Rapporteren over continuïteit en fraude in de controleverklaring: een accountantsfeestje?
Met de inwerkingtreding van de aangepaste Nederlandse Controlestandaard 700 moeten accountants vanaf 2021 gefaseerd verplicht rapporteren in de controleverklaring over de uitgevoerde werkzaamheden ten aanzien van continuïteit en fraude. Is dit alleen een accountantsfeestje?
Nieuwe verplichting als gevolg van de gewijzigde Nederlandse Controlestandaard 700
Om te voldoen aan de verwachtingen van het maatschappelijk verkeer is de Nederlandse Controlestandaard 700 aangepast. Als gevolg hiervan zijn accountants verplicht om in de controleverklaring te rapporteren over de uitgevoerde werkzaamheden ten aanzien van continuïteit en fraude. Deze verplichting is gefaseerd ingevoerd. De accountant rapporteert bij organisaties van openbaar belang vanaf boekjaar 2021 verplicht over fraude; voor continuïteit is dat met ingang van boekjaar 2022. Vanaf boekjaar 2022 zal de accountant bij alle ‘wettelijke controleopdrachten’ verplicht rapporteren over continuïteit én fraude.
In dit artikel wordt eerst ingegaan op de rapportageverplichting van de accountant ten aanzien van continuïteit en fraude volgend op de gewijzigde Nederlandse Controlestandaard 700. Daarna volgt een korte uiteenzetting van het doel van het jaarverslag en een uiteenzetting van het belang van transparant rapporteren over de organisatie. Het artikel sluit af met de behandeling van enkele aspecten van de interne beheersing rondom continuïteit en fraude en de rapportage daarover door het bestuur en de accountant.
Meer informatie over continuïteit en fraude leest u in deze specials:
- Special over continuïteit, editie 2022-1
- Special over fraude, editie 2021-4
Wat is er veranderd?
Accountants zijn verplicht om in de controleverklaring voor wettelijke controles met een boekjaar eindigend op of na 15 december 2022 te rapporteren over continuïteit en fraude. Centraal hierbij staan de aangelegenheden die aandacht vereisten (continuïteit) en geïdentificeerde frauderisico’s (fraude), de uitgevoerde controlewerkzaamheden en eventuele bevindingen. In de controleverklaring neemt de accountant aparte secties op voor continuïteit en fraude, genaamd ‘Controleaanpak continuïteit’ en ‘Controleaanpak frauderisico’s’. Figuur 1 toont de elementen die (kunnen) worden beschreven in deze secties.
Figuur 1. Elementen van de continuïteits- en fraudesecties
| Controleaanpak continuïteit | Controleaanpak frauderisico’s |
|---|---|
|
|
De mate van detail die in de controleverklaring moet worden verschaft is een kwestie van professionele oordeelsvorming en wordt aangepast aan de specifieke omstandigheden en complexiteit van de controle.
In de praktijk klinkt wel eens de kritiek dat de aanpassing van standaard 700 alleen een accountantsfeestje is. Het is de vraag of dit klop. De accountant is immers slechts één van de actoren binnen de rapportageketen. De rol van het bestuur van de organisatie hierin is minstens even belangrijk als (zo niet belangrijker dan) die van de accountant. Het bestuur van een organisatie zal eerst zelf risicoanalyses moeten uitvoeren ten aanzien van continuïteit en fraude en zal daar, afhankelijk van de omstandigheden, transparant over moeten rapporteren voordat de accountant dat kan doen. Daarnaast is een robuust kader voor continuïteit en frauderisicobeheersing belangrijk voor een organisatie om mogelijke problemen op te sporen en het vertrouwen in de organisatie mogelijk te maken. Transparante rapportage hierover door het bestuur leidt tot vertrouwen in het bestuur en de organisatie.
De jaarlijkse externe verslaggeving: transparantie leidt tot vertrouwen
In het jaarverslag legt het bestuur onder meer verantwoording af over de wijze waarop de organisatie is en wordt bestuurd, financiële ontwikkelingen, risico’s en risicobeheersing, cultuur en gedrag (soft controls), toekomstverwachtingen en de financiële prestaties van het afgelopen jaar. Het bestuursverslag (waar van toepassing) vormt samen met de jaarrekening en de overige gegevens het jaarverslag.
Aan de hand van het jaarverslag worden gebruikers geïnformeerd over onder meer de algemene gang van zaken en de financiële resultaten van het afgelopen jaar. Zij zijn in toenemende mate geïnteresseerd in de wijze waarop organisaties hun belangrijkste risico’s beheersen. Risico’s ten aanzien van continuïteit en fraude zijn belangrijke risico’s. Wanneer er twijfels zijn over de mogelijkheid van een organisatie om haar continuïteit te handhaven, willen de gebruikers dit het liefst zo snel mogelijk weten. Een (onverwachts) faillissement of grote twijfels over de continuïteit van de organisatie hebben over het algemeen grote gevolgen voor gebruikers van het jaarverslag. Fraude kan een disruptieve werking hebben op de operationele gang van zaken. Dit staat nog los van de financiële consequentie die een fraude met zich mee kan brengen. Vanwege het belang van deze thema’s willen gebruikers ook weten hoe de accountant daarop heeft ingespeeld in de accountantscontrole.
