De Autoriteit Financiële Markten (AFM) oefent toezicht uit op accountants. In het verlengde hiervan onderzocht de AFM (2025) de kwaliteit van de controlewerkzaamheden die accountants uitvoeren, gericht op frauderisico’s. De AFM toetste bij 13 accountantsorganisaties in totaal 32 wettelijke controles voor boekjaar 2022 en 2023. Hierbij werd onderzocht of de externe accountant in de wettelijke controle voldoende en geschikte controle-informatie heeft verkregen over de ingeschatte risico’s op een afwijking van materieel belang als gevolg van fraude. In 23 van de 32 uitgevoerde wettelijke controles bleek de controle op frauderisico’s echter niet afdoende te zijn.

De conclusie van de AFM was dat de uitgevoerde werkzaamheden vaak onvoldoende specifiek en onvoldoende diepgaand zijn. Accountants plannen en voeren alleen standaardwerkzaamheden uit zonder de aard, timing en omvang aan te passen aan het frauderisico. Bij driekwart van de onderzochte controles van de jaarrekening vond de accountant niet voldoende en geschikte controle-informatie over de frauderisico’s en is de fraudeparagraaf in de controleverklaring in 10 gevallen op één of meer onderdelen onjuist of onvolledig. De professioneel-kritische instelling en de grondhouding van accountants moeten volgens de AFM beter. De toezichthouder verwacht dat accountants (organisaties) hun verantwoordelijkheid nemen voor het onderwerp fraude.

Bovenstaande kritiek van de AFM is natuurlijk niet best. Deze bevinding leidde dan ook direct na deze publicatie tot een storm van kritiek op accountants, zowel op sociale media als in de financiële pers.

Het bestuur van een organisatie heeft primair de verantwoordelijkheid voor het voorkomen en ontdekken van fraude. Het bestuur richt onder meer hiervoor een stelsel van interne controlemaatregelen in. Indien dit systeem goed functioneert, kunnen de meeste fraudes worden voorkomen respectievelijk ontdekt. Het systeem van interne controle kan echter leemtes vertonen:

1. Controletechnische functiescheiding is een belangrijke interne controlemaatregel om fraude te voorkomen. Medewerkers kunnen echter onderling of met een derde buiten de organisatie besluiten samen te spannen en zo de controletechnische functiescheiding omzeilen.
2. Er kunnen onopzettelijke fouten worden gemaakt bij het uitvoeren van interne controlemaatregelen. Er is daarom meestal sprake van een combinatie van controlemaatregelen.
3. Er zal een kosten-batenafweging gemaakt worden voor de inzet van interne controlemaatregelen. Dit betekent dat er risico’s overblijven die niet afgedekt zijn door interne controlemaatregelen.

De meeste situaties waarin fraudes zich voordoet worden door één van deze drie leemtes veroorzaakt.

De ernstigste fraudes zijn een speciale variant van leemte één. Deze worden vaak gepleegd als het bestuur zelf meedoet aan de fraude. Voorbeelden hiervan zij Satyam, WorldCom, Enron, Ahold, Wirecard). De functiescheiding wordt dan door het management doorbroken. Dit wordt ook wel aangeduid met de term ‘management override’. De positie die het management in de organisatie inneemt zorgt er qualitate qua voor dat dit risico altijd aanwezig is. Zie ook Van Leeuwen and Wallage (2010; 2011).

Het management is als eindverantwoordelijke voor de interne beheersingsomgeving in staat om de binnen de organisatie aangebrachte functiescheidingen in combinatie met andere interne controlemaatregelen te doorbreken en de rapportages inzake het functioneren van de interne beheersingsomgeving aan te laten passen. Management override leidt uiteindelijk tot onbetrouwbare financiële, performance- of duurzaamheidsrapportages.

Daarom is er bij het voorkomen van dit soort problemen een belangrijke rol weggelegd voor de toezichthouders (RvC en audit committees) van een organisatie. De toezichthouders zullen zichzelf de vraag moeten stellen of een dergelijke aanpassing (veelal in de vorm van het manipuleren van de weergave van resultaten en/of de financiële positie van de organisatie) door het management wel of niet heeft plaatsgevonden.

De rol die toezichthouders bij het ontdekken van fraude kunnen spelen moet echter niet worden overschat en dekt het frauderisico zeker niet volledig af. Begrijpelijk is dan ook dat de AFM audit committees oproept de bevindingen van de AFM met hun controlerend accountant te bespreken.

Omdat de rol die toezichthouders kunnen spelen niet moet worden overschat is het goed dat in de HRA in standaard 240 de verantwoordelijkheden van externe accountants voor het ontdekken van fraude zijn uitgewerkt. Deze standaard behandelt de verantwoordelijkheden van de accountant met betrekking tot fraude in het kader van een controle van financiële overzichten. Volgens de standaard is de accountant verantwoordelijk voor het ontdekken van afwijkingen die voortkomen uit frauduleuze financiële verslaggeving en afwijkingen die voortkomen uit de oneigenlijke toe-eigening van activa (lees: diefstal). De accountant kan vermoeden – of, in zeldzame gevallen, identificeren – dat fraude heeft plaatsgevonden, maar stelt niet juridisch vast of er al dan niet echt fraude heeft plaatsgevonden.

