Corresponding author: Arjan Brouwer ( arjan.brouwer@nl.pwc.com ) Academic editor: Chris D. Knoops
© 2019 Arjan Brouwer, Martijn De Vroom, Berry Van Blijderveen.
This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.
Citation:
Brouwer A, De Vroom M, Van Blijderveen B (2019) Informatie over fraude en naleving van wet- en regelgeving. Maandblad Voor Accountancy en Bedrijfseconomie 93(11/12): 361-375. https://doi.org/10.5117/mab.93.46366
|
In dit artikel doen we verslag van onderzoek naar de informatieverschaffing over risico’s en mitigerende maatregelen ten aanzien van fraude en overtreding van wet- en regelgeving in het bestuursverslag, het verslag van de raad van commissarissen (rvc) en de controleverklaring. Aanleiding is de maatschappelijke discussie over deze onderwerpen en specifiek de oproep eerder dit jaar van de Vereniging voor Effectenbezitters (VEB) in haar accountantsbrief 2019 (
Uit het onderzoek blijkt dat in minder dan de helft van de bestuursverslagen het frauderisico wordt vermeld als significant risico in de risicoparagraaf of de materialiteitsmatrix (of beide). Risico’s ten aanzien van overtreding van wet- en regelgeving worden door nagenoeg alle ondernemingen gerapporteerd. In het verslag van de raad van commissarissen wordt zelden concreet aandacht besteed aan de wijze waarop de rvc toezicht houdt op de adequate beheersing van risico’s op fraude of overtreding van wet- en regelgeving. Bestuurders en commissarissen lijken derhalve een ander beeld te hebben bij het belang van frauderisico’s voor de onderneming dan stakeholders.
Ongeveer de helft van de ondernemingen die specifieke risico’s rapporteren beschrijft de maatregelen van interne beheersing waarmee het risico wordt gemitigeerd. Andere ondernemingen volstaan met een meer generieke beschrijving van maatregelen die zijn gericht op ethisch gewenst gedrag. Informatie over de verwachte impact van fraude of overtreding van wet- en regelgeving wordt in veel gevallen niet verstrekt.
In de controleverklaring wordt in 64% van de gevallen aandacht besteed aan de werkzaamheden ten aanzien van het frauderisico en bij 18% aan het risico van overtreding van wet- en regelgeving. Hier lijkt een effect zichtbaar van de maatschappelijke aandacht voor de rol van de accountant in het algemeen en ten aanzien van frauderisico’s in het bijzonder. Het resultaat hiervan is dat accountants richting stakeholders in meer gevallen informatie verstrekken over het mitigeren van frauderisico’s dan bestuurders en, vooral, commissarissen van ondernemingen.
Fraude, risicoparagraaf, bestuursverslag, kernpunten controleverklaring
Er is een behoefte bij stakeholders aan meer informatie over de risico’s en maatregelen ter voorkoming/bestrijding van fraude en overtreding van wet- en regelgeving. Hierbij hebben bestuur, commissarissen en de accountant op basis van wet-en-regelgeving en codes een eigen verantwoordelijkheid. Wij onderzoeken of en in welke mate door het bestuur, de commissarissen en de accountant, ieder vanuit hun eigen verantwoordelijkheid, over fraude en niet-naleving van wet- en regelgeving verantwoording wordt afgelegd. Voor bestuur, commissarissen, accountants biedt deze bijdrage handvatten voor een betere en meer consistente verantwoording. Daarnaast kan deze bijdrage input leveren in het publieke debat over de verantwoordelijkheid van de genoemde partijen.
Er is veel maatschappelijke aandacht voor het voorkómen van fraude en het waarborgen dat wet- en regelgeving wordt nageleefd door ondernemingen. Indien de interne procedures bij een onderneming fraude of overtreding van wet- en regelgeving niet hebben voorkómen dan leidt dat vaak tot veel media-aandacht en reputatieschade voor de betrokken onderneming(en). Ook kunnen de financiële consequenties in de vorm van boetes of andere sancties (uitsluiting van aanbestedingen) groot zijn. Volgens
In 2015 zijn de 2030 Agenda for Sustainable Development en daarmee de 17 Sustainable Development Goals (SDGs) vastgesteld door de Verenigde Naties (
Bij het realiseren van deze doelstellingen is een belangrijke rol weggelegd voor het bedrijfsleven en in 2017 riep
“Fraude in de breedste zins des woords – waaronder ook corruptie, belastingontduiking, sanctieovertredingen en (faciliteren van) witwassen wordt verstaan – heeft grote materiële en immateriële impact op de onderneming en stakeholders.
