Accountant
NBA-platform voor accountants en financials
Overig
Magazine Podcast Dossiers Nieuwsbrief Contact
Home >Discussie> Opinie > 2022 > 5 > Harry en het adaptieve frauderisico
Discussie Opinie

Harry en het adaptieve frauderisico

Leestijd van ongeveer 3 minuten 9 reacties

Het frauderisico is niet te vatten in een klassieke risicoanalyse. En zodra de accountant verschijnt, houdt het frauderisico daar rekening mee.

Peter Schimmel

Ik voel mij soms de Harry van het accountantsberoep, zoals Danielle Braun dat noemt. Ik heb ideeën over fraude en corruptie die niet in de gangbare literatuur staan. Dit keer deel ik mijn idee over een essentieel aspect van het frauderisico en de gevolgen voor de accountantscontrole, dat nergens beschreven staat: adaptiviteit. Dan staat dat vanaf nu tenminste ergens in de literatuur.

Accountants verrichten risicoanalyses. Uitgangspunt zijn risico's die impact kunnen hebben op de te controleren verantwoording zonder de beheersingsmaatregelen in aanmerking te nemen, dus bruto risico's. Van die risico's wordt bepaald wat de waarschijnlijkheid is dat die risico's zich in het komend jaar zullen manifesteren: de kans. En ook wat dan de impact is: het mogelijke financiële effect. Op basis van die analyse en de risk apetite van de organisatie wordt bepaald of de bestaande beheersingsmaatregelen voldoende zijn. Als het resterende nettorisico niet aanvaardbaar is, dan kunnen er aanvullende maatregelen noodzakelijk blijken en wellicht een andere controleaanpak (respons). Door die maatregelen neemt het brutorisico niet af, de dollar zal bijvoorbeeld nog net zo hard gaan dalen, maar wel de kans dat het impact heeft op de te controleren huishouding; bijvoorbeeld doordat de organisatie zich indekt door middel van valutatermijncontracten. Tot zover niets nieuws. Maar bij het frauderisico werkt dit niet zo.

Een frauderisicoanalyse wordt op dezelfde wijze uitgevoerd zoals hierboven is beschreven, want zo wordt ons dat geleerd. Helaas wordt dan verzuimd te beseffen dat het frauderisico een intentie omvat om een onrechtmatig voordeel te verkrijgen. Oftewel, het frauderisico denkt en is berekenend, in tegenstelling tot het voornoemde valutarisico. Het frauderisico is namelijk een mensenrisico en mensen hebben noden en denken. Het mensenrisico is daardoor adaptief. Dat betekent dat het brutorisico verandert als de beheersingsomgeving verandert, want ter vervulling van de noden bedenkt de mens alternatieven; de mens is creatief en reageert. Hierdoor is het frauderisico niet te vatten in een klassieke risicoanalyse; er valt geen nettorisico te bepalen en dus geen relevante respons. Dat geldt in belangrijke mate ook voor het meer omvangrijke integriteitrisico. Daarom heeft mijns inziens ook een systematische integriteit risicoanalyse (SIRA). maar een beperkte betekenis.

Laat ik een voorbeeld geven. Er is een tweede accordering door het hoofd boekhouding op betalingen als maatregel toegevoegd, ter voorkoming van fouten en fraude. Pech voor de plaatsvervanger, die bezig is een grote verduistering op touw te zetten. Daarom kruidt de plaatsvervanger, voorafgaande aan een vermeende spoedbetaling, de koffie van het hoofd boekhouding met een extreem hoge dosis laxeermiddel, waardoor het hoofd boekhouding met spoed naar het ziekenhuis moet. Hierdoor kan de plaatsvervanger, die nu alle rechten in handen heeft, zich toegang verschaffen tot de computer van het hoofd boekhouding en de accordering zelf regelen. Het risico helpt de beheersingsmaatregel willens en wetens om zeep. Dat zie ik een valutarisico nog niet doen met een valutatermijncontract.

