Er valt wat te verbeteren op het gebied van fraudedetectie

23 april 2021 - Er valt wat te verbeteren op het gebied van fraudedetectie

Inleiding

Controlekwaliteit is wederom actueel. Fraude ook weer. In feite zijn deze gerelateerde onderwerpen nooit afwezig geweest. Ze zijn alleen weer wat meer op de voorgrond gekomen, nu de kwartiermakers toekomst accountancysector met deze en andere onderwerpen aan de slag zijn gegaan. En recente fraudeschandalen zoals die bij Wirecard hebben begrijpelijkerwijs geleid tot nieuwe media aandacht, blogs van diverse accountants en uiteraard publieke verontwaardiging.  

De kwartiermakers zijn druk bezig met hun ambitieuze plannen. In hun plan van aanpak is een overzicht van taken opgenomen is onder het kopje ‘verbeteren kwaliteit’ als (samengevatte) taak onder meer opgenomen: “meer aandacht voor fraude en nader invulling inzet forensische expertise”. Deze taak bestaat enerzijds uit een communicatie aspect, in casu meer transparantie over wat de accountant heeft gedaan en welke conclusie de gebruiker daaraan mag verbinden. Anderzijds bestaat deze taak uit een vaktechnische component en is als volgt omschreven in het plan van aanpak: “kritisch kijken naar wat de accountant zelf moet en kan doen om financiële frauderisico’s op tijd te herkennen en vaststellen wanneer en in welke situatie aanvullende expertise ingeschakeld moet worden”.

Op basis van de doelstelling van de accountant in het algemeen en de specifieke controlestandaard 240 over fraude (getiteld “De verantwoordelijkheden van de accountant met betrekking tot fraude in het kader van een controle van financiële overzichten”) concludeer ik dat de accountant een inspanningsverplichting heeft en niet een resultaatsverplichting, ook niet ten aanzien van het ontdekken van fraude. De vraag is of hoe ver die inspanningsverplichting reikt en hoever die kan worden opgerekt, opdat de beoogde kwaliteitsverbetering wordt gerealiseerd.

Ik zal in dit artikel een antwoord proberen te geven op deze laatste dubbele vraag. Ik onderbouw eerst mijn vertrekpunt dat sprake is van een inspanningsverplichting, zowel in het algemeen als ten aanzien van fraudedetectie. Vervolgens doe ik twee suggesties voor verbetering van die inspanningen van accountants en hun controle teams. Omdat die suggesties in feite heel basaal zijn, ga ik aansluitend in op het ‘wicked problem’ dat als drempel fungeert bij het implementeren van die basale suggesties. Tot slot verken ik verschillende oplossingsrichtingen, waarbij ik de sector en de kwartiermakers één specifieke oplossing aanreik.

De inspanningsverplichting vloeit voort uit de algehele doelstelling van de accountant

De algehele doelstellingen van de accountant bij het uitvoeren van een controle van financiële overzichten zijn tweeledig. Ten eerste dient de accountant een redelijke mate van zekerheid te verkrijgen over de vraag of de jaarrekening als geheel vrij is van een afwijking van materieel belang die het gevolg is van fraude of van fouten. Oftewel, vaststellen dat de jaarrekening een getrouw beeld geeft. De tweede doelstelling is dat de accountant rapporteert en communiceert over de gecontroleerde jaarrekening. Dit is de basis, die bijna vooraan in de controlestandaarden is opgenomen (NV COS 200.11).

Een redelijke mate van zekerheid is geen absolute mate van zekerheid, maar wel meer dan een beetje (beperkte mate van) zekerheid. De algehele doelstellingen van de accountant zijn naar mijn mening een inspanningsverplichting en geen resultaatsverplichting. Het resultaat, de uitkomst van de controle, is niet goed meetbaar. We kunnen niet concluderen dat een bepaalde, exacte mate van zekerheid is verkregen.

