Accountants worden transparanter over de aanpak van frauderisico’s
Vanaf boekjaar 2021 gaan accountants in de controleverklaring gefaseerd rapporteren over frauderisico’s en de verrichte werkzaamheden op dit gebied. Stakeholders verwachten daarom dat ondernemingen in hun bestuursverslag ook (meer) aandacht zullen besteden aan fraude.
De behoefte aan informatie over frauderisico’s neemt toe
De beheersing van fraude is niet alleen relevant voor ondernemingen; ook stakeholders zijn steeds meer geïnteresseerd in de wijze waarop ondernemingen frauderisico’s identificeren en beheersen en in de werkzaamheden van de accountant ten aanzien van fraude. In dit artikel wordt ten eerste ingegaan op de redenen waarom stakeholders dit thema belangrijk vinden. Vervolgens wordt beschreven hoe accountants vanaf boekjaar 2021 de transparantie over hun werkzaamheden ten aanzien van fraude gefaseerd gaan verhogen. Zij zullen in de controleverklaring informatie opnemen over de controleaanpak op het gebied van fraude. Het artikel sluit af met een beschrijving van het mogelijke effect hiervan op de verantwoording in de jaarverslaggeving vanuit de organisatie. Daarbij wordt ook aandacht besteed aan de al bestaande verplichtingen voor het bestuursverslag.
Stakeholders hebben behoefte aan inzicht in fraudebeheersing
Praktisch iedere onderneming krijgt vroeg of laat te maken met een vorm van fraude. Stakeholders willen geïnformeerd worden over de wijze waarop ondernemingen het risico op fraude beheersen. Omdat zij vaak geen directe toegang hebben tot een onderneming, zullen zij in eerste instantie afgaan op publieke uitingen van een onderneming. Het bestuursverslag als onderdeel van de jaarverslaggeving en de controleverklaring van de accountant zijn hiervoor gebruikelijke informatiebronnen.
De reden waarom stakeholders deze informatie willen hebben, is uit te leggen langs de lijnen van mogelijke reputatie- en financiële schade. Fraudegevallen kunnen leiden tot reputatieschade, die weer kan afstralen op stakeholders. Zij zullen niet in verband gebracht willen worden met een onderneming met een slechte reputatie of waar fraude schering en inslag is.
De financiële schade ziet enerzijds op omzet- en winstderving en anderzijds op ongewenste kostenposten. Beide zijn van invloed op de waarde van een onderneming en daarmee ook relevant voor stakeholders. Omzet- en winstderving kan het gevolg zijn van een slechte reputatie door een fraudegeval. Consumenten en afnemers hebben meer moeite met het kopen van producten van een onderneming met een slechte reputatie. Daarnaast kan fraude leiden tot hoge kosten en uitgaven. Denk aan de schade van de fraude an sich (diefstal van geld of goederen), maar ook aan kosten en andere uitgaven als gevolg van boetes en claims. Dit staat nog los van de kosten en uitgaven voor een onderzoek naar de fraude en daaropvolgende herstelacties (een zogenaamd ‘remediation plan’). Al deze zaken kosten geld. Geld dat bijvoorbeeld als dividend aan aandeelhouders uitgekeerd had kunnen worden of geld dat gebruikt had kunnen worden voor productinnovaties.
Wat er op het gebied van frauderisico’s van de accountant wordt verwacht
In de controleverklaring worden enerzijds de verantwoordelijkheden van het bestuur en commissarissen en anderzijds die van de accountant beschreven. Het bestuur en de commissarissen zijn verantwoordelijk voor een zodanig stelsel van interne beheersing dat een jaarrekening zonder afwijkingen van materieel belang als gevolg van fouten of fraude kan worden opgesteld. De accountant heeft als doelstelling om een redelijke mate van zekerheid te verkrijgen dat de jaarrekening vrij is van materiële afwijkingen als gevolg van fouten of fraude.
