Accountant
NBA-platform voor accountants en financials
Overig
Magazine Podcast Dossiers Nieuwsbrief Contact
Home >Discussie> Opinie > 2025 > 2 > Frauderisico's - nu de volgende stap zetten
Discussie Opinie

Frauderisico's - nu de volgende stap zetten

Leestijd van ongeveer 5 minuten 17 reacties

Om de controle van frauderisico's te verbeteren is al een maatregel voorhanden. Vanuit de NBA Accounttech community is een methode ontwikkeld voor data-gedreven controles.

Joost van Buuren

Het is weer zover. De Autoriteit Financiële Markten (AFM, januari 2025) heeft kritiek geuit op de frauderisicoanalyse, met name op de onvoldoende specifieke en te weinig diepgaande afwikkeling ervan. De NBA heeft al diverse maatregelen genomen en de Handreiking 1153 vernieuwd. Marcel Pheijffer heeft terecht opgemerkt dat er geen raketwetenschap nodig is om de controle van de frauderisico's te verbeteren. Hij roept op tot een frisse blik, en die is er al.

Er is namelijk een laagdrempelige maatregel die morgen al geïmplementeerd kan worden. De NBA Accounttech Taskforce 'Data-driven Audits' heeft een methode ontwikkeld, zoals beschreven in de handleiding AuditWorkBook (AWB), speciaal voor data-gedreven controles, die ook bedoeld is om frauderisico's beter te controleren. Enkele kantoren zijn inmiddels bezig met de implementatie van (onderdelen van) deze aanpak. Een goede basis voor de risicoanalyse is niet alleen belangrijk voor de controle van financiële informatie, maar ook van niet-financiële informatie. Hierbij kan gedacht worden aan de waarschuwing van de ESMA in hun rapport over greenwashing. De AWB-aanpak op basis van de controlekubus kan ook gebruikt worden voor de controle van niet-financiële informatie.

Voorbeeld

De beperkte diepgang van controlewerkzaamheden komt volgens de AFM door een onvoldoende diepgaande en specifieke frauderisicoanalyse en controlewerkzaamheden. De huidige aanpak die ik zag bij dossierreviews is inderdaad erg generiek van aard met generieke controlewerkzaamheden. Als voorbeeld werk ik het risico op management override uit.

Eén van de grootste uitdagingen voor het accountantsberoep is de omgang met het management. De grootste fraudes zijn managementfraudes. Het probleem is dat het management misbruik kan maken van haar positie en de verantwoording naar eigen hand kan zetten om er voordeel uit te halen. Dit misbruik kan zich op verschillende wijzen uiten. Het kan variëren van een subtiele voorkeur voor interpretatie van regels, het creëren van een cultuur met manipulatieve inmenging, tot botte interventie en manipulatieve inmenging in processen.

In de huidige aanpak blijkt bij bepaalde controleaanpakken management override als 'verplicht' inherent risico te worden opgenomen. Dit is om drie redenen onjuist. Ten eerste worden doel en middel verward. Het doel is het belang dat het management probeert te bereiken, terwijl het middel de override is die zich op vele wijzen kan manifesteren. Ten tweede moet een inherent risico altijd een relatie hebben met een bewering (Standaard 200.13n). Als management override zonder bewering wordt geformuleerd, kan het per definitie nooit een inherent risico zijn. En als het bedoeld is als risico op het niveau van financiële overzichten, dan is dat een startpunt. Want uiteindelijk moeten ook deze risico's worden gerelateerd aan één of meer inherente risico's op beweringenniveau. Ten derde leidt het opnemen van management override als inherent risico tot een generieke aanpak, die weinig effectief is. Zie ook de bevindingen hierover in de handleiding van het AWB.

Deze aanpak moet dus anders. Management override moet niet meer als inherent risico worden gezien, maar dient veel beter te worden geduid. In het AWB wordt de accountant uitgedaagd hierop dieper in te gaan, door gebruik te maken van de zes journalistieke W’s en een scenarioanalyse. Deze geven de mogelijkheid om concrete inherente (fraude)risicofactoren te identificeren, te doordenken en te koppelen aan één of meer inherente risico's. Hierdoor kunnen gerichte controlewerkzaamheden worden geformuleerd, wat de controlekwaliteit versterkt.

