Fraude

Wat te doen met het f-woord? Bijna alles staat in Standaard 240!

Zowel bij ondernemingen als bij accountants moet er meer aandacht zijn voor mogelijke fraude, meent Marianne van Kimmenade, 'themaregisseur fraude' bij de NBA.

Luc Quadackers

"Organisaties zijn nog steeds te weinig bezig met fraude. 'Die hebben wel andere dingen aan hun hoofd', verzucht hun accountant dan. Maar ook bij accountants heeft fraude vaak een te lage prioriteit", aldus Marianne van Kimmenade. Zij werkte ruim dertig jaar als accountant bij EY, waarvan bijna twintig jaar als partner. Sinds 2019 is ze senior beleidsadviseur en 'themaregisseur fraude' bij de NBA. Hoog tijd voor een bijpraatsessie.

Foto: Marianne van Kimmenade

NBA-voorzitter Kris Douma zegt in de verkennende oorzakenanalyse fraude (Fraude vraagt een meer kritische grondhouding) uit juni 2022: "Identificeren van fraude is en blijft het pakkie-an van de accountant. Het is een van de belangrijkste publieke taken van de accountant waar de samenleving terecht hoge verwachtingen van heeft." Hoe is die opmerking aangekomen in den lande?
"Ik hoorde van een aantal mensen dat deze visie verder gaat dan de rol van de accountant, maar ik heb niet de indruk dat de opmerking slecht is gevallen. Toen de fraude-oorzakenanalyse vorig jaar juni naar buiten werd gebracht had de AFM net een position paper gepubliceerd (Omgang accountantsorganisaties met fraude(risico's) bij gecontroleerde ondernemingen). Het viel ook samen met de aandacht voor het rapporteren over fraude in de controleverklaring, waarmee we druk bezig waren. Wij signaleerden toen dat accountants vinden dat ze niet actief hoeven te zoeken naar fraude, dat ze met name iets moeten doen als ze toevallig fraude tegenkomen. Dat is echt veel te vrijblijvend."

Hoe moet het dan wel?
"Laat ik vooropstellen dat de controlerend accountant de laatste wagon is van de trein. Daarvóór bevinden zich veel andere spelers die wachten op de laatste wagon, maar die zelf eigenlijk ook meer in actie moeten komen. Dat gezegd hebbende: Toen we gingen praten over het rapporteren over fraudewerkzaamheden, bleek dat in de praktijk met name behoefte bestaat aan meer uitleg over de inhoud van Standaard 240. Daarin staat duidelijk dat je als accountant altijd een frauderisicoanalyse moet uitvoeren: Wat zijn de risico's op een afwijking van materieel belang als gevolg van fraude?

'Frauderisico's zijn per definitie significant en daarvoor zullen altijd controlewerkzaamheden moeten worden verricht.' 

Standaard 240 zegt dat je minimaal twee frauderisico's moet veronderstellen, een ten aanzien van de opbrengstverantwoording - die onder voorwaarden kan worden weerlegd - en een ten aanzien van beïnvloeding door het management. Frauderisico's zijn per definitie significant en daarvoor zullen altijd controlewerkzaamheden moeten worden verricht. Dat vormt in feite de basis van de controleaanpak, waarvoor diepgaand in de organisatie moet worden gekeken. Je kan deze diepgang vanuit de Standaard 240 meenemen als je vervolgens op basis van Standaard 315 de klant verkent.  Dat is de kern en gaat dus veel verder dan alleen handelen wanneer fraude toevallig op het pad komt."

Waarom doen accountants dat nog onvoldoende?
"Dat onderzochten we aan de hand van een verkennende oorzakenanalyse met twaalf accountantskantoren, waaronder de zes oob-kantoren. We hebben de kantoren gevraagd om praktijkvoorbeelden. Als oorzaak voor het missen van fraude(signalen) kwamen hieruit met name aspecten naar voren met betrekking tot een onvoldoende professioneel-kritische instelling. Naast de casus-analyses vroegen we ook meer algemeen naar de hoofdoorzaken van het niet onderkennen van fraude. Ook hier voeren onvoldoende doortastendheid en onvoldoende professioneel-kritische instelling de boventoon. De rode draad in de oorzaken zijn angst en terughoudend gedrag met betrekking tot allerlei organisatorische aspecten, zoals planning- en budgetbeperkingen of onduidelijke consequenties, waardoor adequaat handelen moeilijk is. Maar het gaat ook om angsten en terughoudendheid omwille van de klantrelatie en het bezitten van onvoldoende communicatievaardigheden. Als je het 'f-woord' noemt, dan schiet meteen iedereen in de 'jij beschuldigt mij'-stand.

Het is overigens ook niet de bedoeling dat je als accountant meteen zegt dat het management integer is. Dat gebeurt in de praktijk echter wel, zoals ook bleek uit onze oorzakenanalyse. In Standaard 240 staat het fraudegesprek duidelijk uitgelegd. Het gesprek moet onbevooroordeeld plaatsvinden binnen het team.

