Een pleidooi voor een sterk kwalitatief gestuurde aanpak om te controleren op fraude

De AFM publiceerde recentelijk een kritisch rapport ‘Scherper op frauderisico’s!’ die betrekking heeft op de praktijk van controlerend accountants. Hoewel het goed signaleren van frauderisico’s een kerntaak is van accountants, werden volgens de AFM  in de helft van de onderzochte controles overduidelijke frauderisico’s niet (h)erkend. Het onderzoek laat dan ook zien dat de wettelijke controle met betrekking tot fraude nog niet altijd voldoende diepgang heeft. Daarbij tekent de AFM op dat zonder scherpe frauderisicoanalyse vooraf de wettelijke controle een valste start heeft en men in feite niet kan voldoen aan de kwaliteitsvereisten.

Het probleem van fraude is dat de cijfers in de geld en goederenbeweging (of waarden) opzettelijk kloppend of passend worden gemaakt in de verslaggeving. Of dat belangrijke informatie buiten de boeken wordt gehouden. Dat gebeurt natuurlijk om bepaalde problemen of intenties te verhullen (zie verderop drie hoofdmotieven onder ‘risicoprofiel bepalen’).

Met klassieke (kwantitatieve) vergelijkingsmethoden van accountants wordt fraude daarom vrijwel nooit onderkend. Een professionele fraudeur weet inmiddels wel hoe een accountant werkt en dus hoe hij hen – en de gebruikers van de jaarrekening – zand in de ogen kan strooien. De vaststelling dat gepresenteerde gegevens ook betrouwbaar en integer zijn, vereist daarom een meer kwalitatieve oriëntatie: weten of aanvoelen wanneer je als accountant wordt bedonderd (en hiernaar handelen).

Een risicogestuurde controleaanpak kan uitkomst bieden. Het is – in tegenstelling tot veel gebruikte methoden – meer kwalitatief van aard en omvat ten minste de volgende onderdelen in een min of meer chronologisch proces.

Handelingsperspectief voor de praktijk
Hoewel voor accountants al veel is voorgeschreven, lijkt het soms nog te ontbreken aan handelingsperspectief om de controleaanpak met betrekking tot frauderisico’s goed vorm te geven. Daarbij is het van belang te begrijpen dat inzicht in potentiële frauderisico’s bij de cliënt sterk bepalend is voor hoe je als accountant naar de gepresenteerde informatie (beweringen) in de omzetverantwoording kijkt. Zonder dit inzicht is de kans niet heel groot dat men de fraudesignalen (h)erkent of ontdekt.

Een risicogestuurde controleaanpak kan hier uitkomst bieden. Het is – in tegenstelling tot veel gebruikte methoden – meer kwalitatief van aard en omvat ten minste de volgende onderdelen in een min of meer chronologisch proces.

Ken je cliënt
Hierbij gaat het natuurlijk niet alleen om het persoonlijke contact en de relatie, maar (vooral) om het zo goed mogelijk in kaart brengen van de context en de complexiteit van de structuur en de omgeving van cliënt (zie ook Standaard 315). En daarbij de mogelijke strategische scenario’s en dilemma’s waaruit de druk en de gelegenheid om te frauderen kan ontstaan.

Frauderisicoprofiel bepalen
Als je de context van cliënt goed begrijpt, breng je alle mogelijke (inherente) frauderisicofactoren (scenario’s) in kaart die zich – gelet op het cliëntprofiel – kunnen manifesteren in de omzetverantwoording (materieel belang). De scenario’s zijn doorgaans in te delen in drie categorieën;

  1. Slechte bedrijfsresultaten of continuïteitsproblemen verhullen;
  2. Bedrijfsresultaten (of continuïteit) op onrechtmatige wijze afdwingen en;
  3. Onrechtmatige zelfverrijking cq onrechtmatig vermogen onttrekken.

