Statistical auditing (59)

Altijd weer die fraude

De NBA heeft aangekondigd dat fraudeonderzoek in 2017 een verplicht onderwerp wordt voor permanente educatie. Wij vinden dat we niet kunnen achterblijven. Sterker nog: we nemen een voorschot.

Hein Kloosterman en Ferry Geertman

Fraude is een complex onderwerp, waar we dan ook vaker over hebben geschreven columns 30, 35, 36 en 40). De complexiteit komt voort uit de verschillende zaken die een rol kunnen spelen. Hoe een fraude te ontdekken, het kwantificeren van het effect en het aanwijzen van een schuldige zijn drie hoofdelementen die wij hieronder de revue laten passeren. Naast het achteraf controleren, belichten we tot slot de mogelijkheid van controle in het heden. 

Ontdekken

Men kan bij het opsporen van fraude verschillende insteken kiezen. Een insteek is het zoeken naar fraudesignalen of -kenmerken. Een andere insteek is 'gewoon controleren', en daarbij de beoordeelde vastleggingen of gedragingen onderzoeken op potentiële fraude.

Ontdekken met behulp van fraudesignalen
Als de methode van controleren uitgaat van het zoeken op basis van fraudesignalen lijkt die sprekend op Geauzomofo (geautomatiseerd zoeken naar mogelijke fouten; zie column 45). Zodra er sprake is van foutsignalen is het slim om die op te pakken en met behulp van programmatuur voor data-analyse te gaan kijken of die signalen ertoe leiden dat er fraude boven water komt. Voor de volledigheid: zowel data-analyse als het controleren door middel van steekproeven kunnen zelfstandig leiden tot het ontdekken van fraudesignalen. En die kunnen dan weer - zie hierna - leiden tot nader onderzoek gevolgd door uitgewerkte conclusies.

Ontdekken door 'gewoon controleren'; substantive tests
In column 35 hebben we aangeduid dat de nauwkeurigheid waarmee de detailcontroles - substantive tests - worden uitgevoerd ook geldt voor conclusies over fraude wanneer bij elk element dat wordt onderzocht ook de beoordeling plaatsvindt of er sprake is van fraude. Dat lijkt 'gewoon controleren'; de extra beoordeling is dat de accountant zich moet verdiepen in de vraag wanneer sprake is van fraude. Als er geen fouten worden gevonden, blijft de bovengrens met betrekking tot fraude gelijk aan de controletolerantie (de toelaatbare fout). Wij gaan ervan uit dat de substantive tests met behulp van wiskundige steekproeven worden uitgevoerd.

Ontdekken door 'gewoon controleren'; beoordelen organisatie
Een willekeurige controleaanpak kent naast substantive tests ook het beoordelen van de interne organisatie, oftewel de interne beheersing. Dit deel van de controle omvat het beoordelen van de volledigheid van de opbrengstverantwoording. (Eigenlijk gaat het om de volledigheid van de verantwoording van de transacties.) Dit is een voorwaardelijke controle om een uitspraak op basis van de substantive tests te kunnen doen. Het is al een hele klus om vast te stellen dat de beschikbare vastleggingen van het bedrijfsgebeuren onderling consistent zijn. Het is immers mogelijk dat de organisatie niet steeds heeft gewerkt zoals zou moeten.

Bij een 'gewone controle' kan een deel van de evidence omtrent de werking voortkomen uit data-analyse, process mining bijvoorbeeld. Die evidence kan zijn dat de data laat zien dat de werking goed was of niet. Die evidence kan dan leiden tot de stelling dat er mogelijk sprake is van fraude. Als de data geen fouten laat zien, kan zijn dat die vastleggingen geen aanleiding geven tot een vermoeden van fraude. Verderop komen we op het beoordelen van de organisatie terug aan de hand van het door Kloosterman ontwikkelde transactiemodel.

Kwantificeren

Als er sprake is van fraude dan moet er worden gekwantificeerd. Dat kan met behulp van statistische methoden en technieken. Bijvoorbeeld wanneer er een wiskundige steekproef is getrokken en daar blijken fouten in voor te komen die het etiket fraude verdienen. Om te kwantificeren moet het te gebruiken beslissingsmodel worden toegesneden op degene die beslist, zoals over eventuele vervolging.

