gebruikt voor de rapportage.”, te voldoen
kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben betrekking op risico’s 4.1,
4.2, 5.2 en 5.4 en zijn daarmee van toepassing op het instance document en de style sheet.
Instance Document
Zoals in hoofdstuk 2 en 4 beschreven, wordt bij het opstellen van de mapping vastgesteld welke brongegevens
relateren aan de opgevraagde elementen gedefinieerd in de gekozen taxonomie. Om dan ook vast te kunnen
25
stellen of de juiste gegevens worden gebruikt dient de mapping beoordeeld te worden op juistheid en
volledigheid. De volgende twee controle activiteiten worden hierbij omschreven:
� Stel vast dat de mapping tussen de data-elementen in de taxonomie naar de juiste brondata verwijst.
� Stel vast dat de mapping tussen de data-elementen en de taxonomie alle gedefinieerde data-elementen
omvat.
Naast het opvragen van de juiste brongegevens, is het ook noodzakelijk dat de brongegevens over de voor de
rapportage van toepassing zijnde periode opgevraagd wordt. Ook hier geldt zowel een criteria voor juistheid, als
ook volledigheid.
� Stel vast dat bij het ophalen van de brondata enkel gegevens uit de juiste periode worden opgehaald.
� Stel vast dat bij het ophalen van de brondata alle relevante gegevens uit de juiste periode worden
opgehaald.
Style Sheet
Nadat het instance document is opgesteld, dient ook vastgesteld te worden dat de gegevens die uiteindelijk
gepresenteerd worden de juiste zijn. Omdat de presentatie met behulp van het style sheet een specifieke
interpretatie van het instance document geeft, moet ook hier worden gecontroleerd of de juiste gegevens
uiteindelijk worden gepresenteerd. Hierbij dient de style sheet gegevens juist en volledig weer te geven, en geen
extra gegevens weer te geven die niet van de gevalideerde brongegevens afstammen.
Een opmerking die hierbij geplaatst dient te worden, is dat in een scenario waarbij de organisatie enkel het
instance document beschikbaar stelt en geen style sheet, de opzet en het gebruik van deze style sheet niet onder
haar beheer valt. Het zal in dergelijke situaties dan ook niet altijd mogelijk of gewenst zijn om deze ‘externe’
style sheets mee te nemen in het assurance traject. Indien de rapporterende organisatie wel zekerheid wilt
krijgen over de gehanteerde style sheet, verdient het dan ook aanbeveling om zelf een style sheet op te stellen en
deze met het instance document te publiceren.
De gerelateerde controle activiteiten zijn:
� Stel vast dat het style sheet alle relevante gegevens opneemt in de presentatie.
� Stel vast dat het style sheet geen gegevens toevoegt die niet zijn opgenomen in het instance document.
5.2.2 Integriteit gegevens
Om de tweede doelstelling, “Alle gebruikte en gerapporteerde gegevens komen overeen met de brongegevens.”,
af te dekken kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben betrekking op
risico’s 1.1, 1.2, 1.3, 1.4, 4.6 en 5.3 en zijn daarmee van toepassing op de data, het instance document en het
style sheet.
Data
Met de controleactiviteiten beschreven in sectie 5.2.1 kan worden vastgesteld dat de juiste brongegevens worden
gebruikt voor de XBRL rapportage. Hierna worden deze gegevens opgenomen en bewerkt in het
26
totstandkomingsproces van de XBRL rapportage, en dienen bij de verschillende deelprocessen niet af te wijken
van de originele waarde en betekenis. Allereerst dient er dan ook vastgesteld te worden dat de gegevens die
worden gebruikt onveranderd worden opgenomen in het XBRL proces. Hiertoe kunnen de volgende controle
activiteiten worden uitgevoerd.
� Stel vast of alle benodigde gegevens (uit de mapping) beschikbaar zijn in het juiste format voor de
gebruikte XBRL software.
� Stel vast dat alle dataconversies benodigd voor in invoer juist en volledig zijn uitgevoerd.
� Stel vast dat alle interfaces die gebruikt worden door de XBRL software juist en volledig werken.
� Stel vast of bij de reguliere IT-audit voor de general computer controls zekerheid is verkregen over de
juiste werking van de systemen welke gegevens voor de XBRL rapportage opslaan, bewerken of
verrijken.
Instance Document
Nadat de gegevens zijn opgenomen in het totstandkomingproces, wordt hiervan het instance document
opgesteld. Het instance document dient de verschillende gegevens gelijk aan de brongegevens te bevatten,
zonder afwijkingen in waarde of betekenis.
� Stel vast dat gegevens opgenomen in het instance document een onveranderde weergave geven van de
gegevens uit de bronsystemen.
� Stel vast dat ongeautoriseerde personen het instance document niet kunnen aanpassen.
� Stel vast dat het instance document niet meer kan worden aangepast na publicatie.
Style Sheet
Tenslotte geeft het style sheet een interpretatie op het instance document, waarbij ook het risico bestaat dat
gegevens worden toegevoegd, gewijzigd of verwijderd.
� Stel vast dat de gegevens uit het instance document onveranderd worden opgenomen door het style
sheet.
5.2.3 XBRL specificaties
Om de derde doelstelling, “Alle XBRL elementen dienen conform de gehanteerde XBRL specificaties opgezet
te zijn.”, af te dekken kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben
betrekking op risico’s 2.1 en 2.2 en zijn daarmee van toepassing op de XBRL specificaties.
XBRL Specificaties
Zoals beschreven in sectie 4.1.2 is het noodzakelijk dat alle XBRL elementen zijn opgezet volgens een
eenduidige XBRL specificatie. Om dit te toetsen kunnen de volgende controle activiteiten worden uitgevoerd.
� Stel vast dat de aanwezige XBRL elementen en software zijn opgesteld conform de door de organisatie
gekozen specificaties.
27
� Stel vast dat alle aanwezige XBRL elementen en software zijn opgesteld conform dezelfde versie van
de gekozen XBRL specificaties.
5.2.4 Vereiste elementen en informatie
Om de vierde doelstelling, “De rapportage bevat alle vereiste elementen en informatie.”, af te dekken kunnen de
volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben betrekking op risico’s 3.1, 3.2, 3.3,
4.3, 4.4, 4.5 en 5.1 en zijn daarmee van toepassing op de taxonomie, instance document en style sheet.
Taxonomie
Welke informatie uiteindelijk in een XBRL rapportage wordt opgenomen, hangt af van de gekozen taxonomie.
Deze bepaald welke data elementen en bijbehorende metadata er opgenomen dienen te worden. Om vast te
stellen of de juiste taxonomie is gehanteerd, kunnen de volgende controle activiteiten worden uitgevoerd.
� Stel vast dat de organisatie de juiste taxonomie heeft gekozen, conform het doel van de rapportage.
� Stel vast dat de organisatie de juiste extensies gebruikt als aanvulling op de taxonomie conform het
doel van de rapportage.
� Stel vast dat voor alle deelprocessen dezelfde taxonomie (inclusief extensies) wordt gebruikt.
� Stel vast dat voor alle deelprocessen dezelfde versie van de gekozen taxonomie en extensies wordt
gebruikt.
Instance Document
Nadat is vastgesteld dat de juiste taxonomie is gehanteerd, dient vastgesteld te worden of het instance document
ook conform deze taxonomie is opgesteld. Hiertoe kunnen de volgende controle activiteiten worden uitgevoerd.
� Stel vast dat het instance document geen objecten bevat die niet zijn gedefinieerd in de gehanteerde
taxonomie.
� Stel vast dat de in het instance document opgenomen tags zijn opgenomen volgens de taxonomie.
� Stel vast dat het instance document geen comments bevat die niet opgenomen dienen te worden in het
instance document.
Style Sheet
Ten slotte dient ook de uiteindelijke presentatie gebaseerd te zijn op de context zoals opgegeven in de
taxonomie. Een opmerking die hierbij geplaatst dient te worden is dat wanneer het instance document
beschikbaar wordt gesteld, zoals in het onderzoek gekozen scenario, derde partijen hier een eigen style sheet op
los kunnen laten. Alhoewel de rapporterende organisatie geen of beperkt invloed heeft op deze ‘externe’ style
sheets, dienen de volgende controle activiteiten uitgevoerd te worden om er zorg voor te dragen dat externe
partijen hun style sheets op de juiste taxonomie kunnen baseren.
� Stel vast dat naast het instance document de gebruikte taxonomie beschikbaar is gesteld.
� Stel vast dat eenduidig kan worden herleid welke taxonomie en versie er is gebruikt.
28
5.2.5 Vertrouwelijkheid
Om de vijfde doelstelling, “De rapportage en deelproducten zijn alleen toegankelijk voor geautoriseerde
personen.”, af te dekken kunnen de volgende controleactiviteiten worden uitgevoerd. Deze activiteiten hebben
betrekking op risico 4.7 en zijn daarmee van toepassing op het, instance document. De argumenten voor
vertrouwelijkheid ten aanzien van het instance document zouden ook van toepassing kunnen zijn op de
taxonomie of style sheets als deze ook door de organisatie beschikbaar worden gesteld. Deze elementen
bevatten geen feitelijke financiële gegevens.
Instance Document
Vertrouwelijkheid is geen aspect dat wordt ondersteund door de XBRL standaard. Daarom dienen hier extra
maatregelen voor genomen te worden buiten de XBRL elementen om. Deze zouden getoetst kunnen worden aan
de hand van diverse “best practices” die beschikbaar zijn. In grote lijnen zouden hiervoor de volgende controle
activiteiten kunnen worden uitgevoerd.
� Stel vast dat onbevoegden geen toegang hebben tot het (gepubliceerde) instance document.
� Stel vast dat communicatie van het instance document gebeurd via beveiligde methoden.
5.2.6 Beschikbaarheid
De laatste doelstelling, “De presentatie is tijdig beschikbaar.”, sluit aan bij risico 4.8. Ook dit is feitelijk geen
onderdeel van de XBRL standaard. Als een organisatie succesvol gebruik wil maken van XBRL, dan dienen de
opgestelde rapportages wel tijdig beschikbaar gesteld te worden. Hiertoe dient de volgende controle uitgevoerd
te worden, welke aansluit bij het instance document. Indien ook de taxonomie en style sheets door de organisatie
beschikbaar worden gesteld, zal hiervoor hetzelfde criteria gelden.
