Statistical Auditing (35)

Fraudeonderzoek als onderdeel van 'normale' controle (deel 1 detailcontrole)

Het rapport 'In Het Publiek Belang' breekt een lans (bladzijde 59 en 60) voor het incorporeren van enige mate van fraudeonderzoek in de controle van de jaarrekening.

Hein Kloosterman en Ferry Geertman

Wij citeren: 'De accountant kan en moet als poortwachter bij de aanpak en bestrijding daarvan een rol spelen. Niets doen ten aanzien van fraude sluit niet aan bij de verwachting van de maatschappij. ... Uitgebreid fraudeonderzoek als onderdeel van iedere controle zou echter financieel onverantwoord zijn aangezien hierdoor de kosten van de accountantscontrole significant zouden toenemen. ...  De werkgroep pleit voor een middenweg waarbij binnen het systeem van corporate governance een belangrijke rol wordt ingeruimd voor de afstemming tussen de raad van commissarissen (of ander toezichthoudend orgaan) en de accountant over de onderkende frauderisico's en het onderzoek dat de accountant doet ten aanzien van deze risico's. Daarnaast ziet de werkgroep hier een noodzaak tot innovatie in de accountantscontrole door het gebruik van tools als data-analyse bij het identificeren van verslaggevingsfraude.  Controles moeten op dit punt verstevigd en geïntensiveerd worden.' Einde citaat.

De NV COS geeft in richtlijn 240 een definitie van fraude die kortheidshalve kan worden samengevat als 'een opzettelijk handelen of nalaten van aan de organisatie verbonden personen om met misleiding een onrechtmatig of onwettig voordeel te verkrijgen'.

Vanuit de optiek van Statistical Audit kunnen we vanuit twee verschillende controlemethodieken redeneren. De eerste is vanuit de gegevensgerichte detailcontrole, de tweede invalshoek is data-analyse. Beide invalshoeken kennen inmiddels een stevige modelbouw.

Wij willen in deze column het model schetsen van de gegevensgerichte detailcontrole en daarmee een ingang bieden voor verdere discussie. In een volgende column werken we de invalshoek van de data-analyse uit.

Gegevensgerichte detailcontrole, wat houdt die in?

Het model van de gegevensgerichte detailcontrole is vormgegeven met behulp van steekproeftheorie, en wel die van de geldsteekproeven (monetary unit sampling). De hoeveelheid bewijs die moet worden geleverd is gebaseerd op de parameters materialiteit (in geld) en het auditrisico (de kans) op ten onrechte goedkeuren.

Beide parameters hangen samen: als een verantwoording een hoeveelheid fouten ter grootte van het bedrag van de materialiteit bevat, mag het risico van het goedkeuren van die verantwoording ten hoogste gelijk zijn aan het auditrisico. De aanpak van het onderzoek komt vervolgens neer op het verzamelen van zoveel bewijs - bewezen goede geldeenheden - dat de stelling dat de verantwoording niet kan worden goedgekeurd, kan worden verworpen.

Alle bewijs - dus dat betreffende alle steekproefelementen of hun als valide aangemerkte steekproefequivalenten - moet dus het goed zijn van de verantwoording onderschrijven. Anders gezegd: alle onderzochte gegevens (de steekproefelementen) van het grootboek (waarin immers de Ist-posities zich bevinden) moeten kloppen met hun brongegevens (de Soll-posities die in allerlei bronnen teruggevonden moeten worden, zoals dossiers, documenten en ook primaire vastleggingen ondersteund met bewijs omtrent de effectieve werking van de onvervangbare interne controle).

Van iedere boeking wordt dus onderzocht of die goed is. Als hij goed is, draagt die boeking bij aan het mogelijk verwerpen van de stelling dat de verantwoording (nog) niet kan worden goedgekeurd.

Relatie detailcontrole met fraudeonderzoek

Als bij de detailcontrole blijkt dat een boeking (Ist) niet overeenkomt met de brongegevens (Soll) hoeft er nog niet sprake te zijn van fraude. Er is sprake van een fout.

Daarvan hoeft niet voorafgaand aan de controle bedacht te zijn aan welke kenmerken zo'n fout voldoet.

Wel moet worden bedacht wanneer en waarom een boeking 'goed' is. Als een boeking niet 'goed' is, kan het dus gaan om het ontdekken van unknown errors.

