Beklaagde of getuige? Ú bepaalt wat het wordt ...
01-04-2021U kunt zélf bepalen of u de rol van beklaagde bij de Accountantskamer krijgt of die van getuige in de civiele rechtszaak tegen een fraudeur! Of misschien bent ú wel de held die fraude weet te voorkomen door effectief te communiceren en de gecontroleerde weet te overtuigen haar interne beheersing van de betalingsorganisatie te versterken.
DEEL 1: Interne beheersing betaalorganisatie doorgelicht
Regelmatig worden we geconfronteerd met krantenkoppen over fraudegevallen waarbij geld door fraudeurs is onttrokken aan de organisatie waarbij zij werkzaam zijn. Recente gevallen zijn de Pels Rijcken casus, de casus gemeente Den Haag, de casus Stadgenoot en de casus Fagro. Gemeenschappelijke kenmerken in deze casussen: Er zijn miljoenen ontvreemd doordat de betaalorganisatie onvoldoende was geborgd.
Dit artikel is het eerste in een tweeluik over de betaalorganisatie. In dit eerste artikel gaan wij in op het onderkennen van een frauderisico voor de jaarrekeningcontrole als gevolg van tekortkomingen in de betaalorganisatie. In het tweede artikel schetsen wij een aantal oplossingsrichtingen hoe u de controleaanpak ten aanzien van dit frauderisico kunt vormgeven. Zonder de illusie te hebben dat wij volledig kunnen zijn, denken wij dat onze handreikingen in het bijzonder voor mkb controles nuttig zijn.
Een bijdrage door: drs. Edwin van der Wösten RA
Dit artikel bevat de volgende onderwerpen:
Observaties uit de praktijk
Bij opdrachtgerichte kwaliteitsbeoordelingen (OKB) en interne kwaliteitsonderzoeken (IKO) die wij uitvoeren, lopen wij geregeld tegen vastleggingen aan waaruit tekortkomingen in de betaalorganisatie van de gecontroleerde blijken. Dat is eerder regel dan uitzondering en daarbij is het ons opgevallen dat het eigenlijk niet veel uitmaakt of het een grotere of een kleinere organisatie betreft. Ook in grote organisaties met omvangrijke banksaldi zie je tekortkomingen variërend van minder ernstige, die door een compenserende interne beheersingsmaatregel kunnen worden gemitigeerd, tot ernstige tekortkomingen die eigenlijk niet zouden moeten bestaan. Bij ernstige tekortkomingen moet worden gedacht aan ongelimiteerde zelfstandige betaalbevoegdheden die aan de controller of hoofd administratie zijn toegekend in combinatie met functievermenging in de secundaire functiescheiding (klaarzetten van betalingen enerzijds en autoriseren van betalingen anderzijds).
Oorzakenanalyse
In de praktijk blijkt dat een accountant tekortkomingen niet altijd opmerkt of wel geconstateerde tekortkomingen niet altijd aan een kritische evaluatie onderwerpt. Maar hoe komt dat eigenlijk? Dat is een interessante vraag en hiervoor zou eigenlijk wetenschappelijk onderzoek moeten worden uitgevoerd om gefundeerde conclusies te kunnen trekken. Evenwel denken wij dat een aantal mogelijke oorzaken voor ‘het oprapen’ liggen en daarom willen wij u deze hypotheses niet onthouden.
Hypothese 1
De eerste potentiële oorzaak is gelegen in het feit dat geen specifieke vereisten in Standaard 240 zijn vastgelegd over frauderisico’s in de betaalorganisatie. Waar de standard setter wel een verondersteld respectievelijk verplicht frauderisico heeft voorgeschreven ten aanzien van de opbrengstverantwoording en het doorbreken van interne beheersingsmaatregelen door de leiding, is aan het meest acute frauderisico, het ‘stelen van geld van de baas door tekortkomingen in de betaalorganisatie’ feitelijk geen letter besteed. Op zijn minst opvallend. Het zou toch beter zijn als zo’n belangrijk onderwerp preventief is verankerd in de ‘accountantsbijbel’, de NV COS?
