Gelegenheid maakt de dief… en de leugenaar!
Door Dr Niels van Nieuw Amerongen RA
Ik vraag me wel eens af of accountants regelmatig over fraude dromen. Voor zover ik weet, is hiernaar nog nooit wetenschappelijk onderzoek gedaan. Als je het mij vraagt, zou het geen kwaad kunnen als accountants over fraudegevallen zouden dromen. En wel om twee redenen:
1) fraude staat te boek als een zeldzame gebeurtenis in het leven van een accountant (“Fraud is a rare event”); en
2) als accountants hierover dromen, betekent dat wellicht dat het onderwerp in hun onderbewuste leeft (hopelijk niet het resultaat van een recent fraudegeval waaraan de accountant een traumatische herinnering heeft overgehouden). Ik zou wensen dat het onderwerp fraude de accountant meer zou bezig houden. Het is mijn overtuiging dat, wanneer dit het geval zou zijn, er meer fraudegevallen zouden worden gesignaleerd (en een accountant die veel werk maakt van frauderisico’s realiseert mogelijk ook een preventieve werking).
COS definities
In deze blog leg ik de vinger bij het scharnierpunt gelegenheid. Maar eerst een inleidende opmerking over fraude. In COS 240.11 lezen we de volgende definitie van fraude: “een opzettelijke handeling door één of meer leden van het management, met governance belaste personen, werknemers of derden, waarbij gebruik wordt gemaakt van misleiding teneinde een onrechtmatig of onwettig voordeel te verkrijgen”.
Deze definitie is voor dit blog op twee manieren relevant:
Fraude = liegen (misleiden) om te stelen.
Fraude wordt onderscheiden in managementfraude en werknemersfraude.
In dezelfde COS 240.11 lezen we ook de definitie van frauderisicofactoren: “gebeurtenissen of omstandigheden die wijzen op een stimulans of druk om fraude te plegen of die een gelegenheid scheppen om te frauderen.”
Uit deze definitie volgt al direct dat Gelegenheid leidt tot een frauderisicofactor(*i).
Uit COS 240 noem ik nog een aantal relevante punten betreffende het onderwerp Gelegenheid:
240.A1 – Gelegenheid en doorbreking interne beheersing
Er is sprake van Gelegenheid als de interne beheersing kan worden doorbroken. Het is zinvol om dat verband ook 240.A27 te betrekken: een relevante overweging voor een kleinere entiteit is dat het management door een enkele persoon (bijvoorbeeld de dga) kan worden gedomineerd. Dit vergroot de gelegenheid voor doorbreking van de interne beheersing.
240.A11 – Besprekingen tussen leden van het opdrachtteam.
Het mag bekend worden verondersteld dat het onderwerp frauderisico’s op de agenda staat van besprekingen van het opdrachtteam. Deze toelichtende paragraaf legt er specifiek de vinger bij dat het team dan overweegt welke gelegenheid tot het plegen van fraude aanwezig is of sterker: “wordt geschapen”. De cultuur of omgeving is zodanig vorm gegeven dat fraude mogelijk wordt gemaakt. De houding van het management ten aanzien van het bieden van gelegenheid is dus niet zo maar even “om het even”. Evalueer dat expliciet!
240.A23 – Evaluatie frauderisicofactoren
Deze toelichtende paragraaf noemt verschillende voorbeelden van frauderisicofactoren, waaronder het scheppen van een ondoeltreffende interne beheersingsomgeving. Zie hiervoor.
240.A25 – Fraudedriehoek
A.25 verwijst voor frauderisicofactoren expliciet naar bijlage 1 bij COS 240 en maakt hier al onderscheid tussen frauduleuze financiële verslaggeving (liegen om te stelen) en oneigenlijke toe-eigening van activa (stelen).
Voorts wordt de fraudedriehoek expliciet gemaakt:
– een stimulans of druk om fraude te plegen;
– een waargenomen gelegenheid om fraude te plegen; en
– de mogelijkheid om de frauduleuze handeling te rechtvaardigen.
