PKI en Vertrouwen kunnen goed samengaan!

V&A > Updates > Blog > PKI en Vertrouwen kunnen goed samengaan!

11 februari 2025 - PKI en Vertrouwen kunnen goed samengaan!

Introductie

In de achterliggende jaren is de aandacht voor fraude in relatie tot het werk van de controlerend accountant toegenomen. Zo werd door de NBA specifieke aandacht besteed aan frauderisico’s en fraudewerkzaamheden in de controleverklaring. En zo deed de AFM thema-onderzoeken naar frauderisico’s en werkzaamheden ten aanzien van frauderisico’s. Het spreekt voor zich dat de accountant bij alle werkzaamheden een professioneel-kritische instelling aan de dag legt, maar wat is dat eigenlijk: professioneel-kritische instelling (hierna: PKI)? Toen ik wat verder op dit thema ging onderzoeken, viel me op dat er in de praktijk verschillende interpretaties worden gehanteerd. Die wil ik in dit blog verder verkennen. Ook los van het onderwerp ‘Fraude’ is het onderwerp relevant. In mijn oratie (2022) stond ik stil bij dit onderwerp en stelde ik de vraag of een samenwerking met de controlecliënt die gebaat is bij het hebben van onderling vertrouwen wel samen gaat met PKI. Ik meende toen van wel, sterker nog, ik betrok de stelling dat een goede samenwerking met de controlecliënt juist leidt tot meer PKI, mede gebaseerd op een baanbrekend paper van Knechel, Thomas & Driskill gepubliceerd in het gerenommeerde tijdschrift Accounting, Organizations and Society (Knechel et al. 2020). Dit vormt een extra reden om nog eens goed stil te staan bij het begrip PKI in relatie tot vertrouwen.

De controlestandaarden

Uit COS 200 kunnen we de volgende definitie herleiden van PKI: “Een houding die onder meer gekenmerkt wordt door een onderzoekende instelling, het alert zijn op omstandigheden die kunnen duiden op eventuele afwijkingen die het gevolg zijn van fouten of fraude, en een kritische evaluatie van controle-informatie”. Deze PKI dient de accountant te handhaven gedurende de controle, waaronder bij de risico-inschatting (fraude of fouten), het verkrijgen van controle-informatie en het vormen van een oordeel over de jaarrekening (COS 200.7). Dat houdt in dat de accountant er rekening mee houdt dat er omstandigheden kunnen bestaan die ertoe leiden dat de jaarrekening een afwijking van materieel belang bevat (COS 200.15). Vereiste 15 is een kernpassage. Aan dit vereiste is een aantal A-paragrafen gekoppeld die het begrip PKI verder verduidelijken. Deze heb ik onderstaand voor het gemak (deels in eigen woorden) samengevat:

A20

PKI is onder andere alert zijn op:

• controle-informatie die met elkaar in tegenspraak is;
• informatie die de betrouwbaarheid van documenten en verkregen inlichtingen ter discussie stelt;
• situaties die wijzen op mogelijke fraude;
• omstandigheden die aanvullende controlewerkzaamheden indiceren.

A21

PKI is met name nodig als sprake is van de volgende risico’s:

• ongebruikelijke omstandigheden die over het hoofd gezien worden;
• er worden te algemene conclusies verbonden aan controlewaarnemingen;
• aan conclusies over de aard, timing en omvang van het controlewerk en de evaluatie van het controlewerk liggen onjuiste veronderstellingen ten grondslag.

A22

PKI is nodig om controle-informatie kritisch te evalueren. Zie hetgeen hiervoor in A20 wordt opgemerkt over tegenstrijdige controle-informatie en inlichtingen van degenen die belast zijn met governance. De geschiktheid van controle-informatie moet je in het bijzonder overwegen in het geval van frauderisicofactoren in combinatie met het de situatie dat sprake is van slechts één onderbouwend document, dat vatbaar is voor fraude.

A23

De accountant mag van de echtheid van vastleggingen en documenten uitgaan tenzij er redenen zijn om daar niet van uit te gaan. Bottom-line overweegt de accountant de betrouwbaarheid van de controle-informatie. Bij twijfel niet inhalen en verder onderzoek doen. Dit houdt ook in dat de accountant bepaalt welke aanvullende werkzaamheden noodzakelijk zijn.