Instance Document
� Stel vast dat het instance document beschikbaar is voor de belanghebbenden na publicatie.
5.3 Gevolgen toepassing XBRL op de IT audit
In deze paragraaf wordt een beschouwing gegeven van de rol die een IT auditor kan spelen bij het
totstandkomingproces van een XBRL rapportage. Hierbij wordt allereerst ingegaan op de normen die zullen
moeten worden beoordeeld door de IT auditor. Daarnaast zal de relevantie van het beschreven normenkader
onderbouwd worden.
5.3.1 Uit te voeren werkzaamheden IT auditor
Om de impact op de werkzaamheden van de IT auditor bij het gebruik van XBRL te kunnen bepalen is het van
belang de verschillende elementen in ogenschouw te nemen die een rol spelen in het totstandkomingproces van
een XBRL document: data, XBRL specificatie, taxonomie, instance document en style sheet. Deze onderdelen
29
en hun relatie zijn in eerdere hoofdstukken 2 en 3 uitvoerig beschreven. In hoofdstuk 4 werd per element
aangegeven welke risico’s aanwezig zijn, die kunnen leiden tot een onbetrouwbare financiële rapportage.
Volgens de geïnterviewde IT auditors en accountants (zie bijlage C) zal de IT auditor een aanvullende rol gaan
spelen bij de beoordeling van het proces van totstandkoming van het XBRL document. Hierbij zal hij aan de
hand van de in sectie 1 beschreven controledoelstellingen moeten vaststellen of de organisatie voldoende
maatregelen heeft geïmplementeerd om de integriteit en beschikbaarheid van de gebruikte taxonomieën,
instance documenten en style sheets te waarborgen. De te toetsen normen hebben met betrekking tot autorisatie-
en wijzigingsbeheer een grote gelijkenis met de algemene IT normen. Een deel van de normen zal eenvoudig
gecontroleerd kunnen worden door concept rapportages te verglijken met de vereisten zoals deze zijn gesteld
door wetgevers en overige instanties (J. Turner, 2007). De geïnterviewden geven echter aan dat de mapping van
de data in de bronsystemen met de gebruikte taxonomie door de accountant beoordeeld zal moeten worden
alsmede het juist toepassen van opmerkingen bij de financiële rapportages aangezien de accountant
eindverantwoordelijke is in het controleproces. Daarbij zal de accountant een oordeel moeten geven in hoeverre
de jaarrekening (XBRL rapportage) een getrouw beeld geeft van het resultaat en het vermogen van de
onderneming.
Daarnaast is uit interviews met ervaren IT auditors gebleken dat zij verwachten dat een rol voor hen is
weggelegd bij het beoordelen van de beheersingsmaatregelen die ervoor zorgen dat de XBRL rapportages op
een integere en exclusieve wijze aankomen bij de ontvangende partijen. Dit is niet zo zeer een onderdeel van het
totstandkomingproces van de rapportage zelf, maar heeft betrekking op de vervolgstap, namelijk het beschikbaar
stellen van de opgestelde rapportages.
Op basis van de risicoanalyse zoals beschreven in hoofdstuk 4 en de beschreven activiteiten in hoofdstuk 5.2,
dan kan worden geconcludeerd dat niet voor alle risico’s de expertise van de IT-auditor noodzakelijk is. Voor
een groot deel van de beschreven activiteiten zal de IT auditor uitkomst kunnen bieden in het verlenen van
zekerheid over de verschillende deelprocessen. In Bijlage E hebben we per controleactiviteit aangegeven of
hierbij een rol voor de IT auditor is weggelegd. In het algemeen kan gesteld worden dat de IT auditor zich zal
richten op controlemaatregelen die vastliggen in de applicatie, zoals de beoordeling van de juiste periode
waarover gerapporteerd wordt en het autorisatiebeheer van de verschillende producten in het XBRL
totstandkomingproces (taxonomie, instance document en style sheets) en op gegevensgerichte data-analyse.
Controlemaatregelen waarbij specifieke kennis noodzakelijk is over wet en regelgeving rond financiële
rapportages zullen door de accountant beoordeeld moeten worden, aangezien hier de kennis en expertise van de
IT auditor te kort zal schieten. Een goed voorbeeld van zo’n situatie is het mappen van de data in de systemen
aan de gebruikte taxonomie, waarbij een accountant zal moeten vaststellen dat dit juist is gedaan.
5.3.2 Vorm en mate van assurance
Om vast te stellen in welke mate assurance over het XBRL proces noodzakelijk is, dient allereerst de vraag
beantwoord te worden met welk doel XBRL gebruikt gaat worden. Ook is van belang welke verschillende
partijen een rol zullen spelen in het gebruik van XBRL, omdat dit de wijze en snelheid van invoering van XBRL
zal bepalen, alsmede de mate van assurance over de XBRL rapportage die noodzakelijk is. Net als bij de
traditionele wijze van rapporteren zal ook bij een XBRL rapportage enige vorm van zekerheid over de
30
betrouwbaarheid van de rapportage gegeven moeten worden. Wetgeving ten aanzien van financiële rapportages
zal een grote rol spelen bij de inrichting en het gebruik van XBRL (KVK, 2009). Wanneer XBRL rapportages
gebruikt zullen gaan worden is een redelijke mate van assurance noodzakelijk. Hoe deze assurance zal moeten
worden ingericht is momenteel nog onduidelijk. Doordat in de wetgeving nu is vastgelegd dat (middel) grote
entiteiten een jaarrekening dienen te deponeren bij het handelsregister van de Kamer van Koophandel, voorzien
van een accountantsverklaring, is momenteel de jaarrekening het object van audit. De mate waarin assurance
over het proces noodzakelijk is zal afhankelijk zijn van het scenario dat gekozen zal worden voor het publiceren
van de financiële gegevens. Uit de gehouden interviews is op te maken dat de beroepsgroep van accountants
verwacht dat voorlopig de jaarrekening in de huidige vorm zal blijven bestaan. Al dan niet met een XBRL
rapportage als aanvulling. Deze gedachte is gebaseerd op het feit dat belanghebbenden momenteel niet vragen
om assurance bij financiële rapportages in XBRL. Zolang de wetgeving niet vereist dat organisaties hun
financiële rapportage aanleveren in XBRL en zolang onduidelijkheid bestaat waarover assurance verleend zal
moeten worden zal dit ook niet snel veranderen denken zij. Hierdoor zal voorlopig een verklaring gegeven
moeten worden ten aanzien van de betrouwbaarheid van financiële rapportages bij de jaarrekening. Als gevolg
hiervan stellen de geïnterviewden zich voor dat in zolang de papieren jaarrekening wordt opgesteld en
gecontroleerd door de accountant enige vorm van assurance over het XBRL document kan worden verkregen
door op eenvoudige wijze de inhoud van het XBRL instance document te vergelijken met die van de traditionele
jaarrekening. Echter, gezien de mogelijkheden van XBRL tot het gebruik van meerdere style sheets is ons
inziens verder onderzoek noodzakelijk om deze stelling te valideren.
5.3.3 Vervolgstappen
Het opgestelde raamwerk (bijlage E) is erop gericht zicht te geven op de risico’s en controledoelstellingen zoals
van toepassing op het totstandkomingproces van een XBRL rapportage. Het kan voor een auditor fungeren als
startpunt voor het opstellen van een werkprogramma. Hiertoe dient in het raamwerk per controleactiviteit nog
een vervolg stap te worden uitgevoerd, waarbij voor een specifieke situatie beschreven wordt hoe kan worden
vastgesteld dat aan de opgenomen norm kan worden voldaan.
Daarnaast is het momenteel onduidelijk welke XBRL software pakketten gebruikt zullen worden. Wanneer
hierover meer beslissingen zijn genomen zal er ook aandacht moeten komen voor het valideren van deze
pakketten.
Tot slot zal de toekomst moeten uitwijzen welk scenario uiteindelijk gebruikt zal gaan worden. Gemaakte
keuzes in de verschijningsvorm van XBRL zullen consequenties hebben voor de controle aanpak noodzakelijk
voor het afgeven van Assurance over een XBRL rapportage. Om vast te stellen welke consequenties dat zijn is
verder onderzoek noodzakelijk.
31
6 Conclusie
Aangenomen wordt dat XBRL in de toekomst tot algemene standaard verheven zal worden op het gebied van
het geautomatiseerd opslaan en verwerken van bedrijfsinformatie en het rapporteren hiervan. Ook de financiële
jaarrekening kan zo met behulp van XBRL worden opgesteld. Dit onderzoek heeft zich gericht zich op de vraag
in hoeverre deze ontwikkeling impact zal hebben op het verkrijgen van assurance in het kader van de
jaarrekeningcontrole en de hiervoor benodigde werkzaamheden van de IT-auditor. De onderzoeksvraag die
hierin centraal staat is dan ook “Wat is de impact van XBRL op IT-audit en assurance?”. Om deze
onderzoeksvraag te kunnen beantwoorden werden eerst de drie in hoofdstuk 1 gestelde deelvragen beantwoord.
Wat zijn de relevante ontwikkelingen op het gebied van XBRL?
De afgelopen jaren zijn de wensen en eisen ten aanzien van financiële informatie sterk veranderd, wat heeft
geleid tot de invoer van XBRL. XBRL vormt hierbij een standaard die er voor dient te zorgen dat informatie
tijdig, digitaal en in verschillende gewenste vormen beschikbaar kan worden gesteld. XBRL geeft daarbij de
mogelijkheid eenzelfde set aan informatie op meerdere manieren te interpreteren, zodat één set aan informatie
aan verschillende informatiebehoeften kan voldoen. Daarnaast kan het gebruik van deze standaard zorgen voor
een harmonisatie van rapportagestandaarden, waardoor vergelijking en integratie met andere rapportages
eenvoudiger wordt. Momenteel zijn voor de standaardisatie van gegevens verschillende taxonomieën
beschikbaar (zoals IFRS GP en US GAAP). Daarnaast zijn op nationaal niveau taxonomieën opgesteld die
rekening houden met lokale wetgeving. Met ingang van 2009 heeft de SEC het gebruik van XBRL voor
beursgenoteerde organisaties in de verenigde staten verplicht gesteld. In andere landen bestaat al langer de
mogelijkheid om, al dan niet verplicht, financiële rapportages in XBRL te rapporteren aan overheid of
toezichthouders. Ook in Nederland wordt specifiek gewerkt aan de harmonisatie van taxonomieën om het proces
van samenstellen en uitwisselen van informatie te vereenvoudigen.
