Discussie Opinie 25 mei 2022

Harry en het adaptieve frauderisico

Het frauderisico is niet te vatten in een klassieke risicoanalyse. En zodra de accountant verschijnt, houdt het frauderisico daar rekening mee.

Peter Schimmel

Ik voel mij soms de Harry van het accountantsberoep, zoals Danielle Braun dat noemt. Ik heb ideeën over fraude en corruptie die niet in de gangbare literatuur staan. Dit keer deel ik mijn idee over een essentieel aspect van het frauderisico en de gevolgen voor de accountantscontrole, dat nergens beschreven staat: adaptiviteit. Dan staat dat vanaf nu tenminste ergens in de literatuur.

Accountants verrichten risicoanalyses. Uitgangspunt zijn risico's die impact kunnen hebben op de te controleren verantwoording zonder de beheersingsmaatregelen in aanmerking te nemen, dus bruto risico's. Van die risico's wordt bepaald wat de waarschijnlijkheid is dat die risico's zich in het komend jaar zullen manifesteren: de kans. En ook wat dan de impact is: het mogelijke financiële effect. Op basis van die analyse en de risk apetite van de organisatie wordt bepaald of de bestaande beheersingsmaatregelen voldoende zijn. Als het resterende nettorisico niet aanvaardbaar is, dan kunnen er aanvullende maatregelen noodzakelijk blijken en wellicht een andere controleaanpak (respons). Door die maatregelen neemt het brutorisico niet af, de dollar zal bijvoorbeeld nog net zo hard gaan dalen, maar wel de kans dat het impact heeft op de te controleren huishouding; bijvoorbeeld doordat de organisatie zich indekt door middel van valutatermijncontracten. Tot zover niets nieuws. Maar bij het frauderisico werkt dit niet zo.

Een frauderisicoanalyse wordt op dezelfde wijze uitgevoerd zoals hierboven is beschreven, want zo wordt ons dat geleerd. Helaas wordt dan verzuimd te beseffen dat het frauderisico een intentie omvat om een onrechtmatig voordeel te verkrijgen. Oftewel, het frauderisico denkt en is berekenend, in tegenstelling tot het voornoemde valutarisico. Het frauderisico is namelijk een mensenrisico en mensen hebben noden en denken. Het mensenrisico is daardoor adaptief. Dat betekent dat het brutorisico verandert als de beheersingsomgeving verandert, want ter vervulling van de noden bedenkt de mens alternatieven; de mens is creatief en reageert. Hierdoor is het frauderisico niet te vatten in een klassieke risicoanalyse; er valt geen nettorisico te bepalen en dus geen relevante respons. Dat geldt in belangrijke mate ook voor het meer omvangrijke integriteitrisico. Daarom heeft mijns inziens ook een systematische integriteit risicoanalyse (SIRA). maar een beperkte betekenis.

Laat ik een voorbeeld geven. Er is een tweede accordering door het hoofd boekhouding op betalingen als maatregel toegevoegd, ter voorkoming van fouten en fraude. Pech voor de plaatsvervanger, die bezig is een grote verduistering op touw te zetten. Daarom kruidt de plaatsvervanger, voorafgaande aan een vermeende spoedbetaling, de koffie van het hoofd boekhouding met een extreem hoge dosis laxeermiddel, waardoor het hoofd boekhouding met spoed naar het ziekenhuis moet. Hierdoor kan de plaatsvervanger, die nu alle rechten in handen heeft, zich toegang verschaffen tot de computer van het hoofd boekhouding en de accordering zelf regelen. Het risico helpt de beheersingsmaatregel willens en wetens om zeep. Dat zie ik een valutarisico nog niet doen met een valutatermijncontract.

De praktijk is altijd complexer dan de theorie. In casu ontbreekt het echter geheel aan theorie. De theorie, waaronder controlestandaarden die voor de accountant van toepassing zijn, onderkent namelijk helemaal niets wat lijkt op het aanpassingsvermogen van het frauderisico. Dan begrijp je wellicht ook waarom ik niet verwacht/geloof dat de accountant een rol van betekenis zal gaan spelen bij de verbetering van preventie en detectie van fraude, boven de verplichte werkzaamheden die hij uiteraard naar behoren dient uit te voeren. De dag dat de accountant de gecontroleerde huishouding betreedt, houdt het risico specifiek rekening met zijn rol. De dag dat de accountant zijn hielen licht, gedraagt het frauderisico zich alweer anders. Het frauderisico speelt spelletjes, is dol op verstoppertje en altijd op plekken die je "pas ziet als je het doorhebt". En dan is het te laat.