We kunnen zelfs niet concluderen dát de jaarrekening geheel vrij is van een afwijking van materieel belang die het gevolg is van fraude of van fouten. Dat doen accountants ook niet. De accountant vermeldt in de controleverklaring (onderstreping door mij): “Naar ons oordeel geeft de in dit jaarverslag opgenomen jaarrekening een getrouw beeld van de grootte en de samenstelling van het vermogen van <entiteit> per 31 december jaar-t en van het resultaat over jaar-t in overeenstemming met Titel 9 Boek 2 BW.”

De introductie ‘naar ons oordeel’ geeft al aan dat de accountant iets vindt van de jaarrekening, maar het wordt niet gepresenteerd als een absolute zekerheid. Anders had de accountant niet ‘naar ons oordeel’ hoeven te vermelden. Het ‘naar ons oordeel’ maakt al dat sprake is van een bepaalde mate van subjectiviteit en geen absolute mate van zekerheid. Dat nadien de situatie anders kan zijn, is soms moeilijk te accepteren. Controles kunnen imperfect zijn en controleurs (accountants) zijn feilbaar. Een imperfecte controle impliceert niet per sé dat de accountant gefaald heeft. Deze conclusie wordt echter wel snel getrokken, omdat moeilijk te accepteren is dat een controle imperfect kan zijn en de gegeven mate van zekerheid niet absoluut is.

De inspanningsverplichting geldt juist ook voor het onderwerp Fraude

Een inspanningsverplichting dus, niet een resultaatsverplichting. Ook ten aanzien van fraude, of juist ten aanzien van fraude. Al redelijk in het begin van de speciale controlestandaard over fraude (NV COS 240) leest de welwillende accountant dat er inherente beperkingen in de controle zijn, en daardoor bestaat er een onvermijdbaar risico dat sommige afwijkingen, ook van materieel belang, niet gedetecteerd worden (NV COS 240.5). Ook leest de welwillende accountant dat het niet-detectie risico groter is bij een fout als gevolg van fraude dan een gewone fout (NV COS 240.6). En dat het niet-detectie risico bij managementfraude weer groter is dan bij personeelsfraude (NV COS 240.7). Vanwege deze beperkingen moet de accountant een professioneel kritische instelling hanteren (NV COS 240.8). Dat zijn zo’n beetje de vertrekpunten van de accountant ten aanzien van het onderwerp fraude. Tel daarbij ook nog op dat de accountant de verkregen vastleggingen en documenten als authentiek mag aanvaarden, tenzij hij aanwijzingen heeft om het tegendeel te veronderstellen (NV COS 240.14). Afgaande op de uitgangspunten in controlestandaard 240 gaat de accountant aan de slag met een inspanningsverplichting.

Vervolgens doet zich een andere bijzonderheid voor inzake fraude. De accountant controleert de jaarrekening, die bestaat uit posten en transactiestromen. De jaarrekeningposten zijn in feite beweringen van de leiding van de entiteit: de voorraden bestaan en hebben waarde X. Er zijn vorderingen en die hebben waarde Y. Er is omzet geweest ter grootte van Z. Etc. Deze beweringen zijn de getrouwheidsaspecten van de jaarrekening. De accountant controleert die beweringen, en bij een controle zoekt de accountant controle-informatie die leiden tot positieve bevestigingen van die beweringen. Maar er is geen enkele jaarrekening die bij voorbaat een bewering bevat dat er is gefraudeerd en dat de cijfers zijn beïnvloed door fraude.  De bewering is in feite dat er geen fraude is geweest. De accountant kan echter nimmer goed bewijzen dat iets er niet is. Dat kan alleen in een sterk afgebakende situatie, maar de jaarrekening, de entiteit en de omgeving waarin die entiteit opereert zijn zeer onafgebakend. Er wordt wel eens gesteld dat een forensisch deskundige of een journalist veelal beter in staat is om fraude te vinden. Die stelling durf ik niet te weerleggen, maar deze professionals hebben een wezenlijk ander vertrekpunt. Zij  opereren vanuit de bewering of het vermoeden (al dan niet ingegeven door een bruikbare tip) dat er wel is gefraudeerd. Zij kunnen zoeken naar iets dat er vermoedelijk is, waar de gewone accountant moet zoeken naar iets dat er veelal of normaal gesproken niet is. De slagvaardigheid van accountants op dit onderwerp vergelijken met forensisch deskundigen of journalisten is geen eerlijke vergelijking.

