De casus betreft een fictieve situatie, die is samengesteld op basis van delen van verschillende cases uit binnen- en buitenland. Elke overeenkomst met een reële situatie berust op toeval. De opvolging in de beschreven situatie is illustratief. In de praktijk zal een accountant van geval tot geval moeten bepalen wat in de specifieke situatie de noodzakelijke stappen en werkzaamheden zijn.

Beschrijving van de casus

Klant X is een handelsorganisatie die elektronica verkoopt aan andere handelsorganisaties (B2B-verkopen), die deze vervolgens doorverkopen aan individuele klanten (B2C-verkopen). Het bestuur van klant X bestaat uit twee personen. Tijdens de planningsfase van de controle heeft de accountant kennis verkregen over het proces rondom het indienen van en het verkrijgen van goedkeuring voor onkostendeclaraties. Hierbij heeft de accountant zich met name gefocust op de interne controles binnen dit proces en de cultuur binnen de organisatie omtrent onkostendeclaraties.

Bij klant X betreft dit een handmatig proces waarbij het toevoegen van de originele bonnetjes niet standaard is voor het verkrijgen van de juiste goedkeuring. Voor uitbetaling dienen er wel bonnetjes aanwezig te zijn. Nadat een onkostendeclaratie is goedgekeurd geeft de medewerker de goedgekeurde onkostendeclaratie, nu inclusief bonnetjes, aan de financiële administratie die op basis van goedkeuring overgaat tot uitbetaling. De declaratie van de ene bestuurder dient door de andere bestuurder goedgekeurd te worden.

Wat heeft de accountant geconstateerd?

De accountant heeft bovenstaande observaties bij het kostendeclaratieproces betrokken bij zijn frauderisicoanalyse. Hierbij heeft de accountant aangestipt dat het een handmatig proces betreft en dat voor de goedkeuring op de onkostendeclaraties de onderliggende bonnetjes en bewijzen niet gecontroleerd worden. Specifiek heeft het team hierbij overwogen of het een kwalitatief en/of kwantitatief materieel risico is, wat de kans is dat er gefraudeerd wordt binnen dit proces en wat de reikwijdte van een mogelijke fraude binnen dit proces is. Op basis van de hiaten in het kostendeclaratieproces en het feit dat de integriteit van het management mogelijk in het geding is heeft de accountant geconcludeerd dat sprake is van een significant risico. De accountant heeft vervolgens aanvullende gegevensgerichte werkzaamheden gepland om het geïdentificeerde significante frauderisico af te dekken (NV COS 240).

Bij de uitvoering van de gegevensgerichte werkzaamheden heeft de accountant een specificatie opgevraagd van alle onkostendeclaraties die gedurende het jaar zijn ingediend. Door middel van het doorlopen van deze lijst heeft het controleteam geïdentificeerd dat een van de bestuurders een aantal ongebruikelijk hoge onkostendeclaraties heeft ingediend (dertien rapporten van minimaal €2.000). Hierop heeft de accountant een paar van deze rapporteren geselecteerd voor verdere testwerkzaamheden. Bij de controle van deze rapporten blijkt dat het rapport dat via de email is goedgekeurd door de medebestuurder, afwijkt van de rapporten die de bestuurder vervolgens aan de financiële administratie heeft gegeven.

Op basis van deze bevindingen dringt de accountant er bij de klant op aan om een onafhankelijk onderzoek uit te laten voeren door een forensische accountant. De accountant start een consultatie binnen de daarvoor ingestelde afdeling binnen de eigen organisatie. De accountant is eveneens betrokken bij het bepalen van de reikwijdte van het onderzoek van de forensisch accountant. Hierbij beoordeelt het controleteam de aanwezige kennis en kunde van de forensisch accountant conform NV COS 500.8 en de wijze waarop het onderzoek wordt uitgevoerd.

Daarnaast beoordeelt de accountant, in samenspraak met specialisten op het gebied van fraude, de impact van de bevindingen op het controleplan.

Wat was de uitkomst?