In december 2018 heeft de NBA een Fraudeprotocol uitgebracht. Het protocol geeft duidelijkheid over wat er van de controlerend accountant mag worden verwacht als het gaat om fraude. In het protocol wordt onderkend dat het – door het opzettelijke karakter van fraude – voor accountants lastig is om fraude te identificeren. Daarentegen hebben de gebruikers van de jaarrekening hoge verwachtingen van de rol van de accountant op het gebied van het ontdekken van fraude.
Het protocol maakt onder meer duidelijk dat van een accountant mag worden verwacht dat hij de frauderisicofactoren bij klanten in kaart brengt en evalueert vanuit het risico op afwijkingen van materieel belang in de jaarrekening als gevolg van fraude. Daarnaast communiceert de accountant met zijn klant over relevante zaken rondom fraude en frauderisico’s. Ook blijkt uit het protocol dat de accountant specifieke werkzaamheden uitvoert die zijn gericht op het mitigeren van het risico op materiële fouten als gevolg van fraude in het controleobject (zoals een jaarrekening of financiële verantwoording).
Vanaf 2021 zal de accountant expliciet rapporteren over frauderisico’s
De Vereniging voor Effectenbezitters (VEB) stuurt jaarlijks een brief aan accountantskantoren. In de accountantsbrief van oktober 2021 geeft de VEB aan dat controleverklaringen steeds vaker een aparte fraudeparagraaf bevatten. Dit vindt de VEB een positieve ontwikkeling. Verder schrijft zij dat de toegevoegde waarde van deze paragraaf zit in:
- het bedrijfsspecifiek toelichten van de door de accountant gemaakte risicobeoordeling;
- de toelichting van de in dit kader (additioneel) verrichte controlewerkzaamheden; en
- een bedrijfsspecifieke conclusie.
De Stuurgroep Publiek Belang van de NBA ziet fraude eveneens als een belangrijk thema, net als de kwartiermakers. In het meerjarenplan van de Stuurgroep is fraude één van de thema’s waar prioriteit aan wordt gegeven. De NBA heeft bepaald dat accountants vanaf 2022 verplicht zijn om in de controleverklaring een additionele paragraaf over fraude en continuïteit op te nemen. Voor de controleverklaringen bij jaarrekeningen van organisaties van openbaar belang geldt deze verplichting al vanaf 2021. Deze verplichting vloeit voort uit een toezegging van de NBA in een brief aan de vaste commissie voor Financiën van de Tweede Kamer. Op de website van de NBA is te lezen dat zij heeft toegezegd dat accountants in hun controleverklaring expliciet gaan toelichten welke werkzaamheden zij hebben verricht met betrekking tot continuïteit en fraude.
De NBA onderschrijft de behoefte van stakeholders aan transparantie rondom het fraudethema. De onlangs uitgebrachte brochure van de NBA, ‘Verplichte rapportage over fraude en continuïteit in de controleverklaring bij de jaarrekening - wat betekent dit voor u als klant’, geeft nader inzicht in de structuur van de fraudeparagraaf in de controleverklaring. Een risicoanalyse en een beschrijving van de uitgevoerde werkzaamheden zijn vaste onderdelen. Het opnemen van een beschrijving van specifieke bevindingen is optioneel.
Ondanks dat de verplichting vanaf 2022 ingaat, heeft de NBA accountants opgeroepen tot vervroegde toepassing voor het boekjaar 2021. Dit houdt in dat accountants zijn gevraagd om voor diverse jaarrekeningcontroles voor 2021 al een fraudeparagraaf in de controleverklaring op te nemen.
Consultatiedocument fraude en continuïteit in de controleverklaring
Om de verplichte toelichting rondom fraude en continuïteit te effectueren worden de controlestandaarden aangepast. De NBA heeft op 13 september 2021 een consultatiedocument uitgebracht voor de aanpassingen van de controlestandaarden.
De consultatietermijn is op 1 november 2021 verlopen. De NBA heeft 33 reacties ontvangen, zowel positieve als negatieve. Op het moment van schrijven van dit artikel is nog niet bekend hoe de NBA zal omgaan met de ontvangen reacties.