(……)
De VEB vindt dat het onderwerp ‘fraude’ een standaard onderdeel moet zijn van de risicoparagraaf in het bestuursverslag. De raad van commissarissen, en met name de audit commissie, moet in deze paragraaf uitgebreid uitleggen welke fraude- en corruptierisico’s op de onderneming in kwestie van toepassing zijn. Ook moet gerapporteerd worden wat is ondernomen om genoemde frauderisico’s op te sporen en mitigeren.”
Opvallend hierbij is dat de VEB deze brief heeft gericht aan de accountantsorganisaties die Organisaties van Openbaar Belang (OOBs) controleren, maar geen brief met deze oproep heeft gericht aan de (bestuurders en commissarissen van de) ondernemingen waarvan haar leden de aandeelhouder zijn.
Er is dus een behoefte bij stakeholders aan meer informatie over de risico’s en maatregelen ter voorkoming/bestrijding van fraude en overtreding van wet- en regelgeving. Eumedion heeft in het verleden (
In paragraaf 2 gaan we in op de relevante wet- en regelgeving. In paragraaf 3 en 4 worden de onderzoekspopulatie en de resultaten van het empirisch onderzoek naar de informatieverschaffing over fraude en naleving van wet- en regelgeving in het bestuursverslag, het verslag van de raad van commissarissen en de controleverklaring besproken. In paragraaf 5 wordt afgesloten met de conclusies en slotbeschouwing.
Op grond van art 2:391 lid 1 BW geeft het bestuursverslag een beschrijving van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd.
Op grond van art. 2:391 lid 5 BW passen de in het kader van dit artikel onderzochte beursgenoteerde ondernemingen daarnaast de Corporate Governance Code (Code) toe. Op grond van best practice bepaling 1.1.1 van de Code wordt bij het vormgeven van de strategie, als uitwerking van de visie op langetermijnwaardecreatie, onder andere aandacht besteed aan relevante aspecten van ondernemen, zoals milieu, sociale en personeelsaangelegenheden, de keten waarin de onderneming opereert, eerbiediging van mensenrechten en bestrijding van corruptie en omkoping. Best practice bepaling 1.1.4 geeft daarnaast aan dat het bestuur in het bestuursverslag een toelichting geeft op zijn visie op langetermijnwaardecreatie en op de strategie ter realisatie daarvan en toelicht op welke wijze in het afgelopen boekjaar daaraan is bijgedragen.
Principe 1.2 geeft aan dat bet bestuur verantwoordelijk is voor het identificeren en beheersen van de risico’s verbonden aan de strategie en de activiteiten van de vennootschap en op grond van principe 1.4 legt het bestuur verantwoording af over de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen waarbij aandacht wordt besteed aan (best practice bepaling 1.4.2):
i. “de uitvoering van de risicobeoordeling en de voornaamste risico’s waarvoor de vennootschap zich geplaatst ziet in relatie tot haar risicobereidheid. Hierbij kan gedacht worden aan strategische, operationele, compliance- en verslaggevingsrisico’s;
ii. de opzet en werking van de interne risicobeheersings- en controlesystemen over het afgelopen boekjaar;
iii. eventuele belangrijke tekortkomingen in de interne risicobeheersings- en controlesystemen die in het boekjaar zijn geconstateerd, welke eventuele significante wijzigingen in die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn voorzien en dat deze onderwerpen besproken zijn met de auditcommissie en de raad van commissarissen; en
iv. de gevoeligheid van de resultaten van de vennootschap voor materiële wijzigingen in externe omstandigheden.”
In Richtlijn voor de jaarverslaggeving 400.110a wordt benadrukt dat het niet de bedoeling is om een uitputtende uiteenzetting van alle mogelijke risico’s en onzekerheden te geven, maar dat ondernemingen een selectie en weergave van de belangrijkste risico’s en onzekerheden moeten geven. Richtlijn 400.118 e.v. beveelt aan, voor zover relevant, aandacht te besteden aan onder meer algemene maatschappelijke aspecten, zoals informatie over governance en ethiek in relatie tot integriteit en het tegengaan van corruptie en sociale aspecten. Hieronder wordt onder meer informatie over mensenrechten verstaan.
