Hein Kloosterman en Ferry Geertman

Wij citeren: 'De accountant kan en moet als poortwachter bij de aanpak en bestrijding daarvan een rol spelen. Niets doen ten aanzien van fraude sluit niet aan bij de verwachting van de maatschappij. ... Uitgebreid fraudeonderzoek als onderdeel van iedere controle zou echter financieel onverantwoord zijn aangezien hierdoor de kosten van de accountantscontrole significant zouden toenemen. ...  De werkgroep pleit voor een middenweg waarbij binnen het systeem van corporate governance een belangrijke rol wordt ingeruimd voor de afstemming tussen de raad van commissarissen (of ander toezichthoudend orgaan) en de accountant over de onderkende frauderisico's en het onderzoek dat de accountant doet ten aanzien van deze risico's. Daarnaast ziet de werkgroep hier een noodzaak tot innovatie in de accountantscontrole door het gebruik van tools als data-analyse bij het identificeren van verslaggevingsfraude.  Controles moeten op dit punt verstevigd en geïntensiveerd worden.' Einde citaat.

De NV COS geeft in richtlijn 240 een definitie van fraude die kortheidshalve kan worden samengevat als 'een opzettelijk handelen of nalaten van aan de organisatie verbonden personen om met misleiding een onrechtmatig of onwettig voordeel te verkrijgen'.

Vanuit de optiek van Statistical Audit kunnen we vanuit twee verschillende controlemethodieken redeneren. De eerste is vanuit de gegevensgerichte detailcontrole, de tweede invalshoek is data-analyse. Beide invalshoeken kennen inmiddels een stevige modelbouw.

Wij willen in deze column het model schetsen van de gegevensgerichte detailcontrole en daarmee een ingang bieden voor verdere discussie. In een volgende column werken we de invalshoek van de data-analyse uit.

Gegevensgerichte detailcontrole, wat houdt die in?

Het model van de gegevensgerichte detailcontrole is vormgegeven met behulp van steekproeftheorie, en wel die van de geldsteekproeven (monetary unit sampling). De hoeveelheid bewijs die moet worden geleverd is gebaseerd op de parameters materialiteit (in geld) en het auditrisico (de kans) op ten onrechte goedkeuren.

Beide parameters hangen samen: als een verantwoording een hoeveelheid fouten ter grootte van het bedrag van de materialiteit bevat, mag het risico van het goedkeuren van die verantwoording ten hoogste gelijk zijn aan het auditrisico. De aanpak van het onderzoek komt vervolgens neer op het verzamelen van zoveel bewijs - bewezen goede geldeenheden - dat de stelling dat de verantwoording niet kan worden goedgekeurd, kan worden verworpen.

Alle bewijs - dus dat betreffende alle steekproefelementen of hun als valide aangemerkte steekproefequivalenten - moet dus het goed zijn van de verantwoording onderschrijven. Anders gezegd: alle onderzochte gegevens (de steekproefelementen) van het grootboek (waarin immers de Ist-posities zich bevinden) moeten kloppen met hun brongegevens (de Soll-posities die in allerlei bronnen teruggevonden moeten worden, zoals dossiers, documenten en ook primaire vastleggingen ondersteund met bewijs omtrent de effectieve werking van de onvervangbare interne controle).

Van iedere boeking wordt dus onderzocht of die goed is. Als hij goed is, draagt die boeking bij aan het mogelijk verwerpen van de stelling dat de verantwoording (nog) niet kan worden goedgekeurd.

Relatie detailcontrole met fraudeonderzoek

Als bij de detailcontrole blijkt dat een boeking (Ist) niet overeenkomt met de brongegevens (Soll) hoeft er nog niet sprake te zijn van fraude. Er is sprake van een fout.

Daarvan hoeft niet voorafgaand aan de controle bedacht te zijn aan welke kenmerken zo'n fout voldoet.

Wel moet worden bedacht wanneer en waarom een boeking 'goed' is. Als een boeking niet 'goed' is, kan het dus gaan om het ontdekken van unknown errors.