Hypothese 2
De tweede potentiële oorzaak is het externe toezicht, of beter het gebrek hieraan specifiek gericht op het onderwerp betaalorganisatie. Toezichthouders leggen in haar dossieronderzoeken (net als de standard setter) met name de focus op de controle van de opbrengstverantwoording en significante schattingsposten. De onderzoeksvraag of terecht geen frauderisico als gevolg van tekortkomingen in de betaalorganisatie is onderkend is zelden[1] terug te lezen in externe publicaties. Ook als er in een wettelijke controle wel een frauderisico is onderkend ter zake gebreken in de betaalorganisatie, is het zelden een focusgebied in externe dossieronderzoeken.
Hypothese 3
Het gebrek aan een duidelijke praktijkhandreiking waarin bijvoorbeeld minimale vereisten worden benoemd, risicofactoren zijn uitgewerkt en voorbeelden van een toereikende evaluatie zijn opgenomen. Ondanks dat het een veelvoorkomend risico betreft, hebben nog lang niet alle kantoren een handreiking over dit onderwerp. Een handreiking vanuit de NBA kan hier invulling aan geven. Dit gecombineerd met aandacht voor het belang van de standaardbankverklaring en, belangrijker, de oplossing van de problemen hiermee.
Hypothese 4
Last but not least: De belangrijkste oorzaak voor het niet onderkennen van tekortkomingen in de betaalorganisatie moet gezocht worden bij de accountant zélf. Het gevolg van eerder genoemde externe oorzaken, in combinatie met in sommige gevallen onvoldoende PKI[2] bij individuele accountants, is dat op het onderwerp van de betaalorganisatie soms onvoldoende focus wordt gelegd. En dat leidt ertoe dat belangrijke tekortkomingen in de betaalorganisatie en ook fraudes niet (tijdig) door de accountant worden gedetecteerd.
Voordat we verder gaan met de risicoanalyse ten aanzien van de betaalorganisatie, staan we nog even stil bij een misvatting die bij sommige accountants nog steeds opgeld doet. Sommige accountants beweren nog steeds dat een eventuele fraude door het onrechtmatig onttrekken van liquide middelen aan de onderneming de jaarrekening niet raakt. Hun redenering is dat dáárom tekortkomingen in de betaalorganisatie niet leiden tot een jaarrekeningrisico en dáárom zou dit onderdeel van de interne beheersing ook niet relevant zijn om te onderzoeken tijdens de jaarrekeningcontrole. Laten we deze zienswijze voor eens en voor altijd weerleggen. Tekortkomingen in de betaalorganisatie kunnen de jaarrekening wel degelijk raken. Indien fraude wordt ontdekt, zal elke normale ondernemer namelijk de schade op de veroorzaker willen verhalen. Deze vordering zal een plaatsje moeten krijgen op de balans dan wel in de toelichting in de jaarrekening onder de niet uit de balans blijkende rechten. Daarnaast is het de taak van de accountant, op grond van Standaard 265 significante tekortkomingen schriftelijk te rapporteren aan het management en degenen belast met governance. Kortom, de betaalorganisatie is een wezenlijk onderdeel van de interne beheersing, dient altijd op tenminste opzet en implementatie te worden onderzocht en kan bij tekortkomingen tot een jaarrekeningrisico leiden. Onze stellingname wordt bevestigd door een tuchtzaak uit 2013. Interessant is ook de annotatie van wijlen professor Blokdijk hierbij, die vilein de handschoen bij de beroepsorganisatie lijkt neer te leggen. De geconstateerde problemen zijn helaas nog steeds niet opgelost. Hopelijk leiden de recente inspanningen van de NBA tot een structurele oplossing.