Vervolgens worden in het AWB de inherente (fraude)risicofactoren geanalyseerd met gebruik van dimensies van datakwaliteit. Deze dimensies zijn onderdeel van de controlekubus. Deze dimensies zijn niet nieuw, want al beschreven in Starreveld en passen uitstekend bij een datagedreven controle van zowel financiële als niet-financiële informatie. Accountants hebben hier mijns inziens tot op heden onvoldoende aandacht aan besteed. Door deze dimensies expliciet te gebruiken, kunnen fraudetendensen en andere controleproblemen in de te controleren verantwoording beter worden gearticuleerd en geduid.

Uit use case-onderzoek onder mkb-kantoren blijkt dat het aantal kwaliteitsdimensies per inherente risicofactor in de praktijk meevalt. Voor een eenvoudige controle van een mkb-bedrijf zijn naar verwachting vijftien tot twintig inherente risicofactoren reëel. Voor deze risicofactoren zijn vaak drie tot vier kwaliteitsdimensies van toepassing. Het aantal inherente (fraude)risicofactoren en bijbehorende kwaliteitsdimensies neemt toe als de complexiteit van de controlecontext toeneemt.

In een controlecontext waarin veel informatie wordt vastgelegd in databases, is het voor de accountant belangrijk te begrijpen hoe deze databases tot stand komen en wat de kwaliteit daarvan is. De accountant kan dit bepalen door per onderkende kwaliteitsdimensie gerichte controlewerkzaamheden te formuleren. Dit kunnen zowel systeemgerichte als gegevensgerichte controlewerkzaamheden zijn. Voor onderdelen waar de accountant niet voldoende expertise heeft, kunnen deskundigen worden ingeschakeld. Hierdoor kan de samenwerking tussen accountant en deskundige gerichter en efficiënter worden.

Direct aan de slag

Het is een uitdagende periode voor accountants, die worden geconfronteerd met veel informatie uit verschillende datacenters. Accountants moeten rekening houden met tendensen en zijn gewaarschuwd voor fraude door instanties als de AFM en ESMA. Het is de verantwoordelijkheid van accountants om hier invulling aan te geven.

De NBA Accounttech-community probeert dit door samenwerking te doen. Vanuit onder andere de Taskforce Fraude en Taskforce Data-gedreven controle zijn concrete stappen gezet die toepasbaar zijn in de praktijk. Accounttech gaat aan de slag met het op slimme wijze integreren van de honderd rode vlaggen van 'fraude' en 'continuïteits'-risico's in het AWB. De taskforces zijn al gestart, maar er is altijd ruimte om mee te doen en dit proces te versterken en te versnellen.

Op Nyenrode zijn momenteel circa 75 master of science accountancy-studenten aan het afstuderen op een experiment met de effectiviteit van de AWB-aanpak versus een meer generieke 315-aanpak. Eén van de bevindingen is al duidelijk: het AWB ondersteunt een diepgaandere en meer gerichte frauderisicoanalyse. Op 27 juni 2025 wordt er op Nyenrode een seminar georganiseerd waar studenten de uitkomsten presenteren en in debat zullen gaan met kantoren. Inzichten zullen worden verwerkt in updates van het AWB. Geïnteresseerden kunnen zich aanmelden bij mij.

Wil je meer weten over het gebruik van dimensies van datakwaliteit en hoe je controle kunt verbeteren? Neem dan contact op met Age Lammers (a.lammers@nba.nl). De informatie met rapporten is te vinden op NBA Accounttech en de macro-versie van het AWB is kosteloos beschikbaar op de Nyenrode-website.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Joost van Buuren is voorzitter van de kerngroep Accounttech/Controle van de Toekomst en hoogleraar Auditing & Assurance aan Nyenrode Business Universiteit. Zijn leerstoel is gericht op controlemethodologie en controlekwaliteit.