Een additioneel punt dat ik wil aankaarten is dat accountants door de AFM-inspecties veel meer compliance-driven zijn gaan denken, met als resultaat dat de procesgerichte controle voor een groot deel wordt verlaten voor een gegevensgerichte controle. Want waarom zou je je nog verdiepen in de processen, als je op voorhand uitsluit dat ze niet effectief zijn? Hierdoor zie je gedragingen en misleidingen minder, of misschien zelfs niet meer. Ook beschouwen accountants frauderisico's vaak meteen als afgedekt, omdat de interne beheersing als afdoende wordt betiteld. Standaard 240 zegt echter dat je de interne beheersing bij die overwegingen buiten beschouwing moet laten. De omgang van accountants met de kwaliteit van de interne beheersing zal ook blijken uit het lopende onderzoek van de Foundation for Auditing Research. Dat onderzoek omvat een verdiepende oorzakenanalyse op basis van fraudedossiers van accountantsorganisaties met een Wta-vergunning. Het gaat daarbij met name over de vraag hoe de controle op interne beheersingsmaatregelen en de kwaliteit van die maatregelen samenhangen met de kans dat een fraude door accountants wordt ontdekt. De uitkomsten van dit onderzoek worden deze zomer verwacht."

In Standaard 240 staat dus eigenlijk alles wat de accountant moet doen op het gebied van fraude?
"Inderdaad. Standaard 240 staat in feite steeds centraal, ook in het fraudeprotocol dat de NBA een aantal jaren geleden publiceerde en in de daaropvolgende verdieping van het fraudethema. Standaard 240 bevat veel haakjes naar Standaard 315 (Risico's op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving). In Standaard 315 staat dat je je klant heel goed moet kennen. Daarmee begint ook een goede benadering van mogelijke fraude. Standaard 240 is dus in feite een verdieping van Standaard 315. Ook Handreiking 1150 (Rapporteren Controleaanpak frauderisico's) gaat voor meer dan de helft over Standaard 240. Dat leidde overigens tot de nodige discussie, omdat men vond dat het met name over de aanpassing in Standaard 700 zou moeten gaan (Het vormen van een oordeel en het rapporteren over financiële overzichten). Door het beschouwen van de rapportage-aspecten is echter gebleken dat accountants Standaard 240 nog onvoldoende kennen en toepassen.

'Je moet voor een deugdelijke risicoanalyse niet op een te hoog niveau blijven hangen.' 

Je moet voor een deugdelijke risicoanalyse niet op een te hoog niveau blijven hangen. Bijvoorbeeld, als je een verzekeraar als klant hebt en die heeft zogenaamd geen relevante opbrengstenstromen, dan ga je te kort door de bocht. Standaard 240 zegt dat je ook goed naar de integriteit en cultuur van de organisatie moet kijken. Wij hebben in een analyse van de controleverklaringen van de oob-kantoren, die in december is verschenen, geconstateerd dat accountants relatief vaak het frauderisico van opbrengstverantwoording - een van de veronderstelde risico's - weerleggen. Om accountants hierop te attenderen, verscheen medio mei een artikel op Accountant.nl waarin we dit onderdeel van Standaard 240 nader uitleggen."

Wat als er fraudesignalen worden aangetroffen?
"Bij het aantreffen van duidelijke fraudesignalen ligt bij de grote kantoren een vrij duidelijk stappenplan klaar. Er moet een initial assessment worden gedaan en op basis daarvan wordt bepaald of er aanleiding is voor een verder onderzoek. De controleaanpak wordt in ieder geval altijd heroverwogen. Bij de kleinere kantoren is de aanpak minder universeel. De NBA ontwikkelt op dit moment een beleidsvisie over het versterken van de controlekwaliteit op het gebied van financiële fraude. In deze beleidsvisie overwegen we om een consultatieverplichting in te stellen bij een vermoeden van fraude, om vervolgens terug te gaan naar de planningsfase en de controleaanpak opnieuw in te richten. Hoe dan ook: als fraudesignalen worden aangetroffen, zal daar altijd werk uit voortvloeien. We zijn ook bezig met een project 'meldplichten', waarin we uitwerken welke gevallen tot welke meldingen moeten leiden."

Hoe zijn jullie aan de slag met de keten?
"Wij hebben aanbevelingen uitgebracht voor bestuurders en toezichthouders, over fraudebeheersing en over het opstellen van een frauderesponsplan. Dat was onder andere het gevolg van opmerkingen van commissarissen dat zij onvoldoende voorbereid zijn op fraudesituaties. Ook de commissaris wordt immers al snel aangekeken voor het leveren van oplossingen, als zich een fraudeprobleem voordoet. De gedachtegang achter de aanbevelingen is dat we beginnen vanuit het ergste scenario: Wat moet een bedrijf doen als er een fraude is? Dan kom je vanzelf ook in de preventie terecht. Ondanks verschillende aanmoedigingen is kennisdeling echter nog een probleem.