Op grond van best practice bepaling 2.5.4 geeft het bestuur in het bestuursverslag specifiek een toelichting op de werking en naleving van de interne gedragscode.
De raad van commissarissen houdt toezicht op het beleid van het bestuur en de algemene gang van zaken in de onderneming. Hierbij richt de raad zich tevens op de effectiviteit van de interne risicobeheersings- en controlesystemen van de vennootschap en de integriteit en kwaliteit van de financiële verslaggeving (Code principe 1.5). Op grond van best practice bepaling 2.3.11 legt de raad van commissarissen in het verslag van de raad van commissarissen verantwoording af over het uitgeoefende toezicht in het afgelopen boekjaar.
Eveneens op grond van art. 2:391 lid 5 BW past een grote onderneming die OOB is en gemiddeld meer dan 500 werknemers heeft EU Richtlijn 2014/95/EU toe en maakt als onderdeel van het bestuursverslag een niet-financiële verklaring openbaar. In deze verklaring doet de ondernemingen mededelingen over het beleid, de risico’s alsmede de resultaten ten aanzien van:
• milieu-, sociale en personeelsaangelegenheden;
• eerbiediging van mensenrechten; en
• bestrijding van corruptie en omkoping.
De onderzoekspopulatie voor dit onderzoek bestaat uit de Nederlandse beursvennootschappen uit de AEX, AMX en Smallcap index. Verwezen wordt naar de bijlage voor een overzicht van de onderzochte jaarverslagen.
Het bestuursverslag geeft een beschrijving van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd (art 2:393 lid 1 BW). Richtlijn 400.110b geeft aan dat in ieder geval aandacht besteed wordt aan risico’s ten aanzien van de operationele activiteiten waarbij kan worden gedacht aan fraudegevoeligheid of corruptie en aan risico’s ten aanzien van wet- en regelgeving. Dat omvat onder andere “risico’s en onzekerheden van het opereren in een omgeving met veel en complexe regelgeving, risicogevoeligheid van het niet naleven van mededingingsregels en milieuwetgeving, risico’s van (financieel) toezicht, onzekerheden met betrekking tot misbruik van voorwetenschap en risico’s als gevolg van veranderende belastingwetgeving”. Zoals hiervoor vermeld geeft richtlijn 400.110a aan dat het niet gaat om het geven van een uitputtende uiteenzetting van alle mogelijke risico’s en onzekerheden, maar om een selectie en weergave van de belangrijkste risico’s en onzekerheden. Richtlijn 400, alinea 110c, geeft daarnaast aan dat ten aanzien van de voornaamste risico’s en onzekerheden informatie opgenomen dient te worden van de maatregelen die zijn getroffen ter beheersing ervan en een beschrijving van de verwachte ‘impact’ op de resultaten en/of financiële positie. Ook dient een beschrijving opgenomen te worden van de risico’s en onzekerheden die in afgelopen boekjaar een belangrijke impact op de rechtspersoon hebben gehad.
Alle onderzochte ondernemingen nemen een risicoparagraaf op in het bestuursverslag. Echter, niet alle onderzochte ondernemingen onderkennen fraude of overtreding van wet- en regelgeving als één van de belangrijkste risico’s en onzekerheden. Zie tabel 1.
Informatie over risico’s ten aanzien van fraude en naleving van wet- en regelgeving in de risicoparagraaf.