Als er sprake is van fraudes of vermoedens moeten deze worden opgespoord door financiële en of fiscale opsporingsdiensten. De accountant moet bij zijn/haar controle vaststellen dat er geen materiële niet ontdekte afwijkingen in de jaarrekening zitten. In dit kader onderzoekt de accountant of hierop een risico aanwezig is dat wordt veroorzaakt door fraude. Indien dit het geval is, dient de accountant actie te ondernemen zoals nader onderzoek, bespreking ervan met de leiding en de toezichthouders en bij het uitblijven van onderzoek door leiding/toezicht dit te melden bij de FIU.

Kortom, als zowel het bestuur (al of niet opzettelijk) als de toezichthouders fraude niet hebben kunnen voorkomen en/of ontdekt, moet de accountant dit doen! Op zich is dit logisch: er is geen andere beroepsgroep in de gelegenheid om zo goed fraudes te kunnen ontdekken als onderdeel van de reguliere werkzaamheden. De controlerend accountant heeft immers toegang tot de haarvaten van de organisatie. De vervolgstap moet dan worden gezet door een opsporingsambtenaar.

Het ontdekken van fraude is zeker niet eenvoudig en soms zelfs niet goed mogelijk. Vandaar dat de HRA standaard 240 aangeeft dat de accountant verantwoordelijk is voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of fouten. Door de inherente beperkingen van een controle bestaat er een onvermijdelijk risico dat afwijkingen van materieel belang in de financiële overzichten niet altijd ontdekt worden, ook al is de controle goed gepland en overeenkomstig de standaarden uitgevoerd.

De accountant heeft echter een breed arsenaal aan in te zetten controlemaatregelen.

Handreiking 1153 (NBA Handreiking 1153) hanteert de zogenoemde fraudedriehoek voor het onderkennen van frauderisicofactoren. Dit zijn druk (bijvoorbeeld om goede maandresultaten te behalen), gelegenheid (bijvoorbeeld door samen te werken om het maandresultaat frauduleus te verhogen) en rechtvaardiging (we zijn een goed bedrijf, we doen dit alleen deze maand, volgende maand trekken we het wel weer recht). Het deze maand gepubliceerde onderzoek in het MAB (Droogsma and Van Leeuwen 2025) geeft aan dat de kwaliteit van de frauderisicoanalyses in volgorde van afnemende belangrijkheid positief wordt beïnvloed door:

• de wijze van optreden van bestuurders;
• de toewijzing van verantwoordelijkheden binnen de organisatie op het terrein van interne controle;
• de omvang van de organisatie;

het inrichten van structuren, rapportagelijnen en verantwoordelijkheden en bevoegdheden van het management die meehelpen om fraude te voorkomen. Accountants kunnen op hun beurt bij het uitvoeren van de frauderisicoanalyses met deze onderzoeksbevindingen rekening houden.

Kortom, hoewel niet alle fraudes ontdekt kunnen worden, kan de accountant zeker een belangrijke rol spelen bij het vinden van zoveel mogelijk fraudes.

Hoe komt het nu dat accountantskantoren onvoldoende aandacht schenken aan frauderisico’s? De AFM geeft aan dat dit aan de professioneel-kritische instelling en de grondhouding van accountants ligt. De professioneel-kritische houding zou zich moeten kenmerken door een onderzoekende instelling, alertheid op omstandigheden die kunnen duiden op eventuele afwijkingen die het gevolg zijn van fouten of fraude, en een kritische evaluatie van controleinformatie. Dit ontbrak er echter juist aan. Zo zien accountants de frauderisico’s niet of beredeneren accountants soms waarom frauderisico’s toch niet een groot risico vormen, in plaats van dat zij de scope en diepgang van de werkzaamheden aanpassen en daarmee inspelen op de door hen zelf geïdentificeerde frauderisico’s.

Wat de grondhouding betreft geeft de AFM aan dat dit de belangrijkste factoren zijn voor het nog onvoldoende onderkennen en opvolgen van frauderisico’s:

• Kennis, kunde en expertise zijn niet altijd voldoende aanwezig.
• Rolopvatting, houding en mindset kunnen ten aanzien van detectie van fraude(risico’s) tekortschieten.
• De interne cultuur van accountantsorganisaties kan belemmerend werken.

Het ontdekken van fraudes is inderdaad niet gemakkelijk. Het volgen van specifieke opleidingen hiervoor ligt dan ook voor de hand. Dergelijke (opfris)opleidingen kunnen desgewenst eenvoudig door de bestaande accountantsopleidingen verzorgd worden. Ook kunnen zogenoemde forensische experts bij de controle worden ingezet.

Rolopvatting en cultuur zijn veel lastigere zaken. Het begint ermee dat accountantskantoren zich realiseren dat zij de enige partij zijn die in het verlengde van hun wettelijke controleopdracht zoekt naar al dan niet materiële afwijkingen in de jaarrekening, waarmee zij in een positie zijn om structureel fraudes te kunnen ontdekken. Het niet ontdekken van de fraude kan leiden tot een materieel onjuiste jaarrekening. Dit geldt in de nabije toekomst ook voor afwijkingen in duurzaamheidsrapportages die door accountants worden gecontroleerd. De wens om onze samenleving op dit vlak vooruit te helpen vloeit daar dan logisch uit voort.

Alleen als accountants zich hiervan bewust zijn en hieraan gevolg kunnen en willen geven zullen accountantskantoren conform de wens van de AFM concrete verbetermaatregelen gaan treffen om de kwaliteit te verhogen van de controlewerkzaamheden die inspelen op frauderisico’s. Dit is noodzakelijk om Nederland – conform de marketingslogan van de NBA – op zijn accountants te laten rekenen! Alleen dan zullen onze accountants afwijkingen in jaarrekeningen als gevolg van fraude ook daadwerkelijk gaan ontdekken.