240.A51 – Fraude is vaak geen geïsoleerde gebeurtenis.
Met verwijzing naar de drie elementen van de fraudedriehoek (waaronder het element Gelegenheid) stelt dit vereiste dat het onwaarschijnlijk is dat een voorgevallen fraudegeval een geïsoleerde gebeurtenis is. Het is misschien wat spijkers op laag water zoeken, maar deze toelichtende tekst gebruikt hier het woord “of”, met andere woorden: voor het plegen van fraude is niet altijd noodzakelijk dat de drie hoeken gelijktijdig aan de orde zijn. Vertaald naar Gelegenheid: het “ampele” feit dat sprake is van Gelegenheid kan leiden tot een fraudegeval (gelegenheid maakt de dief … en de leugenaar), of beter: als er één geval is geweest, is het waarschijnlijk dat er meerdere gevallen zijn geweest.
Deze stellingname vormt de opmaat naar een belangrijk punt: een enkel niet-materieel geval van fraude kan er toe leiden dat per saldo (in de optelsom van alle gevallen) wel sprake is van een risico op een afwijking van materieel belang! Ofwel: geconstateerde Gelegenheid (alsook de andere twee elementen) brengt een frauderisico met zich mee, waarvoor je passende werkzaamheden zult moeten gaan plannen. Het is aan de ondernemer (het management) om keuzes te maken over de inrichting van de interne beheersingsomgeving gebaseerd op eigen kosten/batenafwegingen, maar de keuze voor Gelegenheid impliceert in beginsel dus ook een kostenpost voor het werk dat de accountant dientengevolge moet plannen en uitvoeren.
In het onderstaande maakt bijlage 1 onderscheid tussen gelegenheid betreffende frauduleuze financiële verslaggeving (liegen om te stelen) en oneigenlijke toe-eigening van activa. Voor het inzicht heb ik die splitsing onderstaand ook aangebracht
Bijlage 1a
Gelegenheden frauduleuze financiële verslaggeving
De aard van de sector of de activiteiten van de entiteit biedt gelegenheid tot frauduleuze financiële verslaggeving die kan voortkomen uit:
● significante transacties met verbonden partijen buiten het kader van de normale bedrijfsvoering of transacties met verbonden entiteiten die al dan niet door een andere accountantseenheid worden gecontroleerd;
● een sterke financiële aanwezigheid of de mogelijkheid om een bepaalde sector te domineren waardoor de entiteit in staat is aan leveranciers of klanten voorwaarden op te leggen die kunnen leiden tot ongepaste transacties of transacties die niet marktconform zijn;
● activa, verplichtingen, opbrengsten of lasten die gebaseerd zijn op significante schattingen die steunen op moeilijk te staven subjectieve oordeelsvormingen of onzekerheden;
● significante, ongebruikelijke of zeer complexe transacties, met name transacties die vlak vóór het einde van de verslagperiode plaatsvinden en die moeilijke vragen oproepen met betrekking tot het prevaleren van de economische realiteit boven de juridische vorm ('substance over form');
● significante activiteiten in het buitenland of grensoverschrijdende activiteiten in jurisdicties waar andere bedrijfsomgevingen en -culturen bestaan;
● de inschakeling van zakelijke tussenpersonen waarvoor geen duidelijke zakelijke reden lijkt te bestaan;
● significante bankrekeningen of activiteiten met dochtermaatschappijen of nevenvestigingen in belastingparadijzen waarvoor geen duidelijke zakelijke reden lijkt te bestaan.