AEX | AMX | AScX | Totaal | |||||
(n = 25) | (n = 25) | (n=25) | (n = 75) | |||||
n | % | n | % | n | % | n | % | |
Fraude | ||||||||
Frauderisico’s afzonderlijk benoemd in risicoparagraaf | 10 | 40 | 6 | 24 | 12 | 48 | 28 | 37 |
Maatregelen van interne beheersing specifiek beschreven (1) | 7 | 70 | 2 | 33 | 6 | 50 | 15 | 54 |
Verwachte impact op financiële positie specifiek beschreven (1) | 3 | 30 | 0 | 0 | 1 | 8 | 4 | 14 |
Wet- en regelgeving | ||||||||
Naleving wet- en regelgeving afzonderlijk benoemd in risicoparagraaf | 24 | 96 | 25 | 100 | 23 | 92 | 72 | 96 |
Maatregelen van interne beheersing specifiek beschreven (1) | 22 | 92 | 10 | 40 | 11 | 48 | 43 | 60 |
Verwachte impact op financiële positie specifiek beschreven (1) | 9 | 38 | 3 | 12 | 2 | 9 | 14 | 19 |
Informatie over fraude of overtreding van wet- en regelgeving die zich heeft voorgedaan tijdens het boekjaar | 13 | 52 | 8 | 32 | 5 | 20 | 26 | 35 |
Uit tabel 1 blijkt dat 28 (37%) ondernemingen frauderisico’s hebben onderkend als belangrijk risico, bij AEX-fondsen 40%, bij AMX-fondsen 24% en bij de smallcaps 48% van de ondernemingen. Voor de andere onderzochte ondernemingen behoren frauderisico’s derhalve niet tot de belangrijkste risico’s of worden niet als zodanig afzonderlijk als risico benoemd. Eerder onderzoek van
Overtreding van wet- en regelgeving is door 72 (96%) van de ondernemingen als belangrijk risico onderkend. Het gaat dan om een grote variëteit aan wet- en regelgeving die voor een onderneming relevant kan zijn. Het meest genoemde risico is het risico dat de onderneming wordt geconfronteerd met corruptie en omkoping (36%). Ook het niet voldoen aan privacywetgeving (AVG, 31%), mededingingsregels en belastingwetgeving (beide 20%), en milieuwetgeving (19%) worden regelmatig genoemd. Risico’s ten aanzien van witwassen wordt door slechts twaalf (16%) ondernemingen specifiek genoemd in de risicoparagraaf, met name ondernemingen werkzaam in de financiële sector. Zie voor meer details tabel 2.
Naleving wet- en regelgeving, veel voorkomende onderwerpen.
AEX | AMX | AScX | Totaal | |||||
(n = 25) | (n = 25) | (n=25) | (n = 75) | |||||
n | % | n | % | n | % | n | % | |
Naleving wet- en regelgeving | ||||||||
Omkoping en corruptie | 9 | 36 | 10 | 40 | 8 | 32 | 27 | 36 |
Persoonsgegevens (AVG) | 10 | 40 | 7 | 28 | 6 | 24 | 23 | 31 |
Mededinging | 8 | 32 | 5 | 20 | 2 | 8 | 15 | 20 |
Belastingwetgeving | 4 | 16 | 4 | 16 | 7 | 28 | 15 | 20 |
Milieuwetgeving | 2 | 8 | 9 | 36 | 3 | 12 | 14 | 19 |
Witwassen | 6 | 24 | 1 | 4 | 5 | 20 | 12 | 16 |
Sancties/export controls | 4 | 16 | 4 | 16 | 1 | 4 | 9 | 12 |
Mensenrechten | 3 | 12 | 3 | 12 | 2 | 4 | 8 | 11 |
Overig | 9 | 36 | 12 | 48 | 17 | 68 | 38 | 51 |
Ten aanzien van geïdentificeerde frauderisico’s geeft 54% van de ondernemingen die een frauderisico rapporteren een specifieke beschrijving van de maatregelen van interne beheersing waarmee de risico’s worden gemitigeerd. Ten aanzien van de risico’s van niet-naleving van wet- en regelgeving is dat 60%. Andere ondernemingen nemen vaak een meer algemene beschrijving op van maatregelen van interne beheersing die tevens deze risico’s mitigeren, zoals een code of conduct, trainingen of een klokkenluidersregeling zonder dit specifiek te koppelen aan het gerapporteerde risico. Unibail-Rodamco-Westfield geeft in het bestuursverslag specifiek aan welke mitigerende acties worden genomen om het risico op corruptie, witwassen en fraude te mitigeren, zie figuur 1.
Good practice: beschrijving specifieke maatregelen van interne beheersing gericht op mitigeren risico op fraude en niet-naleving van wet- en regelgeving. Unibail-Rodamco-Westfield, Registration document 2018, p. 431. https://www.urw.com/registrationdocument.
De beschrijving van de potentiële impact van geïdentificeerde risico’s ten aanzien van fraude of overtreding van wet- en regelgeving is in veel gevallen kwalitatief en algemeen. Zo noemen de onderzochte ondernemingen veelal een negatieve invloed op reputatie of het verlies van vergunningen als mogelijke effecten. Het blijkt in de praktijk echter lastig om concreet aan te geven wat de financiële impact zou kunnen zijn van dergelijke gebeurtenissen. Van de onderzochte ondernemingen heeft 14% dit gedaan voor geïdentificeerde frauderisico’s en 19% voor risico’s van niet-naleving van wet- en regelgeving. Zij doen dit dan door middel van aanduidingen als hoog of laag, concrete bedragen worden niet vermeld. In deze resultaten zijn niet de ondernemingen betrokken die door middel van een afzonderlijke materialiteitsmatrix inzicht geven in de impact van bepaalde risico’s, dit wordt afzonderlijk behandeld in paragraaf 4.2.