A24
Eerdere ervaringen met de eerlijkheid en integriteit van het management en de met governance belaste personen hoeft de accountant niet naast zich neer te leggen. Als de accountant van mening is dat het management en de met governance belaste personen eerlijk en integer zijn, moet de accountant toch PKI handhaven en dient de verkregen controle-informatie overtuigend te zijn.

Uit het voorgaande (in combinatie met COS 240.8) kunnen we gelijk twee relevante punten destilleren:

  • PKI moet tijdens de gehele controle worden gehanteerd;
  • De context waarin PKI moet worden gehanteerd is in het bijzonder die van fraude: de context van management override en de mogelijkheid dat het werk van de accountant fouten die het gevolg zijn van fraude niet opspoort.

Bij de eerste oppervlakkige lezing van toelichting 200.A20 zou je kunnen denken dat PKI dus niets met mensen, en alles met (controle-)informatie van doen heeft, maar dat is te snel geconcludeerd. Als we bijvoorbeeld wat verder bladeren in de COS naar COS 500 dan komt daarin de betrouwbaarheid van controle-informatie op verschillende manieren tot uitdrukking, onder andere in verschillen in de mate van overtuigingskracht tussen mondelinge (die te herleiden is tot mensen) en schriftelijke informatie (die ook door mensen wordt aangereikt en ook (soms) door mensenhand tot stand is gekomen). Niet zonder reden wijst COS 240.A18 hierop ook als ze stelt dat de accountant de ingewonnen inlichtingen bij het management staaft met andere informatie, omdat het management in de beste positie is om fraude te plegen.

200.A22 en 200.A23 plaatsen PKI ook in de context van het bepalen van de controleaanpak (inspelen op frauderisico’s die een intensivering van de PKI kan weerspiegelen). Ofwel, bij het vormgeven van de controle-aanpak ten aanzien van frauderisico’s moet de accountant meer PKI aan de dag leggen, dan ten aanzien van risico’s op een fout van materieel belang die niet het gevolg zijn van fraude. In COS 240.A18 worden twee voorbeelden gegeven: grotere alertheid bij het bepalen van aard en omvang van de benodigde onderbouwende documentatie en (opnieuw) het staven van uitleg of bevestigingen van het management. In het algemeen zou je dus PKI kunnen uitleggen als een verhoogde mate van alertheid: ogen open en oren gespitst. Maar ook als sprake is van een bijzondere situatie waarbij je als het ware op een acuut potentieel frauderisico stuit, waardoor een stop-en-denkmoment ontstaat: pennen neer, en eerst die situatie beoordelen voordat we het reguliere controlewerk vervolgen.

Wat betreft de toelichtende paragraaf 200.A24 kun je de conclusie trekken dat het plezierig is als de accountant te maken heeft met eerlijke en integere kernfunctionarissen bij de cliënt, maar dat dit niet zonder meer betekent dat je daarop kunt steunen. De accountant zal tenminste alert moeten zijn op gewijzigde omstandigheden.

Standaard 315 (risico-identificatie en -inschatting van een afwijking van materieel belang) legt de “PKI vinger” ook bij de bespreking in het opdrachtteam (315.A43). Het hanteren van PKI draagt bij aan een robuuste en open bespreking. Met maar één doel: verbeterde risico-identificatie en -inschatting. En in het verlengde daarvan dient PKI nog een ander doel: het identificeren van gebieden in de controle waarvoor PKI bijzonder belangrijk is, en mogelijk ook betrokkenheid vraagt van meer ervaren teamleden. En voor de fijnproevers: in 315.A50 wordt PKI in relatie tot het verwerven van inzicht in de entiteit, haar omgeving, en het verslaggevingsstelsel nog wat nader gespecificeerd. Kort gezegd helpt PKI hier ook bij, onder andere bij het begrip van de inhoud van het verslaggevingsstelsel met de toelichtingen, maar ook bij het bepalen wat van materieel belang is.