Als zich één of meer fouten voordoen in een steekproef is het goed gebruik om aan foutanalyse te doen. Niet om de fouten weg te redeneren, daar doen we niet aan. Foutanalyse moet een indicatie leveren van de aard en de omvang van de verschillende soorten fouten in de populatie. De steekproef zoals die getrokken is om te gaan goedkeuren levert doorgaans te weinig informatie om zo'n indicatie te geven. Daarom is vaak een aanvullende steekproef wenselijk. Niet om alsnog te gaan goedkeuren, maar om een nauwkeuriger schatting van het totale bedrag aan fouten te krijgen. Een foutanalyse kan ook voor een deel worden uitgevoerd met data-analyse, daarover meer in de volgende bijdrage.

Voorbeelden van boekingen die het stempel 'goed' niet kunnen krijgen zijn een teruggedraaide boeking terwijl de oorspronkelijke boeking 'goed' was, een boeking gedaan door een medewerker waarvan dit niet verwacht wordt, een boeking zonder omschrijving of juist met bepaalde woorden, een boeking die onverwacht op een tussenrekening terecht komt.

In het kader van fraudeonderzoek moeten dergelijke boekingen dan in detail worden onderzocht om de vraag te beantwoorden of er sprake is van benadeling en of er opzet in het spel is. Verder moet nader worden geanalyseerd of er meer van dergelijke boekingen zijn.

Voor de controle van de jaarrekening is het van belang om het maximale effect van de gevonden fouten te leren kennen; de bovengrens mag immers de materialiteit niet overschrijden.

De relatie van detailonderzoek met fraudeonderzoek is dat gevonden fouten fraude kunnen betekenen. Ieder geval van fraude is een fout, maar niet iedere fout heeft te maken met fraude. Dat verdient nog enige toelichting.

Jaarrekeningcontrole

Als bij de controle van de jaarrekening fouten aan het licht komen, en een zekere mate van fraudeonderzoek zou tot die jaarrekeningcontrole moeten behoren, dan ligt het voor de hand om de foute boekingen nader te onderzoeken.

Men moet zich er van bewust zijn dat bij een goedkeuringsonderzoek zoals de jaarrekeningcontrole, de elementen (geldeenheden) die niet goedgekeurd kunnen worden het stempel 'goed' niet kunnen krijgen. Anders gezegd, er kan sprake zijn van twijfel óf van zeker weten dat de geldeenheid, en de boeking die erbij hoort, fout is.

Vervolgens moet van de niet 'goede' boeking worden vastgesteld dat die met opzet fout geboekt is. En nog wat zaken die met de benadeling van de gecontroleerde of de stakeholders te maken hebben. Men zou kunnen zeggen dat er een 180 graden andere blik moet worden geworpen op de relatie van de gecontroleerde niet ‘goede' boeking en de bijbehorende elementen van de Soll-positie.

Wat zich ook nog wel eens voordoet bij het vinden van een fout die als fraude moet worden bestempeld, is dat de bovengrens van die fout opeens onbepaald groot wordt. Populair gezegd: zo'n fout kan een beerput opentrekken. Het statistisch berekenen van een bovengrens hoeft dan niet voldoende te zijn om te weten of de mogelijke (en dus maximale) fout de materialiteit overschrijdt. De beerput kan de fout dan tot ongekende hoogten brengen, zullen we maar zeggen.

Extra en anders gericht onderzoek

Onze conclusie is dat bij een 'normale' gegevensgerichte detailcontrole fouten aan het licht kunnen komen die te maken hebben met fraude. Hét voordeel van statistische steekproeven is dat zowel verwachte als niet-verwachte fouten aan het licht kunnen komen en zorgen voor een solide basis voor identificatie van risicogebieden, en dus leiden tot een betere prioriteitsstelling.

De accountant moet zich er van bewust zijn dat als de kwalificatie 'goed' aan een onderzochte geldeenheid moet worden onthouden, er sprake kan zijn van fraude. Dat vereist een extra en anders gericht onderzoek. Dat op zijn beurt betekent extra werk ten opzichte van ‘alleen maar' goedkeuren.