Om een rapportage in XBRL op te kunnen stellen zijn een vijftal elementen nodig, zoals beschreven in
hoofdstuk 2. De brondata zijn de financiële gegevens over welke wordt gerapporteerd. De taxonomie bepaalt
welke gegevens in de rapportage worden opgenomen en wat hun betekenis is. De XBRL specificaties geven de
technische richtlijnen. Het instance document is het uiteindelijke informatiedocument dat de te rapporteren
gegevens en metadata hierover bevat. Tot slot kan met behulp van een style sheet de voor de specifieke situatie
relevante gegevens worden omgezet naar een voor gebruikers leesbare presentatievorm.
Welke gevolgen heeft de toepassing van XBRL op het geven van assurance?
Om te bepalen in hoeverre de toepassing van XBRL gevolgen heeft voor IT-auditing wordt in hoofdstuk 4 een
risicoanalyse beschreven waarin de risico’s die specifiek van toepassing zijn bij het opstellen van rapportages
met behulp van XBRL worden genoemd. Hierbij wordt de conclusie getrokken dat hoewel de risico categorieën
ongeveer gelijk zijn aan die bij het totstandkomingproces van een traditionele papieren rapportage, het gebruik
van XBRL specifieke risico’s met zich mee brengt t.a.v. de vijf beschreven elementen. Om deze specifieke
risico’s te kunnen afdekken worden een zestal generieke normen opgesteld welke afgedekt dienen te worden om
assurance te kunnen verkrijgen over het totstandkomingproces van de XBRL rapportage. Om deze normen
vervolgens te kunnen toetsen is een set van controle activiteiten opgesteld welke gezamenlijk de risico’s,
32
beschreven in hoofdstuk 4, afdekken. Samengevoegd vormt dit een opzet voor een normenkader om assurance
te kunnen verlenen over de totstandkoming van de XBRL rapportage. Aangezien XBRL een aantal nieuwe
stappen toevoegt aan het rapportageproces en de beschreven controleactiviteiten specifiek van toepassing zijn
voor XBRL, wordt geconcludeerd dat in vergelijking met de traditionele vorm van rapporteren extra of
aangepaste activiteiten nodig zijn voor het verkrijgen van assurance.
Veranderen de werkzaamheden van de IT-auditor door de toepassing van XBRL?
In hoeverre de nieuw geïdentificeerde risico’s en controle activiteiten daadwerkelijk de rol van de IT auditor
zullen beïnvloeden, zal af hangen van het gekozen scenario. In het scenario dat als basis is gebruikt voor ons
onderzoek, zie hoofdstuk 3, wordt naast de rapportage met behulp van XBRL ook de traditionele papieren
jaarrekening gepubliceerd. De resultaten van de in dit onderzoek uitgevoerde risicoanalyse gaan uit van een op
zichzelf staande totstandkoming van de XBRL rapportage. Indien echter ook een papieren jaarrekening
beschikbaar is, en over deze al assurance is verleend, is het denkbaar dat met een relatief simpele vergelijking
van de resultaten kan worden geconstateerd dat de jaarrekening in XBRL juist is. Uit een aantal interviews
afgenomen met IT auditors, accountants en consultants blijkt dan ook dat de indruk bestaat dat een uitvoerige
beoordeling op de specifieke risico’s niet noodzakelijk is. Gezien de mogelijkheden van XBRL tot het gebruik
van meerdere style sheets, is verder onderzoek noodzakelijk om deze stelling te kunnen valideren.
Indien wordt uitgegaan van de risicoanalyse zoals beschreven in hoofdstuk 4 en de beschreven
controlemaatregelen in hoofdstuk 5, dan kan worden geconcludeerd dat niet voor alle risico’s de expertise van
de IT-auditor noodzakelijk is. Voor een groot deel van de beschreven activiteiten zal de IT auditor uitkomst
kunnen bieden in het verlenen van zekerheid over de verschillende deelprocessen. De conclusie luidt dat er bij
het geven van assurance over het XBRL rapportageproces een grotere rol voor de IT auditor is weggelegd, dan
bij de traditionele vorm van rapporteren.
Wat is de impact van XBRL op IT-audit en assurance?
Door het beantwoorden van bovenstaande drie deelvragen wordt tot de conclusie gekomen dat het gebruik van
XBRL in het gekozen scenario extra risico’s met zich meebrengt ten aanzien van het rapporteren van financiële
rapportages zoals de jaarrekening. Om deze extra risico’s af te kunnen dekken zijn er een verzameling normen
en controle activiteiten opgesteld, met welke assurance kan worden gegeven over het totstandkomingproces van
een XBRL rapportage. Een deel van deze activiteiten kan door de accountant worden opgepakt. Voor het
merendeel zal de expertise van de IT auditor noodzakelijk zijn. Er kan worden geconcludeerd dat de rol van de
IT auditor groter zal worden bij het verlenen van assurance over het totstandkomingproces van een XBRL
rapportage. Een kanttekening die hierbij gemaakt dient te worden, is dat dit onderzoek is opgezet vanuit een
risicoanalyse op het XBRL proces. Een andere mogelijkheid die de geïnterviewde experts aangeven dient zich
aan wanneer naast de XBRL rapportage ook een traditionele rapportage wordt opgesteld en wordt goedgekeurd
door de accountant. In een dergelijk scenario zou het mogelijk kunnen zijn om het XBRL instance document te
vergelijken met de traditionele jaarrekening. In hoeverre hier volledige assurance mee gegeven kan worden
dient nog vastgesteld te worden. Zo wordt de laatste stap van het XBRL proces, namelijk het extraheren van een
presentatievorm uit het instance document, niet direct meegenomen in de genoemde resultaatvergelijking. Dit is
een interessant onderwerp voor eventuele vervolgstudies.
33
Bronvermelding
Accountancy nieuws, XBRL komt maar niet van de grond, Accountancy nieuws, 25 januari 2008.
Bal, S. (2008) XBRL and audit - Understanding the implications of XBRL on the risk-oriented audit approach,
Auditing & Assurance, NIVRA-Nyenrode.
Boritz, J.E. en No, W.G. (2007) Auditing an XBRL Instance Document: The Case of United Technologies
Corporation, School of Accountancy and Centre for Information Systems Assurance, University of Waterloo.
Boritz, J.E. en No, W.G. (2005), Security in XML-based financial reporting services on the Internet, School of
Accountancy, University of Waterloo.
Hoekstra D.J. en snijders P. (2008), XBRL taxonomieën voor beginners en doeners, stichting XBRL Nederland
Handson, W. (2000), Principles of Internet marketing, South-Western College Publishing
Heitmann, S. and Öhling, A. (2005), Audit of the future – an analysis of the impact of XBRL on audit and
assurance. School of business, Economics and Law, Goteborg University, Sweden.
Nivra (2007), XBRL, de stand van zaken, koninklijk Nivra, Amsterdam
Pasmooij (2009), Waar zijn de analisten in het debat over invulling van het jaarverslag van de toekomst??,
koninklijk Nivra, Amsterdam
Pols, E. (2006) Impact of XBRL on IT audit, Informatics and Economics, Erasmus University Rotterdam.
Public Company Accounting Oversight Board (PCABO) (2005), Staf questions and answers – Attest
engagagements regarding XBRL financial information furnished under the XBRL voluntary financial reporting
program on the edgar system, Public Company Accounting Oversight Board (PCABO), Washington, DC, USA.
Securities and Exchange Commission (SEC) (2008) Interactive Data to Improve Financial Reporting,
Washington, USA.
Trites, Gerald (2006) INTERACTIVE DATA: THE IMPACT ON ASSURANCE - NEW CHALLENGES FOR THE
AUDIT PROFESSION, XBRL Canada, Assurance Working Group of XBRL International.
Trites, H.D. (CICA) (2002), AUDIT & CONTROL, IMPLICATIONS OF XBRL, The Canadian Institute of
Chartered Accountants Toronto, Canada.
Turner, J. (2007), Assurcance considerations for interactive data, Corefiling
Van der Haegen (2006), Internetverslaglegging met behulp van XBRL
34
Web sites:
Jaarverslag.info (2004) Jaarverslag Unilever, http://jaarverslag.info/annualreports/unilever.
Accountant .nl (2009), http://www.accountant.nl/Accountant/weblogs/Wildschut/Bijeenkomst+over+
XBRL+en+assurance+boeie.
