Martijn Duffels en Marianne van Kimmenade

Bij de analyse van fraudeparagrafen in controleverklaringen van beursfondsen over het boekjaar 2021 viel op dat het frauderisico ten aanzien van de opbrengstverantwoording in controles, al dan niet onderbouwd in de verklaring, bij sommige beursfondsen door accountants is weerlegd. Uit de toelichtingen in de controleverklaringen op het weerleggen van dit frauderisico kunnen wij niet afleiden hoe de accountant te werk is gegaan en of de accountant alle verschillende soorten opbrengsten, opbrengsttransacties of beweringen specifiek heeft overwogen bij de beslissing om het veronderstelde risico te verwerpen.

'We merken dat er meer discussie is over het weerleggen van het frauderisico ten aanzien van de opbrengstverantwoording.'

We merken dat er meer discussie is over het weerleggen van het frauderisico ten aanzien van de opbrengstverantwoording. Dit geeft aan dat dit onderwerp in de praktijk vragen oproept. Het gaat dan met name over de vraag wanneer je de veronderstelling van het bestaan van dit frauderisico kunt weerleggen. We zien dat meerdere toezichthouders zich hier zorgen over maken^{1 2}. Met dit artikel willen wij meer duiding geven over wat er hierover in Standaard 240³ staat. Hierbij merken wij op dat in internationaal verband ISA 240, die de basis vormt voor de Nederlandse Standaard 240, wordt herzien. Mogelijk zal deze herziening in de toekomst ook leiden tot meer duiding omtrent de interpretatie van het veronderstelde frauderisico in de opbrengstverantwoording en het weerleggen daarvan.

Standaard 240

Het lijkt goed om eerst maar eens terug te gaan naar de basis: wat staat er nu precies in de Standaard? De veronderstelling dat er frauderisico's zijn, is geregeld in paragraaf 27 van Standaard 240: "Bij het identificeren en inschatten van de risico's op een afwijking van materieel belang die het gevolg is van fraude dient de accountant, uitgaande van de veronderstelling dat er bij de opbrengstverantwoording frauderisico's bestaan, te beoordelen welke soorten opbrengsten, opbrengsttransacties of beweringen aanleiding geven tot deze risico's. Paragraaf 48 specificeert welke documentatie vereist is indien de accountant concludeert dat de veronderstelling niet van toepassing is in de voor de opdracht gegeven omstandigheden en hij, als gevolg daarvan, de opbrengstverantwoording niet heeft geïdentificeerd als een risico op een afwijking van materieel belang die het gevolg is van fraude." (Zie paragraaf A29 , A30 en A31)

De accountant moet ook rekening houden met paragraaf 28. Deze stelt dat een ingeschat risico op een afwijking van materieel belang als gevolg van fraude wordt beschouwd als een significant risico. Dit betekent dat het ten onrechte weerleggen van de veronderstelde frauderisico's leidt tot het missen van een significant risico. Daardoor blijft in dat geval relevante toetsing van de opzet en implementatie van relevante interne beheersingsmaatregelen veelal achterwege. Dit kan potentieel een ernstige tekortkoming in de controle betekenen.

Laten we eerst eens naar het brede plaatje kijken: Wat betekent de veronderstelling dat er frauderisico's bestaan? De veronderstelling dat er frauderisico's ten aanzien van opbrengstverantwoording zijn, betekent dat in veel controles een significant risico bestaat op een afwijking van materieel belang in de opbrengstverantwoording als gevolg van fraude. Het is daarom goed om nader te kijken hoe het veronderstelde frauderisico dan werkt.