Maar het kan beter… door terug te gaan naar de basis

Wat is dan die inspanningsverplichting in controlestandaard 240? Die verplichting of doelstelling van de accountant is drieledig (NV COS 240.11):

  1. het identificeren en inschatten van de risico’s op een afwijking van materieel belang die het gevolg is van fraude;
  2. het verkrijgen van voldoende en geschikte controle-informatie over de ingeschatte risico’s op een afwijking van materieel belang die het gevolg is van fraude door middel van het opzetten en implementeren van geschikte manieren om op die risico’s in te spelen; en
  3. het op passende wijze inspelen op fraude of vermoede fraude die tijdens de controle is geïdentificeerd.

De kwartiermakers willen “kritisch kijken naar wat de accountant zelf moet en kan doen om financiële frauderisico’s op tijd te herkennen en vaststellen wanneer en in welke situatie aanvullende expertise ingeschakeld moet worden”. Tenzij in Nederland controlestandaard 240 wordt aangepast, zullen de verbeteringen van de kwaliteit moeten worden gevonden in het beter identificeren en inschatten van frauderisico’s en in betere controletechnieken en/of hulpmiddelen in het verkrijgen van voldoende en geschikte controle-informatie over de onderkende frauderisico’s. Het derde aspect in de doelstelling van de accountant inzake fraude laat ik buiten beschouwing; ik schat in dat accountants goed weten wat ze moeten doen in het zeldzame geval wanneer ze fraude hebben gevonden.  

Ik zou graag zien dat accountants zich nog meer gaan verdiepen in de entiteit die ze controleren en de omgeving van de entiteit en de good old AO/IB. Kijkend naar de fraudedriehoek, dan zijn met name de punten stimulans/druk (motivatie) en gelegenheid twee punten die verdiept kunnen worden met meer inzicht in de entiteit en haar omgeving. Het derde punt rationalisatie is amper waar te nemen, omdat dit vooral in het hoofd van de fraudeur plaatsvindt, als het al aanwezig is. De beroepsfraudeur heeft geen rationalisatie nodig; het is diens modus operandi. Alleen de incidentele fraudeur met een tijdelijke verslapping van normbesef, heeft rationalisatie nodig bij of direct na het frauderen.

Meer of beter inzicht in de entiteit en haar omgeving leidt tot betere inschatting van de motivaties (redenen of aanleidingen) om te gaan frauderen. In dat kader kan ik het boek ‘Why They Do It: Inside the Mind of the White-Collar Criminal’ van Eugene Soltes aanbevelen. Het zou goed zijn als controle teams in bijvoorbeeld de preaudit meeting in de planningsfase alle mogelijke redenen en drukfactoren bedenken die aanleiding kunnen zijn om te willen frauderen, op basis van het verkregen inzicht. Meer nog dan hoe nu veelal invulling wordt gegeven aan de vereiste hierover in controlestandaard 240 (NV COS 240.16).  Stimulans om te frauderen komt veelal uit de nabijheid van de entiteit: banken, aandeelhouders, klanten (gedane toezeggingen), privé situaties, etc. Daarom is het inzicht in de omgeving een cruciaal onderdeel van het te verkrijgen totale inzicht. Ik denk dat controle teams hierin kunnen verbeteren door simpelweg meer inzicht te verkrijgen.