Annotatie Hans Blokdijk[*]Door de 'efficiency'-maatregelen bij de banken zijn in de laatste jaren de mogelijkheden voor effectieve controlemaatregelen op het betalingsverkeer voor accountants sterk afgenomen. Nagaan naar welke bankrekening een specifieke uitgave is gegaan is stellig niet eenvoudig. In dit geval werd de cliënt vrijwillig gecontroleerd, en was dus (nog) niet middelgroot. Bij dergelijke kleinere ondernemingen is de 'controller' vaak de enige persoon met een ruime kennis van administratieve zaken, en krijgt dus vanzelf alle bevoegdheden op dat gebied. Dit is voor het beroep een lastig probleem. Ook de tuchtrechter kan niet zeggen welke maatregel(en) de accountant in concreto had moeten treffen. Misschien ligt hier een taak voor de beroepsorganisatie, om in het kader van fraudebestrijding de vergroting van de mogelijkheden tot controleerbaarheid van het betalingsverkeer te bevorderen. [*] https://www.accountant.nl/tucht/2013/2/nadere-controle-nodig-als-frauderisico-bekend-is/ |
Frauderisicoanalyse betaalorganisatie
Een frauderisicoanalyse bestaat uit de volgende componenten:
- Toetsen opzet (en implementatie) van de relevante AO/IB in overeenstemming met Standaard 315
- Evaluatie frauderisicofactoren in overeenstemming met Standaard 240
- Cliëntspecifieke kans en impact analyse
Deze componenten behandelen we nu specifiek voor de betaalorganisatie.
Toetsing relevante AO/IB
Gewoonlijk tijdens de interimcontrole toetst de accountant de relevante AO/IB van de gecontroleerde. Onderdeel van de relevante AO/IB is de betaalorganisatie. De accountant zal aan de hand van interviews en inspectie van documentatie of waarneming ter plaatse vaststellen hoe betalingen door de gecontroleerde worden behandeld en verwerkt. Samenvattend bestaat het ‘procure to pay’ proces (inkoop- en betalingen) uit de volgende processtappen:
Idealiter bestaat er functiescheiding tussen deze processtappen. Maar wat kan er fout gaan in dit proces? De meest veelvoorkomende en belangrijkste[3] tekortkomingen voor het wel of niet onderkennen van een frauderisico met betrekking tot betalingen zijn:
Tekortkoming/ leemte |
Gevolg/ risico |
Muteerbevoegdheid van crediteurenstamgegevens is niet beperkt tot een beperkte groep van gebruikers |
Risico op fictieve crediteuren en onjuiste bankrekeningnummers. |
Er vindt geen (zichtbare) interne controle plaats op gemuteerde crediteurenstamgegevens |
Een lagere detectiekans op aangemaakte fictieve crediteuren. |
Geen controletechnische functiescheiding (CTFS) tussen muteren crediteurenstamgegevens – klaarzetten betalingen – autoriseren betalingen in de bankapplicatie – verwerken in de financiële administratie van betalingen |
‘Kat op spek binden’ (gelegenheid wordt geboden), verhullen van frauduleuze betalingen is eenvoudiger, detectiekans op frauduleuze betalingen is laag |
Na goedkeuring van betalingen kan de betaallijst nog gemuteerd worden |
Frauduleuze betalingen kunnen aan rechtmatige betalingen worden toegevoegd |
Geen afzonderlijke interne controle op de betalingen (losstaand van de controle op de inkoopfacturen) |
Ook al is CTFS formeel doorgevoerd, dan kan deze in de praktijk materieel weinig voorstellen. Een fraudeur kan een fictieve inkoopfactuur goedkeuren en dit wordt niet opgemerkt bij het betalen ervan |
Er is geen ‘dubbele procuratie’ (4-ogen principe) ingevoerd in de bankapplicatie, functionarissen zoals hoofd administratie en controller kunnen zelfstandig betalingen verrichten of betalingen groter dan een zeer beperkt maximumbedrag[4] |
Geen preventieve/detectieve controle leidt tot meer gelegenheid. Meer gelegenheid leidt tot hogere kans op fraude. |
Op de ‘losse’ betalingen (de betalingen waar geen inkoopfactuur aan ten grondslag ligt) is geen 4-ogen principe geïmplementeerd |
Geen preventieve/detectieve controle leidt tot meer gelegenheid. Meer gelegenheid leidt tot hogere kans op fraude. |
Tijdens ziekte en vakanties worden de interne beheersingsmaatregelen ‘overgedragen’ aan anderen binnen de organisatie. Soms gaat dat zo ver dat pasjes en pincodes worden overgedragen |
Doorbreken van CTFS en ondermijning van de interne beheersing in specifieke periode. Meer gelegenheid leidt tot hogere kans op fraude. |
Bij uitdiensttreding van medewerkers worden de rechten in IT-systemen waaronder de bevoegdheden op de betaalrekeningen niet (tijdig) ingetrokken |
Geen preventieve/detectieve controle leidt tot meer gelegenheid. Meer gelegenheid leidt tot hogere kans op fraude. |
Evaluatie frauderisicofactoren
Veel fraudegevallen zijn (achteraf) terug te herleiden naar oorzaken die in de fraudedriehoek of frauderisicofactoren zijn gelegen. In de bijlagen van Standaard 240 kunt u ze vinden. Frauderisicofactoren zijn gebeurtenissen of omstandigheden die wijzen op een stimulans of druk om fraude te plegen of die gelegenheid scheppen om te frauderen.
