Fraude is ‘hot’ in accountantsland. Fraude is één van de twee thema’s die de NBA Stuurgroep Publiek Belang heeft onderkend in haar ‘Veranderagenda Audit’. Eerder had de Monitoring Commissie Accountancy het ‘fraudevraagstuk’ geïdentificeerd als één van de onderwerpen waarop verbetering van prestaties van accountants nodig is voor het dienen van het publiek belang. Er is vanuit de NBA inmiddels een Werkgroep Fraude ingesteld (deze werkgroep beoogt het omgekeerde van wat haar naam in eerste instantie doet vermoeden). We hebben inmiddels een ‘fraudeprotocol’. En recentelijk is een uitvraag gedaan bij accountantsorganisaties voor het uitvoeren van een gap analyse op basis van het Fraudeprotocol (in welke mate wordt voldaan aan dat wat je van de accountant mag verwachten). Allemaal prima conclusies, observaties en initiatieven, die vergezeld gaan met diverse nieuwsberichten op onder andere www.accountant.nl over fraude met spraakmakende titels zoals bijvoorbeeld: ‘Accountant laat zich bedotten bij mogelijke fraudesignalen’ en ‘Laat forensische afdeling brug slaan naar jaarrekeningcontrole’.
Ik wil even terug naar de Controlestandaarden, en dan uiteraard Standaad 240. Meer specifiek wil ik het hebben over het standaard risico dat je in elk controledossier tegenkomt: het risico ‘doorbreking van de AO/IB door de leiding’ (of de Engelse variant ‘management override’). Op grond van Standaard 240 moet dit frauderisico in elke controle onderkend worden; het risico is in alle entiteiten aanwezig (240.31), zij het dat de mate waarin het risico aanwezig is per entiteit kan verschillen. Dientengevolge moeten voor dit risico controlewerkzaamheden worden opgezet en uitgevoerd.
Het risico van doorbreking van de interne beheersingsmaatregelen door de leiding vertaal ik naar het risico van directiefraude. Enerzijds is dit een verbreding, want er kan strikt genomen ook directiefraude plaatsvinden zonder dat een interne beheersingsmaatregel wordt doorbroken. Wel is er dan waarschijnlijk sprake van het ontbreken van een interne beheersingsmaatregel dan wel de interne beheersingsmaatregel is niet effectief. Anderzijds is deze vertaling ook een versmalling, want ook werknemers kunnen interne beheersingsmaatregelen doorbreken om te frauderen (werknemersfraude).
Directiefraude was in een oude Verordening1 gedefinieerd als: “fraude, gepleegd door of op last van de hoogste leiding (bij meerhoofdige leiding door of op last van één of meer leden van de leiding) van een huishouding”. Het mooie van deze definitie is dat daarin rekening werd gehouden met het scenario dat de directie een transactie initieert, maar dat een ander (bijvoorbeeld een medewerker) de fraude pleegt. Hierbij maak ik onderscheid tussen het uitvoeren van een transactie en het vastleggen van die transactie. Met alleen de uitvoering is niet noodzakelijkerwijs een fraude gepleegd. Sommige transacties worden pas frauduleus door de wijze van vastleggen (terwijl de uitgevoerde transactie sec niet frauduleus hoeft te zijn). Voorbeeld: het niet (laten) boeken in een rekening-courant verhouding van privé-uitgaven gedaan met een zakelijke betaalpas, maar in plaats daarvan deze kosten als overige bedrijfskosten laten verwerken. Maar er zijn veel meer voorbeelden van directiefraude; het aantal varianten is onbeperkt. Daarbij is een onderscheid te maken tussen wie er profiteert van de fraude. Dat kan de directie (fraudeur) zelf zijn, maar het kan ook de onderneming zelf zijn (omkoping/corruptie). En ook een derde partij kan bevoordeeld worden door als vriendendienst mee te werken aan bijvoorbeeld faillissementsfraude of het op onrechtmatige wijze helpen aan een order.
De accountant dient in de controle van de jaarrekening rekening te houden met frauderisicofactoren en daarop in te spelen. Frauderisicofactoren zijn gedefinieerd als ‘gebeurtenissen of omstandigheden die wijzen op een stimulans of druk om fraude te plegen of die een gelegenheid scheppen om te frauderen’ (240.11b). Hier zien we twee van de drie elementen van de ‘fraudedriehoek’ terugkomen: (a) stimulans/druk en (b) gelegenheid. In bijlage 1 van Standaard 240 is ook het derde element van de fraudedriehoek vermeld: (c) instelling/rechtvaardiging.
Ondanks een separate Standaard 240 (met nuttige bijlagen) over fraude en onze kennis over de fraudedriehoek (een model dat de tand des tijds goed heeft doorstaan) lukt het accountants maatschappelijk gezien niet voldoende om te voldoen aan de verwachtingen omtrent het ontdekken van fraude. Terechte of onterechte verwachtingen (wellicht dat door de werkzaamheden van de accountant veel meer fraude wordt voorkomen dan dat aan fraude wordt gepleegd), daar moet iets mee (aan) gedaan worden. Uit het rapport In het Publiek Belang: het kan echt beter!’ wordt dé oplossing ook meer gezocht in aanpassing van de werkzaamheden en het geven van verklaringen dan trachten de publieke verwachtingen omtrent het ontdekken van fraude te verlagen.