KVK, (2009), http://kvk.nl/deponeren
35
Bijlage A: XBRL taxonomie jaarrekening Unilever 2004
<?xml version="1.0" encoding="utf-8"?> <!-- Made by IQ Info (http://www.iqinfo.com) Annual Reports of Dutch and International Companies, ©2005 --> <schema xmlns="http://www.w3.org/2001/XMLSchema" xmlns:xbrli="http://www.xbrl.org/2003/instance" xmlns:link="http://www.xbrl.org/2003/linkbase" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:ifrs-gp="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15" xmlns:ifrs-gp-rol="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/roles" xmlns:samp="http://www.iqinfo.com/xbrl/taxonomy" targetNamespace="http://www.iqinfo.com/xbrl/taxonomy" elementFormDefault="qualified" attributeFormDefault="unqualified"> <annotation> <appinfo> <!-- presentatie --> <link:linkbaseRef xlink:type='simple' xlink:href='http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/ifrs-gp-pre-bs-classified-2005-05-15.xml' xlink:role='http://www.xbrl.org/2003/role/presentationLinkbaseRef' xlink:arcrole='http://www.w3.org/1999/xlink/properties/linkbase' /> <link:linkbaseRef xlink:type='simple' xlink:href='http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/ifrs-gp-pre-is-byFunction-2005-05-15.xml' xlink:role='http://www.xbrl.org/2003/role/presentationLinkbaseRef' xlink:arcrole='http://www.w3.org/1999/xlink/properties/linkbase' /> <link:linkbaseRef xlink:type='simple' xlink:href='http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/ifrs-gp-pre-is-byNature-2005-05-15.xml' xlink:role='http://www.xbrl.org/2003/role/presentationLinkbaseRef' xlink:arcrole='http://www.w3.org/1999/xlink/properties/linkbase' /> !-- calculatie --> <link:linkbaseRef xlink:type='simple' xlink:href='http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/ifrs-gp-cal-bs-classified-2005-05-15.xml' xlink:role='http://www.xbrl.org/2003/role/calculationLinkbaseRef' xlink:arcrole='http://www.w3.org/1999/xlink/properties/linkbase' /> <link:linkbaseRef xlink:type='simple' xlink:href='http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/ifrs-gp-cal-is-byFunction-2005-05-15.xml' xlink:role='http://www.xbrl.org/2003/role/calculationLinkbaseRef' xlink:arcrole='http://www.w3.org/1999/xlink/properties/linkbase' /> <link:linkbaseRef xlink:type='simple' xlink:href='http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/ifrs-gp-cal-is-byNature-2005-05-15.xml' xlink:role='http://www.xbrl.org/2003/role/calculationLinkbaseRef' xlink:arcrole='http://www.w3.org/1999/xlink/properties/linkbase' /> </appinfo> </annotation> <import namespace="http://www.xbrl.org/2003/instance" schemaLocation="http://www.xbrl.org/2003/xbrl-instance-2003-12-31.xsd" /> <import namespace="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15" schemaLocation="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15/ifrs-gp-2005-05-15.xsd" /> </schema>
36
Bijlage B: XBRL instance document jaarrekening Unilever 2004
<?xml version="1.0" encoding="UTF-8" ?> - <!-- Made by IQ Info (http://www.iqinfo.com) Annual Reports of Dutch and International Companies, ©2005 --> - <!-- Header Info --> - <xbrli:xbrl xmlns:ifrs-gp="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15" xmlns:iso4217="http://www.xbrl.org/2003/iso4217" xmlns:xbrli="http://www.xbrl.org/2003/instance" xmlns:xbrll="http://www.xbrl.org/2003/linkbase" xmlns:xlink="http://www.w3.org/1999/xlink"> <xbrll:schemaRef xlink:arcrole="http://www.w3.org/1999/xlink/properties/linkbase" xlink:href="http://jaarverslag.info/annualreports/unilever/$File/UNILEVER_IQInfo_taxonomy.xsd" xlink:type="simple" /> - <!-- Financial Company Data generated bij IQ Info based on Annual Report --> <ifrs-gp:IntangibleAssetsNet contextRef="BJ2004" decimals="0" unitRef="EUR">18581000000</ifrs-gp:IntangibleAssetsNet> <ifrs-gp:PropertyPlantAndEquipmentNet contextRef="BJ2004" decimals="0" unitRef="EUR">6557000000</ifrs-gp:PropertyPlantAndEquipmentNet> <ifrs-gp:BiologicalAssets contextRef="BJ2004" decimals="0" unitRef="EUR">29000000</ifrs-gp:BiologicalAssets> <ifrs-gp:InvestmentsInAssociatesAtCost contextRef="BJ2004" decimals="0" unitRef="EUR">56000000</ifrs-gp:InvestmentsInAssociatesAtCost> <ifrs-gp:DeferredTaxAssets contextRef="BJ2004" decimals="0" unitRef="EUR">1814000000</ifrs-gp:DeferredTaxAssets> <ifrs-gp:TradeAndOtherReceivablesNetNonCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">220000000</ifrs-gp:TradeAndOtherReceivablesNetNonCurrent> <ifrs-gp:PrepaymentsNonCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">693000000</ifrs-gp:PrepaymentsNonCurrent> <ifrs-gp:InvestmentsInSubsidiariesAtCost contextRef="BJ2004" decimals="0" unitRef="EUR">703000000</ifrs-gp:InvestmentsInSubsidiariesAtCost> <ifrs-gp:AssetsNonCurrentTotal contextRef="BJ2004" decimals="0" unitRef="EUR">28653000000</ifrs-gp:AssetsNonCurrentTotal> <ifrs-gp:Inventories contextRef="BJ2004" decimals="0" unitRef="EUR">4174000000</ifrs-gp:Inventories> <ifrs-gp:TradeAndOtherReceivablesNetCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">4707000000</ifrs-gp:TradeAndOtherReceivablesNetCurrent> <ifrs-gp:OtherFinancialAssetsCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">1597000000</ifrs-gp:OtherFinancialAssetsCurrent> <ifrs-gp:CashAndCashEquivalents contextRef="BJ2004" decimals="0" unitRef="EUR">1748000000</ifrs-gp:CashAndCashEquivalents> <ifrs-gp:AssetsCurrentTotal contextRef="BJ2004" decimals="0" unitRef="EUR">12226000000</ifrs-gp:AssetsCurrentTotal> <ifrs-gp:AssetsTotal contextRef="BJ2004" decimals="0" unitRef="EUR">40879000000</ifrs-gp:AssetsTotal> <ifrs-gp:InterestBearingBorrowingsCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">7434000000</ifrs-gp:InterestBearingBorrowingsCurrent> <ifrs-gp:TradeAndOtherPayablesCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">7794000000</ifrs-gp:TradeAndOtherPayablesCurrent> <ifrs-gp:CurrentTaxPayables contextRef="BJ2004" decimals="0" unitRef="EUR">728000000</ifrs-gp:CurrentTaxPayables> <ifrs-gp:LiabilitiesCurrentTotal contextRef="BJ2004" decimals="0" unitRef="EUR">15956000000</ifrs-gp:LiabilitiesCurrentTotal> <ifrs-gp:InterestBearingBorrowingsNonCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">8466000000</ifrs-gp:InterestBearingBorrowingsNonCurrent> <ifrs-gp:ProvisionsNonCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">898000000</ifrs-gp:ProvisionsNonCurrent> <ifrs-gp:PostEmploymentBenefitObligationNonCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">5860000000</ifrs-gp:PostEmploymentBenefitObligationNonCurrent> <ifrs-gp:DeferredTaxLiabilities contextRef="BJ2004" decimals="0" unitRef="EUR">1794000000</ifrs-gp:DeferredTaxLiabilities> <ifrs-gp:LiabilitiesNonCurrentTotal contextRef="BJ2004" decimals="0" unitRef="EUR">17682000000</ifrs-gp:LiabilitiesNonCurrentTotal> <ifrs-gp:LiabilitiesTotal contextRef="BJ2004" decimals="0" unitRef="EUR">33638000000</ifrs-gp:LiabilitiesTotal> <ifrs-gp:SubscribedCapital contextRef="BJ2004" decimals="0" unitRef="EUR">6802000000</ifrs-gp:SubscribedCapital> <ifrs-gp:MinorityInterest contextRef="BJ2004" decimals="0" unitRef="EUR">439000000</ifrs-gp:MinorityInterest> <ifrs-gp:EquityTotal contextRef="BJ2004" decimals="0" unitRef="EUR">7241000000</ifrs-gp:EquityTotal> <ifrs-gp:EquityAndLiabilitiesTotal contextRef="BJ2004" decimals="0" unitRef="EUR">40879000000</ifrs-gp:EquityAndLiabilitiesTotal> <ifrs-gp:PropertyPlantAndEquipmentNet contextRef="EJ2004" decimals="0" unitRef="EUR">6181000000</ifrs-gp:PropertyPlantAndEquipmentNet> <ifrs-gp:IntangibleAssetsNet contextRef="EJ2004" decimals="0" unitRef="EUR">17018000000</ifrs-gp:IntangibleAssetsNet> <ifrs-gp:BiologicalAssets contextRef="EJ2004" decimals="0" unitRef="EUR">33000000</ifrs-gp:BiologicalAssets> <ifrs-gp:InvestmentsInAssociatesAtCost contextRef="EJ2004" decimals="0" unitRef="EUR">54000000</ifrs-gp:InvestmentsInAssociatesAtCost> <ifrs-gp:InvestmentsInSubsidiariesAtCost contextRef="EJ2004" decimals="0" unitRef="EUR">698000000</ifrs-gp:InvestmentsInSubsidiariesAtCost> <ifrs-gp:PrepaymentsNonCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">625000000</ifrs-gp:PrepaymentsNonCurrent> <ifrs-gp:DeferredTaxAssets contextRef="EJ2004" decimals="0" unitRef="EUR">2148000000</ifrs-gp:DeferredTaxAssets> <ifrs-gp:TradeAndOtherReceivablesNetNonCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">279000000</ifrs-gp:TradeAndOtherReceivablesNetNonCurrent> <ifrs-gp:AssetsNonCurrentTotal contextRef="EJ2004" decimals="0" unitRef="EUR">27036000000</ifrs-gp:AssetsNonCurrentTotal> <ifrs-gp:Inventories contextRef="EJ2004" decimals="0" unitRef="EUR">3756000000</ifrs-gp:Inventories> <ifrs-gp:TradeAndOtherReceivablesNetCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">4131000000</ifrs-gp:TradeAndOtherReceivablesNetCurrent>
37
<ifrs-gp:OtherFinancialAssetsCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">1013000000</ifrs-gp:OtherFinancialAssetsCurrent> <ifrs-gp:CashAndCashEquivalents contextRef="EJ2004" decimals="0" unitRef="EUR">1590000000</ifrs-gp:CashAndCashEquivalents> <ifrs-gp:AssetsCurrentTotal contextRef="EJ2004" decimals="0" unitRef="EUR">10490000000</ifrs-gp:AssetsCurrentTotal> <ifrs-gp:AssetsTotal contextRef="EJ2004" decimals="0" unitRef="EUR">37526000000</ifrs-gp:AssetsTotal> <ifrs-gp:SubscribedCapital contextRef="EJ2004" decimals="0" unitRef="EUR">7324000000</ifrs-gp:SubscribedCapital> <ifrs-gp:MinorityInterest contextRef="EJ2004" decimals="0" unitRef="EUR">365000000</ifrs-gp:MinorityInterest> <ifrs-gp:EquityTotal contextRef="EJ2004" decimals="0" unitRef="EUR">7689000000</ifrs-gp:EquityTotal> <ifrs-gp:InterestBearingBorrowingsNonCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">6893000000</ifrs-gp:InterestBearingBorrowingsNonCurrent> <ifrs-gp:DeferredTaxLiabilities contextRef="EJ2004" decimals="0" unitRef="EUR">1397000000</ifrs-gp:DeferredTaxLiabilities> <ifrs-gp:PostEmploymentBenefitObligationNonCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">6079000000</ifrs-gp:PostEmploymentBenefitObligationNonCurrent> <ifrs-gp:ProvisionsNonCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">1364000000</ifrs-gp:ProvisionsNonCurrent> <ifrs-gp:LiabilitiesNonCurrentTotal contextRef="EJ2004" decimals="0" unitRef="EUR">16450000000</ifrs-gp:LiabilitiesNonCurrentTotal> <ifrs-gp:InterestBearingBorrowingsCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">5155000000</ifrs-gp:InterestBearingBorrowingsCurrent> <ifrs-gp:CurrentTaxPayables contextRef="EJ2004" decimals="0" unitRef="EUR">718000000</ifrs-gp:CurrentTaxPayables> <ifrs-gp:TradeAndOtherPayablesCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">7514000000</ifrs-gp:TradeAndOtherPayablesCurrent> <ifrs-gp:LiabilitiesCurrentTotal contextRef="EJ2004" decimals="0" unitRef="EUR">13387000000</ifrs-gp:LiabilitiesCurrentTotal> <ifrs-gp:LiabilitiesTotal contextRef="EJ2004" decimals="0" unitRef="EUR">29837000000</ifrs-gp:LiabilitiesTotal> <ifrs-gp:EquityAndLiabilitiesTotal contextRef="EJ2004" decimals="0" unitRef="EUR">37526000000</ifrs-gp:EquityAndLiabilitiesTotal> <ifrs-gp:TradeAndOtherReceivablesNetTotal contextRef="BJ2004" decimals="0" unitRef="EUR">4927000000</ifrs-gp:TradeAndOtherReceivablesNetTotal> <ifrs-gp:TradeAndOtherReceivablesNetTotal contextRef="EJ2004" decimals="0" unitRef="EUR">4410000000</ifrs-gp:TradeAndOtherReceivablesNetTotal> <ifrs-gp:PrepaymentsTotal contextRef="BJ2004" decimals="0" unitRef="EUR">693000000</ifrs-gp:PrepaymentsTotal> <ifrs-gp:PrepaymentsTotal contextRef="EJ2004" decimals="0" unitRef="EUR">625000000</ifrs-gp:PrepaymentsTotal> <ifrs-gp:InterestBearingBorrowingsTotal contextRef="BJ2004" decimals="0" unitRef="EUR">15900000000</ifrs-gp:InterestBearingBorrowingsTotal> <ifrs-gp:InterestBearingBorrowingsTotal contextRef="EJ2004" decimals="0" unitRef="EUR">12048000000</ifrs-gp:InterestBearingBorrowingsTotal> <ifrs-gp:PostEmploymentBenefitObligationTotal contextRef="BJ2004" decimals="0" unitRef="EUR">5860000000</ifrs-gp:PostEmploymentBenefitObligationTotal> <ifrs-gp:PostEmploymentBenefitObligationTotal contextRef="EJ2004" decimals="0" unitRef="EUR">6079000000</ifrs-gp:PostEmploymentBenefitObligationTotal> <ifrs-gp:TradeAndOtherPayablesTotal contextRef="BJ2004" decimals="0" unitRef="EUR">8458000000</ifrs-gp:TradeAndOtherPayablesTotal> <ifrs-gp:TradeAndOtherPayablesTotal contextRef="EJ2004" decimals="0" unitRef="EUR">8231000000</ifrs-gp:TradeAndOtherPayablesTotal> <ifrs-gp:OtherFinancialAssetsTotal contextRef="BJ2004" decimals="0" unitRef="EUR">1597000000</ifrs-gp:OtherFinancialAssetsTotal> <ifrs-gp:OtherFinancialAssetsTotal contextRef="EJ2004" decimals="0" unitRef="EUR">1013000000</ifrs-gp:OtherFinancialAssetsTotal> <ifrs-gp:ProvisionsTotal contextRef="BJ2004" decimals="0" unitRef="EUR">898000000</ifrs-gp:ProvisionsTotal> <ifrs-gp:ProvisionsTotal contextRef="EJ2004" decimals="0" unitRef="EUR">1364000000</ifrs-gp:ProvisionsTotal> <ifrs-gp:TaxAssetsTotal contextRef="BJ2004" decimals="0" unitRef="EUR">1814000000</ifrs-gp:TaxAssetsTotal> <ifrs-gp:FinancialAssetsHeldForTradingTotal contextRef="EJ2004" decimals="0" unitRef="EUR">2603000000</ifrs-gp:FinancialAssetsHeldForTradingTotal> <ifrs-gp:AccruedIncome contextRef="EJ2004" decimals="0" unitRef="EUR">3756000000</ifrs-gp:AccruedIncome> <ifrs-gp:LoansAndReceivablesTotal contextRef="EJ2004" decimals="0" unitRef="EUR">4410000000</ifrs-gp:LoansAndReceivablesTotal> <ifrs-gp:TaxAssetsTotal contextRef="EJ2004" decimals="0" unitRef="EUR">2148000000</ifrs-gp:TaxAssetsTotal> <ifrs-gp:FinancialAssetsHeldForTradingTotal contextRef="BJ2004" decimals="0" unitRef="EUR">3345000000</ifrs-gp:FinancialAssetsHeldForTradingTotal> <ifrs-gp:LoansAndReceivablesTotal contextRef="BJ2004" decimals="0" unitRef="EUR">4927000000</ifrs-gp:LoansAndReceivablesTotal> <ifrs-gp:AccruedIncome contextRef="BJ2004" decimals="0" unitRef="EUR">4174000000</ifrs-gp:AccruedIncome> <ifrs-gp:RevenueTotalByFunction contextRef="J2004" decimals="0" unitRef="EUR">39108000000</ifrs-gp:RevenueTotalByFunction> <ifrs-gp:CostOfSalesByFunction contextRef="J2004" decimals="0" unitRef="EUR">34795000000</ifrs-gp:CostOfSalesByFunction> <ifrs-gp:GrossProfitByFunction contextRef="J2004" decimals="0" unitRef="EUR">4313000000</ifrs-gp:GrossProfitByFunction> <ifrs-gp:ShareOfProfitLossFromEquityAccountedJointVentures contextRef="J2004" decimals="0" unitRef="EUR">39000000</ifrs-gp:ShareOfProfitLossFromEquityAccountedJointVentures> <ifrs-gp:ShareOfProfitLossFromEquityAccountedAssociates contextRef="J2004" decimals="0" unitRef="EUR">2000000</ifrs-gp:ShareOfProfitLossFromEquityAccountedAssociates> <ifrs-gp:IncomeLossFromInvestments contextRef="J2004" decimals="0" unitRef="EUR">54000000</ifrs-gp:IncomeLossFromInvestments> <ifrs-gp:FinanceCostsForNonFinancialActivities contextRef="J2004" decimals="0" unitRef="EUR">571000000</ifrs-gp:FinanceCostsForNonFinancialActivities> <ifrs-gp:ProfitLossFromOperations contextRef="J2004" decimals="0" unitRef="EUR">4313000000</ifrs-gp:ProfitLossFromOperations>
38
<ifrs-gp:OtherNonOperatingExpenses contextRef="J2004" decimals="0" unitRef="EUR">60000000</ifrs-gp:OtherNonOperatingExpenses> <ifrs-gp:ProfitLossBeforeTax contextRef="J2004" decimals="0" unitRef="EUR">3777000000</ifrs-gp:ProfitLossBeforeTax> <ifrs-gp:IncomeTaxExpenseIncome contextRef="J2004" decimals="0" unitRef="EUR">836000000</ifrs-gp:IncomeTaxExpenseIncome> <ifrs-gp:ProfitLossAfterTaxFromContinuingOperations contextRef="J2004" decimals="0" unitRef="EUR">2941000000</ifrs-gp:ProfitLossAfterTaxFromContinuingOperations> <ifrs-gp:ProfitLossAttributableToEquityHoldersOfParent contextRef="J2004" decimals="0" unitRef="EUR">2755000000</ifrs-gp:ProfitLossAttributableToEquityHoldersOfParent> <ifrs-gp:ProfitLossAttributableToMinorityInterest contextRef="J2004" decimals="0" unitRef="EUR">186000000</ifrs-gp:ProfitLossAttributableToMinorityInterest> <ifrs-gp:BasicEarningsLossPerShare contextRef="J2004" decimals="2" unitRef="EUR">2.83</ifrs-gp:BasicEarningsLossPerShare> <ifrs-gp:DilutedEarningsLossPerShare contextRef="J2004" decimals="2" unitRef="EUR">2.72</ifrs-gp:DilutedEarningsLossPerShare> <ifrs-gp:AssetRecognisedForFairValueChangesOfHedgedItemInPortfolioHedgeOfInterestRateRisk contextRef="BJ2004" decimals="0" unitRef="EUR">29000000</ifrs-gp:AssetRecognisedForFairValueChangesOfHedgedItemInPortfolioHedgeOfInterestRateRisk> <ifrs-gp:AssetRecognisedForFairValueChangesOfHedgedItemInPortfolioHedgeOfInterestRateRisk contextRef="EJ2004" decimals="0" unitRef="EUR">33000000</ifrs-gp:AssetRecognisedForFairValueChangesOfHedgedItemInPortfolioHedgeOfInterestRateRisk> <ifrs-gp:TaxLiabilitiesTotal contextRef="BJ2004" decimals="0" unitRef="EUR">2522000000</ifrs-gp:TaxLiabilitiesTotal> <ifrs-gp:TaxLiabilitiesTotal contextRef="EJ2004" decimals="0" unitRef="EUR">2115000000</ifrs-gp:TaxLiabilitiesTotal> <ifrs-gp:DebenturesAndDebtCertificates contextRef="BJ2004" decimals="0" unitRef="EUR">15900000000</ifrs-gp:DebenturesAndDebtCertificates> <ifrs-gp:TradeAndOtherPayablesNonCurrent contextRef="BJ2004" decimals="0" unitRef="EUR">664000000</ifrs-gp:TradeAndOtherPayablesNonCurrent> <ifrs-gp:TradeAndOtherPayablesNonCurrent contextRef="EJ2004" decimals="0" unitRef="EUR">717000000</ifrs-gp:TradeAndOtherPayablesNonCurrent> <ifrs-gp:DebenturesAndDebtCertificates contextRef="EJ2004" decimals="0" unitRef="EUR">12048000000</ifrs-gp:DebenturesAndDebtCertificates> <ifrs-gp:ShareOfProfitLossFromEquityAccountedInvestments contextRef="J2004" decimals="0" unitRef="EUR">41000000</ifrs-gp:ShareOfProfitLossFromEquityAccountedInvestments> <ifrs-gp:AdjustmentsToReconcileToProfitLossFromOperationsTotal contextRef="J2004" decimals="0" unitRef="EUR">1558000000</ifrs-gp:AdjustmentsToReconcileToProfitLossFromOperationsTotal> <ifrs-gp:OtherIncreasesDecreasesToReconcileToProfitLossFromOperations contextRef="J2004" decimals="0" unitRef="EUR">577000000</ifrs-gp:OtherIncreasesDecreasesToReconcileToProfitLossFromOperations> - <!-- Context Info --> - <xbrli:context id="BJ2004"> - <xbrli:entity> <xbrli:identifier scheme="www.iqinfo.com/xbrl">UNILEVER</xbrli:identifier> </xbrli:entity> - <xbrli:period> <xbrli:instant>2004-01-01</xbrli:instant> </xbrli:period> </xbrli:context> - <xbrli:context id="EJ2004"> - <xbrli:entity> <xbrli:identifier scheme="www.iqinfo.com/xbrl">UNILEVER</xbrli:identifier> </xbrli:entity> - <xbrli:period> <xbrli:instant>2004-12-31</xbrli:instant> </xbrli:period> </xbrli:context> - <xbrli:context id="J2004"> - <xbrli:entity> <xbrli:identifier scheme="www.iqinfo.com/xbrl">UNILEVER</xbrli:identifier> </xbrli:entity> - <xbrli:period> <xbrli:startDate>2004-01-01</xbrli:startDate> <xbrli:endDate>2004-12-31</xbrli:endDate> </xbrli:period> </xbrli:context> - <xbrli:unit id="EUR"> <xbrli:measure>iso4217:EUR</xbrli:measure> </xbrli:unit> </xbrli:xbrl>
39
Bijlage C: Interviews
Dave van den Ende – lid van International Steering Committee van XBRL international - Director
Deloitte Consulting
Datum interview: 23 februari 2009
Doel interview:
Inzicht verkrijgen in de risico’s gerelateerd aan het XBRL totstandkomingproces.