In figuur 2 is een voorbeeld opgenomen van IMCD dat in een tabel aangeeft hoe zij de kans en potentiële impact inschat van zowel het risico op niet-naleving van wet- en regelgeving als het risico van omkoping en corruptie.
Good practice: informatie over kans en impact bij overtreding van wet- en regelgeving. IMCD annual report 2018, p. 74. https://www.imcdgroup.com/investors
Een aantal ondernemingen hanteert principes van het Global Reporting Initiative (GRI) bij het opstellen van het bestuursverslag. Om het begrip materialiteit voor niet-financiële thema’s invulling te geven wordt binnen GRI een materialiteitsmatrix gehanteerd. In de materialiteitsmatrix worden thema’s geplot op basis van enerzijds de economische, ecologische en sociale impact ervan op de organisatie en anderzijds de impact op de beoordeling en besluitvorming door stakeholders. Twaalf (48%) AEX-fondsen, veertien (56%) AMX-fondsen en vijftien (60%) Smallcap-fondsen hebben een materialiteitsmatrix opgenomen in het bestuursverslag. De meeste ondernemingen hanteren daarbij de impact op de onderneming op de horizontale as en de impact op stakeholders op de verticale as. Andere aanduidingen komen echter ook voor, zoals inherent risico op de ene as en mate van control op de andere as of relevantie van stakeholders op de ene as en impact op de andere as.
Ook tabel 3 laat zien dat frauderisico’s bij veel ondernemingen niet behoren tot de belangrijkste risico’s die het bestuur onderkent. Van de 41 ondernemingen die een materialiteitsmatrix opnemen, hebben er slechts 17 (41%) een fraude-aspect opgenomen in de matrix waarvan 11 (27%) dit hebben opgenomen in het kwadrant rechtsboven met meest significante (materiële) thema’s. In totaal benoemt 51% van de onderzochte ondernemingen het frauderisico in hetzij de risicoparagraaf hetzij de materialiteitsmatrix. Naleving van wet- en regelgeving wordt door 66% van de ondernemingen als thema genoemd in de materialiteitsmatrix, 44% neemt het op in het kwadrant met de meest materiële thema’s. Opvallend is dat het percentage bij de AMX- en Smallcap-fondsen hoger ligt dan bij de AEX-fondsen.
Fraude en naleving van wet- en regelgeving in de materialiteitsmatrix.
AEX | AMX | AScX | Totaal | |||||
(n = 25) | (n = 25) | (n=25) | (n = 75) | |||||
n | % | n | % | n | % | n | % | |
Materialiteitsmatrix opgenomen | 12 | 48 | 14 | 56 | 15 | 60 | 41 | 55 |
Fraude als thema opgenomen in de matrix (1) | 1 | 8 | 7 | 50 | 9 | 60 | 17 | 41 |
Fraude in kwadrant rechtsboven opgenomen (1) | 1 | 8 | 5 | 36 | 5 | 33 | 11 | 27 |
Naleving wet-en regelgeving als thema opgenomen in de matrix (1) | 4 | 33 | 12 | 86 | 11 | 73 | 27 | 66 |
Naleving wet-en regelgeving in kwadrant rechtsboven opgenomen (1) | 4 | 33 | 7 | 50 | 7 | 47 | 18 | 44 |
Op een aantal specifieke gebieden van mogelijke niet-naleving van wet- en regelgeving moet een deel van de onderzochte ondernemingen informatie verstrekken. Op grond van EU Richtlijn 2014/95/EU moeten grote ondernemingen die OOB zijn en een personeelsbestand van 500 werknemers overschrijden namelijk een niet-financiële verklaring opnemen. Hierin moet de onderneming onder andere ingaan op beleid, risico’s en resultaten ten aanzien van eerbiediging van mensenrechten en bestrijding van corruptie en omkoping. In tabel 4 wordt weergegeven in welke mate de onderzochte ondernemingen die informatie opnemen in het bestuursverslag.
Informatie over eerbiediging van mensenrechten en bestrijding van corruptie en omkoping.