Gerelateerd

17 reacties

Reactie plaatsen

Alexander Vissers

Het grootste probleem met betrekking tot een analyse van het het risico op een afwijking van materieel belang door fraude in Nederland is dat er geen voorbeelden beschikbaar zijn. Het komt gewoon niet voor. Geen enkel voorbeeld beschikbaar na Pincoffs (1879) en de Tilburgse Hypotheekbank (1984). En in het buitenland bij Nederlandse ondernemingen? Daar wel, neem AFS/ Ahold. Maar daarin verwijzen Wta/Bta naar de erbarmelijke Nederlandse taalversie van Richtlijn 2006/43/EG art. 27 en volgens die norm hoeft een accountant alleen de opzet van de controle door de accountant van de dochter te evalueren. Klaar. En dan is het risico moeilijk in te schatten. Bovendien hoeft een accountants dat niet in te schatten, hij moet belangrijke risico's op afwijkingen in schatten met inbegrip van fraude. De AFM verzint zelf normen en toetst daar vervolgens aan, dat is heel kwalijk. Vrijwel alle fraude schandalen, van Parmalat tot Steinhoff zouden door een banale serieus uitgevoerde balanscontrole waarbij kritisch naar de bewijsstukken wordt gekeken en aangeslagen wordt bij red flags zijn ontdekt. Daar is geen frauderisicoanalyse voor nodig alleen een deugdelijke uitvoering. De Richtlijn stelt niet voor niets "gedurende de gehele controle alert op signalen dat .....fraude kan zijn gepleegd".

Hein Kloosterman

Nogmaals: het bepalen van het inherent risico, gaat niet over kwade kansen, maar over voor informatie die een steekproefequivalent zou kunnen vormen (Zie A. Steele).
Dat IR pas dus voor geen meter bij fraudeanalyse, mijn heren!!

Albert Bosch

Dank je Joost. Ik zal bij gelegenheid het AWB meer tijd geven dan de 10 minuten die ik er nu naar heb gekeken. Zolang in het AWB maar niet IRF’en worden gekoppeld aan beweringen noch worden gelinkt aan COS 315.28/315.A190, want anders zou de fundering van het AWB wegzakken. Maar dat kom ik in een vervolg beoordeling dan wel tegen.

Joost van Buuren

@Hein Kloosterman. Ik voeg even de link naar het document toe: https://www.limperginstituut.nl/workgroup-statistical-auditing/, want deze visies kunnen de controleaanpak verdiepen. Echter de valorisatie ervan in de praktijk is weerbarstig. Accounttech probeert deze vertaling te maken. Het AWB is als opensource standaard controleaanpak bedoeld zodat nieuwe inzichten er aan gekoppeld kunnen worden. Dat kan dus ook een statistische aanpak zijn, bijv. t.a.v. bepaalde risicofactoren. Een standaard aanpak biedt basis voor wetenschappelijk onderzoek en validering.

@Albert Bosch. Ik denk idd dat je de aanpak nog niet hebt begrepen, maar het AWB is niet perfect en Accounttech is de plek waar je jouw kennis kunt delen. Periodiek zijn er bijeenkomsten van Accounttech. Op 26 juni a.s. is een nieuwe bijeenkomst gepland. Je kan ook bijdragen aan één van de vijf taskforces.

Hein Kloosterman

Beste mensen. Even dit. Risicoanalyse in de accountantscontrole, oftewel het Audit Risk Model, gaat alleen maar over het reduceren van de omvang van de hoeveelheid substantive tests. Niet meer en niet minder. De voorinformatie die zou kunnen volgen uit de beoordeling van de organisatie (inherent assurance) en van de Interne Beheersing (Internal Control Assurance) kan de hoeveelheid substantive tests verlagen. Die informatie uit die twee bronnen moet DUS uitwijzen dat er minder risico wordt gelopen, dat als het ware er al detailcontroles (steekproefequivalenten) zijn verricht!!!

