Integriteit controlecliënt en indringende uitspraak Accountantskamer
Nu zou je kunnen denken: “Oké, logisch, onvoldoende werk gedaan c.q. gedocumenteerd, dus dom van die accountant, en door, naar de orde van de dag”. Toch kunnen we naar mijn bescheiden mening nog wel het nodige opsteken van deze uitspraak, aldus Prof. dr. Niels van Nieuw Amerongen RA.
Klager en klacht
De klager (Autoriteit Financiële Markten) heeft een vijftal klachtonderdelen geformuleerd die samengevat de volgende deelgebieden raken:
(a) cliënt- en opdrachtacceptatie;
(b) frauderisico-inschatting,
(c) controle-informatie betreffende verbonden partijen
(d) waardering financiële vaste activa
(e) verantwoordelijkheid voor algehele kwaliteit van de controle.
Als je de klachtonderdelen bekijkt in relatie tot cliëntintegriteit, zou je verwachten dat dit in de klachtonderdelen a tot en met d zou terugkeren, maar dat blijkt niet het geval te zijn. De uitspraak behandelt het onderwerp ‘beoordeling integriteit’ uitsluitend in het eerste klachtonderdeel (cliënt- en opdrachtacceptatie). In dit blog wil ik de integriteitinschatting belichten voor elk van de fasen van het controleproces. Daaraan ligt de overweging ten grondslag dat uitkomsten van de integriteitinschatting in elk van de fasen een belangrijke rol spelen. Het zou in feite als rode draad moeten fungeren. Een onjuiste inschatting van de integriteit van de cliënt in de voorbereidingsfase heeft mogelijk verstrekkende gevolgen voor het verdere van de controle. Dit is een breder perspectief dan in de uitspraak wordt gehanteerd.
Fase voorbereiding en planning
In klachtonderdeel (a) stelt de AFM dat de accountant onvoldoende werkzaamheden heeft verricht in het kader van cliënt- en opdrachtacceptatie. Uit de uitspraak valt af te leiden dat geen sprake is van een nieuwe cliënt of opdracht. Daarmee is de context van de klacht die van het continueren van een opdracht. De AFM stelt dat de accountant onvoldoende werk terzake de beoordeling van de integriteit (en andere relevante thema’s in de continueringsfase) heeft verricht. De AFM refereert voor de integriteitinschatting aan twee kaders vanuit wet- en regelgeving:
Besluit Toezicht Accountantsorganisaties (BTA), artikel 12. Belangrijke notie uit dit artikel is dat de beoordeling van de integriteit dient plaats te vinden voordat een conclusie omtrent continuering van de (wettelijke controle-)opdracht wordt getrokken.
Controlestandaard 220.12 en 220.A8. Hier wordt gerefereerd aan kwaliteitsbeheersing rond de controle-opdracht. Het vereiste is dat sprake moet zijn van passende procedures betreffende acceptatie en continuering van de opdracht. De integriteitsbeoordeling wordt hieronder geschaard. De bijbehorende toelichtende paragraaf A8 specificeert dat de integriteitsbeoordeling betrekking heeft op de belangrijkste houders van kapitaalbelangen, kernpersonen binnen het management, en personen belast met governance.
Wat betreft de voorbereidingsfase heb ik hieraan niets toe te voegen. De controlestandaarden en het BTA zijn nu eenmaal summier over de integriteitsbeoordeling. Zo is opmerkelijk dat een definitie ontbreekt van integriteit, en van integriteitsbeoordeling. In Standaard 200 komt het onderwerp Integriteit zelfs niet aan bod [3]. In dat licht bezien is het voor de klager gemakkelijk ‘scoren’ bij een leeg dossier. Had het dossier wel een integriteitsbeoordeling bevat, maar was deze bijvoorbeeld summier gedocumenteerd, zou er – vanwege het ontbreken van een goed normenkader – een veel lastiger te betwisten casuspositie bestaan (uit oogpunt van klager).