Als zich één of meer fouten voordoen in een steekproef is het goed gebruik om aan foutanalyse te doen. Niet om de fouten weg te redeneren, daar doen we niet aan. Foutanalyse moet een indicatie leveren van de aard en de omvang van de verschillende soorten fouten in de populatie. De steekproef zoals die getrokken is om te gaan goedkeuren levert doorgaans te weinig informatie om zo'n indicatie te geven. Daarom is vaak een aanvullende steekproef wenselijk. Niet om alsnog te gaan goedkeuren, maar om een nauwkeuriger schatting van het totale bedrag aan fouten te krijgen. Een foutanalyse kan ook voor een deel worden uitgevoerd met data-analyse, daarover meer in de volgende bijdrage.

Voorbeelden van boekingen die het stempel 'goed' niet kunnen krijgen zijn een teruggedraaide boeking terwijl de oorspronkelijke boeking 'goed' was, een boeking gedaan door een medewerker waarvan dit niet verwacht wordt, een boeking zonder omschrijving of juist met bepaalde woorden, een boeking die onverwacht op een tussenrekening terecht komt.

In het kader van fraudeonderzoek moeten dergelijke boekingen dan in detail worden onderzocht om de vraag te beantwoorden of er sprake is van benadeling en of er opzet in het spel is. Verder moet nader worden geanalyseerd of er meer van dergelijke boekingen zijn.

Voor de controle van de jaarrekening is het van belang om het maximale effect van de gevonden fouten te leren kennen; de bovengrens mag immers de materialiteit niet overschrijden.

De relatie van detailonderzoek met fraudeonderzoek is dat gevonden fouten fraude kunnen betekenen. Ieder geval van fraude is een fout, maar niet iedere fout heeft te maken met fraude. Dat verdient nog enige toelichting.

Jaarrekeningcontrole

Als bij de controle van de jaarrekening fouten aan het licht komen, en een zekere mate van fraudeonderzoek zou tot die jaarrekeningcontrole moeten behoren, dan ligt het voor de hand om de foute boekingen nader te onderzoeken.

Men moet zich er van bewust zijn dat bij een goedkeuringsonderzoek zoals de jaarrekeningcontrole, de elementen (geldeenheden) die niet goedgekeurd kunnen worden het stempel 'goed' niet kunnen krijgen. Anders gezegd, er kan sprake zijn van twijfel óf van zeker weten dat de geldeenheid, en de boeking die erbij hoort, fout is.

Vervolgens moet van de niet 'goede' boeking worden vastgesteld dat die met opzet fout geboekt is. En nog wat zaken die met de benadeling van de gecontroleerde of de stakeholders te maken hebben. Men zou kunnen zeggen dat er een 180 graden andere blik moet worden geworpen op de relatie van de gecontroleerde niet ‘goede' boeking en de bijbehorende elementen van de Soll-positie.

Wat zich ook nog wel eens voordoet bij het vinden van een fout die als fraude moet worden bestempeld, is dat de bovengrens van die fout opeens onbepaald groot wordt. Populair gezegd: zo'n fout kan een beerput opentrekken. Het statistisch berekenen van een bovengrens hoeft dan niet voldoende te zijn om te weten of de mogelijke (en dus maximale) fout de materialiteit overschrijdt. De beerput kan de fout dan tot ongekende hoogten brengen, zullen we maar zeggen.

Extra en anders gericht onderzoek

Onze conclusie is dat bij een 'normale' gegevensgerichte detailcontrole fouten aan het licht kunnen komen die te maken hebben met fraude. Hét voordeel van statistische steekproeven is dat zowel verwachte als niet-verwachte fouten aan het licht kunnen komen en zorgen voor een solide basis voor identificatie van risicogebieden, en dus leiden tot een betere prioriteitsstelling.

De accountant moet zich er van bewust zijn dat als de kwalificatie 'goed' aan een onderzochte geldeenheid moet worden onthouden, er sprake kan zijn van fraude. Dat vereist een extra en anders gericht onderzoek. Dat op zijn beurt betekent extra werk ten opzichte van ‘alleen maar' goedkeuren.

Stuurgroep Statistical Auditing

De Stuurgroep Statistical Auditing is verbonden met het Limperg Instituut en heeft als doel 'het bevorderen van het correcte (effectief en efficiënt) gebruik van statistische methoden en technieken bij accountantscontroles en daarmee verwante controles op financiële verantwoordingen en overzichten'.

