Peter Schimmel

De kritische commissies die begin dit jaar hebben gerapporteerd over de toekomst van het accountantsberoep, menen dat de accountant te kort schiet wat betreft het frauderisico. De Monitoring Commissie Accountancy noemt in haar slotrapport van 14 januari 2020 fraude een wicked problem, ofwel een vrijwel onoplosbaar probleem. Met dit artikel tracht ik een concrete bijdrage aan de oplossing te bieden, want die oplossing bestaat en is goed uitvoerbaar.

Onze regelgeving gaat er vanuit dat, als je een beheersingsmaatregel tegenover een onderkend risico plaatst, de kans op het tot uiting komen van dat risico afneemt. Zo is dat beschreven in NV COS 315 (controlestandaard risicovaststelling). In feite kan je het ook al zo begrijpen uit NV COS 200 (controlestandaard algehele doelstellingen), waarin het inherente risico en het beheersingsrisico worden beschreven.

Maar hoe gaat dat in de boze werkelijkheid, waar bij een medewerker of directielid van de gecontroleerde entiteit de intentie bestaat via misleiding een onrechtmatig voordeel te verkrijgen? Bijvoorbeeld: nadat een accountant een risico-inventarisatie heeft uitgevoerd, beoordeelt de accountant op die basis de opzet, bestaan en werking van een functiescheiding of een vier-ogen-controle als voldoende. Helaas gaat de medewerker daarna weer onontdekt verder met samenspannen met een collega. Zo zal een liegende, bedriegende bestuurder geen moeite hebben een letter of representation ‘naar waarheid’ te tekenen.

Uniek, interactief risico

De 'mens/fraude' is een uniek risico dat denkt en dat, in tegenstelling tot bijna alle andere risico’s, reageert op genomen maatregelen; het is een interactief, niet-systematisch risico. Daarom zijn in de controlestandaarden, naast gelegenheid, twee aanvullende oorzaken geïdentificeerd van het risico op fraude: gepercipieerde druk en rationalisatie (zie NV COS 240). Het is opmerkelijk dat, hoewel alle accountants de genoemde controlestandaard goed kennen, weinig accountants iets met die kennis doen. Dat kan worden verklaard doordat de genoemde richtlijn daartoe vrijwel geen handvatten biedt. De guidance ontbreekt in alle nationale en internationale controlestandaarden als het gaat om de frauderisicofactoren 'druk' en 'rationalisatie'.

'De accountant richt zich voor meer dan 90 procent op een derde van het probleem: de gelegenheid.'

Als het om het frauderisico gaat, richt de accountant zich nu vermoedelijk voor meer dan 90 procent van zijn aandacht op maar een derde van het probleem: de gelegenheid. De resterende procenten worden besteed aan het verkrijgen van inlichtingen van het management als het gaat om integriteit en fraude. Het zou alle verschil maken als hij (vaak een 'zij') een aanzienlijk deel van die 90 procent op die andere twee oorzaken gaat richten. Maar dan moeten wel toereikende maatregelen worden aangereikt en hogere eisen worden gesteld aan de entiteit die hij of zij controleert.

En wat voor maatregelen mogen we dan verwachten? Uit statistieken blijkt dat de belangrijkste bron van ontdekte fraude de mens zelf is. Zo blijken meldingen door interne en externe klokkenluiders uiterst effectief te zijn. Waarom analyseren wij die klokkenluiderinformatie dan niet, als die helpt fraude te voorkomen en sneller te ontdekken? Waarschijnlijk omdat die informatie in onvoldoende mate bij de accountant terecht komt.

'Niet alleen inlichtingen inwinnen, maar opzet, bestaan en werking controleren van de frauderisico-beheersing.'

In controlestandaard NV COS 240 is bepaald dat niet de accountant, maar de met governance belaste personen en het management van de gecontroleerde entiteit primair verantwoordelijk zijn voor het voorkomen en ontdekken van fraude. Waarom is de controle daarvan dan niet een expliciet verplicht controleonderdeel en wordt volstaan met het vragen van inlichtingen?

Het probleem is dat als deze fraudebeheersing niet bestaat, het dan gaat om veelal onvervangbare maatregelen van interne beheersing. Daarom: niet alleen maar inlichtingen hierover inwinnen, maar daadwerkelijk de opzet, het bestaan en de werking controleren van de frauderisico-beheersing.