AEX | AMX | AScX | Totaal | |||||
(n = 25) | (n = 25) | (n=25) | (n = 75) | |||||
n | % | n | % | n | % | n | % | |
Eerbiediging van mensenrechten | ||||||||
Beleid | 22 | 88 | 22 | 88 | 18 | 72 | 62 | 83 |
Risico’s | 14 | 56 | 13 | 52 | 12 | 48 | 39 | 52 |
Resultaten | 15 | 60 | 9 | 36 | 9 | 3633 | 33 | 44 |
Bestrijding van corruptie en omkoping | ||||||||
Beleid | 23 | 92 | 23 | 92 | 16 | 64 | 62 | 83 |
Risico’s | 10 | 40 | 8 | 32 | 8 | 32 | 26 | 35 |
Resultaten | 11 | 44 | 9 | 36 | 7 | 28 | 27 | 36 |
Nagenoeg alle ondernemingen in de AEX en AMX nemen informatie op over het beleid ten aanzien van deze thema’s (88% respectievelijk 92% van de onderzochte ondernemingen). Bij de fondsen in de Smallcap is dat aandeel lager, respectievelijk 72% en 64%. Zoals hiervoor aangegeven moet hierbij ook in ogenschouw genomen worden dat niet alle onderzochte ondernemingen hoeven te voldoen aan deze rapportagevereisten aangezien ze niet allemaal meer dan 500 werknemers hebben.
Informatie over het beleid ten aanzien van deze thema’s wordt soms afzonderlijk uiteengezet, maar is in veel gevallen verweven in een meer algemene uiteenzetting over good corporate behavior waar human rights en bestrijding van corruptie onderdeel van zijn, en worden benoemd, zonder dat het afzonderlijk als onderwerp veel aandacht krijgt. Ook blijkt het beleid vaak indirect uit de beschreven maatregelen die duiden op een ‘zero tolerance’-beleid. In een aantal gevallen verwijzen ondernemingen ook naar afzonderlijke CSR-verslagen. Deze hebben we niet in het onderzoek betrokken.
Iets meer dan de helft (52%) van de ondernemingen beschrijft de risico’s op overtreding van mensenrechten en 35% doet dat voor de risico’s op corruptie en omkoping. Ondernemingen lijken er moeite mee te hebben om een concrete invulling te geven aan dit aspect. Hierdoor wordt vaak volstaan met een indicatie van omvang van het risico (‘high’ of ‘medium’) of wordt volstaan met de vermelding dat het een risico is. Ondernemingen die wel nader ingaan op het risico wijzen vaak op de landen waarin ze actief zijn en de mate waarin mensenrechten of corruptie daar een verhoogd risico vormen. Deze bevindingen zijn in lijn met de PwC Economic Crime and Fraud Survey (
Minder dan de helft van de ondernemingen rapporteert resultaten, of niet-financiële prestatie-indicatoren (44% voor mensenrechten, 36% voor bestrijding van corruptie en omkoping). Veel ondernemingen leggen daarbij de nadruk op inputmaatstaven, zoals het aantal mensen dat een specifieke training heeft gevolgd, het aantal leveranciers dat een gehanteerde code heeft onderschreven of het aantal audits op een specifiek thema dat is uitgevoerd bij deelnemingen of leveranciers. Ook rapporteert een aantal ondernemingen over outputmaatstaven, zoals het aantal overtredingen van interne policies, het aantal geconstateerde gevallen van omkoping (vaak de mededeling dat het zich niet heeft voorgedaan) of ten aanzien van deelaspecten van mensenrechten zoals de mate waarin mensen gelijke kansen krijgen (diversiteitskengetallen) of een eerlijke beloning ontvangen.
In figuur 3 en 4 zijn voorbeelden opgenomen van ASML en Aegon die inzicht geven in hun beleid en tevens indicatoren rapporteren waarmee ze de resultaten daarvan inzichtelijk maken.
Good practice: beschrijving beleid en rapportage van resultaten ten aanzien van mensenrechten. ASML integrated report 2018, p. 27 en p. 184. https://www.asml.com/en/investors/financial-results/annual-reports.