Op basis van dit onderzoek zijn de volgende drie constateringen gedaan:

  • Verschillende malen diende de bestuurder declaraties meer dan één keer in;
  • De bestuurder heeft meerdere malen de bonnetjes aangepast waardoor het moeilijk was om vast te stellen wanneer de kosten zijn gemaakt en waar de kosten zijn gemaakt;
  • Meerdere malen diende de bestuurder niet-zakelijke kosten in als zijnde zakelijke kosten. Hierbij declareerde hij onder andere kosten voor:
    • diner- en hotelkosten voor privéactiviteiten;
    • diners betaald met de creditcard van familie;
    • kosten die tijdens een vakantie werden gemaakt;
    • niet goedgekeurde aankopen voor zijn ‘kantoor aan huis’;
    • snelheidsboetes.

De accountant heeft kennisgenomen van het rapport van de forensisch accountant. Op basis van alle verkregen informatie heeft de accountant de impact op de rest van het controleplan en de jaarrekening bepaald. In dit geval waren er twijfels over de integriteit van het management en heeft het controleteam overwogen welke invloed dit heeft op de jaarrekening als geheel. Vervolgens heeft het controleteam bepaald welke verdere werkzaamheden er uitgevoerd dienden te worden op het niveau van de jaarrekening en/of de toelichting om vast te stellen dat de jaarrekening zonder materiële fouten (als gevolg van fraude) is. Speciale aandacht is hierbij besteed aan de onderdelen van de jaarrekening waar de invloed van management het meest aanwezig is, zoals de schattingselementen in de jaarrekening. Tot slot heeft de accountant de waarde van de bevestiging bij de jaarrekening beoordeeld nu bekend is geworden dat een van de bestuurders gefraudeerd heeft. Ook heeft de klant de procedure aangepast om te voorkomen dat een dergelijke fraude zich in de toekomst nogmaals kan voordoen. De accountant heeft kennisgenomen van deze aanpassingen en vastgesteld dat deze in opzet adequaat zijn.

Op basis van de verrichte werkzaamheden concludeert de accountant dat de fraude inderdaad beperkt is gebleven tot de onkostendeclaraties en dat de andere bestuurder hiervan niet op de hoogte was. De correctie daarvan is adequaat verwerkt in de jaarrekening. Ook uit zijn extra werkzaamheden over voorgaand jaar blijken geen additionele onjuistheden. De frauderende bestuurder is ontslagen en zijn rol is overgenomen door een nieuwe bestuurder afkomstig van een externe organisatie. Klant X heeft tevens aangifte gedaan tegen de voormalig bestuurder. Ook overweegt de accountant de impact van eventuele fiscale gevolgen op de jaarrekening, als gevolg van de geconstateerde fraude. Tenslotte overweegt de accountant of de transacties gemeld moeten worden bij de FIU.

Fraudeprotocol

De accountant heeft op effectieve wijze invulling gegeven aan specifiek de volgende (deel)aspecten van het Fraudeprotocol:

7. De accountant stelt passende controlewerkzaamheden vast, die zijn gericht op het ondervangen van de frauderisico’s. Voor de accountant is een frauderisico altijd een belangrijk risico (een zogenaamd ‘significant risico’).

9. De accountant zal altijd controlewerkzaamheden verrichten die gericht zijn op het frauderisico dat management de interne beheersing doorbreekt.

10. Als sprake is van een aanwijzing van mogelijke fraude - ongeacht de materialiteit -, onderneemt de accountant concrete actie. Er wordt onderzocht of al dan niet sprake is van een incident. Er wordt niet weggekeken of weggeredeneerd. Accountants laten zich daarbij niet weerhouden door tijdsdruk, budgetdruk, belangen of emoties. Ook niet als de fraude al langer aan de hand blijkt te zijn of als management mogelijk betrokken is bij de fraude.

13. Accountants blijven betrokken bij het onderzoek naar de aard en de omvang van de fraude. Dit is van belang omdat tijdens het onderzoek informatie naar boven kan komen die de accountant nodig heeft voor het beoordelen van de impact op jaarrekening en het herstelplan en voor het kunnen afronden van de controle. Accountants spreken van tevoren af dat de uitkomsten van het onderzoek met hen worden gedeeld en hoe zij inzage krijgen in het onderliggende dossier; als dit ontoereikend is evalueren zij de impact daarvan op de controleverklaring.

16. In alle gevallen (dus ook als de fraude van niet materieel belang en/of het herstelplan toereikend is), overwegen accountants welke gevolgen de gesignaleerde integriteitsrisico’s voor hun opdracht hebben.