Magazine

Meer focus op fraude

De herziene frauderichtlijn RAC 240 dwingt de accountant zich bij de controle meer te richten op frauderisico’s. Kerninstrument bij het analyseren daarvan is de ‘fraudedriehoek’. Verder zijn er concrete regels voor een professioneel sceptische houding, documentatie en controle-uitvoering.

Dit artikel is verschenen in de Accountant nr. 8, 2005

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Peter Diekman

De frauderichtlijn herzien

Als één richtlijn in de afgelopen decennia aan wijziging onderhevig is geweest, dan is het wel frauderichtlijn ISA/RAC 240. De eerste Nederlandse richtlijn op dit terrein verscheen in 1990. In 1997 is deze vervangen door RAC 240 Fraude en onjuistheden, die aansluit bij de IFAC-richtlijn ISA 240 Fraud and Error. Met ingang van 2002 is deze in belangrijke mate aangepast aan de Amerikaanse Statement on Auditing Standard 82 Consideration of Fraud in a Financial Statement Audit. Sindsdien maken de richtingen onderscheid tussen ‘frauduleus rapporteren’ en ‘misbruik van de eigendommen van de huishouding’, ofwel ‘werknemersfraude’ (inclusief topmanagers). Bovendien is een lijst toegevoegd van factoren waaruit deze risico’s zouden kunnen voortvloeien.

Rond de financiële schandalen van de afgelopen jaren rezen er niettemin bij voortduring vragen over de effectiviteit van de accountantscontrole. Het Amerikaanse instituut verving SAS 82 daarom in 2002 door SAS 99. De IFAC heeft ISA 240 hiermee in lijn gebracht. De titel Fraud and error is daarbij gewijzigd in The Auditor’s Responsibility to Consider Fraud in an Audit of Financial Statements. Het begrip error is dus verdwenen. In Nederland wordt de nieuwe richtlijn van kracht als RAC 240. Nog nadrukkelijker dan in het verleden wordt de accountant gewezen op risico’s van fraude en worden handreikingen gegeven hier in de controle op te anticiperen.

Definitie van fraude

De definitie van fraude is ongewijzigd. Bij fraude gaat het om een bewuste daad die wordt uitgevoerd door één of meer personen uit de leiding, het toezichthoudend orgaan, de werknemers of derden, waarbij gebruik wordt gemaakt van misleiding teneinde een onrechtmatig voordeel te verkrijgen. Dit hoeft niet altijd de vorm van geld aan te nemen. Het kan ook gaan om een ander voordeel, zoals uitstel van ontslag, het langer binden van investeerders, het in stand houden van een kredietfaciliteit of het aantrekken van subsidie. Ofschoon ‘fraude’ een ruime juridische interpretatie kent, is de accountant vooral geïnteresseerd in fraude die het beeld van de jaarrekening in materiële zin kan verstoren.

Leiding verantwoordelijk

De nieuwe richtlijn stelt nadrukkelijk dat de leiding en het toezichthoudend orgaan een grote nadruk moeten leggen op de preventie van fraude. De leiding moet de mogelijkheden om fraude te plegen wegnemen en daarnaast een zodanige structuur creëren dat medewerkers de overtuiging krijgen dat het plegen van fraude zinloos is. Dit is een roep om een duidelijke normstelling en sanctiebeleid om het ‘rationaliseren’ van frauduleus gedrag te gaan. Dit mede volgens het aloude adagium: The tone is set at the top.

De richtlijn stelt verder dat het toezicht ertoe moet bijdragen dat de interne controle van zodanige kwaliteit is dat een redelijke mate van zekerheid bestaat dat de huishouding betrouwbare financiële informatie naar buiten brengt. Hierbij wordt direct verwezen naar het interne-controleraamwerk van COSO.

Inherente beperkingen controle

Het risico dat de accountant een materiële fraude niet ontdekt is over het algemeen groter dan het risico dat ‘onjuistheden’ onopgemerkt blijven. Dit omdat de pleger(s) fraude doorgaans verhullen, maar ook kan sprake zijn van samenspanning of professionele vervalsingen. Verder onderkent de richtlijn dat het risico van niet ontdekken bij managementfraude groter is dan bij werknemersfraude: het management is meestal in staat de financiële verantwoording te manipuleren en heeft bovendien een informatievoorsprong.