De praktijk is altijd complexer dan de theorie. In casu ontbreekt het echter geheel aan theorie. De theorie, waaronder controlestandaarden die voor de accountant van toepassing zijn, onderkent namelijk helemaal niets wat lijkt op het aanpassingsvermogen van het frauderisico. Dan begrijp je wellicht ook waarom ik niet verwacht/geloof dat de accountant een rol van betekenis zal gaan spelen bij de verbetering van preventie en detectie van fraude, boven de verplichte werkzaamheden die hij uiteraard naar behoren dient uit te voeren. De dag dat de accountant de gecontroleerde huishouding betreedt, houdt het risico specifiek rekening met zijn rol. De dag dat de accountant zijn hielen licht, gedraagt het frauderisico zich alweer anders. Het frauderisico speelt spelletjes, is dol op verstoppertje en altijd op plekken die je "pas ziet als je het doorhebt". En dan is het te laat.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Peter Schimmel is forensisch accountant bij BDO.

Gerelateerd

9 reacties

Johan Peters

Standaarden kan je aanpassen en maatschappelijke verwachtingen trekken zich niets aan van Standaarden. De politiek eist "geen fraude" en legt die eis op het bordje van de accountant. Daar gaat het mis. Ondanks politie en justitie is er welig tierende misdaad. Ondanks het UWV zijn er werkelozen. Ondanks de Belastingdienst worden er ten onrechte toeslagen uitbetaald. Ondanks een alsmaar uitdijend netwerk aan zorgverleners is het aantal zorgbehoevenden groter dan ooit. Accountants gaan het "fraudeprobleem" evenmin oplossen als welke andere instantie dan ook. Het wordt tijd om die boodschap te gaan brengen. Peter: dank voor je aanzet.

Frans Kersten

Een van de pijlers onder de accountantscontrole is (of was?) bestuurlijke informatieverzorging of daarvoor administratieve organisatie incl. interne controle. Daarin staan alle mogelijke maatregelen beschreven incl. doorbreking van functiescheiding bij ontoereikende vervanging.
Het lijkt echter of allerlei beheersmaatregelen buiten beeld zijn geraakt via focus op hetgeen 'materiële fouten' in de jaarrekening kan veroorzaken.

Geert de Jonge

Dit zo lezende krijg ik het vermoeden dat de auteur 240.6 over het hoofd heeft gezien. Die paragraaf gaat over gedragsadaptiviteit van fraudeurs. In die paragraaf wordt in dat verband ook de term manipulaties geïntroduceerd, die later nog verschillende keren terugkomt in de standaard.

Ron Heinen

Quote: "Oftewel, het frauderisico denkt en is berekenend, in tegenstelling tot het voornoemde valutarisico. Het frauderisico is namelijk een mensenrisico en mensen hebben noden en denken. Het mensenrisico is daardoor adaptief."

Dit is een bekend probleem bij fraude in allerlei takken van sport.

Een manier om adaptatie aan controles te voorkomen is om niet bekend te maken welke controles worden uitgevoerd.

Dit brengt met zich mee dat de vertrouwelijkheid van de controles goed gewaarbord moet zijn.

Een manier hoe universiteiten bijvoorbeeld verzamelde data vertrouwelijk houden is te vinden op

https://www.ru.nl/ict/algemeen/informatie-beveiligen/informatiebeveiliging/bestanden-versleutelen/7zip-aes/

De sterk beveiligde vertrouwelijke data wordt op MicroSD via de reguliere post gedeeld tussen bron en ontvanger.

Daarmee is voorkomen dat de (meta)data bij onbevoegde derden terecht komt.

