Audit software niet aan begin inzetten
Volgens Carlos Neves Cordeiro zou een intensiever inzet van audit software meer fraude aan het licht brengen (zie oktobernummer, pagina 22). Volgens Ruud Kok is dat het schieten met een kanon op een mug, en nog ongericht ook.
Dit artikel is verschenen in de Accountant nr. 3, 2003
Bekijk alle artikelen uit dit nummer
Ruud Kok
Carlos Neves Cordeiro wekt de suggestie dat de big four-kantoren in hun controleaanpak onvoldoende het frauderisico onderkennen en daarbij met name onvoldoende gebruikmaken van de mogelijkheden van audit software. Dat vraagt om een reactie.
De verantwoordelijkheid van de accountant wordt scherper gemarkeerd. Dat stelt hoge eisen aan zijn functievervulling. Dat is de strekking van de nieuwe RAC 240, die van toepassing is vanaf 2003 en betrekking heeft op de verantwoordelijkheid van de accountant voor het opsporen van fraude in het kader van een opdracht tot controle van een jaarrekening.
De richtlijn is helder over de verantwoordelijkheden van zowel de onderneming als accountant: de primaire verantwoordelijkheid voor het voorkomen en ontdekken van fraude en andere onregelmatigheden berust bij de directie en toezichthoudende organen. De verantwoordelijkheid van de accountant is het geven van een redelijke mate van zekerheid dat de jaarrekening als geheel geen afwijkingen van materieel belang ten gevolge van fraude en andere onregelmatigheden bevat. Dit impliceert dat de accountant niet verantwoordelijk is voor het opsporen van kleine fraudes. Het maatschappelijk verkeer mag echter wel degelijk verwachten dat materiële fraudes, die het beeld van de jaarrekening aantasten, wél worden gevonden.
PricewaterhouseCoopers neemt in zijn controleaanpak het frauderisico heel serieus. Elke audit van PwC is gebaseerd op een uitgebreide algemene en branchespecifieke analyse van risico’s die mogelijk leiden tot materiële - bewuste dan wel onbewuste - fouten in de jaarrekening. Het frauderisico - de kans op bewuste fouten in de jaarrekening - staat daarmee niet op zichzelf, maar vormt een integraal onderdeel van deze risicoanalyse.
Het fundament van deze risicoanalyse wordt gelegd door het voeren van diepgaande gesprekken met de directie en het bredere managementteam van de cliënt. In deze gesprekken komen de door de accountant onderkende risico’s op materiële fouten in de jaarrekening aan de orde. Het frauderisico wordt daarbij expliciet besproken. Daarbij komt de vraag aan de orde of en in hoeverre het frauderisico wordt gemitigeerd door interne controlemaatregelen van de cliënt.
Controlemaatregelen die vervolgens uitgebreid worden getest. Zo zal bijvoorbeeld worden nagegaan of de (geautomatiseerde) controles die een telecombedrijf heeft ingericht om de volledigheid van de opbrengsten te waarborgen, ook daadwerkelijk werken. Dat is efficiënter en dus goedkoper dan een dergelijke controle zelf inrichten met behulp van audit software.
Het risico van managementfraude wordt overigens op een vergelijkbare manier onderzocht. De basis daarvoor ligt in de gesprekken met leden van het audit committee of raad van commissarissen. De procedures die deze organen ter beschikking hebben om toezicht te houden worden door de accountant getest.
Daar waar deze maatregelen van interne controle ontoereikend blijken te zijn, of als er reeds concrete indicaties van mogelijke fraude zijn gesignaleerd, zetten onze accountants hun werkzaamheden voort met gedetailleerder controlewerkzaamheden. Speciale, voor de gemiddelde accountant toegankelijke audit software, zoals ACL en andere meer specifieke door PricewaterhouseCoopers ontwikkelde dataanalyse tools, zijn goede hulpmiddelen bij deze werkzaamheden.
We beginnen dus niet met het inzetten van software, maar het maakt - ook nu al - wel degelijk onderdeel uit van onze controleaanpak. Zouden we direct met het inzetten van software beginnen - zoals Neves Cordeires suggereert - dan zijn er twee mogelijke problemen. In de eerste plaats bestaat het gevaar dat we ons blind staren op kleine onregelmatigheden en geen oog meer hebben voor de grote (fraude)risico’s. In de tweede plaats bestaat het risico dat we onvoldoende gebruikmaken van de door de cliënt ontworpen en geïmplementeerde controles en te veel tijd besteden aan het ontwerpen van onze eigen controletechnieken. Ofwel: we schieten dan niet alleen met een kanon op een mug, maar laten ook nog na goed te kijken waar die mug is en daar zorgvuldig op te mikken. Dat kan nooit efficiënt zijn en leidt tot meer in plaats van minder kosten.
In de visie van PricewaterhouseCoopers wordt het antwoord op de actuele verwachting van de markt ten aanzien van het opsporen van fraude, gevormd door een effectief samenspel van een diepgaande risicoanalyse, een open discussie met en confrontatie van het management en toezichthoudende organen met mogelijke frauderisico’s, en het gericht uitvoeren van noodzakelijke controlewerkzaamheden. Het gebruik van audit software kan daarbij een belangrijke signalerende of ondersteunende rol spelen, maar vormt niet de kern daarvan.
Het omgaan met frauderisico’s is een belangrijk en gevoelig onderdeel van elke controle en vergt een zorgvuldige aanpak door accountants met de juiste, professioneel sceptische, houding en ervaring, en de durf om te confronteren. Dat is wel de kern!
Noot
Ruud Kok is voorzitter van de Global Risk Management Services-groep van PricewaterhouseCoopers.
Naschrift Carlos Neves Cordeiro
Ruud Kok schetst in zijn reactie de moderne controleaanpak zoals deze onder meer door de grote kantoren wordt toegepast, een combinatie van risicoanalyse en zowel systeemgerichte als gegevensgerichte controles. De essentie van mijn artikel is dat naarmate het maatschappelijk verkeer verwacht dat de controlerend accountant meer fraudes detecteert, de balans tussen systeemgerichte en gegevensgerichte controles zal verschuiven ten faveure van laatstgenoemde categorie. Fraudedetectie bij systeemgerichte controles berust immers louter op toeval. Accountants zijn vaak huiverig voor het loslaten van systeemgerichte controles. Ik hoop met mijn artikel een aanzet te hebben gegeven voor het steeds opnieuw afwegen van de balans tussen systeemgerichte en gegevensgerichte controles.
Naar mijn stellige overtuiging zal de balans, vaker dan thans vermoed, op grond van efficiencyoverwegingen en het vermogen fraude te detecteren, doorslaan in het voordeel van gegevensgerichte controles. Daarmee wordt het belang van systeemgerichte controles in de mix waaruit de moderne controleaanpak bestaat overigens niet ontkend.