Onderzoek naar fraude(risico's) in de uitgebreide controleverklaring

Sinds de invoering van de uitgebreide controleverklaring in 2014 geeft de accountant meer inzicht in zaken zoals de materialiteitsbepaling, de dekking van de groepscontrole en de belangrijkste aandachtspunten van de controle (kernpunten, ofwel key audit matters). Recent is door de werkgroep Fraude van de NBA onderzoek gedaan naar de mate waarin er in deze verklaringen aandacht wordt besteed aan de onderwerpen (risico’s op) fraude en overtreding van wet- en regelgeving.

Het onderzoek

Het onderzoek richtte zich op de vraag in welke mate in de uitgebreide controleverklaring aandacht wordt besteed aan beide onderwerpen. Voor de controleverklaringen die aandacht besteden aan deze onderwerpen is tevens onderzocht op welke wijze en op welke plaats in de verklaring dat is gedaan. Het onderzoek richtte zich op de jaarrekeningen 2018 van vijftig AEX- en AMX-fondsen.

De resultaten van het onderzoek zijn weergegeven in de tabel 'Kwantitatieve analyse'.

De fondsen zijn gecontroleerd door de volgende accountantsorganisaties:

Accountantsorganisatie Aantal
Deloitte 12
EY 16
KPMG 13
PwC 7
Deloitte en EY 1
Deloitte en KPMG 1
Totaal 50

Kwantitatieve analyse

De kwantitatieve uitkomsten van het onderzoek zijn als volgt:

Ten aanzien van fraude(risico’s) Ja Nee
  n % n %
De uitgebreide controleverklaring bevat een paragraaf over fraude(risico’s) 22 44% 28 56%
Fraude is behandeld in een key audit matter 12 24% 38 76%
Het frauderisico ten aanzien van de omzetverantwoording is behandeld 18 36% 32 64%
Het risico dat het management de interne beheersing doorbreekt is behandeld 22 44% 28 56%
Er zijn overige aangelegenheden ten aanzien van fraude behandeld 12 24% 38 76%
Ten aanzien van (het risico op) overtreden van wet- en regelgeving Ja Nee
  n % n %
De uitgebreide controleverklaring bevat een paragraaf over (het risico op) overtreden van wet- en regelgeving 15 30% 35 70%
De factoren die een rol spelen ten aanzien van het overtreden van wet- en regelgeving worden behandeld 8 16% 41 + 1 [1] 84%
Een of meer risico’s op het overtreden van wet- en regelgeving worden behandeld 10 20% 39 + 1 [2] 80%

[1] Voor een fonds is deze vraag niet beantwoord, het antwoord dat gegeven had moeten worden lijkt ‘nee’ te zijn.
[2] idem.

Kwalitatieve analyse

Zoals de kwantitatieve analyse laat zien is in 2018 door accountantskantoren in een substantieel aantal controleverklaringen transparantie gegeven over de onderkende risico’s en de daarmee verband houdende controlewerkzaamheden ten aanzien van fraude en niet-naleven van wet- en regelgeving.

Als we kijken naar de uitgebreide controleverklaringen waarin aandacht wordt besteed aan fraude en niet-naleven van wet- en regelgeving, dan constateren we dat er nogal verschillend wordt omgegaan met deze onderwerpen in de uitgebreide controleverklaring. We zien de volgende benaderingen terugkomen:

  1. Een separate paragraaf met een (algemene) beschrijving wat de verantwoordelijkheden van de accountant zijn ten aanzien van fraude en/of overtreding van wet- en regelgeving, en wat de audit response ten aanzien van deze aspecten is geweest.
  2. Een paragraaf, die ingaat op verantwoordelijkheden en aanpak ten aanzien van fraude en/of niet-naleven van wet- en regelgeving,  als onderdeel van de sectie waarin audit scope en materialiteit worden behandeld.
  3. Een key audit matter waarin een specifiek risico beschreven wordt, en de wijze waarop daar in de controle mee om is gegaan

Uiteraard kan er sprake zijn van een combinatie van de eerste of tweede variant met een key audit matter. De plaats en volgorde van de betreffende secties verschilt; de separate paragraaf staat soms voor en soms na de key audit matters. Los van deze verschillen in benadering zijn er ook verschillen in de mate van gedetailleerdheid: van relatief standaard ‘boilerplate’-teksten tot aan vrij gedetailleerde beschrijving van specifieke risico’s en feitelijke situaties van signaal of aanwijzing voor fraude of het overtreden van wet- en regelgeving.

Ten aanzien van de key audit matters is niet altijd duidelijk of deze het gevolg is van het identificeren van een frauderisico.  Een dergelijke relatie kan er wel zijn, bijvoorbeeld bij een schattingspost in de jaarrekening, waarbij het risico op doorbreking van de interne controle door het management aanwezig is.