Albert Bosch

Ik heb het AuditWorkBook (AWB) bekeken, en begrijp een paar dingen niet:

1. IRF (inherente risicofactoren) worden gekoppeld aan beweringen, met verwijzing naar 315.A190. Ik koppel risico’s aan beweringen, maar ik koppel nooit een IRF aan een bewering. IRF’en zijn een hulpmiddel en zijn kenmerken van gebeurtenissen of omstandigheden. Die koppel je niet aan beweringen; dat doe je pas met de risico’s die je uit de IRF’en distilleert. Zie COS 315.28/315.A190.
2. In de IRF assessment komt de vraag of je een specialist moet inschakelen om IRF te controleren. Maar een IRF controleer je niet, dus de inzet van een specialist op dit punt snap ik niet.
3. Een IRF is ook niet van diepgaande invloed (tabblad IRF-frame of reference). Dat lijkt niet een vraag die past bij een IRF, maar op z’n vroegst bij de inschatting van risico’s die zijn geïdentificeerd.
4. De koppeling van IR aan IRF, vanuit de beweringen (tabblad IR) lijkt mij de omgekeerde route. Ik zou vanuit IRF de IR’s identificeren en die koppelen aan beweringen.

Wellicht maak ik een paar fouten in de lezing van het AWB. Ik heb wat twijfels over de vertaling van COS 315 naar het AWB.

En in aansluiting op de reactie van Arnout (en dat zou Ron Heinen moeten aanspreken): f(x) is niet gelijk aan x. Dus laten we ophouden met x gelijk te stellen aan f(x)

Hein Kloosterman

In deze column wordt, net als de AFM dat doet, een heel grote hoeveelheid controlebeginsel in de prullenbak gegooid. Zoals al voorgangers van mij in de reacties zeiden: als er sprake is van fraude, dan is er sprake van fouten. De nadruk die b.v. de AFM legt op onjuistheden door de leiding van een organisatie is een onderwerp dat ALTIJD onder de aandacht van de accountantscontrole moet komen. Of dat nu fraude is of niet.
Er zijn niet zoveel smaken bij een jaarrekening die niet ok is. De vragen die gesteld moeten worden zijn altijd: zijn de transacties volledig vastgelegd (1), hebben die vastleggingen voldoende detaillering om aan de informatiebehoeften van de stakeholders te voldoen (2), en zijn de vastleggingen materieel (dit is: inhoudelijk) juist. Daartoe moet de interne organisatie worden beoordeeld op het zo onafhankelijk mogelijk blijven van de vastleggingen (a.k.a. functiescheiding dus). Dat kan niet met een natte vinger. De inhoudelijke beoordeling van de vastleggingen kan vorm worden gegeven met hulpmiddelen uit de gereedschapskist van statistical audit.
Op deze manier schreven mijn collega’s en in onder meer in de eerste twee delen van Essaybundel Statistical Auditing (Limperg Instituut; 2018).
Lezen die hap.

Joost van Buuren

Tuurlijk wordt er onderzoek gedaan, graag verwijs ik hierbij ook naar de FAR, maar veel onderzoek is te abstract, duurt lang en mist vaak aansluiting bij de beroepspraktijk. Dit laatste kan overbrugd worden als beroep en onderzoekers nauw samenwerken. Fundamenteel onderzoek is onverkort noodzakelijk, maar de vertaling naar gevalideerde, concrete verbeteringen in de controlemethodologie blijft m.i. achter, daar kunnen we stappen maken.
Overigens bedoel ik met ' use-cases' dat kantoren tijd willen maken nieuwe inzichten als test toe te passen op controledossiers op effectieve werking en praktische toepasbaarheid. En vervolgens deze kennis weer delen met het beroep.

Arnout van Kempen

Beste Joost, ik bedoel het niet onaardig, maar wat zeg je nu concreet?

"De reikwijdte van de frauderisicoanalyse, dat blijft idd een vraagstuk."

Welnee, niet volgens de wet en de NV COS.

"meer invulling" wat is dat?

"maatschappelijk belang" wie bepaalt dat, als het niet de wetgever is? En wat is dat belang dan exact volgens jou?

"thought leadership te tonen" wat betekent dat exact volgens jou?

"samen de controlemethodologie evolueren naar een hoger plan." wat is dat hogere plan? Voldoen aan de eisen van de wet en de NV COS, of heb je méér in gedachte? En wat dan? En op grond waarvan dan?