Bijlage 1b
Gelegenheden oneigenlijk toe-eigenen van activa
Sommige kenmerken of omstandigheden kunnen de vatbaarheid van het vergroten. Zo kan meer gelegenheid daartoe wordt gecreëerd in de volgende situaties:
● grote hoeveelheden contant geld in kas of groot kasverkeer;
● voorraaditems die een geringe omvang maar een hoge waarde hebben of waarnaar de vraag hoog is;
● gemakkelijk te verzilveren activa, zoals effecten aan toonder, diamanten of computerchips;
● vaste activa die van een geringe omvang en gemakkelijk te verkopen zijn of waarvan niet op duidelijke wijze is aangegeven wie de eigenaar is.
Inadequate interne beheersingsmaatregelen met betrekking tot activa kunnen die activa vatbaarder maken voor oneigenlijk toe-eigening. Zo is het mogelijk dat activa oneigenlijk worden toegeëigend omdat de volgende factoren bestaan:
● inadequate functiescheiding of onafhankelijke controles;
● inadequaat toezicht op de uitgaven van het senior management, zoals vergoeding van reiskosten en andere kosten;
● inadequaat toezicht uitgeoefend door het management op werknemers die verantwoordelijk zijn voor activa, zoals inadequaat toezicht op of inadequate monitoring van afgelegen vestigingen;
● inadequate screening van de sollicitanten die na aanwerving toegang hebben gekregen tot activa;
● inadequate administratie met betrekking tot activa;
● inadequaat systeem van autorisatie en goedkeuring van transacties (bijvoorbeeld aan de inkoopzijde);
● inadequate fysieke veiligheidsmaatregelen voor liquide middelen, beleggingen, voorraden of vaste activa;
● het ontbreken van een volledige en tijdige aansluiting van activa;
● het ontbreken van een tijdige en adequate documentatie van transacties, bijvoorbeeld de creditering van geretourneerde goederen;
● geen verplichte vakantie voor werknemers in sleutelfuncties binnen de interne beheersing;
● ontoereikende kennis bij het management van informatietechnologie, waardoor het IT-personeel in staat is activa oneigenlijk toe te eigenen;
● inadequate toegangsbeveiligingsmaatregelen voor geautomatiseerde bestanden, met inbegrip van interne beheersingsmaatregelen met betrekking tot de logbestanden van computersystemen en de beoordeling.
Alles bij elkaar is het een behoorlijke opsomming van mogelijkheden. Toch loont het de moeite om het “lijstje” van gelegenheidsfactoren bij iedere cliënt even langs te laten komen. Better safe than sorry. Maar ook: het zal je helpen om precies die werkzaamheden te bedenken die nodig zijn om het specifieke fraudegelegenheidsrisico (weer een mooi woord voor accountantsgalgje) te adresseren. Bovendien ligt het in lijn met maatregel 4.4 uit het rapport In het publiek belang. Sommigen noemen dat ook wel win-win.
Een praktijkvoorbeeld: Semco, lang leve de vrijheid!
Je hebt vast wel eens gehoord van Ricardo Semler. Ricardo Semler is een bekende Braziliaanse ondernemer; hij is CEO en hoofdeigenaar van Semco SA. Semler heeft een eigenzinnige visie op hoe bedrijven het beste functioneren, hoe ze tot groei en ontwikkeling kunnen komen, en hoe het beste uit de medewerkers kan worden gehaald. Zijn visie is gebaseerd op het uitgangspunt van vertrouwen en het geven van ruimte aan de medewerkers. Een centraal uitgangspunt hierin is dat alle mensen verantwoordelijkheidsbesef hebben; medewerkers die dat niet hebben passen niet in de cultuur van Semco. Dit impliceert ook dat in beginsel geen sprake is van interne of externe controles.
In zijn boek Het weekend van zeven dagen geeft hij zelfs aan geen controles te implementeren nadat zich een fraude heeft voorgedaan met een zakelijke creditcard (p.156) waardoor de betrokken manager met een schuld van twee jaarsalarissen kwam te zitten.