Hein Kloosterman RE RA, gepensioneerd adviseur IT-audit en Statistical Audit. Lid van de Stuurgroep Statistical Auditing.

Ir. Ferry Geertman RE CISA is managing director bij de KEY Group.

Gerelateerd

6 reacties

Hein Kloosterman

Uiteraard wil ik zowel Jan Pasmooij als Dennis van Heijst uitnodigen om zowel column 35 als column 36 te lezen. AT:Jan Beste Jan, uit de columns zal jou blijken dat data-analyse volgens ons vooral voor twee zaken goed uitpakt: consistentiecontroles, opvragingen naar specifieke kenmerken en (verschillen)analyses. De premisse dat alle Soll-posities in een geautomatiseerde omgeving (zoals ERP) in de dataset aanwezig zijn is onjuist. Dat dat idee de wereld nog niet uit is! Zie de twee artikelen van Ruud Snoeker en mij in de IT-auditor. AT: Dennis Jouw stelling is volgens mij juist. Zoals ik al tegen Jan opmerkte: de Soll-posities liggen niet kant en klaar in het ERP-systeem. Vraag is dus altijd hoe kan ik een link leggen met de materie (de Real World) en hoe vaak zou ik dat moeten kunnen doen?

Hein Kloosterman

Door toeval kwam ik er achter dat nog twee personen hebben gereageerd. Zij reageerden echter op de samenvatting die de redactie plaatste. Ik vermeld die reacties hieronder voor de volledigheid. Geplaatst door Jan Pasmooij - 22-10-2014 14:50:54 Beste auteurs, In jullie artikel gaan jullie bij de gegevensgerichte detailcontrole uit van een statische steekproef. De huidige mogelijkheden van data-analyse stellen ons inmiddels in staat om de gehele populatie geautomatiseerd te onderzoeken en ons dus niet te beperken tot een steekproef. Kunnen jullie aangeven wat deze mogelijkheid betekent voor de door jullie geschetste gegevensgerichte controle(s)? Jan Pasmooij Geplaatst door Dennis van Heijst - 22-10-2014 17:08:14 Beste Jan, Ondanks dat ik het gebruik van data analyses als onderdeel van de controleaanpak niet wil diskwalificeren, blijft in mijn ogen dit slechts e´e´n onderdeel binnen de controle. Een data-analyse zal bepaalde beweringen zoals het 'bestaan' van de onderliggende goederen/diensten etc niet kunnen aantonen. In hoog geautomatiseerde omgevingen waarbij een directe relatie bestaat in de gehele workflow is een analyse een grote uitkomst, echter: Een analyse zou bijvoorbeeld prima de betalingen per rekening en/of te verwachten rekeningen kunnen laten zien. Of diensten bijvoorbeeld daadwerkelijk geleverd zijn zal altijd nog met andere werkzaamheden ondersteund moeten worden. Ook waarderingskwesties kunnen deels wel ondersteund worden door analyses, vooral in visualisaties, vaststellingen van fundamentele aannames etc., maar vaak zit er zeker nog een heel extra traject aan vast waarbij de steekproef toch een beproefde methode zal blijken om je finale conclusie te onderbouwen.

Hein Kloosterman

Beste Glenn, Voor de zekerheid verwijs ik naar een stel columns van Ed Broeze over professional judgement (16, 17 en 18). Zijn waarschuwing is om in de controle-aanpak de subjectieve elementen te objectiveren. Daarmee verkondigt hij niet de illusie van altijd objectief beoordelen, maar wijst accountants erop dat zij zo objectief mogelijk moeten zijn. Een soort van 'eerst zien, dan pas geloven'. Als men dat uitgangspunt heel strak zou doortrekken dan zou 'risicoanalyse in de accountantscontrole' een verkeerd pad zijn. Die risicoanalyse is immers een inschatting dat een deel van de te controleren populatie hartstikke schoon is: dat deel is gecontroleerd en bevat - naar de accountant gelooft, geen fouten. Dat geloof zet hij om in wat ik met Tony Steele 'steekproefequivalenten noem. Idealiter komt dat 'geloof' niet uit de lucht vallen maar is het met controlebewijs ondersteund. Namelijk dat er informatie bestaat dat de interne beheersing in opzet toereikend is, dat die bestaat en dat die heeft gewerkt. Er is dus - let wel idealiter - controlebewijs dat het 'geloof' ondersteunt. Niet bewijst maar ondersteunt. Over fraudeonderzoek zelf zijn Ferry Geertman en ik van plan nog een column schrijven.

