Fraude en overtreding wet- en regelgeving in controleverklaringen en jaarverslagen 2019
Sinds de invoering van de uitgebreide controleverklaring (hierna: controleverklaring) in 2014 geeft de accountant meer inzicht in zaken zoals de materialiteitsbepaling, de dekking van de groepscontrole en de belangrijkste aandachtspunten van de controle (kernpunten, ofwel key audit matters). De werkgroep Fraude van de NBA heeft op basis van het onderzoek van KPMG over 2018 en 2019 voor AMX- en AEX-fondsen onderzocht in welke mate in deze controleverklaringen aandacht is besteed aan de onderwerpen (risico's op) fraude en overtreding van wet- en regelgeving. Over 2019 is ook gekeken naar de vermelding in de controleverklaring over de inzet van een forensisch specialist bij de jaarrekeningcontrole. Tevens heeft de NBA onderzocht of en hoe de betrokken AMX- en AEX-fondsen zelf over fraude en overtreding van wet- en regelgeving rapporteren in het bestuursverslag.
4 februari 2021
Toezegging NBA-bestuur inzake verplicht rapporteren over fraude
Het NBA-bestuur heeft in een brief aan de Tweede Kamer van september 2020 aangekondigd accountants op korte termijn te gaan verplichten om in hun controleverklaring te allen tijde aan te geven welke werkzaamheden er zijn verricht in het kader van frauderisico’s en de eventuele bevindingen. Deze verplichting strekt verder dan de onderzochte AMX- en AEX-fondsen.
De NBA werkt aan de uitwerking van deze verplichting en neemt daarbij de uitkomsten van het onderzoek naar de rapportering over fraude in de uitgebreide controleverklaring mee.
In het programma van de Stuurgroep Publiek Belang voor 2021-2023 is ten aanzien van de verplichte rapportering over fraude aangegeven dat een pilot zal plaatsvinden in 2021 en invoering in 2022. In de uitwerking hiervan worden twee sporen doorlopen.
Het eerste spoor is een pilot waarin accountantsorganisaties worden gestimuleerd om over het boekjaar 2020 reeds te rapporteren over fraude in de controleverklaring en met cliënten in gesprek te gaan over rapportering over risico’s van fraude en naleving van wet- en regelgeving in het bestuursverslag.
Voor het tweede spoor, dat inhoudt dat alle accountants over fraude gaan rapporteren, wordt een fasering verkend voor bijvoorbeeld oob-organisaties over boekjaar 2021 en andere organisaties over boekjaar 2022. De contouren voor spoor 2 worden vanuit de input uit de pilot verder verkend in 2021.
Wat levert de analyse over fraude in de uitgebreide controleverklaring op?
1. Verdubbeling rapportering over frauderisico’s en fraude
De rapportering in de controleverklaring door de accountants over frauderisico’s én fraude bij de AEX- en AMX-fondsen in 2019 is verdubbeld ten opzichte van 2018.
2. Structuur en format te verduidelijken in de rapportage door de accountant
Uit onderzoek valt op dat de benadering van de onderwerpen (het risico van) fraude en overtreding van wet- en regelgeving in de controleverklaringen verschilt per accountantsorganisatie. Ter vergroting van de transparantie kan duidelijker, met méér diepgang, minder in standaardteksten en méér cliëntspecifieker worden gerapporteerd. De structuur van rapportering kan duidelijker, bijvoorbeeld vanuit een vast format qua structuur voor de volgende onderwerpen: de verantwoordelijkheden van de accountant, de scoping van de controle en (separate) paragrafen over (het risico van) fraude en overtreding van wet- en regelgeving.
3. Verantwoordelijkheid bestuur en commissarissen te benadrukken in de rapportage
De controleverklaring van de accountant geeft assurance bij de financiële verantwoording die is opgesteld onder verantwoordelijkheid van bestuurder en commissarissen. Opmerkelijk is dat de accountant over fraude en non-compliance rapporteert waar bestuur en commissarissen dat niet doen. De accountant zou hierover in gesprek kunnen gaan met de cliënten om bestuurder en commissarissen te overtuigen zodat zij vanuit hun verantwoordelijkheid ook zelf gaan rapporteren over fraude en risicobeheersing, opgetreden fraude en overtreding van wet- en regelgeving en het uitgevoerde toezicht daarop en de impact op de resultaten.