Waar we in het voorgaande zagen dat PKI vooral van belang is bij fraude-gerelateerde werkzaamheden zien we in Standaard 315 dat er ook meer noodzaak is om PKI toe te passen als de vatbaarheid voor een materiële afwijking toeneemt (bijvoorbeeld bij meer complexiteit en subjectiviteit) (315.A88). Voor de lezers van dit blog die graag wat voorbeelden willen hebben van PKI die uit het dossier blijkt, verwijs ik naar 315.A238.

Quadackers, Groot en Wright 2014 (NL onderzoek, internationaal gepubliceerd)

Uit een in Nederland uitgevoerd onderzoek door Quadackers, Groot en Wright (2014) volgt dat geen sprake is van een universeel geldende definitie van PKI. Wel kan volgens deze auteurs uit de controlestandaarden en de (onderzoeks)literatuur een tweetal perspectieven worden afgeleid:

  1. Een neutrale houding. Bij een dergelijke houding veronderstelt de accountant niet op voorhand (enige) bias in de beweringen van het management
  2. Een houding van veronderstelde twijfel. Deze houding vooronderstelt een bepaalde mate van oneerlijkheid of bias door het management. Het is zoiets als “Oneerlijk, tenzij”

De auteurs haasten zich om te stellen dat er geen consensus bestaat welke van beide perspectieven het meest geschikt is voor de auditpraktijk. Tegelijk stellen de auteurs met een verwijzing naar een monografie van Bell, Peecher en Solomon (Bell et al. 2005) waarin de conceptuele fundering van KPMG’s controlemethodologie uiteen wordt gezet, dat verwachtingen in de maatschappij (vanwege onder meer boekhoudschandalen) neigen naar de houding van veronderstelde twijfel.

Het is nog niet zo eenvoudig om vanuit de huidige controlestandaarden te herleiden of de internationale regel gever (IAASB) voorkeur heeft voor één van de twee PKI-houdingen. In internationale bronnen vond ik wel twee aanwijzingen:

  • De international audit practice statement 1005 (IFAC, 2005).
  • Auditing Standard 1015 (PCAOB, 2022).

De eerste van deze twee referenties betreft een praktijkhandreiking die het IFAC indertijd heeft gepubliceerd voor de controle van kleinere entiteiten. Deze handreiking is niet meer van toepassing, want deze werd in 2009 ingetrokken toen de clarified ISAs het licht zagen. Deze handreiking suggereert hantering van het neutrale perspectief, zoals vermeld in sectie 18: “The auditor neither assumes that the owner-manager is dishonest nor assumes unquestioned honesty”. Deze handreiking is weliswaar ingetrokken, maar we hebben nog een tweede referentie, die momenteel nog wel gangbaar is: AS 1015 van de PCAOB (PCAOB, 2022). Op de website van de SEC – SEC.gov | The Auditor’s Responsibility for Fraud Detection – is eenzelfde citaat als in IAPS 1005 te lezen, nota bene in de context van de verantwoordelijkheid van de accountant voor het ontdekken van fraude.

Kunnen we ook iets zeggen over hoe er in Nederland wordt aangekeken tegen PKI? In diverse uitingen van de toezichthouder dan wel van een voormalige AFM-medewerker vond ik iets over PKI terug. Deze zal ik hierna kort beschrijven.

In de Nederlandse pers

In de Nederlandse pers is ook één en ander terug te vinden over PKI in relatie tot vertrouwen. Ik noem drie voorbeelden in de historische volgorde van publicatie.

In 2016 schreef Van der Zijde (die zich profileerde als voormalig hoofd toezicht kwaliteit accountantscontrole en verslaggeving van de AFM) een artikel op accountant.nl waarin zij reflecteerde op een toen actuele discussie onder regelgevers of moest worden uitgegaan van een neutrale positie of dat de accountant op voorhand moest twijfelen aan de voorgelegde informatie. Ik citeer haar basisuitgangspunt dat voor zich speekt: “Voor mij is het ondenkbaar dat je als accountant die mensen met wantrouwen tegemoet zou moeten treden. Het is denigrerend: verwachten dat iemand een prutser is, niet eerlijk, of zijn rug niet recht kan houden onder druk. Het zegt ook iets over jezelf: zoals de waard is, vertrouwt hij zijn gasten.” Dit is een voorbeeld van expliciet afstand nemen van het uitgangspunt ‘veronderstelde twijfel’.