De onderkenning dat fraude mogelijk niet wordt ontdekt, betekent in principe de erkenning van het axiomatisch voorbehoud. In de vorige versie was dit ook al het geval, maar de nieuwe richtlijn gaat een stap verder door nadrukkelijk te stellen dat het achteraf ontdekken van een materiële fraude niet automatisch inhoudt dat de accountant heeft gefaald in de naleving van de controlerichtlijnen.

Fraudedriehoek

Een belangrijke verandering in de nieuwe ISA/RAC 240-richtlijn is de introductie van de zogenaamde fraudedriehoek, een weergave van drie condities waaraan bij fraude over het algemeen wordt voldaan. De fraudedriehoek dwingt de accountant om zich bij het afwegen van het frauderisico te verdiepen in de gedachtegang of geest van de fraudeur, en zich de vragen te stellen die helpen het risico tijdig te onderkennen.

Bij de analyse van het frauderisico dient de accountant de volgende drie condities in aanmerking te nemen:

  • Opbrengst of pressie: er moet sprake zijn van pressie of een verwachting dat de fraude (financieel) gewin zal opleveren.
  • Mogelijkheid: er moet een mogelijkheid zijn om de fraude te plegen.
  • Rationalisatie of een bepaalde attitude: de pleger moet bereid zijn het plegen van de fraude ‘te rationaliseren’.

Opbrengst of pressie

De fraudepleger moet de perceptie hebben dat er met het plegen van een fraude ‘iets kan worden verdiend’. Er moet een incentive of opbrengst zijn. Het gaat er dus om de omstandigheden te detecteren en te analyseren die hier ruimte voor bieden, en daarop tijdens de accountantscontrole het zoeklicht te richten. In bijlage 1 van de huidige frauderichtlijn wordt een groot aantal van deze risicofactoren weergegeven.

Een prikkel van geheel andere aard kan voortkomen uit financiële zorgen door privé-omstandigheden zoals ziekte, verslaving, schulden, relatieproblemen of een ‘dure’ levensstijl. De accountant dient dit soort omstandigheden bij zijn risicoschatting in aanmerking te nemen, ook al is niet uit te sluiten dat dit de accountantscontrole dicht in de buurt brengt van het privé-leven van mensen.

Mogelijkheid

Een fraudeur moet ook de perceptie hebben dat de fraude mogelijk is. Vaak worden de mogelijkheden geschapen door gebrekkige interne controle of het ontbreken van goede procedures. De fraudeur zoekt dan de mazen in het net. De accountant moet daarom een grondige analyse maken van leemten in de interne controle, en zich afvragen welke risico’s voor de jaarrekening daaruit voortvloeien.

Hierbij wordt, net als in de Sarbanes-Oxley Act, een onderscheid gemaakt tussen significante en wezenlijke leemten in de interne controle. Significante leemten hoeven niet direct tot materiële onjuistheden in de jaarrekening te leiden, maar verhogen wel het risico daarop. Een wezenlijke zwakte in de interne controle (material weakness) doet zich voor als de externe accountant door accountantscontrole een materiële onjuistheid in de conceptjaarrekening aantreft, maar ook als sprake is van een aaneengeschakelde reeks van ‘significante’ leemten.

De mogelijkheid tot frauderen wordt ook geschapen door de cultuur en de atmosfeer in de onderneming. De normen en waarden binnen een onderneming worden uiteindelijk primair neergezet door de hoogste leiding. Zoals bekend houdt interne controle op in de top van de organisatie. De accountant werpt als een van de weinigen een onafhankelijke blik op de financiële verantwoording en met name op de toepassing van waarderingsgrondslagen die daaraan ten grondslag liggen. Hij wordt ook min of meer direct geconfronteerd met de houding van de leiding ten opzichte van controle en op haar bereidheid te
reageren op bevindingen. Die houding en bereidheid vormen belangrijke aspecten bij de analyse van het frauderisico.

