Peter Schimmel

Bij het door accountants vervullen van een rol als poortwachter fraude mag je de nodige vraagtekens stellen. Naast mijn aversie tegen het begrip 'poortwachter', zie ik een aantal onoverkomelijke uitdagingen dat het succesvol gericht zoeken naar fraude door de accountant onmogelijk maakt. Maar er is een groter aantal wel overkomelijke uitdagingen, dat voorkoming en ontdekking bevordert. Hoe je die uitdagingen wellicht kunt aangaan, daarover gaat dit artikel. Het door mij eerder gememoreerde gebrek aan onderzoektalent van de accountant laat ik onbesproken, omdat dit mijns inziens buiten de controleverplichtingen valt. Tracht dit artikel niet te lezen als de kritiek van een cynicus, maar als een handreiking van een optimist.

Verantwoordelijkheid en rol van de externe accountant

Het gaat hier over de externe accountant die een wettelijke controle verricht. Daarbij tracht hij/zij met een redelijke mate van zekerheid vast te stellen dat de jaarrekening vrij is van afwijkingen van materieel belang als gevolg van fouten of fraude.
Fraude voorkomen of ontdekken is formeel primair de verantwoordelijkheid van het management en de met governance belaste functionarissen. Dat betekent echter niet dat de accountant geen verantwoordelijkheid heeft voor het voorkomen en ontdekken van fraude, want een belangrijk aantal van zijn gebruikelijke controlehandelingen draagt daar ook aan bij. Hij zal zich daarbij laten leiden door de uitkomsten van zijn (fraude-)risicoanalyse.

Dit artikel gaat in beginsel niet over het voorkomen en ontdekken van fraude door de accountant, maar wel over het bevorderen door die accountant van de mogelijkheden van voorkoming en ontdekking door degenen die daar beter toe in de gelegenheid zijn. Zoals de raad van commissarissen, het bestuur, de medewerkers (klokkenluiders) of de interne accountant van de gecontroleerde organisatie. Maar ook door de accountant zelf, op basis van zijn risicoanalyse, want hij mag natuurlijk niet nalaten wat hij ook zelf kan. Albert Bosch spreekt in die context van een inspanningsverplichting.

'Als de accountant de organisatie zelf alerter en succesvoller maakt, dan wordt hij dat zelf vermoedelijk ook.'

Als de accountant de organisatie zelf alerter en succesvoller maakt, dan wordt hij dat zelf vermoedelijk ook. Stel je eens voor dat door het verhogen van de effectiviteit van de organisatie zelf en de accountant, tweemaal zoveel fraude wordt voorkomen of ontdekt. Verhoudingsgewijs zal de accountant dan net zoveel ontdekken als nu. Dat is heel wat effectiever, en mijns inziens logischer, dan dat alleen de externe accountant tracht tweemaal zoveel te voorkomen of ontdekken en dan dus percentueel tweemaal zoveel vindt. Overigens meen ik dat hij dat helemaal niet kan, maar daar heb ik al eerder een artikel over gepubliceerd.

Verbeterpunten en suggesties daartoe

Op basis van veel audit support aan accountants meen ik, op basis van eigen waarneming, dat ook volgens het boekje werkende accountants nog veel te winnen hebben op een aantal punten die ze zelf in de hand hebben.

1. De aard en diepgang van de frauderisico analyse
De meeste frauderisico-analyses gaan uit van statische fraude- en corruptiefenomenen (inkoopfraude, agenten, gebruik contant geld), maar niet van voor de organisatie specifieke dynamische/adaptieve fraudescenario’s. Veelal wordt ook bijna digitaal aan de hand van een vaste situatieschets gedacht: "Ja, dat kan voorkomen" of "nee, dat ligt niet voor de hand" of op een SIRA-achtige van bruto- naar nettosystematiek. Bovendien worden er nauwelijks frauderisicofactoren-analyses uitgevoerd per scenario; noodzakelijk om de achterliggende individuen te kunnen begrijpen, om op hun gedrag te kunnen anticiperen.

'Accountants denken niet als fraudeurs en kunnen dat meestal ook niet. Daarom zijn ze accountant geworden en geen fraudeur.'