Aanpak:
Door middel van literatuurstudie is een set van risico’s met betrekking tot het totstandkomingproces van een
XBRL rapportage opgesteld. In een open gesprek met Dave van den Ende, specialist op het gebied van XBRL
implementatie trajecten, is getoetst in hoeverre deze risico’s relevant en volledig zijn.
Welke stappen worden doorlopen bij de totstandkoming van een XBRL rapportage en waar zitten de
voornaamste risico’s wanneer het gaat om een integere en exclusieve XBRL rapportage?
Data
Zoals uit de literatuur reeds blijkt zijn er verschillende stappen die doorlopen moeten worden voordat een XBRL
rapportage kan worden opgeleverd. Op de stappen zoals gedefinieerd heeft Dave inhoudelijk geen opmerkingen
of aanvullingen. Wel wil hij erop wijzen dat niet alle informatie uit geautomatiseerde omgevingen afkomstig
hoeft te zijn. Waardoor er een risico ontstaat dat informatie onjuist wordt ingevuld (het zogenaamde re-keyen).
Specificatie
Momenteel is XBRL specificatie 2.1 de meest recente specificatie. Daarnaast zijn er aanvullingen op de XBRL
specificatie in ontwikkeling, bijvoorbeeld de formula specificatie en de versioning specificatie. Een organisatie
die XBRL wil gaan gebruiken zal zich bewust moeten zijn van de specificaties waarop de te gebruiken
taxonomie is gebaseerd.
Taxonomie
Met behulp van een taxonomie wordt beschreven welke data elementen in een XBRL document gebruikt
kunnen worden. Een taxonomie beschrijft de verschillende data-elementen welke gebruikt kunnen worden, en
welke relaties deze onderling hebben. Daarmee beschrijft de taxonomie de metadata of de definities van de
gegevens. De taxonomie zelf bevat geen data zoals financiële gegevens of toelichtingen. Gezien het open-source
karakter van XBRL kan iedereen zelf een taxonomie beschrijven en toepassen. Het is van groot belang dat de
instantie die de gegevens via XBRL beschikbaar stelt, dezelfde taxonomie hanteert als de ontvangende partijen,
om er zo voor te zorgen dat gegevens op dezelfde manier geclassificeerd en geïnterpreteerd worden.
40
Er zijn een aantal gangbare taxonomieën goedgekeurd door XBRL International. De twee meest gebruikte
hiervan zijn die voor IFRS en US GAAP. Naast het gebruik van een enkele taxonomie, zoals IFRS-GP, is het
ook mogelijk deze taxonomie aan te vullen met aanvullingen voor specifieke elementen.
Tijdens het interview zijn de volgende risico’s bij het gebruik van taxonomieën besproken:
Ten eerste moet zekerheid verkregen worden over het gebruik van de juiste taxonomie. Criteria hiervoor zijn
onder andere het doel van de rapportage (jaarrekening, fiscaal, statistisch, etc.), de te hanteren wetgeving en
richtlijnen en industrie of sector en specifieke wensen van de onderneming zelf. Indien een onjuiste taxonomie
wordt gehanteerd bestaat het risico dat niet alle relevante gegevens worden opgenomen in de rapportage, dat de
waarden van posten over- of onder gewaardeerd worden gerapporteerd of gegevens onjuist worden
gerapporteerd. Een standaard taxonomie voorziet niet altijd in de rapportage behoeften van ondernemingen.
XBRL maakt gebruik van open source principes. Hierdoor kunnen ondernemingen zelfstandig aanvullende
taxonomieën ontwikkelen. In het bijzonder wanneer ondernemingen zelfstandig aanvullingen op standaard
taxonomieën ontwikkelen en gebruiken, bestaat het risico dat deze onvolledig zijn, of juist te veel gegevens
bevatten.
Naast de juistheid van de te hanteren taxonomie, dient de organisatie die rapporteert en de gebruikers die deze
informatie ontvangen en interpreteren, over dezelfde taxonomie te beschikken. Is dit niet het geval, dan bestaat
het risico dat de ontvangende partijen gegevens verkeerd interpreteren, omdat zij een andere en onjuiste
taxonomie gebruiken en daarmee de gegevens verkeerd interpreteren.
Niet alleen dienen de organisatie en de ontvangende partijen de data met dezelfde taxonomie te interpreteren,
deze taxonomie dient ook van dezelfde versie te zijn.
Instance document
Het daadwerkelijke document dat beschikbaar wordt gesteld met behulp van XBRL is het instance document. In
dit document komen taxonomie en data samen. Het bevat de gegevens welke beschikbaar worden gesteld en de
bijbehorende metadata, getagd volgens de gekozen taxonomie. De tags geven de juiste betekenis en context van
het gegeven zoals hierboven beschreven. Welke tags gebruikt kunnen worden is gedefinieerd in de gehanteerde
taxonomie. Nadat het instance document is opgezet, kan dit op elke denkbare wijze beschikbaar worden gesteld
aan belanghebbenden. Bijvoorbeeld door deze op het Internet te publiceren.
Tijdens het interview zijn de volgende risico’s ten aanzien van instance documenten besproken:
Voordat het instance document opgesteld kan worden, dient er eerst een mapping plaats te vinden tussen de in
de taxonomie gedefinieerde data elementen, en de gegevens uit de bron systemen welke deze data bevatten.
Indien deze mapping niet goed wordt uitgevoerd, bestaat het risico dat verkeerde informatie wordt opgehaald
om de verschillende data elementen in het instance document te vullen. Een ander aandachtsgebied bij het
verkrijgen van de benodigde gegevens uit de bron systemen, is dat informatie over de juiste periode wordt
gebruikt. Naast het invoeren van verkeerde data, bestaat ook het risico dat verkeerde metadata wordt opgenomen
in het instance document. Dit kan gebeuren als de data elementen gedefinieerd in de taxonomie niet op de juiste
wijze worden overgenomen. Het risico bestaat dat tags onjuist of niet worden gebruikt, terwijl zij voor de
rapportage noodzakelijk zijn. Naast gegevens en meta data kunnen er ook opmerkingen worden opgenomen in
41
het instance document, bijvoorbeeld als verklarende tekst. Het gebruik van commentaar brengt echter twee
risico’s met zich mee. Allereerst kan het zijn dat bepaalde begeleidende teksten enkel voor intern gebruik
bedoeld zijn. Indien deze niet worden verwijderd voor publicatie, bestaat het risico dat derden kennis van de
inhoud vernemen. Het tweede risico geldt andersom, wanneer teksten ter verklaring van gegevens gebruikt
worden, maar de ontvanger de rapportage zonder deze informatie ontvangt.
Als het instance document eenmaal is opgesteld en de juiste gegevens bevat, is het zaak dat deze niet meer
kunnen worden aangepast door ongeautoriseerde personen. Kan dit wel, dan bestaat het risico dat gegevens
bewust of onbewust worden aangepast, waardoor de juistheid en volledigheid van de inhoud van het instance
document in het geding komt.
Na het opstellen, dient het instance document beschikbaar te worden gesteld aan de belanghebbende partij(en).
Hierbij dienen enkel deze partijen toegang tot de rapportage te hebben. Hebben derden ook toegang, dan bestaat
het risico dat ongeautoriseerde personen toegang hebben tot gevoelige informatie. Ook wanneer derden geen
directe toegang tot de rapportages hebben bestaat het risico dat zij ongeautoriseerd kennis van de rapportage
kunnen nemen, bijvoorbeeld door de communicatie op te vangen of door een zogenaamde ‘man-in-the-middle
attack’.