Rationalisatie

Verreweg de moeilijkste conditie die de accountant bij zijn risicoschatting moet betrekken is rationalisatie of attitude. Hiermee wordt bedoeld dat de fraudepleger:

  • voor zichzelf zodanige ethische grenzen heeft gesteld dat hij het plegen van fraude niet als een overtreding daarvan ervaart;
  • wellicht wel onderkent dat frauderen een overtreding van ethische grenzen inhoudt, maar dat het gevoel ermee weg te komen zwaarder weegt;
  • individueel of als onderdeel van een collectief in het geheel niet ervaart dat het plegen van de fraude een overschrijding is van een ethische grens, maar deze handeling ziet als rechtmatig.

De eerste variant betreft mensen wier normen en waarden afwijken van hetgeen als maatschappelijk aanvaardbaar wordt gezien: de bekende ‘rotte appel in de fruitschaal’. In de tweede variant zijn de mazen in het net van de interne controle kennelijk zo groot dat de fraudepleger meent ongestraft te kunnen blijven.

De derde variant kan zich voordoen als mensen het gevoel hebben te zijn benadeeld of dat hen onrecht is aangedaan. Het plegen van fraude, bijvoorbeeld via te hoge declaraties, wordt dan ervaren als een compensatie daarvoor. Maar deze variant kan ook voorkomen bij ‘slecht voorbeeld’, bijvoorbeeld als onrechtmatig gedrag op hoog niveau onbestraft blijft.

Een analyse van het gedrag van mensen en van hun ethische grenzen zit niet zomaar in het normale controleprogramma van de accountant. In de toelichting op de Amerikaanse SAS 99 staat dan ook dat dit soort risicofactoren niet altijd goed kan worden waargenomen. Wil de accountant deze analyse wel gedegen maken, dan betekent dit dat ook zijn eigen gedrag, attitude en werkwijze zullen moeten veranderen.

Professionele scepsis

De nieuwe ISA/RAC 240 geeft aanleiding te veronderstellen dat die gedragsverandering ook daadwerkelijk van de accountant wordt verwacht, en legt meer nadruk op diens ‘professionele houding’. Die moet, in navolging van ISA/RAC 200, sceptisch en kritisch zijn, ook als hij de cliënt al langere tijd kent.

ISA/RAC 240 in dit verband aan dat de accountant de beweringen van de cliënt op aannemelijkheid moet toetsen: … the auditor … is not satisfied with less-than-persuasive audit evidence … Wel geeft de richtlijn aan dat het bij een accountantscontrole doorgaans niet gebruikelijk is dat documenten op authenticiteit worden getoetst. Vervalsingen zijn mede door de technologische mogelijkheden niet of nauwelijks door de accountant aan het licht te brengen. Daarom worden aangedragen documenten als authentiek beschouwd totdat er gegronde redenen zijn hieraan te twijfelen. Hetzelfde geldt voor beweringen.

Teamdiscussie

Evenals in de huidige richtlijn vormen teamdiscussies - een verplichte brainstormsessie met het controleteam over de frauderisico’s - onderdeel van de accountantscontrole. De nieuwe richtlijn is echter specifieker over de participatie van de leidinggevende vennoot (partner) en over documentatie van deze discussie, en geeft meer voorbeelden van vragen die aan de orde kunnen worden gesteld (zie kader).

De leidinggevende vennoot moet actief bij de teamdiscussie zijn betrokken. Hij bepaalt ook welke onderwerpen moeten worden besproken met teamleden die er niet bij waren.

De richtlijn geeft ten slotte aan dat teamdiscussies geen éénmalige aangelegenheid vooraf zijn. De discussie herhaalt zich tijdens de uitvoering van de controle en kan de richting daarvan doen wijzigen. De notulen van de teamdiscussie(s) vormen onderdeel van het controledossier.

Analyse frauderisico

De huidige frauderichtlijn gaat uitgebreid in op het accountantscontrolerisico, het inherente en het interne beheersingsrisico en ten slotte het detectierisico. Deze min of meer traditionele benadering wordt niet in dezelfde mate gevolgd in de nieuwe richtlijn. Die legt de nadruk in de eerste plaats op het verkrijgen van informatie van de leiding, de interne accountant (indien aanwezig), het toezichthoudend orgaan (audit committee) en eventuele derden, zoals medewerkers, de interne jurist of de compliance officer.