In het geheel van de uitspraak zijn bovenstaande BTA- en NV COS-referenties de enige referenties naar wet- en regelgeving in de uitspraak. Klachtonderdeel (b) betreft de frauderisico inschatting. In de inleidende opmerkingen van de uitspraak refereert de Accountantskamer aan ‘de vele red flags die duiden op de aanwezigheid van verschillende frauderisicofactoren en mogelijke risico’s rondom integriteit’. Met deze zinsnede geeft de Accountantskamer aan dat er rondom het onderwerp Integriteitbeoordeling een relatie bestaat tussen continueringsfase en de planningsfase.
Voor de planningsfase van de controle zijn met name de Standaarden 240 (Fraude) en 315 (Risico-inschatting) van belang. Het zal niet verbazen als het onderwerp integriteit meer wordt geraakt in de context van fraude (omdat niet-integer zijn linkt aan fraude) dan in de meer generieke context van risico-inschatting. Hoewel Standaard 240 ook relatief meer hits heeft op het woord ‘integriteit, is opmerkelijk dat het onderwerp integriteit ook in deze Standaard 240 niet systematisch aan bod komt. Meer specifiek komt het volgende naar voren:
Standaard 240.4 plaatst Fraude primair in het verantwoordelijkheidsdomein van het management en met governance belaste personen. Zij moeten fraude zien te voorkomen (en detecteren). Zij zouden moeten streven naar een cultuur van integriteit en ethisch gedrag.
Standaard 240.9 wijst er op dat Fraude niet het enige domein is waarin de accountant verantwoordelijkheid heeft, er zijn nog andere Standaarden dan fraude. Die verantwoordelijkheden kunnen ook informatie (zoals met betrekking tot de integriteit van het management) aan het licht brengen die relevant is in het kader van de frauderisico-inschatting. In mijn eigen woorden: komt de accountant een issue op het spoor waarbij de integriteit van de cliënt in het geding is, dan moet de accountant overwegen of dit een geïsoleerd vraagstuk betreft, dan wel verder gaande impact heeft (eerder heb ik dit wel eens het kakkerlak-effect genoemd).
Naast de bovenstaande vereisten bevatten de toelichtende paragrafen bij Standaard 240 ook nog enkele ‘wetenswaardigheden’:
Paragraaf 240.A28 brengt ons in de context van de ‘kleine entiteit’. Dominantie van de directeur-grootaandeelhouder kan een kenmerk zijn bij kleinere entiteiten. De paragraaf refereert aan de voorbeeldfunctie van het management wat betreft een cultuur van integriteit en ethisch handelen. Dominantie van de dga wordt niet automatisch gezien als nadelig voor zijn of haar houding ten aanzien van interne beheersing. Ik neem dat voor kennisgeving aan.
Paragraaf 240.A55 wijst op de uitzonderlijke situatie dat de accountant de controle niet kan voortzetten (en tussentijds de opdracht teruggeeft). Een voorbeeld van een dergelijke situatie is dat de accountant een significant punt van zorg heeft over de integriteit van de cliënt. Ik kom hierop terug bij de bespreking van de afrondingsfase.
Paragraaf 240.A65 doet een suggestie voor de uitzonderlijke situatie dat de accountant twijfelt aan de integriteit van het management: schakel een jurist in. Het is de vraag of deze paragraaf zo moet worden gelezen dat (volgens de IAASB) de accountant meestal geen twijfels heeft over de integriteit van het management of dat de accountant in een specifieke (uitzonderlijke) situatie waarin hij zijn vingers niet achter de integriteit van het management krijgt (en twijfelt), wordt aanbevolen om een jurist in te schakelen.
In Standaard 315 (risico-inschatting) komt integriteit sporadisch aan de orde, anders dan waar het raakt aan de integriteit van informatie. Het enige dat ik heb kunnen traceren is Standaard 315.25 en paragraaf 315.A124. Dit relateert de wijze waarop het management de interne beheersing heeft ingericht van dien aard is dat twijfels rijzen over de controleerbaarheid van de onderneming. Als voorbeeld wordt genoemd de situatie waarin sprake is van ernstige twijfels omtrent de controleerbaarheid van de onderneming. Zie de eerdere opmerking bij Standaard 240.A55.