Accountants denken niet als fraudeurs en kunnen dat meestal ook niet. Daarom zijn ze accountant geworden en geen fraudeur. Om die gedachtegang toch enigszins te bevorderen moet bij de risicoanalyse in operationele gebeurtenissen worden gedacht, oftewel scenario's. Dus niet de gesloten vraag beantwoorden "Kan hier sprake van inkoopfraude zijn?" (feitelijk een vorm van corruptie), want dat kan altijd, maar "Hoe zou inkoopfraude in deze organisatie kunnen plaatsvinden?" Dan moet je een te bedenken scenario bespreken vanuit de inkoper die een valse voorstelling van zaken geeft, met het oogmerk zichzelf ten koste van een ander onrechtmatig te verrijken. Hoe dan?

Bedenk: Waar koopt de inkoper in, wat koopt hij in, met wie koopt hij in en van wie koopt hij in? Hoe kunnen goederen met een lagere kwaliteit onontdekt worden geleverd dan op de order/factuur/leveringspapieren staat? Hoe kan onopgemerkt een iets hogere prijs in rekening worden gebracht dan feitelijk de prijs voor het ingekochte goed of dienst is, om vervolgens een deel van die verhoging als kickback aan de inkoper uit te betalen? Deze laatste twee open voorbeeldvragen tonen zich al als een scenario op basis waarvan een risicobeoordeling is uit te spreken; er is maar beperkt sprake van vast omschreven situaties.
Bij de beantwoording van de open vragen dienen bovendien altijd bij ieder scenario de frauderisicofactoren gelegenheid, druk en rationalisatie de revue te passeren, iets wat bij de SIRA-methodiek bijvoorbeeld niet gebeurt.
In feite zouden alle risico's die reëel zijn voor de gecontroleerde huishouding op deze manier tot op dit niveau uitgewerkt kunnen worden. Ja, dat is een klus, met name als er binnenkort ESG bij komt.

2. Het vragen van inlichtingen aan de hoogste leiding, waar het om fraude gaat
Mensen in de organisatie weten meer van wat er binnen de organisatie gebeurt, dan buitenstaanders. Daarom dient de accountant met (in ieder geval) de hoogste leiding, degenen die primair verantwoordelijk zijn voor het voorkomen en ontdekken van fraude, over de fraudebeheersing te spreken. Dit blijkt vaak een lastig en kort gesprek, ook omdat in dat gesprek de integriteit van de hoogste leiding zelf wordt bezien; de hoogste leiding en de accountant vinden het zelden een leuk en makkelijk gesprek.

Ik vraag mij af hoe je zonder grote onzekerheden tot het oordeel kunt komen dat er geen bevindingen van materieel belang zijn ten gevolge van fraude, als je niet de opzet, het bestaan en werking van de frauderisicobeheersing daadwerkelijk doorgrondt. Zonder jaarlijks een goed gesprek met de verantwoordelijken te voeren, wordt dat wel heel erg moeilijk.
Naar mijn idee heb je voor een toereikend gesprek minstens zo'n twee uur nodig, waarin je goed voorbereide positief geformuleerde stellingen de revue laat passeren, bijvoorbeeld gebaseerd op de NBA-brochures Frauderisicobeheersing en Opstellen frauderesponsplan. Deelnemers stemmen op een 5-schaal van 'helemaal niet waar' tot 'helemaal waar', waarna de accountant telkens vraagt: "En waaruit blijkt dat?" Vervolgens kan er per onderdeel een discussie worden gevoerd over de mogelijke risico's en verbetermogelijkheden in de beheersing. Boeiend zijn de verschillen van inzicht tussen de gespreksdeelnemers, waarvan de accountant er één is.
Uit dit gesprek rollen een plan van aanpak en bevindingen voor in de management letter. Verder kan het gesprek een bron zijn voor aanpassingen in de controleaanpak.

3. Opzet, bestaan en werking fraudebeheersing
Tot nu toe ging het vooral om de frauderisicoanalyse door de accountant en de inzichten over fraudebeheersing van de hoogste leiding. Maar als het om opzet gaat wil je toch ook specifiek beleid daartoe kunnen lezen, waaruit blijkt dat dit is ontworpen om de specifiek onderkende risico's te mitigeren. Je wilt bovendien bewijs zien van het bestaan van de beschreven procedures en maatregelen. Ook wil je testen of genoemde maatregelen echt werken. Alleen dan kan je nagaan of de hoogste leiding haar primaire verantwoordelijkheid ook neemt.
Tot op heden ontwaar ik in de controleaanpak of -dossiers zelden de frauderisicobeheersing als een te controleren/gecontroleerd proces. Nou heb ik geen representatief beeld van alle wettelijke controles. Maar in feite zou ik in ieder controledossier op dit punt wat mogen verwachten, toch?