Glenn Mungra

Dank voor de toelichting Hein (en voor het feit dat je niet expliciet aangeeft dat ik de plank hier volledig missla.) Mijn bijdrage ging inderdaad meer om de fouten die de accountant niet heeft gezien. Ik stelde inderdaad niet de vraag wat een accountant moet doen als er fouten zijn gevonden. Daar ging het dus niet over. Ik geef toe dat iedere gek iets zou kunnen stellen. Je wijst mij terecht erop dat ik een andere vraag stelde: wat als er wel fouten waren die ondanks een kwalitatief goed toegepast controleraamwerk niet gevonden zijn? Je noemt het begrip steekproefequivalenten als een soort kwalitatief accurate beschrijving van de werkelijke massa door middel van zorgvuldig gekozen representatieve steekproeven. Als je dan toch fouten vindt (boven de marge) dan volgt volgens mij daaruit dat de opzet van je steekproef niet goed genoeg was om hetzij de juiste massa weer te geven, hetzij de massa juist weer te geven. Maar, zoals je zelf ook al aangeeft, maakt de steekproef deel uit van een controlemix en het geheel vindt ook plaats binnen het ruimer kader van een volkomen controle. Binnen die ruimere context moet je mijn vraag zien in de zin van: wat is het risico dat de accountant zichzelf voor de gek houdt in de voorinformatiefase? En wat als de klant hem voor de gek houdt? Wat als hij start vanuit een scenario waarin hij een verkeerd beeld heeft van het controleobject. Is er dan een risico dat hij dan toch de plank mis slaat? Ik begin dus een stapje eerder: binnen welk conceptueel kader fungeert de accountant, zelfs voordat hij eraan begint (welke dingen vooronderstelt hij bij voorbaat?) Volgens mij heeft iedere accountant namelijk een strategie en volgt deze een bepaald conceptueel scenario in het speelveld van wisselwerkingen binnen de controle. Hij bouwt onwillekeurig voort op persoonlijke ervaringen, verborgen vooroordelen. Niet alles zit in het dossier: de betekenis van een begrip is gerelateerd aan wat je persoonlijk al 'weet'. (Bovendien kan er ook sprake zijn van bewuste manipulatie, onderlinge 'ruis' en non-verbale taal in de communicatie binnen het speelveld van de controle.) Kortom als de accountant van te voren al een bepaald beeld heeft, loopt hij het risico dat hij dat slechts bevestigt of afwijkende signalen niet herkent. Ik zie hier een valkuil als een op zich 'volkomen controleaanpak' daar geen rekening mee houdt. En wat als de accountant zich daarvan niet bewust is, terwijl hij uiteraard naar beste vermogen controleert? Ik ben dan geneigd om dat eerder een 'onbewuste' controle te noemen. (Ik beschuldig hier natuurlijk niet de accountant ervan dat hij zichzelf in slaap laat sussen door de conventionele en uiteraard ook kritische aanpak.) In navolging van onderzoek in Amerika (Mark Keil, over valkuilen op het vlak van projectstatusrapportage, http://overmanagement.nl/kortnieuws/detail/projectrapportage-vijf-fatale-instinkers) noem ik een aantal valkuilen die ik ook van toepassing acht in dit verband: 1. Vertrouwen erop dat (je) mensen slecht nieuws vertellen, zelfs als dit het beeld over hun negatief beïnvloed of als ze vinden dat ze ervoor verantwoordelijk zijn. 2. Een dominante bedrijfscultuur , karaktertrekken en culturele achtergrond kan 'gekleurde' rapportage bevorderen (individualistisch: persoonlijk belang, of collectief: neiging tot uitstellen en afzwakken). 3. Een agressievere controleaanpak op basis van wantrouwen kan (via defensieve acties) een negatieve spiraal creëren. 4. De mate van ongelijkheid in de machtsverhoudingen kan de uitkomst van werkzaamheden beïnvloeden in de richting van de potentaten. 5. De neiging om slecht nieuws signalen een lagere weging te geven. Maar ik geef toe, mijn probleem is dat ik in het bovenstaande geen recht doe aan dit uitstekend artikel, waarin een lans gebroken wordt voor een gedegen aanpak, waarin o.m. expliciet ruimte is voor het handelen na (zelfs 'zwakke') fraudesignalen. Ik denk dat ik dus ook in dat opzicht de plank heb misgeslagen.