Aan het eind van de uitspraak (bij het overwegen welke maatregel passend is en geboden) refereert de Accountantskamer aan Standaard 330. Daarbij worden de beoordeling van de cliëntrelatie en voortzetting van de opdracht, alsmede risico-inschattingswerkzaamheden en het opzetten van passende controlewerkzaamheden als één trits van met elkaar verband houdende elementen genoemd. Opvallend is dat het woord ‘integriteit’ wel in Standaard 300 wordt genoemd, maar uitsluitend in de context ‘integriteit van informatie’ en niet in de context van ‘integriteit van personen’. De Standaard helpt ons helaas dus niet concreet verder op het gebied van ‘integriteit’. Evenwel zal het conceptueel niet moeilijk zijn om het te plotten in het risico-analysemodel: een positieve inschatting van de integriteit van het management heeft een verlaagd initieel risico tot gevolg, een negatieve inschatting (red flags) leidt tot een verhoogde risico-inschatting, die mogelijk ‘pervasive’ van aard is, en meerdere posten en beweringen kan raken.
Fase controls testing
Zoals hiervoor vermeld gaat Standaard 330 niet expliciet in op integriteit van het management in relatie tot controls testing. De integriteitsinschatting is daarmee met name relevant voor de situatie waarin de interne beheersing zodanig is opgezet en ingericht dat de accountant hierop niet zal kunnen steunen of testen van de effectieve werking zal uitvoeren.
Fase gegevensgericht
In de uitspraak van de Accountantskamer gaan klachtonderdelen (c) en (d) over gegevensgerichte werkzaamheden betreffende verbonden partijen en financiële vaste activa. Deze onderdelen worden niet expliciet in verband gebracht met de integriteitinschatting. Wat betreft het klachtonderdeel ‘Verbonden partijen’ geeft de uitspraak wel aanknopingspunten om de klacht in verband met integriteit van het management te brengen. De klacht brengt immers wel naar voren dat relaties met verbonden partijen gelegenheid kunnen scheppen tot manipulatie door het management. Even verderop in de uitspraak komt de zakelijkheid van de beweegredenen van het management ter sprake. Nog weer verderop wordt de red flag terzake vage omschrijving op bankafschriften beschouwd. Echter, het vorenstaande leidt vooral tot de conclusie (overigens niet ten onrechte) dat de accountant hier een meer professioneel-kritische instelling had moeten toepassen. Normaliter had de heroverweging van de integriteit van het management hieraan vooraf moeten gaan.
Voor wat betreft het klachtonderdeel ‘Waardering financiële activa’ start de analyse met de overweging dat deze post complex is, en dat hiervoor een significant risico is onderkend. In beginsel worden vooral twee aspecten in de analyse betrokken: (1) de accountant heeft 52 aantekeningen van het team genegeerd; en (2) de accountant heeft overwegend gesteund op de inlichtingen van het management. Dat is een vrij recht-toe-recht-aan beschouwing van wat de NV COS vereisen, namelijk voor een significant risico mag je niet volstaan met inlichtingen. Dat is nogal wiedes. De gegrondheid van het klachtonderdeel staat mijns inziens dan ook niet ter discussie. Wel wil ik aandacht vragen voor de relatie tussen het inwinnen van inlichtingen en de conclusie ten aanzien van de integriteitinschatting. Dit is een aspect dat in veel controledossiers nog wel verbetering behoeft (gebaseerd op mijn observatie als kwaliteitsbeoordelaar en coach van controleteams). In algemene zin geldt wat mij betreft de hoofdregel: naarmate meer wordt gesteund op inlichtingen van het management, des te belangrijker is de evaluatie van de integriteit van het management. In dat kader begrijp ik ook Standaard 200.24 en 240.A9 waarin gesteld wordt dat de accountant eerdere (positieve) ervaringen met de integriteit van het management niet hoeft te negeren. Die mag je in de overwegingen meenemen. Het mag natuurlijk niet ten koste gaan van de professioneel-kritische instelling. In situaties waarin sprake is van een lagere integriteit-inschatting is meer professioneel-kritische instelling noodzakelijk. In die zin zou de evaluatie van de integriteit als een rode draad door het dossier moeten lopen. Hierbij kan het een valkuil zijn wanneer het ene teamlid de inschatting van de integriteit in de voorbereidingsfase doet, en een ander teamlid bepaalde gegevensgerichte werkzaamheden uitvoert. Het vergt onderlinge communicatie binnen het team, en het is wenselijk dat de gegevensgerichte werkprogramma’s een ‘primer’ zouden bevatten die het teamlid triggeren expliciet na te denken over cliëntintegriteit.