Jan Wietsma

Wie doorgrond de menselijke ziel? Dat is uiteindelijk altijd de hoofdvraag bij het detecteren van fraude. Alle fraude start in het hoofd van een mens, die dat vervolgens omzet in handelingen (gedrag). Als de resultaten aan licht komen ben je altijd te laat. Het is dan immers al gebeurd. Kortom fraudedetectie begint bij mij altijd bij het inzicht krijgen in de persoonlijkheidsstructuur en het gedrag. Daarnaast kunnen systemen preventief werken. Maar ze zijn helaas niet zaligmakend. Dus goed dat Peter hier aandacht voor vraagt. En het herkennen van fraude gaat niet zonder zelfkennis.

Albert Bosch

Volgens mij miskent de auteur de (eventuele) preventieve werking van accountantscontrole op fraudeurs niet. Het punt dat m.i. gemaakt wordt is dat fraudeurs zich aanpassen. Een gevolg daarvan is dat in situaties met meer/betere interne beheersing en/of externe controle de fraudeur die echt wil frauderen, meer stappen zal zetten in het frauderen. De fraude wordt complexer naarmate de interne beheersing en/of externe controle beter wordt. En die twee aspecten (adaptief vermogen en complexere fraude) leiden bij de auteur tot de conclusie dat de klassieke risicoanalyse en -uitwerking niet (goed) werkt. Ik kan die redenatie goed volgen.

Ik schrijf in de eerste zin van mijn reactie ‘eventuele’ tussen haakjes. Ik heb de overtuiging dat accountantscontrole een preventieve werking heeft op alle fraudeurs: sommige zullen niet frauderen, andere zullen (zoals hierboven geschreven) zich meer inspannen en meer stappen zetten om te frauderen (i.e. per saldo minder, maar complexere fraudes). En dat is het adaptieve kenmerk van het frauderisico

Overigens geldt het adaptieve aspect in zekere zin mogelijk ook bij schattingsafwijkingen. Maar dat zijn soms bewuste afwijkingen, die dan vallen onder het frauderisico manangement override (NV COS 240.33 sub b).

Overigens zit ik al langer te broeden op een bredere categorisering of verfijning van afwijkingen in de jaarrekening (a.g.v. fouten en fraude) en hoe accountants daar op andere wijze tegenaan kunnen kijken. Wie weet ligt daar wellicht een weg naar innovatie en verdere kwaliteitsverbetering. Losse gedachtes die weer getriggerd worden door deze column.

Kortom, wat mij betreft een interessante en leerzame column. Dank Peter!

Alexander Vissers

Zie het aantal schandalen bij grote ondernemingen met accountantscontrole. Schandalen klein in aantal die jaren, zo niet decennia lang nagalmen. Duizenden wettelijke en duizenden vrijwillige controles. Door de strafprocessen en tuchtprocedures blijven ze nagalmen en graveren ze zich in ons geheugen zo dat we zelfs de namen onthouden. Maar tegelijkertijd amper nieuwe gevallen. Accountants die cliënten weigeren, afkeurende verklaringen, er is echt wel iets veranderd sinds Imtech.

R.J.A.M. Vromans

Leuk artikel, gelukkig onderkent de auteur dat de” belangrijkste” invloed van accountantscontrole nu juist niet is, het achterwege blijven van fraude, juist vanwege het mechanisme dat hij beschrijft, denken mensen waaronder ook bestuurders zeker twee keer na als er een extra kans op ontdekking bestaat maar vervolgens vinden zij creatieve nieuwe wegen. Fraude (inclusief jaarrekeningfraude) met een materiële invloed op de jaarrekening is niet zeldzaam (zie het aantal schandalen van de afgelopen jaren bij grote ondernemingen); zelfs met accountantscontrole (wij zijn geen fraude deskundigen!) komt het risico nog steeds te vaak voor.

Alexander Vissers

Leuk artikel, helaas miskent de auteur dat de belangrijkste invloed van accountantscontrole nu juist is het achterwege blijven van fraude, juist vanwege het mechanisme dat hij beschrijft, mensen denken wet twee keer na als de kans op ontdekking bestaat. Fraude met een materiële invloed op de jaarrekening is zeldzaam, zonder accountantscontrole zou het risico veel vaker voorkomen.

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.

Relevantie Datum