Deze partijen moet worden gevraagd of er sprake is geweest van fraude en wat de leiding daaraan heeft gedaan. De accountant moet in ieder geval de volgende onderwerpen bespreken:

  • De beoordeling van het management van het risico dat de jaarrekening materieel onjuist is als gevolg van fraude.
  • Het proces dat het management heeft ingesteld om het frauderisico intern te identificeren en daarop te reageren, alsmede het interne proces van de identificatie van fraudegevoeligheid van specifieke jaarrekeningposten en transacties.
  • De inhoud van de communicatie tussen management en toezichthoudend orgaan over het frauderisico.
  • De inhoud van de communicatie tussen management en medewerkers over de gang van zaken in de organisatie en het ethisch handelen.

Daarnaast dient de accountant kennis te nemen van ongebruikelijke of verdachte transacties door de onderneming en van alle overige relevante informatie die voortvloeit uit notulen, interne documentatie, correspondentie met derden en interne analyses. De accountant moet actief frauderisicofactoren in beschouwing nemen en de vraag stellen in welke mate het toezichthoudend orgaan zich van deze factoren bewust is.

Hij zal bij voortduring alert moeten zijn op frauderisico’s en daarbij in het bijzonder aandacht moeten schenken aan de zogenaamde control environment, ofwel de basis waarin de normen en waarden van de organisatie zijn verankerd.

Risico van materiële onjuistheden

Voor de schatting van het risico op materiële onjuistheden zal de accountant in de praktijk, gebruikmakend van professional judgment, de volgende acties ondernemen:

  • beoordeling van de aard van de transacties van de cliënt;
  • beoordeling van saldi op grootboekrekeningen en van de mate en kwaliteit van de toelichting in de jaarrekening;
  • een relatie leggen tussen de aard van het onderkende frauderisico en de mogelijke fout in de jaarrekening op postniveau;
  • overwegen of de mogelijke fraude effect kan hebben op meer dan één jaarrekeningpost.

Nieuw is de speciale aandacht voor mogelijke fraude op het gebied van de opbrengstverantwoording (revenue recognition). Dit vloeit rechtstreeks voort uit de vele financiële schandalen. Als de accountant meent dat op dit punt geen bijzondere frauderisico’s bestaan, dan moet hij de redenen voor dit oordeel specifiek in zijn dossier documenteren.

Het is de vraag of de speciale nadruk op opbrengsten niet het noodzakelijke evenwicht in de accountantscontrole in gevaar brengt. De accountant zal immers evenzeer en op evenwichtige wijze aandacht moeten besteden aan de juistheid en waardering van activa, de volledige verantwoording van de schulden en de juiste en tijdige verantwoording van kosten.

Gevolgen voor controleprogramma

Als de accountant een verhoogd frauderisico aanwezig acht, dan moet hij de consequenties daarvan voor het controleprogramma bepalen. Deze kunnen in algemene zin als volgt worden samengevat:

  • meer substantive tests op het gebied waar zich risico’s voordoen;
  • verhoogde scepsis en minder uitgaan van vertrouwen dat alle cliëntinformatie deugdelijk is;
  • andere controlemiddelen inzetten (confirmatie van derden, intensiever inventariseren);
  • blijven doorvragen als het management onduidelijke antwoorden of verklaringen geeft.

Vooral het laatste punt is van belang. Tijdige ontdekking van fraude is gebaat met een accountant die zich niet met een kluitje in het riet laat sturen. Zolang er vraagtekens bestaan moet hij zijn onderzoek voortzetten. Daarbij moet hij in algemene zin ook maatregelen overwegen als het (nauwkeuriger) beoordelen van de procedures bij aanname en beoordeling van personeel, en van de toepassing van waarderingsvoorschriften, het invoeren of intensiveren van verrassings- en interim controles en een zekere mate van inspectie, en het toepassen van Computer Assisted Auditing Techniques. Bij dit laatste moet in het bijzonder worden gedacht aan data mining-technieken. De meeste audit software beschikt over dergelijke applicaties.