Overbruggen van de communicatiekloof
In de basis zal de extra rapportageplicht geen impact hebben op de controleaanpak. De accountant was immers al verplicht om controlestandaard 240 (en 250) te volgen en deze standaarden zijn niet gewijzigd. De rapportage an sich is wel nieuw. Het is te verwachten dat het correct opstellen van deze rapportage en het bijhouden van de documentatie hiervan in het controledossier extra tijd van de accountant zullen vragen. Fraude blijft immers een gevoelig onderwerp, dus het is van belang dat uitingen over dit onderwerp zorgvuldig zijn opgesteld. Alleen dan zal dit bijdragen aan de verkleining van de communicatiekloof. Met deze fraudeparagraaf wordt het voor stakeholders duidelijk welke frauderisico’s de accountant onderkent en welke werkzaamheden zijn uitgevoerd ten aanzien van dit onderwerp. Dit verhoogt niet alleen de vergelijkbaarheid tussen accountants, maar maakt het ook mogelijk om per type organisatie te analyseren welke werkzaamheden (minimaal) uitgevoerd zouden moeten worden. Stakeholders, en accountants, kunnen dan nagaan of zij de frauderisico’s herkennen en de werkzaamheden die zijn uitgevoerd passend vinden.
Verantwoordelijkheid van ondernemingen voor het rapporteren over frauderisico’s
- Bestaande verplichtingen jaarverslaggeving
- Gevolgen van de fraudeparagraaf in de controleverklaring voor het bestuursverslag
Bestaande verplichtingen jaarverslaggeving
De huidige rapportageverplichtingen zijn verankerd in het Burgerlijk Wetboek, de Richtlijnen voor de jaarverslaggeving (RJ) en Europese richtlijnen. Op dit moment bestaat er geen expliciete verplichting om te rapporteren over (de beheersing van) frauderisico's.
Hoewel frauderisico’s niet expliciet worden genoemd in de bestaande wetten en richtlijnen, zijn er wel aanverwante onderwerpen waarover ondernemingen moeten rapporteren. Zo schrijft het Burgerlijk Wetboek (BW2:9 artikel 391) voor dat een onderneming in haar bestuursverslag een toelichting geeft op de voornaamste risico’s en onzekerheden. Fraude kan één van deze risico’s of onzekerheden zijn.
In de RJ staat het concreter. Daarin staat dat, in lijn met het Burgerlijk Wetboek, een onderneming rapporteert over de voornaamste risico’s en onzekerheden (RJ 400.109). De RJ vermeldt verschillende categorieën die van belang zijn voor de identificatie van de voornaamste risico’s en onzekerheden. Een van deze categorieën betreft ‘Operationele activiteiten’. Hieronder vallen onder meer fraudegevoeligheid, corruptie en de reputatie van de rechtspersoon of zijn producten en diensten (RJ.400.110b).
Het Burgerlijk Wetboek en de RJ schrijven niet expliciet voor dat ondernemingen over (de beheersing van) frauderisico’s rapporteren. Zo kan een onderneming bijvoorbeeld van mening zijn dat fraude wel een risico vormt, maar niet tot de voornaamste risico’s behoort en die daarom niet vermelden in het bestuursverslag. Het niet opnemen van fraude als een van de voornaamste risico’s lijkt echter onlogisch. De gevolgen van fraude zijn immers vaak groot. Uit alle aandacht voor dit onderwerp kan worden gesteld dat stakeholders vanuit een meer kwalitatieve benadering willen weten hoe de onderneming dit risico beheerst.
In de Europese richtlijnen wordt de term fraude ook niet gebezigd. Wel bepaalt de ‘Non-Financial Reporting Directive’ (NFRD) dat ondernemingen mededelingen doen over het beleid, waaronder de toegepaste zorgvuldigheidsprocedures, en over de resultaten van dit beleid ten aanzien van onder meer:
- milieu-, sociale en personeelsaangelegenheden;
- de eerbiediging van mensenrechten; en
- de bestrijding van corruptie en omkoping.