Ter illustratie geven we onderstaand een aantal voorbeelden weer van elk van de beschreven behandelwijzen:

Relx Plc (EY UK): het independent auditor’s report bevat een key audit matter ten aanzien van ‘Aspects of revenu recognition’. Als onderdeel van de beschrijving van het risico staat onder meer: ‘We have determined that there is a risk in relation to each of the business areas related to the opportunity to commit fraud in the respective revenue streams through manual adjustments or override of controls by management.’ De KAM beschrijft vervolgens de audit response op het risico en de key observations zoals gecommuniceerd aan het audit committee.

De sectie ‘other information’, die volgt na de behandeling van de KAM’s, bevat daarnaast een paragraaf getiteld ‘Explanation as to what extent the audit was considered capable of detecting irregularities, including fraud’. Deze paragraaf beschrijft de doelstellingen van de audit ten aanzien van fraude en de aanpak die gevolgd is. De aanpak omvat eveneens non-compliance with laws and regulations. Deze sectie bevat geen beschrijving van specifieke risico’s.

Arcadis NV (PWC): het independent auditor’s report bevat een sectie getiteld ‘Our focus on fraud’, welke achtereenvolgens de doelstellingen, de risk assessment en de response ten aanzien van fraude beschrijft. Naast het algemeen geldende risico op management override worden specifiek genoemd ‘the potential impact of performance based bonus schemes en het risico in relatie tot bribery and corruption’. De sectie eindigt met een verwijzing naar de key audit matters, die na deze paragraaf volgen. Tevens wordt hierbij gemeld dat het voorbeelden betreft waarin management ‘significant judgements’ maakt. In de KAM’s wordt niet specifiek een frauderisico benoemd.

Koninklijke Vopak N.V. (Deloitte): het independent auditor’s report bevat een separate sectie getiteld ‘Consideration of fraud in the audit of financial statements’. Deze sectie volgt na de KAM’s en beschrijving van verantwoordelijkheden. De sectie bevat een beschrijving van de verantwoordelijkheden van de accountant ten aanzien van fraude, en een beschrijving waarom het detectierisico ten aanzien van fraude anders is dan het risico op een materiele onjuistheid ten gevolge van een fout. De sectie bevat verder een beschrijving van de audit response. Er worden geen specifieke frauderisico’s benoemd. De sectie inzake fraude wordt gevolgd door een vergelijkbare sectie getiteld ‘Consideration of laws and regulations in the audit of financial statements’.

Unilever N.V. (KPMG NL/UK): het independent auditor’s report bevat een key audit matter ten aanzien van revenue recognition, waarin ook het risico wordt beschreven dat ‘revenue overstated’ is, ‘due to fraud through manipulation of the discounts, incentives and rebates’. In de KAM wordt verder de aanpak en de resultaten daarvan behandeld. Hoofdstuk 3 van het accountantsverslag betreft ‘our application of materiality and an overview of the scope of our audit’. Dit hoofdstuk bevat een sectie ‘scope in relation to irregularities, waar ‘fraud’ en ‘laws and regulations’ behandeld worden. Hierin worden in algemene zin de verantwoordelijkheden en de aanpak beschreven.

Aanbevelingen

Transparantie over de controlewerkzaamheden ten aanzien van fraude en het overtreden van wet- en regelgeving door de accountant draagt bij aan het begrip over de rol van de accountant ten aanzien van deze onderwerpen en stimuleert een expliciete discussie over deze onderwerpen. Externe stakeholders zijn hier tevens positief over, maar geven aan dat het niet duidelijk is waarom dat in bepaalde gevallen niet wordt opgenomen in de uitgebreide controleverklaring.

De Stuurgroep Publiek Belang doet een oproep om in de uitgebreide controleverklaring in een separate paragraaf aandacht te besteden aan de onderwerpen (risico’s op) fraude en (risico’s op het) overtreden van wet- en regelgeving. De bewoording van de controleverklaring moet voldoende specifiek zijn en ‘boilerplate’-teksten moet zoveel als mogelijk voorkomen worden. Het is aan te bevelen onder andere de volgende aspecten in de paragraaf te benoemen:

  • Factoren relevant voor de bepaling van frauderisico’s alsmede risico’s op het overtreden van wet- en regelgeving;
  • Indirecte regelgeving relevant voor de cliënt;
  • Geïdentificeerde significante risico’s ten aanzien van fraude alsmede het overtreden van wet- en regelgeving;
  • De audit response ten aanzien van geïdentificeerde risico’s; en
  • De inzet van forensische specialisten.

Indien de werkzaamheden leiden tot (specifieke) relevante bevindingen dan dient in lijn met daarvoor bestaande regelgeving overwogen te worden deze bevindingen ook te rapporteren in een key audit matter.