De richtlijn vraagt bijzondere aandacht voor het mogelijk omzeilen van interne controle door het management. Als de accountant hier een verhoogd risico waarneemt, dan moet hij in zijn controleprogramma een aantal maatregelen nemen (de meeste zijn nu al onderdeel van het reguliere controleprogramma, maar het belang en de intensiteit zullen toenemen), waaronder beoordeling van:

  • de juistheid van bijzondere journaalposten, met name de handmatig ingevoerde;
  • impairment-berekeningen (afwaarderingen);
  • de waardering van immateriële activa;
  • schattingen die door het management zijn gemaakt;
  • de business rationale van belangrijke transacties.

Materiële fraude in de jaarrekening kan het gevolg zijn van manipulatie bij het boeken van journaalposten en het maken van schattingen ten aanzien van waarderingen. Daarom geeft de richtlijn ten aanzien van deze zaken specifieke voorschriften.

Evaluatie controlebevindingen

Op dit punt is de nieuwe richtlijn aanmerkelijk specifieker dan de oude. Uitgangspunt is dat een jaarrekeningcontrole een iteratief proces is, waarbij vooraf genomen beslissingen en schattingen gedurende de controle telkens weer kunnen worden aangepast. Dat kan betekenen dat (delen van) de controle opnieuw moet(en) worden uitgevoerd of dat de richting ervan moet worden heroverwogen.

Een belangrijk facet bij de evaluatie is de kwaliteit van de relatie met de cliënt. De richtlijn legt veel nadruk op de analytische procedures en cijferbeoordeling aan het einde van de controle. De aandacht moet daarbij vooral zijn gericht op cijfermatige trends die een aanwijzing kunnen zijn voor materiële fraude. Bij het ontdekken van materiële fraude moet de accountant zich afvragen welke gevolgen dit heeft voor de eerder uitgevoerde controlestappen.

De accountant mag een ontdekte fraude nimmer als een geïsoleerd geval zien, maar moet zich afvragen of deze onderdeel is van een groter geheel. Een serie kleine fouten in één locatie kan bijvoorbeeld een aanwijzing zijn voor materiële fraude.

Rapportering aan management en toezichthoudend orgaan

De nieuwe richtlijn volgt hier in grote lijnen de oude. Als de accountant een (verdenking van) fraude heeft geïdentificeerd dan moet hij dat terstond melden aan een adequaat niveau van het management. Bij (mogelijke) betrokkenheid van dat management rapporteert de accountant aan het toezichthoudend orgaan. Dat geldt ook als er werknemers bij zijn betrokken met een belangrijke taak bij de interne controle of als een overige fraude van materiële invloed is op de jaarrekening.

Rapportering aan externe toezichthouders en justitie

De richtlijn gaat in principe uit van de geheimhoudingsplicht van de accountant. Toch kan het in sommige jurisdicties verplicht zijn om buiten de sfeer van de onderneming te rapporteren over controlebevindingen. In Nederland geldt dat op grond van de Verordening op de Fraudemelding. Verder worden controlerend accountants van ondernemingen met een Amerikaanse beursnotering verplicht informatie te verschaffen aan de Amerikaanse Public Company Accounting Oversight Board (PCAOB).

Ten slotte wijst de richtlijn op de verplichting tot het verschaffen van informatie aan toezichthouders in sectoren als bank- en verzekeringswezen en gezondheidszorg.

Strakkere focus

Het meest kenmerkende verschil tussen de nieuwe en oude richtlijn is de fraudedriehoek, die een meer praktische richting geeft aan het denken over het frauderisico. De lijst frauderisico’s in bijlage 1 van de richtlijn blijft van kracht, maar wordt door de fraudedriehoek minder abstract. Toch zit hieraan ook een gevaar. De accountant moet gedrag van mensen gaan beoordelen en daarbij zelfs heel persoonlijke rationaliseringen van dat gedrag gaan meewegen. Het is de vraag of we daarmee niet zeer dicht tegen de grens zitten van hetgeen van een accountant mag worden verwacht.

De fraudeliteratuur geeft tal van voorbeelden waaruit blijkt dat het niet-professioneel beoordelen van gedrag tot volstrekt onjuiste conclusies kan leiden. Een accountant is geen psycholoog. Hij moet een primair oordeel uitspreken over de getrouwheid van de financiële verantwoording. Het is daarom goed dat de nieuwe richtlijn uitgebreid ingaat op de beoordeling van boekingen, schattingen en documentatie, en op de waarde van informatie van leiding, toezichthoudend orgaan en derden.

