Beoordelen frauderisico’s onlosmakelijk onderdeel van internal audit
Het Instituut van Internal Auditors (IIA) voelt zich zeer betrokken bij deze discussie. Het IIA is van mening dat zowel de externe accountant als de internal auditor een belangrijke rol speelt bij het opsporen van fraude.
Het IIA beschrijft in de Standaarden de rol van de internal auditor ten aanzien van fraude als volgt: De internal auditor evalueert de effectiviteit van governance en risicomanagement van zijn organisatie en helpt deze te verbeteren. Omdat fraude de realisatie van diverse organisatiedoelen en het imago van de organisatie kan bedreigen, maakt de beoordeling van het beperken van frauderisico’s een essentieel onderdeel uit van het werk van de internal auditor. Standaard 2060 geeft aan dat de internal auditor de belangrijkste risico's en controlekwesties dient te rapporteren aan het senior management en/of bestuur (inclusief frauderisico's).
Allereerst bekijkt de internal auditor hoe de organisatie frauderisico’s beheerst: is het proces van risicomanagement op orde? (Standaard 2120.A2). Bij de start van elke audit wordt een risicoanalyse uitgevoerd: welke risico’s kunnen de doelen bedreigen? Het bestaan van frauderisico’s is ook onderdeel van de risicoanalyse, zo geven de Standaarden expliciet aan (Standaard 2210.A1/A2). In elke audit wordt de effectiviteit van de (beheers)maatregelen onderzocht om de frauderisico’s voldoende te mitigeren.
Bestaat hiermee de zekerheid dat elke fraude wordt opgespoord? Nee, maar het vergroot het bewustzijn en de kwaliteit van de organisatie én het vergroot de kans dat fraudes worden gedetecteerd, zeker voor grotere, materiële fraudes. De bedreiging dat bedrijfsdoelstellingen niet behaald worden, wordt hiermee verkleind.
Moet de auditor dan ook elke fraude kunnen onderzoeken? Nee, de auditor hoeft geen (gespecialiseerd) fraude-onderzoeker te zijn, maar dient wel altijd voldoende kennis te hebben om het risico op fraude te onderzoeken (Standaard 1210.A2). Op het moment dat er nadrukkelijke signalen (‘red flags’) zijn, kan de auditor vervolgens specialisten inschakelen.
De context van de discussie
De discussie in het FD is gestart door Peter Schimmel, forensisch accountant bij Grant Thornton. Hij geeft aan dat het opsporen en ontdekken van fraude geen taak is van de accountant, met name omdat die daartoe niet in staat is. Marcel Pheiffer heeft daar op gereageerd dat ‘het zoeken naar fraude bij de reguliere accountantscontrole geen kul is’, met name omdat het inherent is aan de doelstelling van de accountantscontrole en de zekerheid die die controle verschaft.
In een redactioneel commentaar benadrukt het FD het belang dat fraude serieus wordt aangepakt, ook om aan te sluiten bij hetgeen de maatschappij van de accountant als poortwachter verwacht. In de opinierubriek van het FD stelt Paul Koster dat ook het luisteren naar de ‘vloer’ een essentieel onderdeel is om fraudes op te sporen. Daartoe zijn juist internal auditors uitermate geschikt, aangezien ze zich regelmatig over die vloer begeven.
In de discussie lijken twee vragen, enigszins door elkaar, te spelen:
1. Is het de taak van de accountant om fraude op te sporen?
2. Kan de accountant fraude in de reguliere accountantscontrole wel opsporen?
De eerste vraag wordt in de wettelijke taak en beroepsregels van de accountant bevestigend beantwoord. Het probleem lijkt aldus meer in de tweede vraag te zitten. Dat is ook waar Peter Schimmel op wijst: de fraudeurs hebben zulke verfijnde werkwijzen, in essentie juist bedoeld om dingen te verhullen, dat een fraude heel moeilijk (tijdig) te ontdekken is en ook gedragswetenschappelijke kennis vereist. Hierdoor is vaak sprake van een verwachtingskloof over wat de accountant wil en kan; er wordt meer van de accountant verwacht dan hij waar kan maken. Daarbij spelen ook de budgetten van de reguliere controle, die sterk onder druk hebben gestaan. Marcel Pheiffer geeft echter aan dat daar geen excuus mag liggen en het IIA sluit zich hierbij aan: “Het bekijken van de frauderisico’s en signalen is onlosmakelijk verbonden aan de doelstelling van de audits en behoort tot de kennis en kunde van de auditor, of zou dat in ieder geval moeten doen.”