Discussie Opinie Vandaag

Er bestaat geen relevant bepaalbaar bruto frauderisico

Gebrek aan duidelijkheid over de aard van frauderisico's belemmert een betere beheersing ervan. En het is mogelijk ook een oorzaak van niet toereikende accountantscontroles.

Peter Schimmel

In het zeer leesbare rapport van de AFM, Op weg naar een betere frauderisicoanalyse (november 2025), blijft één zin maar zeuren in mijn brein: "Daarnaast is verduidelijkt dat interne beheersingsmaatregelen niet als verzachtende factor mogen worden meegewogen bij het inschatten van frauderisico's." Deze passage impliceert dat frauderisico's in isolatie moeten worden beoordeeld, zonder rekening te houden met bestaande beheersmaatregelen; dit benadert het frauderisico als een generiek bedrijfsrisico, vergelijkbaar met bijvoorbeeld valutarisico's bij internationale handel.

De publicaties van onze toezichthouder over frauderisicoanalyse zijn mijns inziens zeer relevant, maar missen een duidelijke uitleg van wat de aard van het frauderisico precies is, hoe dat verschilt van andere bedrijfsrisico's en wat de gevolgen van dat verschil zijn. Ook mijn beroepsorganisatie en veel auteurs over fraude zijn niet helder over het specifieke karakter van frauderisico en de gevolgen hiervan. Dit gebrek aan duidelijkheid belemmert mogelijk verdere verbetering van de gewenste beheersing en de analyses daarvan en zou wel eens een belangrijke oorzaak kunnen zijn van niet toereikende accountantscontroles.

Bij een bedrijfsrisico zoals valutarisico, kun je door het wegdenken van de maatregelen goed bepalen hoe waarschijnlijk het tot uiting komen van het risico en de mogelijke financiële impact daarvan zijn. Dat maakt het relatief eenvoudig om te bepalen of maatregelen tegen het risico zinvol zijn. Je beperkt vooral de gevolgen voor de organisatie, maar beïnvloedt het risico zelf niet, want de valutakoers verandert niet door deze ingrepen; het is geen complex risico.

Frauderisico onderscheidt zich van een 'gewoon' bedrijfsrisico doordat het, in tegenstelling tot andere risico's, wordt veroorzaakt door een handelende persoon met een intentie om onrechtmatig voordeel te verkrijgen. Dit geldt voor verschillende vormen van fraude, waaronder corruptie en cybercrime. Bij fraude is sprake van doelgericht en berekenend handelen, waarbij de fraudeur bewust rekening houdt met bestaande mitigerende maatregelen. Het negeren van dergelijke maatregelen tijdens de frauderisicoanalyse doet afbreuk aan de kwaliteit van die analyse. Deze maatregelen zijn immers juist bepalend voor de omvang van het frauderisico; de maatregel beïnvloedt het risico zelf!

Ik heb weinig geloof in het gezegde 'gelegenheid maakt de dief'. Veelal had een fraude namelijk al weken eerder kunnen gebeuren, omdat de gelegenheid ook toen al bestond; het is de druk die het verschil maakt. Maar ter demonstratie van mijn visie is het gezegde over de gelegenheid wel van belang. De fraudeur neemt namelijk bij zijn planning en uiteindelijke actie die gelegenheid wel degelijk in ogenschouw als een belangrijke factor, maar nooit als bruto element; het gaat hem nou juist om het restrisico.

Het gevaar van het wegdenken van een uitmuntend opgezette set van maatregelen AO/IB ter bepaling van het frauderisico, leidt dan tot de conclusie dat het risico enorm is; zonder voldoende focus op het risico waar het nou juist om gaat: het restrisico, het netto risico. Probeer je maar eens de bruto frauderisico's van een bank voor te stellen en vraag je af hoe zinvol dat is. Door het wegdenken houd je een nooit werkelijk risico over, maar een fictie. Fraudeurs en cybercriminelen zijn vooral gefocust op het omzeilen van de maatregelen. Een gering bruto risico, dat minimaal wordt beheerst, is daarom voor een fraudeur mogelijk veel interessanter dan een groot bruto risico dat in hoge mate wordt beheerst.

Daar komt nog een extra element bij. Zoals al eerder aangegeven is de risicofactor 'gelegenheid' maar een deeltje van het verhaal; wellicht maar 20 procent. Te beheersen met behulp van maatregelen binnen de AO/IC, ofwel hard controls. De overige 80 procent gaat om de frauderisicofactoren druk en rationalisatie, waar vooral soft control als interne beheersingsmaatregel de mitigatie moet bieden. Hoe ga je die wegdenken, als je nog niet eens in staat bent gebleken die zinvol te meten?

Zonder afbreuk te willen doen aan de kwaliteit van het werk van de AFM (vooral doorgaan!) en abstraherend van de discussie in welke mate de accountant zich met fraude moet bezighouden (ik zie de commentaren alweer voor me), vrees ik dat we veel frictie zullen blijven zien tussen wens en werkelijkheid, als we niet eerst een wezenlijke discussie voeren over de aard van het complexe frauderisico dat we trachten te beheersen.