Het aloude gezegde ‘de gelegenheid maakt de dief’ is een belangrijke frauderisicofactor. Wanneer de omstandigheden het stelen mogelijk of gemakkelijk maken, wordt iemand allicht een dief. In een bedrijfsomgeving ontstaat gelegenheid doordat de interne beheersing tekortkomingen of leemten vertoont, waardoor de fraudeur in staat is om door middel van verhulling en misleiding opzettelijk waarden aan de onderneming te onttrekken.
Het maakt natuurlijk wel uit hoe wijd de deuren openstaan. Als alle medewerkers van de financiële administratie de crediteurenstamgegevens kunnen wijzigen en er is ook geen interne controle die hier direct op toeziet, hoeft niet per definitie sprake te zijn van een significante tekortkoming en een frauderisico op een afwijking van materieel belang. Immers in het geval de directeur alle betalingen continue, zichtbaar en nauwgezet controleert alvorens betalingen plaatsvinden, is er geen sprake van een significante tekortkoming en geen grote kans op fraude[5]. De controle door de directeur is dan een effectieve detectieve interne beheersingsmaatregel, waarvan ook een sterke preventieve werking uitgaat.
In het geval bijvoorbeeld een controller zelfstandige betaalbevoegdheden heeft, dan ligt dit wezenlijk anders. De controller kan immers gewoonlijk ook de financiële administratie bewerken en daarmee fraude verhullen door te slepen, onrechtmatige betalingen in de kostprijs verkopen te boeken of op een tussenrekening of onder de debiteuren/crediteuren te parkeren. In een dergelijk geval is (meestal) wel sprake van een significante tekortkoming in de interne beheersing en dus ook een frauderisico.
Zakelijke omstandigheden of privéomstandigheden kunnen de druk op een persoon zodanig opvoeren dat dit hem/haar stimuleert om fraude te plegen. Hierbij kan worden gedacht aan een voorgenomen reorganisatie of ontslagronde, financiële druk door echtscheiding, gokschulden, afpersing of een te hoog uitgavenpatroon.
Ook rationalisatie kan een belangrijke frauderisicofactor zijn. Denk hierbij aan ontevredenheid met de werksituatie, de arbeidsbeloning of de niet toegekende promotie. Maar vergeet niet dat een zwakke ‘tone at the top’, doordat bijvoorbeeld de directeur-eigenaar zelf sjoemelt door privé uitgaven te vermengen met zakelijke uitgaven en het tolereren van kruimeldiefstal, een fraudeur ook kan stimuleren tot zijn daad. De fraudeur in spé kan deze omstandigheden ‘aangrijpen’ om fraude voor zichzelf te rationaliseren.
Zelden komt de oorzaak van fraude uit één hoek. Meestal is het een combinatie van factoren die maken dat een fraudeur overgaat tot het plegen van fraude.