Standaard 240 werkt onder meer uit wat in het kader van fraude wordt verwacht in de risicoanalyse. Specifiek stelt paragraaf 27 dat een accountant, bij het analyseren van de risico's, moet beoordelen welke soorten opbrengsten, opbrengsttransacties of beweringen aanleiding geven tot een frauderisico. Neem daarbij bijvoorbeeld in acht: de samenstelling van omzettransacties (bijvoorbeeld lage prijs, hoog volume), de complexiteit van omzettransacties (hoge mate van schatting, etc.) en inzicht in wanneer de omzet als gerealiseerd mag worden beschouwd. Ook kunnen omzetgerelateerde factoren als KPI's, afspraken ten aanzien van de beloningsstructuur voor het management en relevantie van omzet, voor stakeholders relevant zijn in het kader van het frauderisico ten aanzien van de opbrengstverantwoording.  Het frauderisico kan zien op het te hoog verantwoorden van omzet (bijvoorbeeld door fictieve omzet te verantwoorden of omzet te vroeg te verantwoorden), of het niet-volledig verantwoorden (of toelichten) van de omzet.

Bij het doen van die inschatting moet de accountant ervan uitgaan dat er frauderisico's ten aanzien van de opbrengstverantwoording bestaan; dat is het startpunt voor de (fraude) risicoanalyse. Dat frauderisico's kunnen bestaan zowel op het niveau van soorten opbrengsten als op het niveau van (individuele) opbrengsttransacties, heeft als consequentie dat ook het eventueel weerleggen van het veronderstelde frauderisico op het niveau van de soorten opbrengsten en opbrengst-transacties moet plaatsvinden. Ook geeft de standaard aan dat het frauderisico kan worden onderkend op het niveau van beweringen, of op het niveau van de financiële overzichten als geheel.

Materialiteit

Uiteraard, zoals altijd in de accountantscontrole, gaat het om risico's op een afwijking van materieel belang. Hierbij moet wel worden onderkend dat het materialiteitsbegrip zowel kwantitatief als kwalitatief van aard is. Juist bij fraude, zeker als het management daarbij is betrokken, lijkt het voor de hand te liggen dat eventuele fraudes op grond van kwalitatieve overwegingen als materieel moeten worden aangemerkt, ook als ze kwantitatief niet van materieel belang zijn. Immers, een vermoeden van fraude kan leiden tot andere beslissingen door gebruikers.

Met andere woorden: Bij het maken van de risico-inschatting moet je ervan uitgaan dat er frauderisico's zijn en dan inschatten bij welke soorten opbrengsten, opbrengsttransacties en beweringen deze frauderisico's tot een risico op een materiële afwijking (kwalitatief en/of kwantitatief) zouden kunnen leiden. Uiteraard kan de uitkomst van deze inschatting zijn dat dergelijke risico's niet tot een materiële afwijking zouden kunnen leiden, maar het vertrekpunt is dat die frauderisico’s er wel zijn. Daarom ook dat toezichthouders vragen stellen, als wordt gesteld dat er geen frauderisico’s bestaan met betrekking tot de opbrengsten⁴.

In de A-paragrafen van Standaard 240 is hierop enige nadere duiding gegeven. In deze paragrafen⁵ wordt bijvoorbeeld uitgelegd dat het meten van (en daarmee het impliciet of expliciet afrekenen van management op) omzet- of winststijging kan leiden tot stimulansen of druk op het management. Die stimulansen of druk kunnen vervolgens risicoverhogend werken. Ook wordt opgemerkt dat het mogelijk is dat er grotere risico's zijn als een aanzienlijk deel van de omzet bestaat uit contante verkopen. Aan de andere kant geeft paragraaf A31 een nadere uitwerking van een situatie waarin het veronderstelde frauderisico met betrekking tot de opbrengsten kan worden weerlegd. In deze uitwerking in de A-paragraaf wordt als voorbeeld genoemd dat de gehele omzet bestaat uit één soort van eenvoudige transacties; bijvoorbeeld de huuropbrengst van één bepaald onroerend goed.

'Uitdrukkelijk stelt Standaard 240 dat als het veronderstelde frauderisico wordt weerlegd, de redenen voor die conclusie in de controledocumentatie moeten worden opgenomen.'

