Magazine Vandaag

Een gewaarschuwd accountant telt voor twee

Standaard 240 onderkent twee soorten opzettelijke afwijkingen die voor de accountant van belang zijn: afwijkingen als gevolg van frauduleuze financiële verslaggeving en afwijkingen die voortkomen uit de oneigenlijke toe-eigening van bezittingen (activa). Standaard 240 schrijft ook twee verplichte frauderisico's voor: 'het doorbreken van internebeheersingsmaatregelen door het management' en een frauderisico in de opbrengstverantwoording. Hier wordt stilgestaan bij het eerste risico: managementfraude.

Dit artikel is verschenen in Accountant nr. 1, 2026

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf
» Download het hele nummer (pdf)

Albert Bosch*

In de paragrafen 32 tot en met 34 van Standaard 240 zijn de vereisten omtrent managementfraude opgenomen die de accountant moet invullen in de controle. Ik ga hierna nader in op deze vereisten, aan de hand van een matrixindeling van de mogelijke soorten fraude die management zou kunnen plegen. Ik maak daarbij onderscheid tussen enerzijds of er voor de fraude wel of geen transactie plaatsvindt (x-as) en anderzijds of er wel of geen boeking in de financiële administratie (FA) wordt gemaakt (y-as). Dan krijg je de volgende fraudematrix, ingevuld met acht voorbeelden, wat uiteraard geen volledig beeld geeft van alle mogelijke fraudes.

Fraudematrix	Wel transactie	Geen transactie
Wel boeking in FA	1 Onrechtmatige betaling 2 frauduleuze transactie met verbonden partij	3 Fictieve verkooptransactie boeken 4 Onterechte afwaarderingen activa boeken
Geen boeking in FA	5 Verkooptransactie niet boeken 6 Diefstal voorraad of andere nietmonetaire activa	7 Niet doorvoeren van nodige afwaardering activa 8 Onjuiste of onvolledige toelichting in de jaarrekening

Terug naar de vereisten, die het meest concreet zijn in paragraaf 33 van Standaard 240. De eerste vereiste daarin is het toetsen van de in het grootboek vastgelegde journaalposten. Met die werkstap zou je in deze fraudematrix hooguit de bovenste helft afdekken met de voorbeelden 1 tot en met 4. Daarbij zou je zeer goed mogelijk geen indicaties voor de voorbeelden 1 en 2 vinden, omdat daar op het eerste gezicht een normale transactie aan de journaalpost ten grondslag ligt.

De tweede vereiste in paragraaf 33 is, kort gezegd, het beoordelen op (in)schattingen. Daarmee dek je in beginsel de voorbeelden 4 en 7 in bovenstaande fraudematrix af. Wellicht zijn er andere voorbeelden in het linker deel van de fraudematrix te bedenken die ook met deze werkstap worden afgedekt.

Opvallende transacties

De derde vereiste in paragraaf 33 is het beoordelen van significante transacties die buiten het kader van de normale bedrijfsvoering vallen, of die op basis van verkregen inzichten in de entiteit of andere verkregen informatie ongebruikelijk lijken. Ik noem dit gemakshalve de niet-routinematige of opvallende transacties. Het lijkt dat deze werkstap ziet op het linker deel van de fraudematrix (het gaat om transacties), hier de voorbeelden 1, 2, 5 en 6. Maar mijn ervaring is dat vooral wordt gekeken naar boekingen en niet per se naar transacties, waardoor overlap ontstaat met de eerste vereiste uit paragraaf 33. Invulling geven aan deze derde vereiste vraagt om diepgaand inzicht in de entiteit, om te kunnen definiëren wat daarbij een niet-routinematige of opvallende transactie is. Ter zijde: het kan daarvoor ook nuttig zijn een meerjarige (zeg vijf jaar) cijferanalyse te doen, om de ontwikkelingen van de entiteit vanuit een breder perspectief te bekijken.

Met de invulling van paragraaf 33 worden niet per se al mijn voorbeelden in de fraudematrix afgedekt. Gelukkig is er ook nog de 'vangnetvereiste 34': de accountant moet bepalen of andere controlewerkzaamheden nodig zijn in aanvulling op paragraaf 33. Deze vereiste is wel 'risico gestuurd', dat wil zeggen dat de accountant specifieke, andere varianten van of risico's op managementfraude heeft geïdentificeerd.

Alertheid geboden

Om de gehele fraudematrix, los van de specifieke voorbeelden, voldoende af te dekken is alertheid gedurende de gehele controle geboden. Dank voor deze open deur, hoor ik u denken. Maar met alertheid bedoel ik onder meer dat het controleteam altijd antwoord kan geven op de vraag wat de zakelijke beweegredenen zijn van gedane transacties en vastgelegde journaalposten. Zodra een teamlid die vraag over de zakelijke beweegredenen niet goed kan beantwoorden, is dat een signaal. En dat brengt me bij een aanvullend punt.

Ik bladerde recent in NIVRA-geschrift 63 Fraude: voorkomen is beter dan genezen uit 1995. In hoofdstuk 3 beschrijven auteurs Hans Gortemaker en Henk den Boer onder andere dat er tijdens een controle waarschuwingssignalen kunnen blijken die een aanwijzing van frauduleus handelen zijn. De auteurs koppelen deze waarschuwingssignalen aan inherente risico's en internecontrolerisico's.

Voorbeelden zijn onder meer: gevaar voor discontinuïteit; resultaatafhankelijke beloning, achterstanden in de administratie, gebrekkige (bestel)procedures en wijzigingen in waarderingsgrondslagen.

Deze voorbeelden kwalificeer ik anno 2026 meer als frauderisicofactoren: 'Gebeurtenissen of omstandigheden die wijzen op een stimulans of druk om fraude te plegen of die een gelegenheid scheppen om te frauderen.'

Frauderisicofactoren

In Standaard 240 worden frauderisicofactoren gezien als bouwstenen voor de identificatie en inschatting van afwijkingen als gevolg van fraude. De frauderisicofactoren komen voort uit de risico-inschattingswerkzaamheden en het verkregen inzicht in de entiteit. Maar aansluitend bij het gedachtegoed van Gortemaker en Den Boer is het voor een goede invulling van vereiste 33 en 34 van Standaard 240 zinvol gebruik te maken van 'post-risicoanalyse frauderisicofactoren', zijnde de waarschuwingssignalen die gedurende de uitvoering van de controle blijken. Het overzicht van waarschuwingssignalen vormt dan de basis voor de bepaling van de aard en omvang van de uit te voeren gegevensgerichte werkzaamheden. Want een accountant die waarschuwingssignalen herkent, gestructureerd documenteert en verwerkt in de interactieve controleaanpak, is zijn of haar geld dubbel en dwars waard en telt daarmee voor twee.

Noot
* Albert Bosch RA is partner bij V&A accountants-adviseurs en verbonden aan de accountantsopleiding van de Vrije Universiteit Amsterdam. De inhoud van dit artikel is vastgesteld op 21 januari 2026.