Ron Heinen

@Joost van Buuren

Door universiteiten wordt er voortdurend onderzoek gedaan, zie bijv.

https://photos.app.goo.gl/8ZCBDvBBRZqSoEVy9

Aan cases daarbij geen gebrek, zie bijv.

https://www.ndax.eu/r2e0kPmj4VAWWNf5BbKz.xlsx

Joost van Buuren

De reikwijdte van de frauderisicoanalyse, dat blijft idd een vraagstuk. Toch kunnen en moeten we daar als beroepsgroep meer invulling aan geven, ook vanuit maatschappelijk belang door enerzijds thought leadership te tonen en anderzijds toepassingen te testen op praktische werkbaarheid. En dit alles in kleine stapjes: samen de controlemethodologie evolueren naar een hoger plan. De NBA probeert dit onder andere via Accounttech op te pakken. Universiteit Nyenrode pakt dit op met onderzoek. Mijn oproep aan de kantoren is: draag je steentje bij met kennis en beschikbaar stellen van use-cases.

Arnout van Kempen

Een paar aanvullende suggesties:

Laten we nooit meer praten over "materiele fraude". Dat bestaat helemaal niet. Wat we bedoelen is "materiele afwijking als gevolg van fraude", of we zitten buiten het domein van de (wettelijke) controle.

En als we het hebben over frauderisico's, en er ook maar de minste kans is op twijfel bij degene die dat hoort of leest, laten we dan steeds uitleggen dat voor controlerend accountants een frauderisico geen frauderisico is, maar een risico op een materiele afwijking als gevolg van fraude.

Ook nooit meer beweren dat accountants fraude opsporen, of dat het zo teleurstellend is dat accountants zo weinig fraudes vinden. Het enige wat relevant is, is of accountants met redelijke mate van zekerheid alle materiele afwijkingen als gevolg van fraude (en fouten) vinden.

Gaat dat laatste niet goed, dan mag de pers, de toezichthouder en de NBA boos, teleurgesteld, en wat al niet zijn.

Maar zolang er nog zo onzuiver over dit onderwerp wordt gesproken lijkt mij de eerste taak van de NBA niet "teleurgesteld zijn" maar duidelijkheid scheppen.

Ik durf namelijk best de hypothese te poneren dat het voor een deel fout gaat (zie laatste rapport AFM) juist doordat accountants zelf ook niet (meer) weten wat ze nu precies moeten. Wie opgelet heeft tijdens de opleiding wéét dat fraude in zichzelf geen object van onderzoek is, en vervolgens lees je de hele tijd dat zelfs je eigen beroepsorganisatie daarover minstens ambigu is. Wat doe je dan als professional? Je werk beter doen? Moet je wel snappen wat "beter" eigenlijk is in deze context.

De NBA is aan zet wat mij betreft. En niet door teleurgesteld zijn, maar door glashelder te maken voor iedereen wat iedereen eigenlijk al had kunnen lezen in 393.3 BW 2, NV COS 200 en 240.

Arnout van Kempen

Balans begint naar mijn geheel onbescheiden mening bij zuiverheid van begrippen. Semantiek doet er, juist in dit dossier, nadrukkelijk toe omdat in het verleden nogal onnauwkeurig is gepraat over dit onderwerp. Gevolg is dat iedereen gelijk kan hebben en toch totaal langs elkaar heen kan praten. Marcel Pheijffer en Peter Schimmel hebben daar op deze site in het verleden al nogal duidelijke voorbeelden van gegeven.

De accountant in de controlepraktijk heeft één opdracht volgens de wet: artikel 393, lid 3 van BW 2 zegt immers "De accountant onderzoekt of de jaarrekening het ... vereiste inzicht geeft. Hij gaat voorts na ... of het bestuursverslag ... materiële onjuistheden bevat ..."

NV COS 200 werkt dat uit voor accountants tot "een redelijke mate van zekerheid te verkrijgen over de vraag of de financiële overzichten als geheel vrij zijn van een afwijking van materieel belang die het gevolg is van fraude of van fouten ..."

Kortom, fraude als BRON van materiele afwijkingen, niet fraude zelf als controledoel.

240.4 voegt daar voor de accountant niets aan toe, 240.5 bevestigt het opnieuw: "Een accountant die een controle overeenkomstig de Standaarden uitvoert, is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of fouten. "

Ook 240.11 bevestigt het opnieuw. 570 en 315 veranderen daar ook niets aan.