Uitdrukkelijk stelt Standaard 240 dat als het veronderstelde frauderisico wordt weerlegd, de redenen voor die conclusie in de controledocumentatie moeten worden opgenomen. Paragraaf 27, die het veronderstelde frauderisico behandelt, verwijst daarvoor expliciet naar paragraaf 48 die dit documentatievereiste helder uiteen zet. Het goed onderbouwen en documenteren van het weerleggen van de veronderstelling is ons inziens, in lijn met paragraaf 48, cruciaal.

Praktijk

Wat betekent dit voor de praktijk? Kan het veronderstelde frauderisico alleen worden weerlegd als aan het specifieke voorbeeld in paragraaf A31 wordt voldaan?  Die interpretatie lijkt te ver te gaan. Paragraaf A31 is onderdeel van de toepassingsgerichte en overige verklarende teksten. Deze teksten zijn integraal onderdeel van de Standaarden⁶ en hebben als doel nadere duiding en context te geven om de Standaard en de daarin opgenomen vereisten goed te kunnen begrijpen en op passende wijze toe te passen. Maar het is geen zelfstandige vereiste waaraan de accountant moet voldoen, zoals dat wel geldt voor paragraaf 27 zelf⁷. Er kunnen dus ook andere situaties mogelijk zijn waarin de accountant de veronderstelling, dat er frauderisico's van materieel belang bij de opbrengstverantwoording bestaan, kan weerleggen.

Ook is het goed om te bedenken dat als het frauderisico niet wordt weerlegd, de accountant het risico wel specifiek moet maken. Het gaat immers om een significant risico, waarvoor de accountant specifieke controlewerkzaamheden moet opzetten en uitvoeren, met betrekking tot de opzet en implementatie van de interne beheersing en gegevensgerichte controles. Dat kan alleen als het risico voldoende specifiek is gemaakt. Bovendien merken wij op dat het veronderstelde frauderisico niet moet worden verward met de risico's voortvloeiend uit management override of controls. Omdat dit op zichzelf ook al genoeg voer voor een afzonderlijke uiteenzetting en publicatie oplevert, volstaan wij hier met de stelling dat management override of controls veel breder is dan alleen fraude met de opbrengstverantwoording, hoewel er wel overlap tussen de twee frauderisico's kan bestaan.

In de publicatie Companion to PPC's Guide to Audit Risk Assessment vonden wij nog nadere duiding, weliswaar onder Amerikaanse standaarden⁸, rondom het veronderstelde frauderisico. Deze publicatie geeft het volgende aan; ook goed om kennis van te nemen bij de uitwerking:

• Je kunt niet met de stelling 'ons is niet gebleken dat…' het veronderstelde frauderisico verwerpen. In tegenstelling, je moet positief kunnen redeneren om daarmee te onderbouwen dat het risico kan worden verworpen. De volgende argumenten lijken dus onvoldoende om het veronderstelde frauderisico te verwerpen:
  • Er is geen sprake van complexe ‘accounting’ voor de aard van de bedrijfsactiviteiten.
  • De dga en/of senior management is niet betrokken in het onderhandelen en/of vastleggen van verkopen.
  • Alle verkopen worden direct betaald.
• Als je niet positief kunt redeneren dat er geen frauderisico is, of als er fraud conditions vastgesteld zijn, moet de accountant dat extra kritisch evalueren. Ook wordt gesteld dat als er indicaties zijn van mogelijk onterecht verantwoorden van omzet, het onwaarschijnlijk is dat het veronderstelde frauderisico kan worden verworpen.
• De guidance merkt verder op dat risico's ook indirect kunnen ontstaan. Bijvoorbeeld: als sprake is van bankconvenanten die moeilijk na te leven zijn, zou dit mogelijk ook een aanleiding kunnen vormen voor het doen van nader onderzoek om het risico te identificeren dat samenhangt met een risicofactor. Sowieso geldt dat elke informatie die duidt op incentives of druk om de opbrengsten te hoog of te laag te verantwoorden, voor de accountant aanleiding zou moeten vormen om een passende manier te overwegen om daarop in te spelen (in de vorm van controlewerkzaamheden).
• Tot slot blijkt uit best practices dat het frauderisico rondom opbrengstverantwoording varieert per bewering. De accountant evalueert daarom per bewering of het frauderisico rondom opbrengstverantwoording aanwezig is. Ook wordt nog opgemerkt dat de risico's kunnen verschillen voor elk van de onderscheiden stromen en processen en dat dus ook frauderisico’s van de onderscheiden stromen en processen verschillend kunnen worden ingeschat.