De NBA werkt aan ‘best practices voor bedrijven’ inclusief een ‘fraude-responseplan’ ter ondersteuning van de frauderisicoanalyse en –beheersing en ter follow up van vermoedens tot fraude door bestuurders en toezichthouders. De best practices kunnen ook handzaam zijn om het gesprek te voeren met de accountant en als basis dienen voor rapportering in het bestuursverslag.
Het onderzoek naar vijftig AEX- en AMX-fondsen
Het onderzoek richtte zich op de 2019-jaarrekeningen van vijftig AEX- en AMX-fondsen. De resultaten zijn weergegeven in tabellen. Omdat het onderzoek inhoudelijk op onderdelen een herhaling is van het onderzoek naar de 2018-jaarrekeningen presenteren wij de uitkomsten naast elkaar en analyseren wij de uitkomsten en ontwikkelingen over de twee jaren.
De AMX en AEX-fondsen zijn gecontroleerd door de volgende accountantsorganisaties:
| Accountantsorganisatie | 2019 | 2018 | ||
| n | % | n | % | |
| Deloitte | 13 | 26% | 12 | 24% |
| EY | 17 | 34% | 16 | 32% |
| KPMG | 12 | 24% | 13 | 26% |
| PwC | 7 | 14% | 7 | 14% |
| Deloitte en EY | 0 | 0% | 1 | 2% |
| Deloitte en KPMG | 1 | 2% | 1 | 2% |
| Totaal | 50 | 100% | 50 | 100% |
Totaaloverzicht rapportering in de controleverklaring over risico’s van fraude en / of overtreden van de wet- en regelgeving
| Paragraaf inzake risico's van fraude en/of overtreding van wet- en regelgeving | |||||
| 2019 | |||||
| Ja | Nee | Totaal | |||
| n | % | n | % | n | |
| Deloitte | 8 | 62% | 5 | 38% | 13 |
| EY | 16 | 94% | 1 | 6% | 17 |
| KPMG | 12 | 100% | 0 | 0% | 12 |
| PwC | 7 | 100% | 0 | 0% | 7 |
| Deloitte en KPMG | 1 | 100% | 0 | 0% | 1 |
| Totaal | 44 | 88% | 6 | 12% | 50 |
De accountantsorganisaties hebben:
- voor 44 fondsen gerapporteerd over fraude(risico’s) en
- voor 41 fondsen over (risico’s inzake) het overtreden van de wet- en regelgeving (1).
De vorm van rapportering over de risico’s van fraude en naleving wet- en regelgeving:
- bij 33 fondsen in twee separate paragrafen;
- bij 8 fondsen in een gecombineerde paragraaf;
- bij 3 fondsen is alleen een paragraaf over fraude(risico’s) opgenomen.
Voor 6 niet in Nederland gevestigde fondsen is door de accountantsorgnaisaties niet gerapporteerd over fraude of overtreding van wet- en regelgeving.
Totaaloverzicht rapportering in de controleverklaring over inzet forensische expertise
Het 2019-onderzoek richt zich ook op de vermelding van de inzet van een forensisch specialist in de controleverklaring (2). De kwantitatieve analyse laat zien dat in 2019 door accountantsorganisaties in een substantieel aantal controleverklaringen een vermelding is gemaakt van de inzet van een forensisch specialist voor de controleopdracht.
| Vermelding inzet forensisch specialist in de controleverklaring | |||||
| 2019 | |||||
| Ja | Nee | Totaal | |||
| n | % | n | % | n | |
| Deloitte | 6 | 46% | 7 | 54% | 13 |
| EY | 12 | 71% | 5 | 29% | 17 |
| KPMG | 9 | 75% | 3 | 25% | 12 |
| PwC | 5 | 71% | 2 | 29% | 7 |
| Deloitte en KPMG | 0 | 0% | 1 | 100% | 1 |
| Totaal | 32 | 64% | 18 | 36% | 50 |
In 32 controleverklaringen maken de accountantsorganisaties melding van de inzet van forensische specialisten in de jaarrekeningcontrole. De inzet van forensische specialisten is in de (uitgebreide) controleverklaringen in het algemeen toegelicht in de separate paragraaf over de (risico’s van) fraude en overtreding van wet- en regeling of in de key audit matters. Uit de controleverklaring blijkt niet in welke fase van de jaarrekeningcontrole de accountantsorganisaties de forensisch specialist hebben ingezet. In één verklaring rapporteert de accountantsorganisatie forensische expertise te hebben ingezet maar wordt verder niet gerapporteerd over fraude(risico’s).