Er zijn natuurlijk vele scenario’s mogelijk en (let op!) die men in deze fase nooit kan weerleggen. We gebruiken de frauderisicofactoren hier namelijk om een risicoprofiel voor de cliënt te maken. In feite moeten we alle cliënten in deze context met gezond wantrouwen benaderen. Hoewel fraude in de omzetverantwoording als één van de twee frauderisico’s wordt benoemd (Standaard 240), ligt juist hier overigens de mogelijkheid voor de controlerend accountant om meer diepgang te zoeken in alle mogelijke verschijningsvormen.

De kwaliteit van de frauderisicobeheersing schatten (interim controle)
Met behulp van het risicoprofiel onderzoekt de accountant of de cliënt een adequate interne beheersing voert om het risico op de frauderisico’s te mitigeren. Daarbij kijkt hij of zij natuurlijk ook in welke mate er risico’s bestaan om de interne beheersing te doorbreken (management override) en/of de beheersing ook op dit punt voldoende is. Dit is tevens ook de tweede belangrijkste frauderisico die in Standaard 240 word beschreven en waar de accountant zich met meer diepgang op kan oriënteren. In dit verband is de sociale context in het bedrijf overigens vaak veelzeggend. Hoe reageren betrokken medewerkers en managers op kritische vragen en wat doet de accountant hiermee?

Significante frauderisico’s bepalen voor de controle
Met bovenstaande inzichten kan de accountant (definitief) een inschatting maken van de grootste frauderisico’s in de verslaglegging die men prioriteert en waarmee de accountant gericht onderzoek kan doen in de journaalposten en de onderliggende documenten. De keuzes en prioriteiten worden natuurlijk onderbouwd. Met concrete scenario’s – mogelijke verschijningsvormen – weet de accountant ‘hoe’ hij of zij in de verslaglegging en de onderliggende informatie moet kijken en waarover men kritische vragen moet stellen. Passen de gepresenteerde gegevens wel bij de context? Aandachtspunt is dat men geen frauderisico’s weerlegt zonder overtuigende onderbouwing.

Controle van de jaarrekening
De accountant voert met bovenstaande inzichten de controle gericht uit op basis van de significante frauderisico’s om een redelijke mate van zekerheid te krijgen over of de verslaggeving vrij is van fraude (en fouten). Als er bevindingen zijn inzake fraude, worden deze natuurlijk eerst rechtstreeks aan de met ‘governance belaste personen’ van de organisatie gerapporteerd. De accountant handelt – bij signalen van fraude – natuurlijk wel overeenkomstig de Wet (art. 36, 37 en 38 Bta in verband met art. 26, 2e en 3e lid Wta). Dat wil (onder andere) zeggen dat hij of zij de fraude in principe altijd meldt bij een opsporingsambtenaar tenzij het management van de organisatie de fraude herstelt.

Rapportage
Als de accountant alle voorliggende stappen zorgvuldig doorloopt en het proces, de verkregen informatie en kennis goed vastlegt en de keuzes voor de controle onderbouwt, dan is de rapportage (verantwoording) over de controleaanpak natuurlijk een koud kunstje. Hiermee voldoet men dan ook ruimschoots aan de nieuwe verplichting om de rapporteren over de controleaanpak frauderisico’s (Standaard 700). Ingewikkeld(er) is het eigenlijk niet!

Tot slot: Uiteraard draagt dit hele proces eraan bij dat de accountant de cliënt steeds beter leert kennen. In feite is de eerste keer dat men een wettelijk controle uitvoert bij betreffende cliënt de inspanning voor het in kaart brengen van frauderisico’s het grootst. De volgende jaren kan men immers voortbouwen op eerder opgedane kennis en ervaringen om de wettelijke controle zo effectief en efficiënt mogelijk uit te voeren.

Steef de Vries MCC FFE is specialist in compliance, forensics & risks (partner) bij www.compliability.nl en als expert verbonden aan het Nederlands Financieel Forensisch Instituut (NFFI)
Gerelateerde artikelen