'Onze publicaties staan prachtig op de NBA-website, maar ze worden te weinig gebruikt.' 

Onze publicaties staan prachtig op de NBA-website, maar ze worden te weinig gebruikt. VNO-NCW zegt daarover bijvoorbeeld dat het materiaal nog niet goed aansluit op kleinere ondernemingen, waar vertrouwen nog steeds een belangrijk uitgangspunt is. De eigen rol van de klant ten aanzien van fraude raakt overigens ook aan Standaard 240, waarin staat dat de accountant met de klant moet spreken over de eigen inschatting van de frauderisico's. Als je daarnaar vraagt zeggen accountants vaak: 'Ja, dat doen ze niet.' De vraag is echter waarom dat na al die jaren nog steeds niet of weinig gebeurt bij de klant zelf. En waarom accountants daar niet een zwaarder issue van maken."

Hoe gaat fraude zich ontwikkelen in de komende jaren?
"ESG-verslaggeving is een belangrijk aandachtsgebied, waarin zeker fraude gaat optreden. Ook daarvoor biedt Standaard 240 goede aanknopingspunten. En wat misschien een groter issue wordt dan menig accountant nu beseft, is corruptie. Dat werd altijd beetje afgedaan als iets voor landen ver weg, die slecht scoren op de corruptie-index van Transparency International. Nederland zakt echter op die corruptie-index. Ik hoorde zelfs een anekdote dat Italianen Nederland inmiddels als voorbeeld noemen van hoe het niet moet. Wij werken momenteel aan een update van NBA-handreiking 1137 Corruptie, werkzaamheden van de accountant. Die handreiking wordt naar verwachting deze zomer ter consultatie voorgelegd. Hierin komen veel vernieuwende inzichten aan de orde over corruptie en de relatie met fraude. Het wordt een belangrijke handreiking voor het goed uitvoeren van een corruptierisicoanalyse en eventuele vervolgacties vanuit de Standaarden 240 en 250. De nieuwe handreiking bevat veel voorbeelden die dicht bij huis liggen. Ik verwacht dat menig controleaanpak een heroverweging zal krijgen ten aanzien van corruptierisico's."

NBA-publicaties over fraude

De stroom publicaties over de accountant en fraude is lang. Naast een serie onderzoeken en rapporten van de AFM, kwam de NBA ook met diverse uitgaven over de rol van de accountant bij fraude. Zoals deze:

Oorzakenanalyse
De accountant moet van nature alerter zijn op frauderisico's en materiële afwijkingen als gevolg van fraude, stelt de verkennende oorzakenanalyse Fraude vraagt een meer kritische grondhouding. Het rapport van de NBA wijst op de maatschappelijke functie en daarbij passende meer kritische grondhouding van de accountant. De oorzakenanalyse verscheen in juni 2022.

Publieke managementletter
Het voorkomen, opsporen en bestrijden van fraude in organisaties is een gezamenlijke verantwoordelijkheid van alle betrokkenen. Het bestuur, de directie of de dga heeft de verantwoordelijkheid voor het voorkomen en tijdig detecteren van fraude. Dat stelt de NBA in de publieke managementletter (PML) Scherp op fraude, uitgebracht in december 2022.
De publicatie geeft vijf signalen, ieder voorzien van aanbevelingen voor de diverse spelers in de keten, zoals bestuurders, toezichthouders en accountants.

Beleidsvisie
In de Beleidsvisie fraude-expertise van 6 juni jl. stelt de NBA een aantal maatregelen voor om de kwaliteit van de frauderisicoanalyse en de fraudeaanpak in de controle door accountants te verbeteren. De voorstellen moeten van toepassing zijn op het hele controledomein en niet alleen wettelijke controles. De NBA wil deze maatregelen zo snel mogelijk implementeren. Een nadere uitwerking wordt ter consultatie voorgelegd.

Alle publicaties zijn beschikbaar via nba.nl.

Fraude is en blijft dus een belangrijk aandachtspunt voor de accountant?
"Fraude zal zich blijven voordoen, in wisselende verschijningsvormen. Het zal als onderwerp altijd dicht bij de accountant blijven. Zeker ook omdat de accountant door het maatschappelijk verkeer bij uitstek wordt gezien als de specialist om fraude te kunnen detecteren en vervolgens te acteren. De Standaarden bieden daarvoor alle inhoud die nodig is. Tegen alle accountants zou ik willen zeggen: Pak dit relevante thema op, samen met de keten. Nederland rekent op zijn accountants!"

Luc Quadackers is eigenaar van Margila.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.