In deze publicatie gaan wij nader in op detail-uitkomsten van ons onderzoek en behandelen wij achtereenvolgens de volgende analyses:
A. De controleverklaring
1. Kwantitatieve analyse fraude en overtreding van wet- en regelgeving
2. Kwalitatieve analyse
B. Het bestuursverslag
1. Kwantitatieve analyse rapportering fraude en overtreding van wet- en regelgeving
2. Kwalitatieve analyse
A. 1.1 Kwantitatieve analyse fraude in de controleverklaring
De kwantitatieve uitkomsten van het onderzoek zijn als volgt:
| Ten aanzien van fraude(risico's) | ||||||||
| 2019 | 2018 | |||||||
| Ja | Nee | Ja | Nee | |||||
| n | % | n | % | n | % | n | % | |
| De uitgebreide controleverklaring bevat een paragraaf over fraude(risico's) | 44 | 88% | 6 | 12% | 22 | 44% | 28 | 56% |
| Fraude is behandeld in een key audit matter | 27 | 54% | 23 | 46% | 12 | 24% | 38 | 76% |
| Het frauderisico ten aanzien van de omzetverantwoording is behandeld | 25 | 50% | 25 | 50% | 18 | 36% | 32 | 64% |
| Het frauderisico dat het management de interne beheersing doorbreekt is behandeld | 43 | 86% | 7 | 14% | 22 | 44% | 28 | 56% |
| Er zijn overige frauderisico's behandeld | 10 | 20% | 40 | 80% | 12 | 24% | 38 | 76% |
De eerste vraag in de kwantitatieve analyse geeft aan of de controleverklaring een separate paragraaf bevat over fraude(risico’s). Uit deze analyse blijkt dat de accountantsorganisaties in 2019 (n: 44) ten opzichte van 2018 (n: 22) vaker een paragraaf over fraude(risico’s) hebben opgenomen.
In 27 controleverklaringen 2019 zijn bepaalde geïdentificeerde fraude(risico’s) ook behandeld als een key audit matter (2019: n:27; 2018: n:12) en afzonderlijk gerapporteerd. Een voorbeeld van een gerapporteerde key audit matter, die gerelateerd zou kunnen worden aan het frauderisico dat het management de interne beheersing doorbreekt is ‘Valuation of goodwill’.
In de controleverklaringen is specifiek ingegaan op de volgende frauderisico’s:
- Frauderisico omzetverantwoording: toename van 18 naar 25 in 2019 (stijging 38%).
- Frauderisico dat het management de interne beheersing doorbreekt: toename van 22 naar 43 (stijging 95%).
- Overige risico’s: afname van 12 naar 10 (daling 16%).
Samengevat blijkt dat de rapportering in de controleverklaring door de accountants over frauderisico’s én fraude bij de AEX- en AMX-fondsen in 2019 ruim is verdubbeld ten opzichte van 2018. Daarbij valt op dat alle accountantsorganisaties in 2019 rapporteren over het risico dat het management de interne beheersing doorbreekt en de helft rapporteert ook over frauderisico’s ten aanzien van de omzetverantwoording. Dit zijn voor de accountant veelal voorgeschreven frauderisico’s. Overige frauderisico’s worden nog beperkt onderkend.
