Beklaagde of getuige? Ú bepaalt wat het wordt ... (deel 2)

Wilt u liever de rol van beklaagde bij de Accountantskamer of die van getuige in een civiele rechtszaak tegen de fraudeur? Of bent ú de held die frauduleus gedrag kan stoppen doordat u een effectieve controleaanpak hanteert om fraude met betalingen te detecteren?

DEEL 2: Effectieve controleaanpak frauderisico betalingen

Dit artikel is het tweede in een tweeluik over de controle van de betaalorganisatie. In het eerste artikel is de vraag behandeld wanneer een frauderisico voor de jaarrekeningcontrole als gevolg van tekortkomingen in de betaalorganisatie moet worden onderkend. In dit tweede artikel schetsen wij een aantal oplossingsrichtingen hoe u de controleaanpak ten aanzien van dit frauderisico kunt vormgeven. Zonder de illusie te hebben dat wij volledig kunnen zijn, denken wij dat onze handreikingen in het bijzonder voor mkb controles nuttig zijn.

Een bijdrage door: drs. Edwin van der Wösten RA

Dit artikel bevat de volgende onderwerpen:

• Frauderisico onderkend, wat nu?
• Controle uitgaande geldbeweging (voorkeursroute)
• Controle  jaarrekeningposten (alternatieve route 1)
• Inzet van data-analyse (alternatieve route 2)
• Constatering frauduleuze betaling

Frauderisico onderkend, wat nu?

Stel u heeft een risico op een afwijking van materieel belang onderkend dat - als gevolg van gebreken in de interne beheersing van de betaalorganisatie - frauduleuze betalingen kunnen plaatsvinden. Er moet dan een gegevensgerichte controleaanpak worden ontworpen die het onderkende risico tot een aanvaardbaar laag niveau terugbrengt.

Meestal is de oorzaak voor het risico op frauduleuze betalingen gelegen in zelfstandige betaalbevoegdheden van een of meerdere functionarissen in combinatie met functievermengingen. Bij functievermengingen moet u denken aan controletechnische functiescheidingen die zijn doorbroken. Voorbeelden van belangrijke uitvoerende, beschikkende, controlerende en registrerende functies rondom de betaalorganisatie zijn:

• Muteren van crediteurenstamgegevens
• Inboeken van inkoopfacturen
• Controle van inkoopfacturen
• Klaarzetten van betalingen in de telebanking omgeving
• Controleren en autoriseren van betalingen in de telebanking omgeving
• Boekingen verwerken in het grootboek

Vaak om praktische redenen, of omdat men zich onbewust is van de risico’s, worden super user rechten[1] in de financiële applicatie toegekend aan gebruikers die hier controletechnisch gezien niet over zouden mogen beschikken. Denk hierbij aan het afdelingshoofd van de financiële administratie, de controller of het hoofd van de inkoopafdeling, maar vergeet ook niet de financieel directeur. Als dan tevens aan deze functionarissen - vanwege dezelfde praktische redenen - zelfstandige betaalbevoegdheden zijn toegekend, staat de betaalorganisatie ‘open’ en kan fraude makkelijk worden verhuld. De gelegenheid maakt tenslotte de dief…

Soms zijn de toegekende betaalbevoegdheden gelimiteerd tot een bepaald grensbedrag, maar ook komt het voor dat ongelimiteerd zelfstandig kan worden betaald. Als het grensbedrag hoger is dan een zeer beperkt bedrag[2], is de controleaanpak in beginsel hetzelfde als dat het om een ongelimiteerde betaalbevoegdheid gaat.

In de volgende paragrafen behandelen we drie oplossingsrichtingen: een voorkeursroute en twee alternatieve routes.

Controle uitgaande geldbeweging (voorkeursroute)

Het risico op frauduleuze betalingen is dat liquide middelen onrechtmatig aan de organisatie worden onttrokken. Het meest effectief is dan om de controleaanpak te richten op de uitgaande geldbeweging. De ‘marsroute’ is in figuur 1 gevisualiseerd, waarbij er een keuzeoptie bestaat om een statistische steekproef op de gehele populatie dan wel een kritische deelwaarneming (topstratum) uit te voeren. Bij de kritische deelwaarneming moet de restpopulatie uiteraard niet worden vergeten. Meest effectief is dat u deze restpopulatie dan ook met een statistische steekproef controleert, maar de omvang van de steekproef zal dan wel beperkt(er) zijn. Alleen in het geval de restpopulatie kleiner is dan de uitvoeringsmaterialiteit zou deze stap kunnen worden overgeslagen.