Nog een laatste punt moet me op dit punt van het hart. Het is opmerkelijk dat Standaard 500 (betrouwbaarheid van controle-informatie) geen enkele referentie bevat naar de integriteitinschatting. In de Engelstalige onderzoeksliteratuur heet dit vraagstuk ‘source credibility’: welke geloofwaardigheid heeft de informatiebron voor de accountant? In de toelichtende paragraaf 500.A21 worden wel verschillende kenmerken van verschillen in betrouwbaarheid van controle-informatie benoemd, maar een overweging betreffende de integriteit van het management ontbreekt. Het is voor de standard setter (IAASB) aan te bevelen om de Standaard op dit punt te expliciteren. Ik kom hierop terug in de volgende paragraaf.
Fase afronding
De afrondingsfase van de controle komt in de uitspraak ter sprake in de context dat de accountant met een dergelijk leeg dossier geen controleverklaring had mogen verstrekken. Dit wordt zelfs ‘doodzonde [4]’ genoemd. Ook de periode na de afrondingsfase is relevant in deze uitspraak, door het schenden van de zestig-dagen-termijn van dossiersluiting. Dit aspect laat ik verder buiten beschouwing.
De Controlestandaarden bevatten nog enige relevante denkrichtingen als het gaat om de integriteitoverweging in de afrondingsfase. Bij de bespreking van Standaard 240.A55 is aan de orde geweest dat – wanneer de accountant significante zorgen over de integriteit heeft – dit voor de accountant aanleiding kan zijn om de controleopdracht terug te geven [5].
In de voorgaande paragraaf heb ik stil gestaan bij het ontbreken van overwegingen omtrent de integriteit in Standaard 500 (betrouwbaarheid van controle-informatie). In het geheel van de 500-serie komt het echter wel terug, namelijk in Standaard 580. In vereiste 17 van deze Standaard wordt min of meer herhaald dat sprake kan zijn van zodanige (significante?) twijfels omtrent de integriteit dat de opdracht niet kan worden voortgezet [6].
Vereiste 16 van Standaard 580 bevat een situatie van minder ernstige aard: de accountant heeft wel zorgen over de integriteit van het management, maar deze zijn (in eerste instantie) niet zodanig ernstig dat de opdracht moet worden teruggegeven. Stap 1 is dan om de betrouwbaarheid van controle-informatie (mondelinge en schriftelijke informatie) te heroverwegen (wat ik verwacht had om in Standaard 500 op te nemen). Vereiste 20 van Standaard 580 betreft de situatie dat er voldoende twijfel (waar de grens tussen ‘voldoende’ of ‘ernstig’ ligt, is niet duidelijk) over de integriteit bestaat, alsmede twijfels over de betrouwbaarheid van de bevestigingen van het management. In dat geval verstrekt de accountant een niet-goedkeurende controleverklaring (Standaard 580.19c, Standaard 705).
De ernst van de twijfels is daarmee bepalend voor de vraag of de opdracht niet kan worden voortgezet of dat een niet-goedkeurende controleverklaring wordt verstrekt.
Samenvattend geeft deze uitspraak van de Accountantskamer en het onderwerp Integriteit veel stof tot nadenken. Ik wil je daarom van harte aanmoedigen om dit onderwerp verder te doordenken en je reacties op dit blog te delen. Ik hoop in de toekomst nog verder over dit onderwerp te schrijven, mede naar aanleiding van het onderzoek naar hoe MKB accountants integriteitinschattingen maken (Nyenrode Business Universiteit).