A. 1.2 Kwantitatieve analyse overtreding wet- en regelgeving in de controleverklaring
De kwantitatieve uitkomsten van het onderzoek zijn als volgt (3):
| Ten aanzien van (het risico op) overtreden van wet- en regelgeving | ||||||||
| 2019 | 2018 | |||||||
| Ja | Nee | Ja | Nee | |||||
| n | % | n | % | n | % | n | % | |
| De uitgebreide controleverklaring bevat een paragraaf over (het risico op) overtreden van wet- en regelgeving | 41 | 82% | 9 | 18% | 15 | 30% | 35 | 70% |
| Overtreden van wet- en regelgeving is behandeld in een key audit matter | 11 | 22% | 39 | 78% | 10 | 20% | 39 + 1 [1] | 80% |
| De factoren die een rol spelen ten aanzien van het overtreden van wet- en regelgeving worden behandeld | 22 | 44% | 28 | 56% | 8 | 16% | 41 + 1 [1] | 84% |
De accountantsorganisaties hebben voor 41 fondsen in de controleverklaring gerapporteerd over (risico’s inzake) het overtreden van de wet- en regelgeving (2019: n: 41; 2018: n: 15). In 22 controleverklaringen is gerapporteerd over de risico’s en factoren die een rol spelen ten aanzien van het overtreden van wet- en regelgeving (2019: n: 22; 2018: n: 8). Veelal in algemene bewoordingen, bijvoorbeeld in een of enkele zinnen met (algemene) strekking, zonder daarbij in te gaan op de feiten en omstandigheden die daarbij zijn betrokken:
‘We have evaluated facts and circumstances in order to assess laws and regulations relevant to the Company’.
In enkele controleverklaringen is wel uitgebreider gerapporteerd, bijvoorbeeld door in te gaan op bepalingen van wet- en regelgeving die directe of indirect invloed hebben op de entiteit.
In 11 controleverklaringen is aanvullend een key audit matter over overtreding van wet- en regelgeving opgenomen (2019: n:11; 2018: n:10). De key audit matters zien onder meer toe op de volgende risico’s en overtredingen:
- Investigation on compliance with Dutch Act on prevention of money laundering and financing of terrorism.
- Solvency II disclosure.
- Uncertain direct tax transfer pricing provisions (judgements are made in assessing the potential outcome of investigations by the authorities, and if a liability exists).
- Provisions for legal claims and compliance matters.
A. 2 Kwalitatieve analyse controleverklaringen
In 2019 is ten opzichte van 2018 door accountantsorganisaties in toegenomen mate in de controleverklaringen van de 50 AEX- en AMX-fondsen ingaan op onderkende risico’s en daarmee verband houdende controlewerkzaamheden ten aanzien van fraude en overtreding van wet- en regelgeving. Er is divers omgegaan met rapportering over deze onderwerpen. We zien de volgende benaderingen terugkomen:
- Een separate paragraaf met een (algemene) beschrijving wat de verantwoordelijkheden van de accountant zijn ten aanzien van detectie van fraude en/of overtreding van wet- en regelgeving, en wat de audit response ten aanzien van deze aspecten is geweest.
- Eén paragraaf, die ingaat op verantwoordelijkheden en aanpak ten aanzien van fraude en/of overtreding van wet- en regelgeving, als onderdeel van de sectie waarin de audit scope en de materialiteit worden behandeld.
- In deze paragrafen wordt in aantal gevallen uitgelegd of forensische expertise in de controle is ingezet, bijvoorbeeld bij de frauderisicoanalyse.
- Een key audit matter waarin een specifiek risico beschreven wordt, en de wijze waarop daar in de controle mee om is gegaan.
Er zijn ook combinaties van de eerste of tweede variant met een key audit matter. De plaats en volgorde van de secties verschilt: de separate paragraaf staat soms vóór en soms ná de key audit matters.
Los van verschillen in benadering zijn er ook verschillen in mate van gedetailleerdheid van de rapportering over specifieke risico’s en feitelijke situaties naar aanleiding van een signaal of aanwijzing voor fraude of het overtreden van wet- en regelgeving. Wij zien:
- relatief standaard (‘boilerplate’) teksten;
- beperkt inhoudelijke diepgang ten aanzien van de naleving van wet- en regelgeving qua risico’s en factoren die in de controle geraakt zijn;
- enkele gedetailleerde beschrijvingen van specifieke risico’s en feitelijke situaties, waarbij onderscheid is gemaakt tussen bepalingen van wet- en regelgeving welke directe of indirecte invloed hebben op de entiteit.