Hein Kloosterman

Beste Glenn, In het rapport 'In Het Publiek Belang' staat een zinsnede die we in de column hebben geciteerd. Tegen die referentie moet je de column lezen. Vertaald staat er: accountants doen een 'gewone' controle van de jaarrekening en moeten fraudemogelijkheden niet negeren en daar is enige inspanning voor nodig. In de tekst van het rapport verwijzen de samenstellers naar data-analyse. Wij hebben ervoor gekozen om eerst maar eens te kijken naar gegevensgerichte detailcontroles. Omwille van efficiency plegen accountants die detailcontroles niet integraal te doen, maar door middel van steekproeven en de daarmee verbandhoudende 'risicoanalyse in de accountantscontrole'. Vandaar de opmerking in de tekst dat de feitelijk te verrichten detailwaarnemingen én de verzameling steekproefequivalenten moeten worden beschouwd. De steekproefequivalenten komen voort uit zogenoemde voorinformatie dat de details verhipte goed zullen zijn: als waren er al steekproeven getrokken en gecontroleerd en foutloos bevonden. Als er desondanks wel fouten worden gevonden moet de accountant daarvan de consequenties trekken: zijn voorinformatie deugt niet. Meer werk (meerwerk, wellicht). De column gaat over wat een accountant moet doen als er fouten zijn gevonden. Die moeten dan allemaal worden beoordeeld op eventuele fraude. Dus niet andersom: stel dat er fraude is, wat moet ik dan allemaal doen om dat te ontdekken.

Glenn Mungra

Heel leerzaam artikel. Maar misschien let ik niet goed genoeg op. Ik vroeg me af of er misschien bovendien nog een andere soort innovatie nodig is. Toereikend onderkennen van signalen en de screening op signalen spelen een heel bijzondere rol vooraf. De accountant opereert in een 'controleveld' waarvan hij vooraf niet over alle relevante informatie beschikt om de vereiste beslissingen te kunnen nemen over de aanpak. In dat geval is het m.i. mogelijk dat hij het 'controleveld normaliseert' en daarbij keuzes maakt om de controle te vereenvoudigen. Dingen waarvan hij van tevoren 'weet' dat het evident is, daar zal hij geen aandacht meer aan besteden, tenzij hij een signaal krijgt om dat niet te doen. Maar stel bijv. dat de klant besluit om niet helemaal eerlijk te zijn naar de accountant toe met de opgeleverde informatie, met als doel om de gebruiker een verkeerd beeld voor te schotelen. Nu weet de rationeel denkende accountant 2 dingen gewoonweg niet: 1- Weet de accountant wat het de gebruiker van de jaarrekening zal kosten als hij verkeerde informatie krijgt voorgeschoteld? (wat is diens belang bij de informatie achteraf?) 2- Weet de klant van te voren dat de accountant de controle zal aanpassen als hij bepaalde informatie niet geeft en hoe de gebruiker zal regeren op zijn oordeel? (handelt de klant rationeel op basis van informatie vooraf?) Als het antwoord op deze vragen niet bekend is, kan ik me ook voorstellen dat de accountant zijn risico's vooraf verkeerd inschat, afhankelijk van hoe goed hij de context van de klant resp. van de gebruiker heeft ingeschat. En als ik gelijk heb dan bestaat de kans dat de accountant in zijn overigens grondige modelmatige aanpak ten onrechte veronderstelt dat bepaalde risico's niet aanwezig zijn En is de accountant dan ziende blind? Nee, hij lopt gewoon het risico de plank mis te slaan. Hij gaat dan nog steeds uit van een volledig spectrum van kansen, maar deze kansen zijn gerelateerd aan en afhankelijk van de kansen in de context die hij hanteert. Als de kans op gebeurtenis A niet relevant is kies je er niet voor om de kans op gebeurtenis A mee te wegen in een beslissing, omdat je in feite een niet voor de hand liggend kans een waarde van nul geeft (en daardoor weegt het eigenlijk niet mee.) Het is namelijk niet efficiënt en ook niet doelmatig om iedere keer de keuzes die je al geëlimineerd hebt iedere keer weer opnieuw mee te nemen. M.a.w. zonder goede informatie vooraf is de uitkomst van de controle subobtimaal.,En dat resulteert in een aanpak die ook subobtimaal is, zelfs als het rekenkundig en statistisch helemaal klopt. Of ben ik het die hier volledig de plank mis slaat?

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.