We zien de laatste jaren, veelal ingegeven door observaties in AFM inspecties en mogelijkheden van data-analyse, een verschuiving van gecombineerde systeemgerichte en gegevensgerichte controleaanpak naar een (nagenoeg) volledig gegevensgerichte controleaanpak. Die verschuiving zou in beginsel niets hoeven te betekenen voor het inzicht (opzet en bestaan) in de AO/IB van de entiteit, maar ik betwijfel of dat ook zo is. Waarom verdiepen in de AO/IB, indien je vooraf weet dat je geen IB-maatregelen gaat testen op hun werking? Maar de gelegenheden om te kunnen frauderen zitten juist in het ontbreken van interne beheersingsmaatregelen, waaronder functiescheiding, en de IT-omgeving. Controle teams moeten dus gedegen inzicht blijven verkrijgen in de opzet en het bestaan van de AO/IB (inclusief IT-omgeving). Maar aanvullend kunnen controle teams verbeteren door aansluitend die AO/IB en IT-omgeving te analyseren op fraudemogelijkheden. Ik zie daar nog wel ruimte voor verbetering.

Aansluitend zouden controle teams vervolgens de brainstorm van het moeten frauderen (stimulans/druk) en de analyse van het kunnen (gelegenheden) frauderen combineren om tot een betere frauderisicoanalyse te komen. Het willen (rationalisatie) frauderen kan mijn inziens van ondergeschikt belang blijven. Sterker nog, wellicht moet de accountant daar van af blijven, omdat het mogelijk leidt tot verkeerde inschatting van de frauderisico’s of het ten onrechte wegredeneren van frauderisico’s.

Een onderliggend wicked problem

Bovenstaande route tot verbetering hoeft niet gehinderd te worden door onvoldoende kennis van de controle teams. Het vereist wel meer tijd (budgetallocatie) in de planningsfase. En dat brengt mij bij wel een reden die bovenstaand verbeterplan hindert. Accountants worden op korte termijn niet beloond voor het onderkennen van meer frauderisico’s. Meer (fraude)risico’s moeten worden vertaald naar meer controlewerkzaamheden. Dat kost meer tijd, en die tijd is al schaars. De incentive is dus eigenlijk tegengesteld. En meer werkzaamheden worden ook niet beloond indien er vervolgens geen fraude wordt gevonden. En laten we eerlijk zijn, ook niet wanneer er dan wel  fraude wordt gevonden, omdat er dan een heel intensief en gevoelig traject wordt opgestart. Dit laatste is overigens niet een pleidooi van mij om de accountant vrij te stellen van het vinden van afwijkingen als gevolg van fraude, ook al is het verleidelijk in te beelden hoe de waardering voor accountants positief kantelt indien fraude wel wordt gevonden in een situatie waarin dat niet vereist is en verwacht wordt.

Naast de hiervoor geschetste route tot verbetering moet dus ook iets bedacht worden om de incentive bij accountants te kantelen. De route tot verbetering leidt wellicht tot lagere faalkosten in totaliteit, maar die opbrengst is onbekend en ligt in de toekomst en is daardoor onvoldoende (direct) tastbaar. Dat is onvoldoende beloning voor het hier en nu om dit probleem op te lossen.

Oplossingen voor het onderliggende wicked problem

Het zou mij niet verbazen indien de externe toezichthouder zich meer gaat richten op de inspanningen die controle teams hebben gedaan op het gebied van fraudedetectie en de frauderisicofactoren. Maar de toezichthouder zal daarbij tegen hetzelfde punt aanlopen waar controle teams tegenaan lopen: maak maar eens inzichtelijk en toon maar aan dat de inspanningen onvoldoende zijn geweest op iets dat er niet is. Dat is een stuk lastiger dan te bewijzen dat een accountant onvoldoende geschikte controle-informatie heeft verkregen over jaarrekeningpost X. Daarnaast ben ik minder voorstander van externe druk van een toezichthouder om te verbeteren, al is extern toezicht de laatste tien jaar wel een grote aanjager voor verbeteringen in de sector geweest.