Maatregelen

Hieronder enkele denkbare maatregelen voor organisaties met honderd man personeel of meer:

1. Iedere organisatie heeft een op de entiteit toegesneden beheerst toereikend frauderisicosysteem, met een fulltime eigenaar, waarvoor de hoogste leiding van een organisatie verantwoordelijk en bij falen in principe aansprakelijk is. Jaarlijks wordt door de accountant op opzet, bestaan en werking getoetst. De interne accountant (indien van toepassing) voert eens in de drie jaar een operational audit uit.
2. Klokkenluiden gebeurt altijd bij de externe accountant, met verplichte opvolging en terugkoppeling. Bij wantrouwen van de klokkenluider door vermoedelijk deelnemen van de accountant aan de misstand, moet worden gemeld bij de NBA. Het interne meldpunt van de entiteit en het Huis voor Klokkenluiders mogen geen klacht in behandeling nemen als die niet ook aantoonbaar is gemeld bij de externe accountant. Het Huis houdt toezicht op de opvolging van de meldingen door accountants.
3. De accountant is verplicht in een persoonlijk onderhoud inlichtingen te vragen bij de ondernemingsraad over een aantal onderwerpen, waaronder het functioneren van de met governance belaste personen en het management van de onderneming.
4. Iedere organisatie laat jaarlijks een extern gefaciliteerd medewerkers-tevredenheids-onderzoek doen, waarin altijd vragen zijn opgenomen die de drie frauderisicofactoren afdekken (waaronder werking van specifieke beheersingsmaatregelen, zoals de klokkenluidersregeling). Dit onderzoek richt zich ook expliciet op verantwoordelijkheden van de met governance belaste personen en het management van de organisatie (tone at the top). De accountant ontvangt de uitkomsten direct van de onderzoeker en analyseert de uitkomsten van het onderzoek op potentiele brandhaarden (want per bedrijfsonderdeel/afdeling gesegmenteerd) en verlangt vervolgens van de directie een verbeterplan, met deadlines, dat hij monitort op daadwerkelijke uitvoering en effect.
5. Organisaties die opvallend achterblijven wat betreft waardering van tone at the top aspecten (bijvoorbeeld leiderschapsstijl, voorbeeldgedrag, materiële aandacht voor de werkvloer) dienen expliciet te worden heroverwogen door de externe accountant als het gaat om de continuering van de opdrachtrelatie, als geen geloofwaardige maatregelen ter verbetering worden genomen.
6. De accountant verricht root-cause-analyses op aantal en aard van vaststellingsovereenkomsten, ontslagen op staande voet, personeelsverloop (exit gesprekken) en verzuim. De accountant legt vast welke gevolgen zijn bevindingen hebben voor zijn controlemaatregelen.
7. Gedragswetenschappen krijgen een prominente plaats in de accountantsopleiding. Besef dat recht en ethiek hooguit de norm en de beoordeling van gedragingen ten opzichte van een norm bezien, maar niet de gedragingen zelf verklaren.
8. In het algemeen: investeer bij compliance minder in juristen op posities waar het om gedrag of deskundig onderzoek gaat. Het gaat niet om de regelgeving of de interpretatie ervan, maar om gedrag en het vaststellen van de feiten daaromtrent. Verwar ook frauderisico-beheersing niet met compliance; het eerste gaat om het voorkomen en ontdekken van opzettelijk fout gedrag en het laatste om handhaving van goed gedrag met betrekking tot bepaalde regelgeving. Ze zijn verwant, maar beide tegelijk doen, leidt tot verwarring.

Deze opsomming is maar een begin en niet limitatief. Er zijn vast veel inventieve collega's die nog veel meer goede ideeën hebben. Laat hen zich uitspreken. En natuurlijk gewoon doorgaan met de AO/IB dichttimmeren, cijferbeoordelingen uitvoeren, data-analyse toepassen en professioneel kritisch zijn.

Besef, waar het om de ontdekking gaat, dat een met opzet goed verholen onrechtmatigheid zich niet makkelijk laat ontdekken. Fraude zal daarom altijd blijven opduiken. Maar met bovenstaande maatregelen is het aantal incidenten en de omvang van fraude vermoedelijk wel in te perken. Waardoor wij op onze accountants kunnen blijven rekenen.