Mocht een onderneming geen beleid hebben ten aanzien van deze onderwerpen, dan is zij verplicht de reden hiervan te vermelden. De NFRD is via besluit van 14 maart 2017 in de Nederlandse wet geïncorporeerd en is van toepassing op organisaties van openbaar belang met minimaal 500 werknemers.
Op 21 april 2021 heeft de Europese Commissie een voorstel voor een herziene richtlijn voor niet-financiële informatie aangenomen. De herziene richtlijn, de Corporate Sustainability Reporting Directive (CSRD) genaamd, treedt in 2023 in werking. De CSRD leidt ertoe dat een grotere groep ondernemingen verplicht wordt om te rapporteren over voornoemde onderwerpen. De CSRD is namelijk van toepassing op alle ondernemingen die voldoen aan twee van de drie volgende criteria:
- meer dan 250 medewerkers;
- meer dan 40 miljoen euro omzet;
- meer dan 20 miljoen euro op de balans.
Een bijkomende verplichting is dat een accountant een beperkte mate van zekerheid moet verschaffen bij rapportages over deze onderwerpen. Dit gaat verder dan de bestaande verplichtingen voor accountants ten aanzien van het bestuursverslag.
Gevolgen van de fraudeparagraaf in de controleverklaring voor het bestuursverslag
Zoals hiervoor is vermeld, willen stakeholders geïnformeerd worden over de wijze waarop ondernemingen omgaan met frauderisico’s. De VEB maakte deze roep om informatie duidelijk in haar accountantsbrief van januari 2019. Hierin schreef zij dat zij van mening is dat het onderwerp fraude een standaard onderdeel moet zijn van de risicoparagraaf in het bestuursverslag. Als het aan de VEB ligt, rapporteren ondernemingen over de fraude- en corruptierisico's én de stappen die zij hebben ondernomen om deze op te sporen en te mitigeren.
Uit onderzoek (van Brouwer, Vroom en Van Blijderveld, 2019) blijkt dat meer dan de helft van de 75 onderzochte beursfondsen frauderisico’s niet vermeldt in het bestuursverslag. Voor niet-beursgenoteerde ondernemingen is dit percentage mogelijk nog hoger.
Nu accountants vanaf 2021 gefaseerd zullen rapporteren over frauderisico’s en de uitgevoerde werkzaamheden, is de verwachting dat het voor ondernemingen ook makkelijker wordt om over dit onderwerp te rapporteren, ook als frauderisico’s niet tot de voornaamste risico’s behoren. In de eerste plaats omdat ondernemingen daarmee voorzien in de informatiebehoefte van stakeholders. Ondernemingen zullen de risico’s dan meer kwalitatief benaderen. Met andere woorden: de onderneming ziet het frauderisico niet als een van de voornaamste risico’s, maar licht dit risico toe omdat stakeholders het belangrijk vinden.
Daarnaast kan de onderneming haar eigen frauderisicoanalyse delen. De controleverklaring bevat immers alleen de risico-inschatting en de door de accountant verrichte werkzaamheden. Het is denkbaar dat in sommige gevallen het management van een onderneming tot een andere risico-inschatting komt dan de accountant. Wanneer zowel de onderneming als de accountant rapporteert over frauderisico’s, zijn discrepanties eenvoudig te signaleren. Vanuit dit perspectief is het raadzaam om al in een vroeg stadium met de met governance belaste organen en de accountant de dialoog aan te gaan over de inschatting van het frauderisico binnen de onderneming.
Conclusie
Accountants zullen vanaf 2021 gefaseerd expliciet rapporteren over de uitgevoerde werkzaamheden op het gebied van fraude. Hiermee wordt gehoor gegeven aan de informatiebehoefte van stakeholders. Vanuit ketenverantwoordelijkheid mogen stakeholders en accountants verwachten dat ondernemingen in hun bestuursverslag meer aandacht zullen besteden aan dit thema.