Een fraudeur herken je niet aan de buitenkant, dat is het lastige van fraudepreventie. Daarom moet de accountant het objectief bekijken en hierbij vooral kijken naar de toereikendheid van de interne beheersingsmaatregelen. Ook moet hij zijn ogen openhouden en alert zijn op ongebruikelijk gedrag en opvallende observaties. Als de controller bijvoorbeeld met een nieuwe Maserati komt voorrijden, mag de accountant zich best afvragen hoe dit is te verklaren.
Evaluatie kans en impact
Het product van kans en impact maakt of een frauderisico op een afwijking van materieel belang moet worden onderkend. Dit wordt met name gevoed door de kracht van de interne beheersing van de betaalorganisatie, of vice versa het ontbreken daarvan.
Trap niet in de valkuil dat fraude wel snel zal opvallen. En neem geen genoegen met het ontbreken van dubbele procuratie. Steun ook niet te snel op beweringen van de gecontroleerde dat de interne beheersing op de betalingen door de directeur voldoende sterk is, mits kan worden aangetoond dat de interne controles gedurende het gehele jaar nauwgezet zijn uitgevoerd en gedocumenteerd.
Wees gewaarschuwd, u staat 2-0 achter als achteraf toch een fraude van materieel belang blijkt te zijn gepleegd! U heeft zonder voldoende onderbouwing (vanuit de vastleggingen in het controledossier) een slecht verdedigbaar standpunt ondanks dat het management primair verantwoordelijk is voor de interne beheersing van de entiteit. De accountant is immers verantwoordelijk voor de controle en het onderkennen van (fraude)risico’s op een afwijking van materieel belang.
Communicatie
Primaire verantwoordelijkheid van de accountant bij een jaarrekeningcontrole is om voldoende en geschikte controle-informatie te verkrijgen bij de relevante beweringen in de jaarrekening om de onderkende risico’s voor de jaarrekening als geheel en op beweringenniveau tot een aanvaardbaar laag niveau terug te brengen. De accountant heeft echter ook secundaire verantwoordelijkheden, ondermeer ten aanzien van het communiceren en rapporteren van de bevindingen waar hij in de controle tegenaan is gelopen. Tekortkomingen in de interne beheersing van de betaalorganisatie zijn relevant en snel aan te merken als significante tekortkomingen en verdienen daarom een prominente plaats in uw managementletter of accountantsverslag.
De specifieke vereisten ten aanzien van de communicatie met de met governance belaste personen en management zijn in Standaard 260 en Standaard 265 beschreven.
Tot slot
Het is aan de accountant om een tekortkoming in de betaalorganisatie tijdig op te merken en deze aan een kritische evaluatie te onderwerpen. In deel 2 van dit tweeluik schetsen wij een aantal oplossingsrichtingen hoe u de controleaanpak ten aanzien van onderkende risico’s effectief kunt vormgeven. Wij hopen met onze tips en tricks een bijdrage te leveren aan de kwaliteit van uw jaarrekeningcontroles en wensen u veel succes in de komende periode. Stay safe, not only in health, also in fraud risk analysis!
[1] Wij gebruiken hier het woord ‘zelden’ bewust omdat dit thema incidenteel door toezichthouders in haar onderzoeken wordt betrokken. Een voorbeeld waarin het wel benoemd is, betreft het openbare boetebesluit van de AFM aan Deloitte d.d. 15 februari 2012 pagina 64-65.
[2] PKI = professioneel kritische instelling
[3] Dit is een niet-limitatieve opsomming. Wij kunnen geen complete lijst voor alle cliëntspecifieke omstandigheden opmaken.
[4] Een ‘zeer beperkt bedrag’ is in beginsel afhankelijk van casusspecifieke omstandigheden en van het materieel belang. Wel dient ermee rekening te worden gehouden dat er meerdere keren (per betaalrun) het ‘beperkte bedrag’ door de betalingsbevoegde kan worden overgemaakt.
[5] https://www.accountant.nl/tucht/2018/9/handmatig-betalen-in-klein-bedrijf-op-zichzelf-geen-frauderisico/