Met de nieuwe richtlijn krijgt de jaarrekeningcontrole een strakkere focus op het ontdekken van fraude. Het zal moeilijker worden om aannemelijk te maken dat de accountant een materiële fraude niet heeft kunnen ontdekken.

De uiteindelijke doelstelling van de jaarrekeningcontrole blijft te komen tot een redelijke mate van zekerheid dat deze vrij is van materiële onjuistheden, al dan niet als gevolg van fraude. De accountant zal tijdens de planning, uitvoering en evaluatie van de controle echter meer moeten doen om een voor dat oordeel deugdelijke grondslag te verkrijgen.

Noot
Peter Diekman is executive vice president en global head Group audit van ABN AMRO Bank en lid alsmede penningmeester van het bestuur van het Koninklijk NIVRA.

Teamdiscussie

Bij de brainstormsessie met het controleteam kunnen onder meer de volgende vragen aan de orde komen:

  • Hoe zou fraude kunnen plaats hebben (modus operandi)?
  • Wie zouden er kunnen frauderen?
  • Is er sprake van grote druk op mensen?
  • Zijn er mensen met een atypisch uitgaven- of gedragspatroon?
  • Wat zijn mogelijke motieven voor fraude?
  • Welke afdelingen of activiteiten zijn het meest kwetsbaar?
  • Welke externe of interne relaties zouden aanleiding kunnen geven tot frauduleus gedrag?
  • Wat is de houding van het management ten opzichte van interne en accountantscontrole?
  • Wat is de kwaliteit van interne controles die specifiek zijn gericht op ondernemingseigendommen met een verhoogd frauderisico, zoals geld, bankrekeningen en waardevolle vaste activa?
  • Hoe ontwikkelt de cliënt zich in economisch/financiële zin?
  • Welke controlemaatregelen moeten worden genomen om het frauderisico effectief te mitigeren? Bijvoorbeeld: bepaalde controleobjecten intensiever controleren, verrassingscontroles uitvoeren, handelingen van bepaalde personen extra goed controleren.

‘Wat niet is gedocumenteerd bestaat niet’

De nieuwe richtlijn verplicht de accountant gedetailleerde documentatie bij te houden. Zo zal hij moeten vastleggen waarom hij al dan niet vindt dat sprake is van frauderisico, in het bijzonder ten aanzien van de opbrengstverantwoording.

Ook de notulen van de teamdiscussie moeten in het dossier worden opgenomen, evenals zijn documentatie van alle als gevolg van de risicoschatting genomen controlebeslissingen, en alle correspondentie met management en toezichthoudend orgaan.

Documentatie is van bijzonder belang met het oog op het externe toezicht op de accountantsfunctie, in Nederland door de Autoriteit Financiële Markten, in de Verenigde Staten door de PCAOB. Mogelijk zal ook in Nederland het Amerikaanse adagium gaan gelden: “wat niet is gedocumenteerd bestaat ook niet …”.

Terugtreden accountant

De nieuwe richtlijn is specifieker waar het gaat om het eventueel defungeren van de accountant. De accountant moet de consequenties van materiële fraude voor zijn fungeren bespreken met zijn opdrachtgever, vaak het audit committee. Als de accountant concludeert dat hij zich moet terugtrekken dan moet hij de redenen daarvoor bespreken met het management en het toezichthoudend orgaan. Verder moet hij overwegen of er professionele of juridische redenen zijn om over het terugtreden formeel te rapporteren aan het management, toezichthoudend orgaan of externe toezichtautoriteiten.

In Nederland moet de accountant terugtreden als hij vindt dat een materiële fraude onvoldoende door het management is geredresseerd. Op grond van de Verordening op de Fraudemelding moet de accountant dit met redenen omkleed melden aan het Centrale Meldpunt voor fraudemelding.

Peter Diekman is directeur Forensic Consultancy Bussum BV en hoogleraar aan de University of Curaçao.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

    Aanmelden nieuwsbrief

    Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

    Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.