Peter Diekman heeft geopperd2 voor een multidisciplinaire risicoanalyse om een goede inschatting te kunnen maken van de risico’s van fraude, witwassen, terrorisme en corruptie. Hij doelde daarbij met name op de toevoeging van psychologische kennis aan het controle team, omdat bestuursleden en senior managers in ondernemingen vaker psychopathische en persoonlijkheidsstoornissen hebben. Een interessante gedachte, die ook zeker nuttig kan zijn bij het uitvoeren van een oorzakenanalyse indien after the fact is gebleken dat een fraude is gemist door het controle team.
Laura Wagoner Downing heeft ooit een alternatieve fraudedriehoek beschreven, namelijk de directie-fraudedriehoek3. Die bestaat uit de elementen (a) hebzucht (greed), (b) trots, neigend naar arrogantie (pride) en (c) aanspraak (entitlement). Het element hebzucht is de behoefte of drang naar meer geld, meer status, meer privileges, meer macht en/of meer aanzien. Vanuit hun posities is de directie of een individuele directeur in staat om zichzelf te voorzien in deze behoefte. Het tweede element trots ziet op de overschatting van diens eigen kunnen. Het gaat om iemand die zichzelf slimmer of beter vindt en superieur aan anderen. En zo’n persoonlijkheid duldt geen tegenspraak of kritische vragen en zal ook geen cultuur creëren waarin een kritische tegenstem geaccepteerd wordt. Het laatste element aanspraak is het egoïsme waarin de fraudeur vindt dat hij recht heeft op het voordeel dat wordt verkregen.
Deze directie-fraudedriehoek lijkt overeen te komen met de traditionele fraudedriehoek, maar er zijn wel degelijk verschillen. Voor directiefraude hoeft er geen gelegenheid te zijn; een directielid kan deze gelegenheid creëren. Er hoeft ook geen stimulans/druk te zijn, anders dan de interne druk om de eigen persoon nog wat groter te laten worden. Het laatste element aanspraak komt wel meer overeen met het element instelling/rechtvaardiging uit de gewone fraudedriehoek.
Als we dan even terugkijken naar wat Standaard 240 minimaal vereist voor wat betreft directiefraude (doorbreking van de interne beheersingsmaatregelen door de leiding), dan staan daar kort samengevat de volgende werkzaamheden (240.32) voorgeschreven:
- toetsen op aanvaardbaarheid van journaalposten en andere aanpassingen gemaakt tijdens het opstellen van de jaarrekening (en eventueel ook uit de gehele verslagperiode);
- beoordelen van schattingen op tendenties en beoordelen of de omstandigheden die tot de tendentie hebben geleid een risico vormen; en
- beoordelen van de zakelijke beweegredenen (of het ontbreken daarvan) van niet-routinematige transacties en van andere transacties die in een ander opzicht ongebruikelijk lijken.
Aangevuld met de toelichtende paragrafen klinkt het allemaal heel logisch en vanzelfsprekend. Maar hoe effectief is het onderkennen van dit risico in de controle en het uitvoeren van de minimaal vereiste controlewerkzaamheden in het ontdekken van gevallen van directiefraude? Maakt de accountant de functie van poortwachter voor het maatschappelijk verkeer waar met de onderkenning van dit risico en de uitvoering van bovenstaande werkzaamheden?
Ik pleit er niet voor om vereiste 240.32 te schrappen. Maar afgaande op mijn eigen waarnemingen in de controlepraktijk constateer ik dat de eerste werkstap braaf en bijna routinematig wordt uitgevoerd in elke controle. Zelden dat hiermee een afwijking in de jaarrekening wordt ontdekt, laat staan een geval van fraude als gevolg van doorbreking van de interne beheersingsmaatregelen door de leiding. De tweede werkstap is verder uitgewerkt in een separate Standaard (540) en deze ‘Clarity’ Standaard heeft accountants zeker kritischer (en effectiever) gemaakt op het toetsen van (de redelijkheid van) de schattingselementen in een jaarrekening. Maar wat mij betreft kan er met name bij de uitvoering van de derde werkstap verbetering worden gerealiseerd.
Voor de derde werkstap moet de accountant in staat zijn de niet-routinematige transacties te onderscheiden van de routinematige transacties. Dat klinkt eenvoudig, maar de niet-routinematigheid wordt niet alleen bepaald door de frequentie van de transacties. Het vereist diepgaande kennis van de entiteit en haar omgeving, waaronder begrip van het verdienmodel, de marktpositie en de doelstellingen van de onderneming. Wat mij betreft mag de lat die door Standaard 315 wordt gelegd hoger komen te liggen. En daar zou ik een analyse of beoordeling van directie aan de hand van de directie-fraudedriehoek aan willen koppelen, al dan niet met behulp van andere expertise. Beide gecombineerd zal dit het beoordelen van de zakelijke beweegredenen (of het ontbreken daarvan) ten goede komen, hetgeen overigens ook relevant is in het naleven van de Wwft. En zo kunnen we hopelijk een al dan niet overdreven verwachting van het maatschappelijk verkeer richting de accountant in het ontdekken van fraude “doorbreken” en het publiek belang beter dienen!
13 juni 2019
Drs. Albert Bosch RA
- https://wetten.overheid.nl/BWBR0006758/1995-03-08
- https://www.accountant.nl/nieuws/2016/11/peter-diekman-frauderisicos-multidisciplinair-bekijken/
- https://www.fraud-magazine.com/article.aspx?id=4294988229