Niet alle fraude(risico’s) en (risico’s inzake) overtreden wet- en regelgeving leiden tot rapportering van een key audit matter. Een key audit matter kan gerelateerd zijn aan een beschreven risico, bijvoorbeeld bij een schattingspost in de jaarrekening, waarbij het risico op doorbreking van de interne controle door het management aanwezig is. Ten aanzien van de key audit matters is niet altijd duidelijk of deze het gevolg zijn van het identificeren van een beschreven fraude- of non-compliance-risico.
B. 1 Kwantitatieve analyse rapportering fraude en overtreden wet- en regelgeving in het bestuursverslag
In 2019 hebben wij ook onderzoek verricht naar het vermelden van fraude en/of het overtreden van wet- en regelgeving in het bestuursverslag. De kwantitatieve analyse laat zien dat in 2019 door veertien van de vijftig AEX- en AMX-fondsen een vermelding is gemaakt over risico’s en fraudezaken en/of het overtreden van wet- en regelgeving (4), al dan niet met vermelding van acties die zijn genomen naar aanleiding van voorvallen. Wij hebben geen uitsplitsing gemaakt naar fraude en non-compliance.
In het algemeen is:
- rapportering over fraude en/of het overtreding van wet- en regelgeving zeer beperkt.
- bij een enkel fonds de invloed van fraude of overtreding van wet- en regelgeving op het resultaat vermeld.
| Vermelding fraudegeval en/of overtreding van wet- en regelgeving in bestuursverslag | ||||
| 2019 | ||||
| Ja | Nee | |||
| n | % | n | % | |
| AEX- en AMX-fondsen | 14 | 28% | 36 | 72% |
B. 2 Kwalitatieve analyse bestuursverslag
Uit ons onderzoek blijkt dat het bestuur van beursfondsen fraude en overtreding van wet- en regelgeving slechts summier en met weinig diepgang en informatie vermeldt in het bestuursverslag. In de verslagen van een audit committee komt het onderwerp vaak niet verder dan de vermelding dat overleg hierover is gevoerd met de accountant.
Wij zien de volgende voorbeelden van vermeldingen:
- De uitvoering van een jaarlijkse frauderisicoanalyse waarvan de resultaten zijn besproken met het bestuur en de audit committee.
- Het aantal fraude-incidenten dat is gedetecteerd en onderzocht (al dan niet met aantallen dan wel met de kwalificaties als ‘beperkt in omvang’).
- Het aantal zaken dat door klokkenluiders is gerapporteerd aan de compliance officer en de mate waarin daarop onderzoek is gedaan.
- Dat zich corruptiezaken hebben voorgedaan zonder in te gaan op details.
- Dat er in de organisatie is gecommuniceerd over fraudezaken ter vergroting van de awareness en fraudepreventie.
- Dat medewerkers zijn verplicht zich te houden aan het anticorruptie- en anti-omkopingsbeleid en de gedragscode van de entiteit.
- Dat het gesprek tussen de audit committee en de accountant is gegaan over een beperkt aantal fraudezaken.
- In een enkel geval wordt meer informatie gegeven, waarbij het veelal over werknemersfraude gaat, bijvoorbeeld valse declaraties of misbruik van creditcards. Ook wordt bijvoorbeeld gemeld dat sancties en maatregelen zijn genomen om tekortkomingen in procedures en systemen te verbeteren om vergelijkbare problemen in de toekomst te voorkomen en dat een x-aantal contracten van medewerkers is beëindigd.
Wat opvalt is dat de vermeldingen in bestuursverslagen zich veelal toespitsen op werknemersfraudezaken, en dat de financiële impact meestal niet is vermeld of heel erg gering in omvang is.
De accountantsorganisaties rapporteren niet of niet (altijd) over dezelfde fraudegevallen en situaties van overtreding van wet- en regelgeving in de controleverklaringen. De niet-materiële omvang van de fraude en overtredingen kan een overweging zijn geweest om niet of anders hierover te rapporteren.
Noten
(1) Het onderzoek naar rapportering over overtreding van wet- en regelgeving heeft in 2019 voor het eerst plaatsgevonden, derhalve is de mutatie ten opzichte van 2018 niet gerapporteerd.
(2) Over 2018 is dit niet onderzocht.
(3) Toelichting [1] Voor een fonds was deze vraag in 2018 niet beantwoord, het antwoord dat gegeven had moeten worden lijkt ‘nee’ te zijn.