4. Fraudebeheersing is geen object van controle en de bestaande standaard 240 is gemankeerd
Eigenlijk als vervolg op het vorige punt, maar vooral gericht op de inzet van de beroepsorganisatie van accountants: het ontbreekt aan een controlestandaard die ziet op de opzet, het bestaan en de werking van de fraudebeheersing.

'Het lijkt of de factor mens is vergeten als controleobject, maar zonder de factor mens is er geen fraude.'

En er ontbreekt nog iets: Er is weliswaar in controlestandaard 240 bijlage A aandacht voor de onderkenning van de risicofactoren druk en rationalisatie, maar overigens ontbreekt het in de controlestandaarden aan aandacht voor de beheersing daarvan, in tegenstelling tot de frauderisicofactor gelegenheid. Het lijkt of de factor mens is vergeten als controleobject, maar zonder de factor mens is er geen fraude.

5. Veel gehanteerde controlemiddelen lenen zich niet goed voor fraudedetectie
Neem het idee dat als er een order is, een factuur en een betaling, binnen een organisatie met toereikende functiescheiding, en de essentiële gegevens komen overeen, dat deze inkoop dan oké is. Zelfs als de goederenontvangst overeenkomstig is en de desbetreffende aankoop wordt aangetroffen in het magazijn, bestaat die zekerheid niet, vanuit het perspectief van fraude. Wie zegt mij dat het aangetroffen artikel de kwaliteit heeft die vermeend is ingekocht? Vanuit de idee van fraude kan alles echt lijken, maar vals zijn. Daarom levert bijvoorbeeld statistical auditing niet altijd de oplossing die we zoeken. Ja, het kan helpen, maar het is niet de oplossing. Dit is maar een voorbeeld waar we gegevens controleren die eigenlijk niet de zekerheid bieden die we verwachten, doordat fraude de spelbreker is.

'De aard van fraude is complex en verhuld en is vaak gericht op de accountant, die slechts geringe tijd in de organisatie verblijft.'

Wees alert op onverklaarbaarheid, neem geen genoegen met onbegrijpelijkheid en wees niet alleen kritisch, maar ook altijd wantrouwend. Niet één transactie is potentieel vals, maar dat zijn ze allemaal. Zo zijn er ook geen goede of foute mensen, maar mensen die mogelijk allemaal wel eens iets stiekem opzettelijk fout doen, en soms voor langere tijd.

6. Accountants krijgen vaak niet de informatie die aanwijzingen voor het ontstaan van fraude kunnen omvatten
Met name wat betreft de frauderisicofactoren druk en rationalisatie ontbreekt het de accountant vaak aan noodzakelijke informatie, als hij/zij een klassieke controle volgens de standaarden uitvoert.

Als de accountant dat nog niet doet, dan zou hij/zij zich daarom veel meer kunnen verdiepen in ontslag-, verloop- en verzuiminformatie per afdeling, loonbeslagen, CAO en beloningsperikelen, inhoud klokkenluidersmeldingen en medewerkerstevredenheid (tone at the top). Ook de recente branche- en marktontwikkelingen, schaarste in hulpbronnen, valutaontwikkelingen en concurrentie-informatie, leveren essentiële informatie op als je wilt begrijpen wat al dan niet normaal is en wat afwijkt en dus extra aandacht behoeft.

Complex en verhullend

Ik ben ervan overtuigd dat als je een redelijke mate van zekerheid wilt hebben of een jaarrekening vrij is van materiële afwijkingen ten gevolge van fraude (en corruptie), het niet zoveel zin heeft om fraude-incidenten te gaan najagen. De aard van fraude is complex en verhuld en die verhulling is vaak specifiek gericht op de accountant, die slechts geringe tijd in de organisatie verblijft. Het is mijns inziens nuttiger, en volgens mij ook door de tekst van controlestandaard 240 zo bedoeld, dat de accountant er alles aan doet om de organisatie die wordt gecontroleerd zelf de kans op fraude te laten verkleinen en te stimuleren dat mogelijke signalen van fraude de accountant tijdig bereiken.
Dit laat onverlet dat de accountant, vanuit zijn inspanningsverplichting, bij zijn controle alert moet zijn op eventuele incidenten, die kunnen blijken uit zijn eigen controle-activiteiten. Maar dat blijft bijvangst.