Gecontroleerde entiteiten zullen ook niet staan te springen om accountants meer budget te geven om meer werkzaamheden te doen op het gebied van fraudedetectie. Entiteiten zijn en blijven zelf verantwoordelijk voor het voorkomen en ontdekken van fraude. En de verwachting is dat ze weinig tot niets terugkrijgen voor dat extra ‘fraudebudget’. En in geval van managementfraude is extra fraudebudget zelfs ongewenst. 

Een andere oplossingsrichting is om controle teams sámen met de verschillende gebruikers van de jaarrekening te laten afstemmen welke frauderisico’s worden betrokken in de controle, waarbij die gebruikers dan ook aanvullende frauderisico’s, bovenop de door de accountant geïdentificeerde frauderisico’s, kunnen aandragen. Het voordeel hiervan is dat dit duidelijkheid schept over de verwachtingen van de accountant; de doelstelling van de accountant wordt nader geconcretiseerd en afgebakend. En de accountant is (in beginsel) niet aanspreekbaar op andere frauderisico’s indien die nadien blijkt dat daarin een fraude bleek te zitten. Praktisch gezien is dit wel een lastig voorstel. Het zal aan de voorkant veel afstemming vergen en speelt fraudeurs mogelijk in de kaart. Na afloop kan dit tot lastige discussies leiden over de nadere afbakening van de ‘afgesproken’ frauderisico’s indien er wel een fraude is geweest.

Ik zie nog wel een andere mogelijke oplossing, en dat is positieve beoordeling voor de accountant die fraude detecteert. Dit kan in de vorm van een financiële beloning (bijvoorbeeld 25% bonus ter grootte van het controle budget met een maximum bovengrens, uit te keren door de AFM) en/of publieke waardering (omgekeerde schandpaal) via publicatie op de website van de AFM. De AFM kan boetes uitdelen; waarom kan de AFM dan ook niet beloningen toekennen? Je kunt hier tegenin brengen dat het raar is een accountant extra financieel te belonen voor het doen van zijn werk. Maar de accountant heeft niet als primaire taak om fraude te vinden.  En het is in mijn optiek een oplossingsrichting die het verkennen waard  is.

Conclusie

De accountant die een controle van de jaarrekening accepteert, gaat een inspanningsverplichting aan. Onderdeel van die inspanningsverplichting is fraudedetectie om afwijkingen in de jaarrekening die van materieel belang zijn, te vinden. De inspanningsverplichting ten aanzien van fraudedetectie kan worden verbeterd op twee punten.

Ten eerste kunnen controle teams een beter, diepgaander inzicht in de entiteit en haar omgeving verkrijgen. Dit inzicht moeten zij gebruiken om een longlist aan te identificeren aan drukfactoren bij werknemers en management om te frauderen.

Ten tweede kunnen controle teams vanuit het inzicht in het bestaan en de opzet van de AO/IB beoordelen waar fraudemogelijkheden zich voordoen. Zij dienen de AO/IB specifiek op dit doel te analyseren. Deze analyse dient vervolgens te worden gekoppeld aan de longlist met geïdentificeerde drukfactoren om zo tot een betere frauderisicoanalyse te komen.

In wezen is dit tweetraps verbeterplan niet nieuw, maar het kan een stuk diepgaander. Maar er is geen incentive om dit uit te voeren, anders dan de algemene incentive om als accountant goed je werk te doen. De uitgangspunten in controlestandaard 240 en het gebrek van tastbare opbrengsten zijn dermate dat controle teams onvoldoende incentive ervaren om die verbeterslag aan te brengen.  Om hierin een positieve verandering aan te brengen doe ik hierbij de suggestie aan de kwartiermakers om een beloningsmodel in te voeren voor accountants(organisaties), waarbij zij door de AFM financieel en publicitair worden beloond voor gevonden fraudes.

23 april 2021

Drs. A.S. (Albert) Bosch RA