Accountants hebben gelijk als ze stellen dat ondernemingen en hun bestuurders en commissarissen ook een verantwoordelijkheid hebben, als het gaat om het voorkomen van fraude en het waarborgen van betrouwbare verslaggeving. Maar laten we niet wachten op anderen om dat af te dwingen en dat vooral zelf doen, meent Arjan Brouwer.

Discussie Column 12 juli 2023

Doe het dan zelf!

De sector werkt al lang hard aan de kwaliteit van de accountantscontrole. Ondanks alle inspanningen gaat dat met wisselend succes. Na positieve geluiden over de verbeterslagen concludeert de AFM in een recent rapport dat accountants betere frauderisicoanalyses moeten uitvoeren dan nu het geval is. Het AFM-rapport bevat een combinatie van feitelijke constateringen, verschillen van inzicht over de uitleg van COS 240 en meer subjectieve oordeelsvorming ten aanzien van bijvoorbeeld de professioneel-kritische instelling, diepgang van de analyse en gesprekken daarover binnen het team. De sector kan op zijn zachtst gezegd niet tevreden zijn over deze kritische reflectie en moet de constateringen in het rapport analyseren om van daaruit weer hard verder te werken.

Naar aanleiding van het rapport werd ook de Verklaring Omtrent Risicobeheersing (VOR) weer genoemd. Het is immers primair de gecontroleerde organisatie die verantwoordelijk is voor fraudepreventie en -detectie. Het AFM-rapport suggereert dat lang niet alle gecontroleerde organisaties daar voldoende serieus werk van maken. De AFM verhaalt bijvoorbeeld over organisaties waar het management en organen die zijn belast met governance onvoldoende aandacht besteden aan frauderisico's en geen eigen (geformaliseerde) frauderisicoanalyse hebben. Een observatie die de meeste accountants zullen herkennen. Meer algemeen wordt regelmatig geconstateerd dat er een relatie bestaat tussen de kwaliteit van governance en interne beheersing bij controlecliënten en de kwaliteit van de controle. Het is nu eenmaal makkelijker om een goede controle uit te voeren als je niet hoeft te compenseren voor niet of niet goed uitgevoerde interne controles en slechte of late oplevering van controle-informatie.

Ik ben dan ook een voorstander van de introductie van een VOR en het neerleggen van een stevigere verwachting van de randvoorwaarden die bij gecontroleerde organisaties moeten zijn ingevuld. Overigens heb ik weinig hoop dat het op korte termijn tot een voldoende brede implementatie komt en ben ik bang dat een slap aftreksel in de Corporate Governance Code, die alleen van toepassing is op beursgenoteerde ondernemingen, een meer voor de hand liggende uitkomst is. En het moet natuurlijk duidelijk zijn dat het geen substituut is voor het goed uitvoeren van de werkzaamheden die de verantwoordelijkheid zijn van de accountant zelf.

Daarnaast komt er bij mij één vraag op in het licht van de discussie over de VOR. Waarom zijn accountants zelf niet strenger voor controlecliënten en dwingen ze noodzakelijke verbeteringen in de interne beheersing en governance niet zelf af? Een goede controle waarbij fouten (al dan niet als gevolg van fraude) worden ontdekt en gecorrigeerd is belangrijk, maar bij ondernemingen die de zaken niet op orde hebben en teveel fouten maken is het wachten op het moment dat een fout niet wordt ontdekt.

Een meer duurzame bijdrage van de accountantscontrole aan het maatschappelijk verkeer is het versterken van de kwaliteit en interne beheersing bij gecontroleerde organisaties, door hierover duidelijke verwachtingen te formuleren en de onderneming daaraan te houden. Door goed onderzoek te doen naar de interne beheersing en in management letter, board report, rapportage naar de moeder en/of controleverklaring heel duidelijk en scherp te rapporteren over de verbeteringen die noodzakelijk zijn en de consequenties als dat niet gebeurt. Bijvoorbeeld als de organisatie zelf geen goede frauderisicoanalyse uitvoert waar de accountant kennis van kan nemen en die hij of zij kritisch kan challengen.

Daar hoort wat mij betreft ook bij dat accountants organisaties de deur wijzen als ze niet bereid zijn de noodzakelijke verbeteringen te realiseren en die organisaties en hun bestuurders zelf de consequenties daarvan dragen. In tegenstelling tot de zorg van CTA en minister dat er wel een handjevol organisaties bestaat die geen accountant kan vinden die de controle wil doen, is mijn zorg dan ook eerder dat het maar een handjevol is.

Na jarenlang praten over steviger verslaggevingseisen ten aanzien van continuïteit en levensvatbaarheid voor ondernemingen en meer expliciete eisen aan de interne beheersing en de verantwoording daarover (in de vorm van de VOR), mag het toch duidelijk zijn dat er weinig politieke wil is om meer te verlangen van de gecontroleerde organisaties. En bij de meeste organisaties zelf nog minder. Alles wat er in dit kader dan ook gebeurd is, is een door de beroepsorganisatie opgelegde extra rapportageverplichting voor de accountant over deze onderwerpen in de controleverklaring. Daar kan de sector heel teleurgesteld en verdrietig over zijn, maar dat zal niet veel aan deze patstelling veranderen. Als het vooral accountants zijn die het belangrijk vinden dat de rapportageketen wordt versterkt, laten we het dan ook maar zelf afdwingen.