Indien het document via het Internet beschikbaar wordt gesteld, is het ook noodzakelijk dat dit tijdig
beschikbaar is en opgevraagd kan worden. Indien dit niet het geval is, bestaat het risico dat belanghebbenden
niet op tijd de door hen benodigde informatie ontvangen.
42
Stylesheet
Een style sheet kan aan de hand van de gehanteerde taxonomie de tags die in het instance document staan
interpreteren en deze zo op de juiste wijzen presenteren. Het gebruik van style sheets maakt het mogelijk
specifieke data-elementen uit het geheel te selecteren en te presenteren.
Tijdens het interview zijn de volgende risico’s ten aanzien van het gebruik van style sheets besproken:
Om de gerapporteerde gegevens op de juiste manier te interpreteren is het noodzakelijk dat zowel de organisatie
die de gegevens beschikbaar stelt als de ontvangende partij dezelfde context aan de gegevens geeft. Hierbij
bestaat het risico dat het beschikbaar gestelde instance document met een andere taxonomie is opgesteld dan is
gebruikt voor de style sheet. Hierdoor kan het voorkomen dat aan gegevens een verkeerde interpretatie wordt
gegeven, omdat een verkeerde betekenis aan een tag wordt gegeven. Tevens kan het gebeuren dat het instance
document tags bevat die niet terugkomen in de style sheet, terwijl de gegevens voor de rapportage wel relevant
zijn.
Ook als zowel de rapporterende als ontvangende partij dezelfde taxonomie gebruikt bestaat er het risico dat het
instance sheet niet juist wordt ingelezen en/of geïnterpreteerd. Leesfouten kunnen optreden in de gebruikte
software, data-elementen kunnen worden overgeslagen of foutief worden weergegeven.
Tevens bestaat bij het converteren van het instance document naar een presentatievorm het risico dat gegevens
aan de presentatie worden toegevoegd die niet in het instance document zijn opgenomen. Het risico bestaat dat
deze verrijking niet strookt met de gegevens zoals gepubliceerd door de rapporterende organisatie.
43
Michael van de Meulen RA RE – Senior manager ERS Deloitte
Robert Boon RA RE – Director ERS Deloitte
Datum interview: 10 maart 2009
Jeffrey Hinnen – Manager Deloitte accountants
Datum interview: 13 maart 2009
Doel interview:
Het doel van het interview is inzicht verkrijgen in de meningen van ervaren RA en RE personen met betrekking
tot XBRL en de impact daarvan op de werkzaamheden van de IT auditor.
Aanpak:
Om de impact op de werkzaamheden van de IT auditor bij het gebruik van XBRL te kunnen bepalen is het van
belang een aantal verschillende onderdelen in ogenschouw te nemen die een rol kunnen spelen in het
totstandkomingproces van een XBRL document.
Allereerst moet de vraag beantwoord worden met welk doel XBRL gebruikt zal gaan worden. Daarnaast dient
het belang van de verschillende betrokken partijen hierbij te worden beschouwd. Net als bij de traditionele
wijze van rapporteren zal ook bij een XBRL rapportage enige vorm van zekerheid over de betrouwbaarheid van
de rapportage gegeven moeten worden waarbij de aanwezige wetgeving ten aanzien van financiële rapportages
een grote rol kan spelen (kvk, 2009). Om zekerheid te kunnen bieden rond de betrouwbaarheid van financiële
rapportages dient inzicht te worden verkregen in mogelijke risico’s tijdens het totstandkomingproces die kunnen
leiden tot onbetrouwbare rapportages. Ten slotte is ingegaan op de rol die de accountant en IT-auditor spelen in
dit proces.
1) Doel van XBRL
Uit de literatuur blijkt dat XBRL als doel heeft de elektronische uitwisseling en directe verwerking van
gegevens mogelijk te maken. Organisaties kunnen door gebruik te maken van verschillende taxonomieën XBRL
rapportage voor verschillende doeleinden creëren. Verder maakt XBRL het mogelijk met een hogere frequentie
rapportages op te leveren, waardoor beter op business targets aangestuurd kan worden.
Uit de verschillende interviews wordt opgemaakt dat de efficiency winst, die XBRL pretendeert te
bewerkstelligen voor vergelijkbaarheid, beperkt zal zijn. Met name doordat de grotere organisaties beschikken
over systemen waaruit op eenvoudige wijze eenvoudig financiële rapportage kunnen worden uitgedraaid. De
huidige rapportage zijn al volgens wettelijke verplichte grondslagen opgesteld (bijv volgens IFRS of US
GAAP). Hierdoor zijn rapportages reeds eenvoudig te vergelijken met andere organisaties die rapporteren
volgens dezelfde grondslag. XBRL zal hierbij weinig toegevoegde waarde leveren.
44
2) Belanghebbenden
Uit de literatuur blijkt dat er verschillende partijen betrokken zijn bij de totstandkoming van een rapportage op
basis van XBRL. Ten eerste is er de uitvragende partij (bijv. KVK, CBS of belastingdienst). Daarnaast is er de
leverende partij (de klant). Tenslotte zijn er nog derde partijen die ondersteuning bieden tijdens het proces (bijv.
consultants, accountants en IT auditors).
De geïnterviewden zijn van mening dat als voorwaarde voor het succes van XBRL gesteld kan worden dat bij
alle partijen een belang dient te zijn voor het gebruik ervan. Ondernemingen zijn verplicht jaarrekeningen te
deponeren bij het Handelsregister van de Kamer van Koophandel. Hierbij dient de KVK deze jaarrekeningen
beschikbaar te stellen voor het publiek. De vorm van de rapportages is hierbij voor de KVK niet van belang,
zolang deze maar voldoen aan de normen zoals gesteld in de wet en RJ of IFRS. De geïnterviewden zijn van
mening dat de efficiencyvoordelen bij het gebruik van XBRL in dit kader gering zullen zijn, waardoor ook de
leverende partij weinig belang heeft bij een snelle invoering en verplichtstelling van XBRL. Doordat in de
wetgeving is vastgelegd dat (middel) grote entiteiten een jaarrekening dienen te overleggen voorzien van een
accountantsverklaring zal een organisatie nog steeds een jaarrekening moeten opstellen. Hierbij dient de
accountant de jaarrekening te toetsen aan de norm (bijvoorbeeld IFRS) Hierbij geeft hij in de
accountantsverklaring een oordeel over de getrouwheid van het vermogen en resultaat van de onderneming op
basis van de norm. De geïnterviewden verwachten dat dit voorlopig zo zal blijven. Hierbij moet worden
opgemerkt dat met name nieuwe toepassingen, zoals het gebruik van XBRL rapportages om bedrijfsprocessen
aan te sturen, de toegevoegde waarde van XBRL zullen bepalen.
3) Assurance en rol van de accountant en IT- auditor
Wanneer XBRL rapportages gebruikt zullen gaan worden zal de ontvangende partij (gebruiker) zekerheid willen
hebben over de betrouwbaarheid van deze rapportage. Hiervoor is het noodzakelijk dat een zekere mate van
assurance wordt verkregen over het totstandkomingproces van de rapportage ten aanzien van de
betrouwbaarheid, tijdigheid en beschikbaarheid van deze rapportage. Hoe deze assurance zal moeten worden
ingericht is momenteel nog onduidelijk. Doordat in de wetgeving nu is vastgelegd dat organisaties een
jaarrekening dienen te publiceren is momenteel de jaarrekening het object van audit. Bij het
totstandkomingproces van XBRL zien de geïnterviewden enkele risico’s die de betrouwbaarheid van deze
rapportages kunnen ondermijnen, zoals het gebruik van een onjuiste taxonomie, verkeerde versie van een
taxonomie, ongeautoriseerde wijzigingen op taxonomieën, instance documenten en style sheets. Daarom
verwachten zij dat wanneer XBRL gebruikt zal gaan worden nog steeds een jaarrekening zal worden opgesteld
naast het XBRL document. Uit de interviews blijkt dat hiervoor meerdere oorzaken zijn. Ten eerste wordt
middels de jaarrekening ook verslag gedaan over een bepaalde periode zoals in de winst en verlies rekening en
het kasstroomoverzicht. Voor de vergelijkbaarheid is het goed dat iedereen dan verslag doet over een vaste
periode zoals een boekjaar. Ten tweede dient de jaarrekening zoals in de wet is beschreven, als bron voor de
vaststelling van het resultaat over een jaar door de aandeelhouders (en de resultaatbestemming). De accountant
zal, als eindverantwoordelijke in het controleproces, over deze jaarrekening zijn oordeel over de getrouwheid
van het resultaat en vermogen geven waardoor het feitelijke object van audit niet gewijzigd zal worden. Wel zal
45
de IT auditor een aanvullende rol gaan spelen bij de beoordeling van het proces van totstandkoming van het
XBRL document waarbij de integriteit en beschikbaarheid van de gebruikte taxonomieën, instance documenten
en style sheets geborgd moeten worden. Deze werkzaamheden dienen te worden uitgevoerd voordat dat
accountant begint aan zijn eindejaarscontrole.
46
Ard Niesen RE – Partner ERS Deloitte
Paul Weel RE – Manager ERS Deloitte
Datum interview: 10 maart 2009
Doel interview:
De mening horen en begrijpen vanuit het gezichtspunt van een IT auditor. Hoe ziet hij de komst van XBRL,
welke risico’s zijn er te onderkennen in het totstandkomingproces van de XBRL rapportage en welke rol gaat de
IT auditor hierbij spelen.
Uitkomst interview:
Uit interview blijkt dat XBRL er waarschijnlijk binnen niet al te lange termijn zal gaan komen. Wel is het
ondenkbaar dat hierbij de jaarrekening op korte termijn zal verdwijnen. Hiervoor zal een wijziging van de wet
noodzakelijk zijn. Tot die tijd zal assurance gegeven moeten worden door een accountant over de jaarrekening.