Wat zijn de gevolgen voor de rapportering? In Nederland wordt van accountants verwacht dat zij in de controleverklaring rapporteren over de controleaanpak frauderisico's⁹. Accountants moeten aangeven op welke wijze zij hebben ingespeeld op frauderisico’s die kunnen leiden tot een afwijking van materieel belang. In de toelichtende paragraaf A41B van Standaard 700 wordt daarbij aangegeven dat de mate van detail van dit deel van de controleverklaring moet worden aangepast aan de omstandigheden en complexiteit van de controle. De accountant kan onder meer de frauderisico's die aandacht vergen in een overzicht van de uitgevoerde werkzaamheden opnemen. In Handreiking 1150 heeft de NBA de aanbeveling opgenomen om de reden voor het weerleggen van het frauderisico rondom opbrengstverantwoording te rapporteren in de controleverklaring. Hiermee kan relevante informatie gedeeld worden met de gebruikers.

Niet zwart-wit

Samenvattend concluderen wij dat het goed inschatten van de risico's op een afwijking van materieel belang, ongeacht of deze worden veroorzaakt door fraude of door fouten, een belangrijke basis vormt voor een deugdelijk oordeel. Dit resulteert uiteindelijk in de controleverklaring. Het belang dat gebruikers van jaarrekeningen hechten aan betrouwbare informatie maakt dat gebruikers veelal zeer gevoelig zijn voor fraude; ook vanwege het bewuste karakter van fraude ten opzichte van fouten. De accountant moet dat meenemen in de materialiteitsafwegingen. Die gevoeligheid is er mede de aanleiding voor geweest dat de IAASB en ook het NBA-bestuur in ISA resp. Standaard 240 uitdrukkelijk het veronderstelde frauderisico in de opbrengstverantwoording hebben opgenomen.

We hebben de focus gelegd en nadere duiding gegeven onder welke voorwaarden het veronderstelde frauderisico ten aanzien van opbrengstverantwoording kan worden weerlegd. Zoals zoveel zaken in de accountancy is het niet zwart-wit, maar vergt het professionaliteit van de accountant in samenwerking met het controleteam. Nederland rekent erop dat accountants deze professionaliteit in de praktijk brengen, ook bij dit lastige onderwerp.

Noten

1. Reactie IFIAR op IAASB Consultation Paper
2. Pagina 4 van CPAB Exchange, An Auditor's responsibilities related to fraud in an audit of financial statements, februari 2020.
3. Standaard 240 'De verantwoordelijkheden van de accountant met betrekking tot fraude in het kader van een controle van financiële overzichten'
4. Zo heeft de CEAOB In haar werkprogramma (Common Audit Inspection Methodology) met betrekking tot de opbrengstverantwoording een specifieke vraag opgenomen, waarbij de toezichthouder moet vaststellen dat de auditor een adequate evaluatie heeft uitgevoerd met betrekking tot het risico van een materiële afwijking als gevolg van fraude.
5. Zie voor beide voorbeelden: paragraaf A30 van Standaard 240.
6. Paragraaf 19 van Standaard 200 legt dit duidelijk uit.
7. Zie paragraaf 22 van Standaard 200.
8. Hierbij tekenen we aan dat deze voorbeelden niet zijn gebaseerd op PCAOB-standaarden voor beursgenoteerde ondernemingen in de VS, maar op AICPA-standaarden voor alle niet-PCAOB audits. Deze AICPA-standaarden zijn in belangrijke mate gebaseerd op de ISA’s, net als de NV COS. Daarom kunnen deze voorbeelden interessante aanknopingspunten bieden.
9. Paragraaf 29B van Standaard 700 geeft aan dat dit geldt voor controleverklaringen bij wettelijke controles.