Deze roep om transparantie wordt nog versterkt door trends zoals klimaatverandering, de mogelijkheden van technologie, demografische ontwikkelingen en economische en politieke machtsverschuivingen alsmede het afnemend vertrouwen in instituties zoals het bedrijfsleven. Naast het voldoen aan wet- en regelgeving kan transparant rapporteren over belangrijke onderwerpen als continuïteit en fraude een belangrijke bijdrage leveren aan het vertrouwen in de organisatie. Organisaties die transparant rapporteren onderscheiden zich positief ten opzichte van organisaties die dit nalaten.
Continuïteit en fraude: de interne beheersing
Het bestuur, onder toezicht van de raad van commissarissen of raad van toezicht (indien van toepassing), is verantwoordelijk voor de interne beheersing die het nodig acht om een jaarverslag te kunnen opstellen dat vrij is van een afwijking van materieel belang als gevolg van fraude of fouten. Een organisatie heeft een robuust kader voor continuïteit en frauderisicobeheersing nodig om mogelijke problemen op te sporen en het vertrouwen in de organisatie mogelijk te maken. De COSO-beginselen, die bedoeld zijn om organisaties inzicht te geven in de belangrijkste elementen die nodig zijn voor een doeltreffend kader voor interne beheersing, bieden een goede basis voor het vormen van zo’n kader voor continuïteit en frauderisicobeheersing.
| COSO |
|---|
| In 2004 publiceerde de Committee of Sponsoring Organizations of the Treadway Commission (‘COSO’) het ‘Enterprise Risk Management (ERM) – Integrated Framework’. Dit zogenoemde COSO-raamwerk wordt toegepast voor het beheersen van bedrijfsbrede risico’s. In het artikel ‘Frauderisicoanalyse; geen overbodige luxe’, gepubliceerd in editie 2021-4, wordt ingegaan op de toepassing van dit raamwerk bij frauderisicoanalyses (‘principle 8’) en de in september 2016 door de COSO-organisatie uitgebrachte Fraud Risk Management Guide |
Een belangrijke component van die interne beheersing is het risico-inschattingsproces van de organisatie. Dit betreft een iteratief proces waarmee een organisatie de risico’s voor het bereiken van haar doelstellingen kan identificeren en analyseren. Het vormt de basis voor hoe het bestuur of het toezichthoudend orgaan de te beheersen risico’s bepaalt en welke interne beheersingsmaatregelen moeten worden geïmplementeerd of aangepast als gevolg van veranderende omstandigheden. Een organisatie opereert doorgaans in een dynamische omgeving. Afhankelijk van de mate van dynamiek mag verwacht worden dat het bestuur onder toezicht van het toezichthoudend orgaan het risico-inschattingsproces doorlopend uitvoert.
In het kader van fraude bestaat het risico-inschattingsproces onder andere uit het uitvoeren van een frauderisicoanalyse. Deze analyse helpt het bestuur bij het begrijpen en verbeteren van de bestaande processen en controles om fraude te voorkomen en op te sporen. Bij het bepalen van de noodzakelijke interne beheersingsmaatregelen, houdt het bestuur rekening met het risico dat de financiële overzichten mogelijk een afwijking van materieel belang als gevolg van fraude bevatten. De uitoefening van toezicht door het toezichthoudend orgaan houdt onder meer in dat rekening wordt gehouden met de mogelijkheid om interne beheersingsmaatregelen te doorbreken of met andere ongeoorloofde vormen van beïnvloeding van het proces van financiële verslaggeving.
Tenzij het bestuur van plan is de organisatie te liquideren of de activiteiten te beëindigen, of tenzij het hiervoor geen realistisch alternatief heeft, worden jaarverslagen opgesteld op basis van de continuïteitsveronderstelling. Aangezien deze veronderstelling van fundamenteel belang is bij het opstellen van het jaarverslag, moet het bestuur bij het opstellen van dat jaarverslag ten minste een beoordeling maken van de mogelijkheid van de organisatie om haar continuïteit te handhaven. Hierbij houdt het bestuur rekening met externe en interne ontwikkelingen. Denk bijvoorbeeld aan ontwikkelingen van de inflatie, rente, onvoorspelbaarheid van energie- en grondstofprijzen, supply chain problematiek, beschikbaarheid van voldoende gekwalificeerd personeel en risico’s voortkomend uit langlopende contracten.