Vergeet niet om batchbetalingen ook in de controlepopulatie mee te nemen. In de praktijk wordt dit niet altijd gedaan, mede omdat geredeneerd wordt dat het frauderisico in deze deelpopulatie lager zou zijn, zonder dat deze stelling voldoende is onderbouwd[3].

Figuur 1

Omdat sprake is van een frauderisico moet u bij de detailtesten in de steekproef wel voldoende diepgang hanteren. Een veelgemaakte fout is, dat wordt volstaan met het vaststellen dat het bankrekeningnummer op de inkoopfactuur gelijk is aan het bankrekeningnummer waaraan is betaald volgens het CAMT bestand van de bank. Soms wordt dan ook nog de ‘bedrijfseigenheid’ van de op de factuur vermelde goederen of diensten beoordeeld. Met deze controlewerkzaamheden is het risico van een fictieve of vervalste inkoopfactuur echter nog niet in voldoende mate gemitigeerd. Het is (meestal) noodzakelijk om de (zakelijke) prestatielevering ten behoeve van de organisatie vast te stellen (3-way match: inkooporder, ontvangst, inkoopfactuur) en als dit niet goed mogelijk is, de aannemelijkheid van de (zakelijke) prestatie te beoordelen. Dit kan door inspectie van onderliggende documentatie zoals inkooporders en contracten (bij geleverde diensten bijvoorbeeld) of door ‘corroborative inquiry’ (meer dan een persoon bevragen) toe te passen.

Controle jaarrekeningposten (alternatieve route 1)

Een alternatieve route om voldoende en geschikte controle-informatie te verkrijgen om het onderkende frauderisico tot een aanvaardbaar laag niveau terug te brengen is gevisualiseerd in figuur 2. Hierbij staat de onderzoeksvraag centraal waar (een) eventuele frauduleuze transactie(s) in jaarrekeningposten ‘verstopt’ zou(den) kunnen zitten.

De insteek bij deze controleaanpak is dat u feitelijk alle balans- en W&V posten professioneel-kritisch langsloopt en evalueert of het - na de verkregen zekerheid vanuit de reguliere controlewerkzaamheden - nog mogelijk is dat een frauduleuze transactie van (cumulatief) materieel belang is geboekt op de betreffende jaarrekeningpost. Uiteraard legt u uw professionele oordeelsvorming duidelijk vast.

Figuur 2

Laten we hier nog even verder op doorgaan. Op grond van Standaard 330 paragraaf 18 verricht de accountant tenminste ‘minimale’ controlewerkzaamheden op elke jaarrekeningpost die van materieel belang is, ongeacht het risico. Dat betekent dat bijvoorbeeld de overige vorderingen - als die groter of gelijk zijn als het materieel belang - ook worden onderworpen aan controle. In de meeste gevallen volstaat bij de overige vorderingen een juistheidscontrole op de verantwoorde posten, bijvoorbeeld door inspectie van documentatie als controlemiddel in te zetten of een afloopcontrole uit te voeren. Als hier geen bijzonderheden uit blijken, resteert er geen materieel risico meer op afwijkingen, dus ook geen afwijkingen als gevolg van het frauderisico betalingen.

Hetzelfde geldt voor de debiteuren. U voert normaliter een professioneel-kritische afloopcontrole en/of ontstaanscontrole uit, beoordeelt de bijzondere posten in de debiteurenlijst (creditbedragen bijvoorbeeld) en/of u vraagt confirmaties op. Als hier geen bijzonderheden uit blijken, is ook het restrisico, dat een frauduleuze betaling in de post debiteuren is ‘geparkeerd’, laag.

Ten aanzien van de omzetverantwoording (en hieraan gerelateerd de kostprijs omzet) heeft u in de meeste gevallen al veel en diepgaande controlewerkzaamheden uitgevoerd, omdat hier in de meeste gevallen al een frauderisico op van toepassing was. Denk aan een totaalverbandcontrole geld-goederenbeweging, controle creditnota’s, marge-analyse, detailtesten, confirmaties. Het restrisico op het ‘parkeren’ van frauduleuze betalingen van materieel belang is dan (vaak) niet meer hoog.

U voert dezelfde evaluaties uit op de posten materiële vaste activa, crediteuren et cetera en houdt ook rekening met de reeds verkregen controle-informatie ten aanzien van de vereiste controlewerkzaamheden op grond van Standaard 240 paragraaf 33 (‘journal entry testing’). U heeft hiermee immers reeds controle-informatie verkregen over mogelijke ongebruikelijke boekingen door analyse van de memoriaalboekingen en grootboek-dagboek, die óók geschikte controle-informatie oplevert om het frauderisico ten aanzien van onrechtmatige betalingen te bestrijden.