Hoe zou jij het vinden om een cliënt als Semco als grote controlecliënt te hebben? Wat zou dit betekenen voor de accountantscontrole betreffende de gelegenheid die aanwezig is voor het ontvreemden van geld of goederen? Zou je een dergelijke cliënt accepteren of iets ruimer geformuleerd: zou je graag een dergelijke cliënt in je portefeuille hebben?
Het vorenstaande is niet beperkt tot het hoofdkantoor van Semco. Semco werkt ook samen met joint venture partners (p.157). Die JV partners hanteren vrijwel zonder uitzondering voor hun eigen organisatie strikte regels en controleprocedures. Deze controleprocedures gelden echter niet voor de joint venture ondernemingen. Kennelijk hebben zij de filosofie van Semco geaccepteerd.
Stel je bent accountant van één van de JV partners? Zou je aan de JV met Semco een verhoogd risico toekennen?
Onderstaand heb ik nog een aantal praktische tips opgenomen:
Gelegenheid op microniveau
– in de brainstorm over frauderisico’s tijdens de pre audit meeting: evalueer per proces waar sprake is van tekortschietende functiescheidingen of autorisatiestructuren. Let op: ook daar het in beginsel wel goed is ingeregeld, kan sprake zijn van gelegenheid, namelijk in (structurele) uitzonderingssituaties als vakantieperioden, of na reguliere werktijd, dan kunnen er ook zaken plaatsvinden die het daglicht niet kunnen verdragen.
– Betrek gelegenheid op zowel liegen (om te stelen) als stelen. Welke waarborgen heeft de klant zelf getroffen? Welke waarborgen tref je zelf als accountant?
Gelegenheid op macroniveau
– Neem je controleportefeuille door op gelegenheid voor het management: bij welke cliënten verwacht je een tendentie op het gebied van voldoen aan bankconvenanten, een potentieel continuïteitsvraagstuk, variabele beloning die gekoppeld is aan bepaalde jaarrekeninguitkomsten, bepaalde stakeholders die belang hechten aan bepaalde toelichtingen
– Als je merkt dat er binnen de controlepraktijk nog te weinig signaalfunctie is wat betreft frauderisicofactoren, of in het bijzonder het onderkennen van gelegenheid, dan is het wellicht nuttig om de medewerkers hierop gericht te trainen.
Afsluitend:
Dan Ariely (James B. Duke Professor of Psychology and Behavioral Economics, Duke University) beschrijft in zijn boek Heerlijk Oneerlijk dat zijn theorie dat de meeste mensen frauderen al vaak juist is gebleken in zijn talloze wetenschappelijke experimenten. Zijn boek heeft niet voor niets de subtitel hoe we allemaal liegen, met name tegen onszelf. Met dit uitgangspunt in gedachten is het temeer van belang om Gelegenheden niet weg te rationaliseren of ze automatisch te scharen onder de verklaring van oordeelonthouding. Maak er werk van! En nu weten dat we allemaal oneerlijk zijn, zal het best meevallen om tijdens een teambespreking in de huid van een fraudeur te kruipen. Wat zou jij (kunnen) doen bij de interne beheersingsomgeving waarvan bij de klant sprake is? Welk olifantenpad zie jij? Of kies je liever het hazenpad?
Dr Niels van Nieuw Amerongen RA is directeur bij V&A accountants-adviseurs en associate professor Auditing & Assurance aan Nyenrode
Literatuur:
Ariely, D. 2012. Heerlijk oneerlijk. Maven Publishing.
Semler, R. 2015. Het weekend van zeven dagen. Een goede balans tussen werk en privé leven. Meulenhoff Boekerij bv.
i) Voor de opbrengstverantwoording veronderstelt COS 240 dat sprake is van een weerlegbaar frauderisico. Het is hier niet de plaats om diepgaand op deze “rebuttable assumption” in te gaan, maar het is wel relevant om te onderkennen dat zodra de AO/IB rond het verkoopproces gelegenheid voor fraude biedt, weerlegging van de fraudeveronderstelling “schier onmogelijk” is.