Discussie Opinie Gisteren

Frauderisico's - nu de volgende stap zetten

Om de controle van frauderisico's te verbeteren is al een maatregel voorhanden. Vanuit de NBA Accounttech community is een methode ontwikkeld voor data-gedreven controles.

Joost van Buuren

Het is weer zover. De Autoriteit Financiële Markten (AFM, januari 2025) heeft kritiek geuit op de frauderisicoanalyse, met name op de onvoldoende specifieke en te weinig diepgaande afwikkeling ervan. De NBA heeft al diverse maatregelen genomen en de Handreiking 1153 vernieuwd. Marcel Pheijffer heeft terecht opgemerkt dat er geen raketwetenschap nodig is om de controle van de frauderisico's te verbeteren. Hij roept op tot een frisse blik, en die is er al.

Er is namelijk een laagdrempelige maatregel die morgen al geïmplementeerd kan worden. De NBA Accounttech Taskforce 'Data-driven Audits' heeft een methode ontwikkeld, zoals beschreven in de handleiding AuditWorkBook (AWB), speciaal voor data-gedreven controles, die ook bedoeld is om frauderisico's beter te controleren. Enkele kantoren zijn inmiddels bezig met de implementatie van (onderdelen van) deze aanpak. Een goede basis voor de risicoanalyse is niet alleen belangrijk voor de controle van financiële informatie, maar ook van niet-financiële informatie. Hierbij kan gedacht worden aan de waarschuwing van de ESMA in hun rapport over greenwashing. De AWB-aanpak op basis van de controlekubus kan ook gebruikt worden voor de controle van niet-financiële informatie.

Voorbeeld

De beperkte diepgang van controlewerkzaamheden komt volgens de AFM door een onvoldoende diepgaande en specifieke frauderisicoanalyse en controlewerkzaamheden. De huidige aanpak die ik zag bij dossierreviews is inderdaad erg generiek van aard met generieke controlewerkzaamheden. Als voorbeeld werk ik het risico op management override uit.

Eén van de grootste uitdagingen voor het accountantsberoep is de omgang met het management. De grootste fraudes zijn managementfraudes. Het probleem is dat het management misbruik kan maken van haar positie en de verantwoording naar eigen hand kan zetten om er voordeel uit te halen. Dit misbruik kan zich op verschillende wijzen uiten. Het kan variëren van een subtiele voorkeur voor interpretatie van regels, het creëren van een cultuur met manipulatieve inmenging, tot botte interventie en manipulatieve inmenging in processen.

In de huidige aanpak blijkt bij bepaalde controleaanpakken management override als 'verplicht' inherent risico te worden opgenomen. Dit is om drie redenen onjuist. Ten eerste worden doel en middel verward. Het doel is het belang dat het management probeert te bereiken, terwijl het middel de override is die zich op vele wijzen kan manifesteren. Ten tweede moet een inherent risico altijd een relatie hebben met een bewering (Standaard 200.13n). Als management override zonder bewering wordt geformuleerd, kan het per definitie nooit een inherent risico zijn. En als het bedoeld is als risico op het niveau van financiële overzichten, dan is dat een startpunt. Want uiteindelijk moeten ook deze risico's worden gerelateerd aan één of meer inherente risico's op beweringenniveau. Ten derde leidt het opnemen van management override als inherent risico tot een generieke aanpak, die weinig effectief is. Zie ook de bevindingen hierover in de handleiding van het AWB.

Deze aanpak moet dus anders. Management override moet niet meer als inherent risico worden gezien, maar dient veel beter te worden geduid. In het AWB wordt de accountant uitgedaagd hierop dieper in te gaan, door gebruik te maken van de zes journalistieke W’s en een scenarioanalyse. Deze geven de mogelijkheid om concrete inherente (fraude)risicofactoren te identificeren, te doordenken en te koppelen aan één of meer inherente risico's. Hierdoor kunnen gerichte controlewerkzaamheden worden geformuleerd, wat de controlekwaliteit versterkt.

Vervolgens worden in het AWB de inherente (fraude)risicofactoren geanalyseerd met gebruik van dimensies van datakwaliteit. Deze dimensies zijn onderdeel van de controlekubus. Deze dimensies zijn niet nieuw, want al beschreven in Starreveld en passen uitstekend bij een datagedreven controle van zowel financiële als niet-financiële informatie. Accountants hebben hier mijns inziens tot op heden onvoldoende aandacht aan besteed. Door deze dimensies expliciet te gebruiken, kunnen fraudetendensen en andere controleproblemen in de te controleren verantwoording beter worden gearticuleerd en geduid.

Uit use case-onderzoek onder mkb-kantoren blijkt dat het aantal kwaliteitsdimensies per inherente risicofactor in de praktijk meevalt. Voor een eenvoudige controle van een mkb-bedrijf zijn naar verwachting vijftien tot twintig inherente risicofactoren reëel. Voor deze risicofactoren zijn vaak drie tot vier kwaliteitsdimensies van toepassing. Het aantal inherente (fraude)risicofactoren en bijbehorende kwaliteitsdimensies neemt toe als de complexiteit van de controlecontext toeneemt.

In een controlecontext waarin veel informatie wordt vastgelegd in databases, is het voor de accountant belangrijk te begrijpen hoe deze databases tot stand komen en wat de kwaliteit daarvan is. De accountant kan dit bepalen door per onderkende kwaliteitsdimensie gerichte controlewerkzaamheden te formuleren. Dit kunnen zowel systeemgerichte als gegevensgerichte controlewerkzaamheden zijn. Voor onderdelen waar de accountant niet voldoende expertise heeft, kunnen deskundigen worden ingeschakeld. Hierdoor kan de samenwerking tussen accountant en deskundige gerichter en efficiënter worden.

Direct aan de slag

Het is een uitdagende periode voor accountants, die worden geconfronteerd met veel informatie uit verschillende datacenters. Accountants moeten rekening houden met tendensen en zijn gewaarschuwd voor fraude door instanties als de AFM en ESMA. Het is de verantwoordelijkheid van accountants om hier invulling aan te geven.

De NBA Accounttech-community probeert dit door samenwerking te doen. Vanuit onder andere de Taskforce Fraude en Taskforce Data-gedreven controle zijn concrete stappen gezet die toepasbaar zijn in de praktijk. Accounttech gaat aan de slag met het op slimme wijze integreren van de honderd rode vlaggen van 'fraude' en 'continuïteits'-risico's in het AWB. De taskforces zijn al gestart, maar er is altijd ruimte om mee te doen en dit proces te versterken en te versnellen.

Op Nyenrode zijn momenteel circa 75 master of science accountancy-studenten aan het afstuderen op een experiment met de effectiviteit van de AWB-aanpak versus een meer generieke 315-aanpak. Eén van de bevindingen is al duidelijk: het AWB ondersteunt een diepgaandere en meer gerichte frauderisicoanalyse. Op 27 juni 2025 wordt er op Nyenrode een seminar georganiseerd waar studenten de uitkomsten presenteren en in debat zullen gaan met kantoren. Inzichten zullen worden verwerkt in updates van het AWB. Geïnteresseerden kunnen zich aanmelden bij mij.

Wil je meer weten over het gebruik van dimensies van datakwaliteit en hoe je controle kunt verbeteren? Neem dan contact op met Age Lammers (a.lammers@nba.nl). De informatie met rapporten is te vinden op NBA Accounttech en de macro-versie van het AWB is kosteloos beschikbaar op de Nyenrode-website.