Na deze analyse-exercities zult u in de meeste gevallen tot de conclusie komen dat de post ‘overige bedrijfskosten’ nog onvoldoende kritisch is gecontroleerd. Deze post leent zich eigenlijk ook het meest om een frauduleuze betaling in te verstoppen. Hoe kun je deze post nu vervolgens het meest efficiënt en effectief controleren? In figuur 3 is een oplossingsrichting weergegeven.

Figuur 3

Inzet van data-analyse (alternatieve route 2)

Alhoewel route 1 (uitgaande geldbeweging middels statistische steekproef) is te prefereren, is het ook mogelijk om voldoende en geschikte controle-informatie te verkrijgen door data-analyse toe te passen. Hiermee wordt soms echter ‘minder harde’ controle-informatie verkregen. In combinatie met de evaluaties die bij alternatieve route 1 zijn beschreven, is met data-analyse in de meeste gevallen wel een voldoende effectieve controleaanpak te ontwerpen. Een combinatie met route 1 is ook mogelijk (mix).

De data-analyse richt zich op de data in de CAMT-bestanden van de bank. De integriteit van deze data zal uiteraard eerst moeten worden getoetst (beginstand/eindstand aansluiten op de banksaldi) en de CAMT-bestanden moeten bij voorkeur ook direct van de bank worden verkregen, zodat manipulatie niet mogelijk is. Vervolgens zijn de volgende analyses nuttig om uit te voeren:

• Analyse betalingen door functionarissen met zelfstandige betaalbevoegdheden[4]
• Analyse meerdere IBAN nummers voor één crediteur
• Analyse nieuwe crediteuren
• Analyse ‘crediteuren’ privépersonen
• Analyse betalingen aan functionarissen met zelfstandige betaalbevoegdheden
• Analyse betalingen aan entiteiten buiten de kring van de gecontroleerde entiteit, maar waaraan functionarissen met zelfstandige betaalbevoegdheden zijn te linken (bijvoorbeeld een eigen onderneming)

De uitkomsten van de analyses onderzoekt u kritisch. De verklaring voor meerdere bankrekeningnummers voor een crediteur moet worden getoetst vanuit een objectieve bron. Dat betekent dus niet de juistheid van het bankrekeningnummer nagaan aan de hand van de onderliggende inkoopfactuur, maar op een andere wijze. Bijvoorbeeld door de crediteur direct aan de accountant de bankrekeningnummers te laten bevestigen in combinatie met het toetsen van de prestaties die de betreffende leverancier aan de gecontroleerde onderneming heeft geleverd.

Betalingen aan privépersonen controleert u met detailtesten, evenals de betalingen aan functionarissen met zelfstandige betaalbevoegdheden. Hierbij dient steeds de prestatielevering te worden vastgesteld om onrechtmatige betalingen redelijkerwijs uit te kunnen sluiten.

De analyse ‘betalingen aan bedrijven waaraan functionarissen met zelfstandige betaalbevoegdheden zijn te linken’ moet u zien als een voorbeeld van ‘element of surprise’. Door middel van externe bronnen (bijvoorbeeld google, KvK en company.info) kan worden nagegaan of op het huisadres van de functionaris met zelfstandige betaalbevoegdheid een bedrijf of stichting is gevestigd. Als dit wordt vastgesteld, is het ‘good practice’ om na te gaan of betalingen aan deze stichting of dit bedrijf hebben plaatsgevonden en of deze zakelijk en rechtmatig zijn.

Constatering frauduleuze betaling

Indien u tijdens de uitvoering van de controlewerkzaamheden op aanwijzingen voor een of meerdere frauduleuze betalingen stuit, dan zijn de vereisten van Standaard 240 paragraaf 36 e.v. van toepassing. In geval het een wettelijke controle betreft, zijn ook de bepalingen in Wta, artikel 26 en Bta, artikel 36 - 38 aan de orde.

Weest u zich ervan bewust dat bij een fraudegeval meestal ook de subjectieve indicator voor een ongebruikelijke transactie (Wwft) wordt geraakt[5] en dat een (interne) melding bij de compliance officer van uw kantoor opportuun is.

Tot slot

Wij hopen met dit artikel een bijdrage te leveren aan de kwaliteit van uw jaarrekeningcontroles. Go get those bad guys!