In 2022 publiceerde de Autoriteit Financiële Markten een position paper over fraude. Aan het begin van dit position paper dat het paper het gezichtspunt van de AFM beschrijft op “de rol en verantwoordelijkheid van de accountant ten aanzien van het detecteren en opvolgen van fraude(risico’s) bij gecontroleerde ondernemingen, wat het belang van dit vraagstuk voor het toezicht is en hoe het toezicht hierop precies in te richten”. De AFM schrijft onder andere het volgende: “Het uitgangspunt van de accountant is over het algemeen vaak vertrouwen in de onderneming in plaats van gezond wantrouwen”. Een paar zinnen later vervolgt zij met: “Het gericht zoeken naar en opvolging geven aan fraude(risico’s) vereist echter een fundamenteel andere houding en mindset van de accountant dan het continu verbeteren van de gemiddelde kwaliteit van de wettelijke controles”. Uit de context kan worden afgeleid dat de AFM positie kiest voor de houding van veronderstelde twijfel, waarvoor zij de term hanteert: ‘gezond wantrouwen’. Wat hieruit niet duidelijk wordt is wat hieronder wordt verstaan [1].

In 2023 publiceerde de AFM haar eerste rapport over het thema onderzoek Frauderisico’s. Terwijl PKI een essentieel concept is en in dit rapport ook 16 keer aan de orde komt, wordt pas op pagina 14 een beschrijving gegeven van wat de AFM in dit rapport onder PKI verstaat: “Een houding die onder meer gekenmerkt wordt door een onderzoekende instelling, het alert zijn op omstandigheden die kunnen duiden op eventuele afwijkingen die het gevolg zijn van fouten of fraude, en een kritische evaluatie van controle-informatie”. Dit citaat wijkt af van de definitie van PKI in het position paper en is conform de meer generiek verwoorde tekst in de controlestandaarden.

In het recent verschenen AFM-rapport (2025) over werkzaamheden ten aanzien van frauderisico’s wordt op p.14 een vergelijkbare omschrijving van PKI gehanteerd als in het rapport uit 2023.

In een recente editie van Busy Season Talks (januari 2025 – editie #164) was Hanzo van Beusekom (bestuurder AFM) te gast om onder andere het recente AFM-rapport over fraudewerkzaamheden toe te lichten. Daarin werd het vergelijk gemaakt tussen een accountant en een politieagent c.q. een opsporingsambtenaar, zonder overigens verdere kleuring te geven aan de vergelijking. In het kader van het zoeken naar het inhoud geven aan PKI is het naar mijn mening wenselijk om alert te zijn op analogieën die gemakkelijk een verkeerd beeld geven van wat PKI met zich meebrengt. Het is evident dat de accountant bij de jaarrekeningcontrole ook een significante rol heeft in het detecteren van afwijkingen ten gevolge van fraude, en een alerte grondhouding daarin dient te hanteren, maar dat betekent nog niet dat de accountant een veredelde boevenvanger is (wantrouwen impliceert achter elke medewerker van de cliënt een potentiële boef te zien). Het is daarom ook van groot belang om aan evenwichtige beeldvorming van het werk van de accountant bij te dragen, zodanig dat het ook bijdraagt aan verbetering van de aantrekkelijkheid van dat beroep.

Een nieuw gezichtspunt ten aanzien van Vertrouwen

Het is jammer dat er vanuit de standaarden niet duidelijk stelling wordt genomen in de twee perspectieven die voor PKI in de literatuur te vinden zijn. Ik zou willen pleiten voor een meer systematische doordenking hiervan. Die doordenking is nodig omdat algemeen aanvaard is dat processen van samenwerking soepeler verlopen als er onderling meer sprake is van vertrouwen. Zie hiervoor onder anderen de eerder genoemde publicatie van Knechel et al. (2020) en Uslaner (2002). Op basis van Uslaner (2002) en Putnam (2000) kan onderscheid gemaakt worden in:

  • General trust
  • Particularized trust (door Putnam ook wel bonding capital genoemd).