Stel dat de beslisser een Officier van Justitie is, dan is het goed mogelijk dat diegene wil weten wat het minimale nadeel is dat kan zijn berokkend. En ook wat het maximale nadeel is. Daarnaast, en dat geldt zeker als er ook nog civiele procedures kunnen volgen, zou hij willen weten wat de foutprojectie is. Om een minimale en een maximale fout te bereken is het weer nodig de maximale onbetrouwbaarheid te kennen die een Officier van Justitie zou willen hanteren.

Schuld

Vaak volgt uit de oorzaak van een fraude de veroorzaker. Het wordt echter lastiger als de schuldigen onderling hebben samengespannen. Als door dat samenspannen het net lijkt alsof alle interne beheersingsmaatregelen hebben gewerkt, wordt het moeilijk voor de onderzoeker om te bewijzen wie de schuldigen zijn.

Fraude houdt in dat de veroorzakers er voordeel bij hadden. Het kunnen volgen van de geldstroom is dan idealiter de wegwijzer naar de fraudeur. Veel beschrijvingen van fraudegevallen laten zien dat als er sprake is van samenspanning, er ook met de administratie wordt gesjoemeld.

Er bovenop zitten: transactiemodel
Het transactiemodel (zie figuur) laat zien hoe de transacties in de echte wereld leiden tot gegevens en die gegevens weer tot informatie.

De tekening laat zien dat als er transacties in de werkelijke wereld zijn die niet leiden tot een primaire vastlegging, zij ook niet tot een subsidiaire vastlegging zullen leiden. De bestanden (of andere vastleggingen) van de klant zullen dan niet de mogelijkheid bieden een steekproef te trekken of een data-analyse uit te voeren.

Er bovenop zitten betekent dan: realtime waarnemen in de werkelijke wereld, over de schouder meekijken of woorden van gelijke strekking. Dus als er een vermoeden van fraude is en de vastleggingen lijken geen houvast te bieden, dan zijn bijvoorbeeld videocamera’s (of een analoge methode van directe waarneming) in het gebied waar de fraude kan plaatsvinden een uitkomst.

All together now

Om het beste uit alle verschillende werelden te halen kunnen de hiervoor genoemde technieken worden gecombineerd. Dat betekent dat als er geen signalen van fraude zijn een gewoon onderzoek kan plaatsvinden, waarbij de beoordeling van de organisatie de consistentie van de vastleggingen met zich meebrengt. De substantive tests worden allemaal kritisch uitgevoerd, alsof er fraude gepleegd kan zijn met de vastleggingen.

Bij eventuele fouten, die fraude zouden kunnen herbergen, vindt nader onderzoek plaats. Daarbij gebruikt men zowel gereedschap voor data-analyse als statistische steekproeven. Dit is overeenkomstig de regelgeving (COS 530 paragrafen 12 en A17 en ook COS 450 paragrafen 9 en A10).

Als een meer nauwkeurig en meer betrouwbaar oordeel nodig is vanwege een vermoeden van fraude, dan kan een grotere steekproef - geldsteekproef bijvoorbeeld - worden getrokken om de beslissers inzake de strafrechtelijke kant te ondersteunen. Mocht dan nog niet helder zijn hoe en door wie de fraude wordt gepleegd, dan zijn er nog altijd methoden van directe waarneming.

Stuurgroep Statistical Auditing

De Stuurgroep Statistical Auditing is verbonden met het Limperg Instituut en heeft als doel 'het bevorderen van het correcte (effectief en efficiƫnt) gebruik van statistische methoden en technieken bij accountantscontroles en daarmee verwante controles op financiƫle verantwoordingen en overzichten'.

Hein Kloosterman RE RA, gepensioneerd adviseur IT-audit en Statistical Audit. Lid van de Stuurgroep Statistical Auditing.

Ir. Ferry Geertman RE CISA is managing director bij de KEY Group.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.