Continuïteit en fraude: rapportage door het bestuur
In het bestuursverslag rapporteert het bestuur (conform conform Afdeling 7, Titel 9, Boek 2 BW en Richtlijn voor de jaarverslaggeving 400) over de voornaamste risico’s en onzekerheden. Dit betreft onder andere fraudegevoeligheid en corruptie evenals risico’s en onzekerheden met betrekking tot de continuïteit en financiële positie van de organisatie, zoals koersrisico’s, liquiditeitsrisico’s, valutarisico, renterisico’s en onzekerheden in de mogelijkheden om financiering aan te trekken. Het bestuur moet een beschrijving geven van de maatregelen die zijn getroffen ter beheersing van de voornaamste risico’s en onzekerheden, zo mogelijk met een kwalitatieve beschrijving van de verwachte effectiviteit van de genomen maatregelen. Als voor één of meer van de voornaamste risico’s en onzekerheden geen beheersingsmaatregelen zijn getroffen, moet het bestuur dit vermelden. Daarnaast moet het bestuur de ‘impact’ op de resultaten en/of financiële positie beschrijven als één of meer van de voornaamste risico’s en onzekerheden zich zouden voordoen, zo mogelijk gebaseerd op gevoeligheidsanalyses.
Bij het opstellen van de jaarrekening vormt het bestuur zich verschillende oordelen en schattingen die een belangrijke invloed hebben op de in de jaarrekening opgenomen bedragen. Als het voor het geven van het in artikel 2:362 lid 1 BW vereiste inzicht noodzakelijk is, moet het bestuur de aard van deze oordelen en schattingen inclusief de bijbehorende veronderstellingen toelichten. Dit is ook van toepassing op oordelen en schattingen met betrekking tot de toegepaste continuïteitsveronderstelling, voor zover noodzakelijk voor het bereiken van het hiervoor genoemde vereiste inzicht. Als er ernstige onzekerheid bestaat over de continuïteit van het geheel van de werkzaamheden van de organisatie, dan moet in de toelichting een adequate uiteenzetting worden opgenomen van de omstandigheden waarin de organisatie verkeert.
Continuïteit en fraude: rapportage door de accountant
Middelgrote en grote organisaties zijn verplicht hun jaarrekening te laten controleren door een accountant. De accountant betrekt het bestuursverslag bij zijn controle. Via de controleverklaring rapporteert de accountant over onder meer zijn oordeel bij de jaarrekening en het bestuursverslag en, op basis van de aangepaste (Nederlandse) Controlestandaard 700, over de aangelegenheden die aandacht vereisten (continuïteit) en geïdentificeerde frauderisico’s (fraude), de uitgevoerde controlewerkzaamheden en eventuele bevindingen.
De basis voor het kunnen rapporteren over continuïteit en frauderisico’s ligt in het identificeren van risico’s. Zoals eerder is opgemerkt, ligt een belangrijke verantwoordelijkheid op dit gebied bij het bestuur. Het is aan het bestuur om een solide analyse ten aanzien van de continuïteits- en frauderisico’s uit te voeren en daarover te rapporteren in het bestuursverslag. Een tijdige communicatie tussen het bestuur en de accountant zorgt ervoor dat de accountant op een adequate wijze de diepgang van de uitgevoerde analyses en de (door bestuur en/of accountant) geïdentificeerde risico’s kan evalueren en bespreken. Op basis daarvan bepaalt de accountant een passende controleaanpak, verricht de accountant de controlewerkzaamheden en rapporteert hij daarover in de controleverklaring. Het spreekt voor zich dat als er sprake is van tijdige communicatie, ongewenste verrassingen in de eindfase van de controle kunnen worden voorkomen. Dit geldt zowel voor de diepgang als voor de uitkomsten van de uitgevoerde analyses als voor hetgeen de organisatie en de accountant van plan zijn te rapporteren.
Conclusie
Accountants zijn voor wettelijke controles met een boekjaar eindigend op of na 15 december 2022 verplicht om te rapporteren over continuïteit en fraude. Dit vloeit voort uit de roep om meer transparantie over de werkzaamheden die de accountant heeft uitgevoerd op deze twee onderwerpen die in het maatschappelijk verkeer als zeer relevant worden beschouwd. Het bestuur is primair verantwoordelijk voor transparante rapportage over continuïteit en fraude(risico’s) in het jaarverslag. Het bestuur onderscheidt zich wanneer het laat zien voldoende ‘in control’ te zijn door te rapporteren over mogelijke risico’s omtrent continuïteit en fraude, de beheersing daarvan en de gemaakte afwegingen. Naast het voldoen aan wet- en regelgeving draagt dit bij aan het bouwen van vertrouwen in de organisatie, vooral in de huidige dynamische omgeving waarin de meeste organisaties opereren. Rapportage over continuïteit en fraude is dus zeker niet alleen een ‘accountantsfeestje’.