General trust zegt iets over het algemene vertrouwen dat iemand in de mensheid (in brede zin) heeft. Particularized trust is een specifieke vorm van vertrouwen dat gebaseerd is op specifieke ervaringen die iemand met een andere persoon heeft opgedaan. Dat kan zijn een specifieke ervaring met iemand uit een bepaalde groep of gemeenschap, maar dat kan ook een meer persoonlijke ervaring met iemand zijn.

Op basis van dit onderscheid zou ik twee stelregels willen formuleren in relatie tot PKI:

  1. General trust in de ander gaat niet uit van veronderstelde twijfel maar geeft de ander het voordeel van de twijfel. Het neigt daarmee meer naar de neutrale positie. De stelregel is dat het werkbaar is om van dit algemene vertrouwen in de ander (cliënt) uit te gaan aan het begin van een cliënt/opdrachtrelatie, tenzij sprake is van een verhoogd risicocliënt (er is concrete aanleiding om dit algemene uitgangspunt los te laten).
  2. Het is voor een werkbare samenwerkingsrelatie passend om van particularized trust uit te gaan als sprake is van positieve ervaringen die de accountant met de cliënt heeft gehad op het gebied van integriteit (en ook geen sprake is van een verhoogd risico opdracht/cliënt). Daarvoor geldt als kanttekening dat de accountant alert is op gewijzigde omstandigheden. Dit laat onverlet dat de accountant in deze situatie ook alert is bij het uitvoeren van fraudegerelateerde werkzaamheden, maar dat is niet per definitie een houding van veronderstelde twijfel die neigt naar (onwerkbaar) wantrouwen.

Literatuur:

Autoriteit Financiële Markten (2022). Omgang accountantsorganisaties met fraude(risico’s) bij gecontroleerde ondernemingen. Position paper.
Autoriteit Financiële Markten (2023). Scherper op frauderisico’s! Uitkomsten onderzoek naar frauderisicoanalyse door accountantsorganisaties.
Autoriteit Financiële Markten (2025). Controlewerkzaamheden bij frauderisico’s schieten tekort.
IFAC (2005), “International Auditing Practice Statement 1005”, The Special Considerations in the Audit of Small Entities, New York, NY.
Van Nieuw Amerongen, C.M., en Quadackers, L. (2012). Barnier en de professioneel-kritische instelling van de accountant, Maandblad voor Accountancy en Bedrijfsadministratie, 86e jaargang.
PCAOB (2022), “Auditing Standard 1015”, Due Professional Care in the Performance of Work, Washington.
Quadackers, L., Groot, T., & Wright, A. Auditors’ Professional Skepticism: Neutrality versus Presumptive Doubt, Contemporary Accounting Research Vol.31 No.3: pp. 639-657.
Uslaner, E.M. (2002). The Moral Foundations of Trust. Cambridge University Press.
Van Brenk, H., en Karssing, E. (2024). Opmerken, bevragen en verwonderen. Over beroepsfilosofie voor accountants. Maandblad voor Accountancy en Bedrijfsadministratie.
Zijde, M. van der (2016). https://www.accountant.nl/opinie/2016/10/geinstitutionaliseerd-wantrouwen/ (opgevraagd 3-2-2025).

[1] In Van Nieuw Amerongen en Quadackers (2012) noemen zij het een balans vinden tussen bovenmatig wantrouwen dat zou leiden tot overauditing (onnodig hoge controlekosten) en ondermaats wantrouwen dat zou leiden tot underauditing. Van Brenk en Karssing (2024) vatten dat goed samen als ze stellen dat de accountant op zoek moet gaan naar meer overtuigend controlebewijs.

Prof. dr. Niels van Nieuw Amerongen RA

11 februari 2025

(Plaatje is gegenereerd door ChatGPT en verder bewerkt door auteur)

De laatste V&A Updates

Contact

  • V&A accountants-adviseurs
  • Jonckerweg 15
  • 2201 DZ NOORDWIJK
  • 071 361 5800

Consulting

Trainingen

Overig

© 2025 - V&A accountants-adviseurs. Alle rechten voorbehouden.