Wanneer deze jaarrekening gebaseerd is op het XBRL document zal de IT auditor zekerheid moeten geven over
het proces van totstandkoming van de XBRL rapportage. Deze werkzaamheden die de IT auditor in dit kader zal
uitvoeren zullen echter niet meer zijn dan een aanvulling op de controle die hij momenteel al uitvoert om vast te
stellen of de gegevens verwerkende processen op orde zijn. Uit het interview is gebleken dat hierbij wel een
aantal specifieke risico’s zullen moeten worden beheerst door de organisatie. Paul geeft aan dat onder meer van
de gebruikte ETL scripts, die de data ophalen uit verschillende onderliggende systemen, zal moeten worden
vastgesteld dat deze zorgen voor een volledige, juiste en tijdige aanlevering van de data. Daarnaast zijn er
risico’s dat op te leveren documenten zoals de taxonomie, het instance document of style sheet in het proces
onderweg bewust of onbewust foutief worden gewijzigd. Een IT auditor zal dus moeten vaststellen dat een
organisatie deze risico’s op ongeautoriseerde aanpassingen onder controle heeft. Als aanvulling op de
werkzaamheden die de IT auditor zal uitvoeren in het kader van de totstandkoming van de XBRL rapportage
verwacht Ard dat de IT auditor met name gevraagd zal worden zekerheid te geven ten aanzien van de
exclusiviteit en integriteit van de XBRL rapportage tijdens het verzenden van de rapportage (instance document,
taxonomie en stylesheet) richting de ontvangende partij.
47
Bijlage D: Risico’s
XBRL element Nr. Risico
Data 1.1 Bij handmatige conversie van brondata worden gegevens onjuist of onvolledig ingevoerd.
1.2 Brondata worden foutief ingelezen doordat deze in het verkeerde format wordt aangeboden.
1.3 De communicatie van informatiebron naar XBRL software brengt fouten met zich mee.
1.4 De systemen die gegevens opslaan, bewerken of verrijken schenden de integriteit van deze gegevens.
2.1 De specificaties zijn niet juist geïmplementeerd. XBRL
Specificaties
2.2 Een verkeer versie van de specificaties wordt gevolgd voor (een aantal) XBRL elementen.
Taxonomie 3.1 Een verkeerde taxonomie en/of extensie hierop wordt gehanteerd.
3.2 Verschillende delen van het proces hanteren een andere taxonomie.
3.3 Verschillende delen van het proces hanteren een andere versie van de gekozen taxonomie.
4.1 De gehanteerde mapping verwijst naar verkeerde dataobjecten.
4.2 In het instance document worden gegevens uit een verkeerde periode opgenomen.
4.3 In het instance document wordt afgeweken van de taxonomie.
4.4 Het gebruik van comments leidt tot het publiceren van ongewenste gegevens.
4.5 Het gebruik van comments leidt tot het verkeerd interpreteren van gegevens.
4.6 Het instance document wordt (na publicatie) ongewenst gewijzigd.
4.7 Het instance document is toegankelijk voor onbevoegden.
Instance
Document
4.8 Het instance document is niet tijdig beschikbaar.
Style Sheet 5.1 De style sheet is gebaseerd op een verkeerde versie van de taxonomie.
5.2 De style sheet rapport niet over alle relevante gegevens.
5.3 De style sheet presenteert gegevens onjuist.
5.4 De style sheet presenteert gegevens welke niet door de publicerende organisatie zijn opgenomen.
Tabel D-1: Risico's XBRL
48
Bijlage E: Normenkader
Nr. Doelstelling
Activiteit IT
controle
XBRL element Risico
Nr.
Risico
1.1 De juiste brongegevens worden gebruikt voor de rapportage.
Stel vast dat de mapping tussen de data-elementen in de taxonomie naar de juiste brondata verwijst.
Nee Instance Document
4.1 De gehanteerde mapping verwijst naar verkeerde dataobjecten.
1.2 Stel vast dat de mapping tussen de data-elementen en de taxonomie alle gedefinieerde data-elementen omvat.
Nee Instance Document
4.1 De gehanteerde mapping verwijst naar verkeerde dataobjecten.
1.3 Stel vast dat bij het ophalen van de brondata enkel gegevens uit de juiste periode worden opgehaald.
Ja Instance Document
4.2 In het instance document worden gegevens uit een verkeerde periode opgenomen.
1.4 Stel vast dat bij het ophalen van de brondata alle relevante gegevens uit de juiste periode worden opgehaald.
Ja Instance Document
4.2 In het instance document worden gegevens uit een verkeerde periode opgenomen.
1.5 Stel vast dat het style sheet alle relevante gegevens opneemt in de presentatie.
Ja Style Sheet 5.2 De style sheet rapporteert niet over alle relevante gegevens.
1.6 Stel vast dat het style sheet geen gegevens toevoegt die niet zijn opgenomen in het instance document.
Ja Style Sheet 5.4 De style sheet presenteert gegevens welke niet door de publicerende organisatie zijn opgenomen.
2.1 Alle gebruikte en gerapporteerde gegevens komen overeen met de brongegevens.
Stel vast of alle benodigde gegevens (uit de mapping) beschikbaar zijn in het juiste format voor de gebruikte XBRL software.
Ja Data 1.2 Brondata worden foutief ingelezen doordat deze in het verkeerde format wordt aangeboden.
2.2 Stel vast dat alle dataconversies benodigd voor in invoer juist en volledig zijn uitgevoerd.
Ja Data 1.1 Bij handmatige conversie van brondata worden gegevens onjuist of onvolledig ingevoerd.
2.3 Stel vast dat alle interfaces die gebruikt worden door de XBRL software juist en volledig werken.
Ja Data 1.3 De communicatie van informatiebron naar XBRL software brengt fouten met zich mee.
2.4 Stel vast of bij de reguliere IT-audit voor de general computer controls zekerheid is verkregen over de juiste werking van de systemen welke gegevens voor de XBRL rapportage opslaan, bewerken of verrijken.
Ja Data 1.4 De systemen die gegevens opslaan, bewerken of verrijken schenden de integriteit van deze gegevens.
49
Nr. Doelstelling
Activiteit IT
controle
XBRL element Risico
Nr.
Risico
2.5 Stel vast dat gegevens opgenomen in het instance document een onveranderde weergave geven van de gegevens uit de bronsystemen.
Ja Instance Document
4.6 Het instance document wordt (na publicatie) ongewenst gewijzigd.
2.6 Stel vast dat ongeautoriseerde personen het instance document niet kunnen aanpassen.
Ja Instance Document
4.6 Het instance document wordt (na publicatie) ongewenst gewijzigd.
2.7 Stel vast dat het instance document niet meer kan worden aangepast na publicatie.
Ja Instance Document
4.6 Het instance document wordt (na publicatie) ongewenst gewijzigd.
2.8 Stel vast dat de gegevens uit het instance document onveranderd worden opgenomen door het style sheet.
Ja Style Sheet 5.3 De style sheet presenteert gegevens onjuist.
3.1 Alle XBRL elementen dienen conform de gehanteerde XBRL specificaties opgezet te zijn.
Stel vast dat de aanwezige XBRL elementen en software zijn opgesteld conform de door de organisatie gekozen specificaties.
Ja XBRL Specificaties
2.1 De specificaties zijn niet juist geïmplementeerd.
3.2 Stel vast dat alle aanwezige XBRL elementen en software zijn opgesteld conform dezelfde versie van de gekozen XBRL specificaties.
Ja XBRL Specificaties
2.2 Een verkeer versie van de specificaties wordt gevolgd voor (een aantal) XBRL elementen.
4.1 De rapportage bevat alle vereiste elementen en informatie.
Stel vast dat de organisatie de juiste taxonomie heeft gekozen, conform het doel van de rapportage.
Nee Taxonomie 3.1 Een verkeerde taxonomie en/of extensie hierop wordt gehanteerd.
4.2 Stel vast dat de organisatie de juiste extensies gebruikt als aanvulling op de taxonomie conform het doel van de rapportage.
Nee Taxonomie 3.1 Een verkeerde taxonomie en/of extensie hierop wordt gehanteerd.
4.3 Stel vast dat voor alle deelprocessen dezelfde taxonomie (inclusief extensies) wordt gebruikt.
Ja Taxonomie 3.2 Verschillende delen van het proces hanteren een andere taxonomie.
4.4 Stel vast dat voor alle deelprocessen dezelfde versie van de gekozen taxonomie en extensies wordt gebruikt.
Ja Taxonomie 3.3 Verschillende delen van het proces hanteren een andere versie van de gekozen taxonomie.
4.5 Stel vast dat het instance document geen objecten bevat die niet zijn gedefinieerd in de gehanteerde taxonomie.
Ja Instance Document
4.3 In het instance document wordt afgeweken van de taxonomie.
4.6 Stel vast dat de in het instance document opgenomen tags zijn opgenomen volgens de taxonomie.
Ja Instance Document
4.3 In het instance document wordt afgeweken van de taxonomie.
50
Nr. Doelstelling
Activiteit IT
controle
XBRL element Risico
Nr.
Risico
4.7 Stel vast dat het instance document geen comments bevat die niet opgenomen dienen te worden in het instance document.
Nee Instance Document
4.4 Het gebruik van comments leidt tot het publiceren van ongewenste gegevens.
4.8 Stel vast dat het instance document geen comments bevat die niet opgenomen dienen te worden in het instance document.
Nee Instance Document
4.5 Het gebruik van comments leidt tot het verkeerd interpreteren van gegevens.
4.9 Stel vast dat naast het instance document de gebruikte taxonomie beschikbaar is gesteld.
Ja Style Sheet 5.1 De style sheet is gebaseerd op een verkeerde taxonomie.
4.10 Stel vast dat eenduidig kan worden herleid welke taxonomie en versie er is gebruikt.
Ja Style Sheet 5.1 De style sheet is gebaseerd op een verkeerde taxonomie.
5.1 De rapportage en deelproducten zijn alleen toegankelijk voor geautoriseerde personen.
Stel vast dat onbevoegden geen toegang hebben tot het (gepubliceerde) instance document.
Ja Instance Document
4.7 Het instance document is toegankelijk voor onbevoegden.
5.2 Stel vast dat communicatie van het instance document gebeurd via beveiligde methoden.
Ja Instance Document
4.7 Het instance document is toegankelijk voor onbevoegden.
6.1 De presentatie is tijdig beschikbaar.
Stel vast dat het instance document beschikbaar is voor de belanghebbenden na publicatie.
Ja Instance Document
4.8 Het instance document is niet tijdig beschikbaar.
Tabel E-1: Normenkader