Kortom, de accountant heeft geen enkele verplichting of verantwoordelijkheid fraudes te vinden, anders dan de gevolgen van die fraudes, in zoverre dat gevolg een materiele afwijking in de jaarrekening is.

Dat betekent niet dat aandacht voor frauderisico's onzin is, in tegendeel. Het betekent wel dat zuiverder formuleren in dit dossier nodig is.

Joost van Buuren

Balans houden is idd belangrijk, daarom is Accounttech zoekende om de '100 rode fraude vlaggen' op een slimme wijze te verwerken in het AuditWorkBook en de werkbaarheid ervan te testen in de praktijk, bijv. met use-cases. Samenwerking en kennisdeling tussen kantoren is daarbij belangrijk.

Johan Peters

Als je 't helemaal platslaat en richting Pincoffs teruggaat is in feite de gehele jaarrekeningcontrole al een "fraude- controle". Fraude is naast onopzettelijke fouten één van de twee mogelijke ontstaansgronden voor afwijkingen in de jaarrekening. En afwijkingen in de jaarrekening is ook heden nog steeds datgene waar we ons met de accountantscontrole op (moeten) richten. Veel controlemiddelen zijn dual purpose en werken ongeacht de ontstaansgrond van een afwijking. Volgens een aantal deskundigen en opiniemakers geven wij te weinig aandacht (of verkeerde aandacht) aan controlemaatregelen gericht op de detectie van opzettelijke afwijkingen. Dat moge zo zijn, maar dat mag natuurlijk niet uitmonden in een controle die qua proportionaliteit en subsidiariteit het doel van een jaarrekeningcontrole (afwijkingen van materieel belang detecteren) voorbij schiet. De balans hierin houden is erg lastig.

Joost van Buuren

Graag verwijs ik naar de controlestandaard 240.4 en 5 over de verantwoordelijkheden van het management respectievelijk de accountant inzake frauderisicoanalyse en de 240.11 over de doelstelling van de frauderisicoanalyse. Zie standaard 570 inzake de continuïteitsbeoordeling. Beide risicoanalyses zijn integraal onderdeel van standaard 315.

Alexander Vissers

De wettelijke controle van de jaarrekening is nadrukkelijk geen fraudecontrole maar een controle of de jaarrekening vrij is van materiële afwijkingen door fouten of fraude. Een fraudecontrole zou in strijd zijn met art. 6 EVRM en tevens in strijd zijn met de algemene beginselen van behoorlijk bestuur aangezien de achtergrond en rechtvaardiging van de wettelijke controle de beperking van de aansprakelijkheid is. Dan dringt de vraag zich op, of er aanleiding bestaat meer nadruk te leggen op fraude? Het antwoord is eenduidig "neen" er bestaat geen enkele aanleiding meer aandacht aan de frauderisicoanalyse te besteden. Er zijn nagenoeg geen gevallen bekend van jaarrekeningen met een materiële afwijking ten gevolge van fraude gepleegd in Nederland. Zelfs bij Mitra en Accon is nog altijd geen persoon vervolgd wegens fraude. Het verschil tussen fraude en fouten is voor de controle verder niet relevant: als het verschil gelegen is in het door de accountant sowieso niet te beoordelen opzet kan de accountant de vraag in het middel laten en zich op afwijkingen concentreren. Continuïteit is verder van de controle uitgesloten in art. 25 bis Richtlijn 2006/43/EG zoals gewijzigd door Richtlijn 2014/56/EU. De NBA accountants en NBA-Accountech moet vooral benadrukken dat de verantwoording voor het voorkomen en detecteren van fraude bij de onderneming en haar bestuur ligt, de wettelijke controle noch bedoeld is noch geschikt is fraude op te sporen en met name dat er amper goedkeurende verklaringen bij slechte jaarrekeningen worden afgegeven. Het zou te begroeten zijn als Nederlanders zich zouden concentreren op lezen en kennis en minder op emoties meningen den ideeën.

Reageer op dit artikel

Spelregels debat

    Aanmelden nieuwsbrief

    Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

    Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.

    Relevantie Datum