Good practice: rapportage over indicatoren en (niet-)financiële prestaties bij bestrijding van fraude en overtreding van wet- en regelgeving. Aegon, Integrated annual report 2018, p. 66. https://www.aegon.com/investors/annual-reports/
De raad van commissarissen, en meer specifiek daarbinnen de auditcommissie hebben een belangrijke rol in het toezicht op de risicobeheersing binnen de onderneming. In de Nederlandse Corporate Governance Code (‘Code’;
Op grond van best practice bepaling 1.1.3 van de Code houdt de raad van commissarissen toezicht op de wijze waarop het bestuur de strategie voor langetermijnwaardecreatie uitvoert, bespreekt ze regelmatig de strategie, de uitvoering van de strategie en de daarmee samenhangende voornaamste risico’s. Op grond van artikel 2:141 BW stelt het bestuur ten minste een keer per jaar de raad van commissarissen schriftelijk op de hoogte van de hoofdlijnen van het strategisch beleid, de algemene en financiële risico’s en het beheers- en controlesysteem van de vennootschap. De auditcommissie bereidt de besluitvorming van de raad van commissarissen voor over het toezicht op de integriteit en kwaliteit van de financiële verslaggeving en op de effectiviteit van de interne risicobeheersings- en controlesystemen van de vennootschap (Code, best practice bepaling 1.5.1). De auditcommissie brengt verslag uit aan de raad van commissarissen over de beraadslaging en bevindingen waarbij in ieder geval wordt vermeld (Code, best practice bepaling 1.5.3):
• ”de wijze waarop de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen is beoordeeld;
• de wijze waarop de effectiviteit van het interne en externe audit proces is beoordeeld;
• materiële overwegingen inzake de financiële verslaggeving; en
• de wijze waarop de materiële risico’s en onzekerheden (…) zijn geanalyseerd en besproken en wat de belangrijkste bevindingen van de auditcommissie zijn.”
In het verslag van de raad van commissarissen legt de raad vervolgens verantwoording af over het door haar uitgeoefende toezicht.
De rol van de raad van commissarissen is een brede rol en richt zich niet specifiek op risico’s ten aanzien van fraude en overtreding van wet- en regelgeving. Deze aspecten zullen onderdeel zijn van haar totale toezicht op het beleid en de effectiviteit van de interne risicobeheersings- en controlesystemen. Voor ondernemingen waar fraude of wet- en regelgeving een specifiek verhoogd risico is mag wel verwacht worden dat de raad van commissarissen ook specifiek aandacht besteedt aan de risicobeoordeling en beheersing ten aanzien daarvan. Denk bijvoorbeeld aan de wijze waarop wordt omgegaan met anti-witwasregelgeving bij banken. Gegeven het belang dat stakeholders aan de onderwerpen fraude en naleving van wet- en regelgeving hechten en de informatie die ze erover verlangen (zie ook de inleiding van dit artikel) zou ook verwacht mogen worden dat de raad van commissarissen in die gevallen ook in het verslag van de raad van commissarissen specifiek aandacht besteedt aan de wijze waarop zij de risicobeoordeling en risicobeheersing van het bestuur beoordeelt en op welke wijze zij daar toezicht op heeft gehouden. Uit tabel 5 blijkt echter dat het zelden voorkomt dat een raad van commissarissen in haar verslag specifiek ingaat op fraude of naleving van wet- en regelgeving. Slechts bij drie AEX-fondsen en vier Smallcap-fondsen is de raad van commissarissen inhoudelijk ingegaan op haar toezicht ten aanzien van risico’s en risicobeheersing op het gebied van fraude en naleving van wet- en regelgeving. Deze bevinding sluit aan bij een breder beeld dat het verslag van de raad van commissarissen bij veel ondernemingen meer gericht is op procedures en formele aspecten (onafhankelijkheid, aantal vergaderingen en aanwezigheid etc.) dan een inhoudelijke bespreking van de thema’s die de raad hebben beziggehouden.
Informatie over fraude en naleving van wet- en regelgeving in het verslag van de rvc.
AEX | AMX | AScX | Totaal | |||||
(n = 25) | (n = 25) | (n = 25) | (n = 75) | |||||
n | % | n | % | n | % | n | % | |
Beschrijving van visie en rol rvc ten aanzien van beoordeling risico’s op fraude en/of overtreding van wet- en regelgeving en mitigerende maatregelen | 3 | 12 | 0 | 0 | 4 | 16 | 7 | 9 |
Bij Aalberts en NN Group heeft de raad van commissarissen wel wat meer specifieke informatie gegeven over haar toezicht op de beheersing van risico’s ten aanzien van de genoemde thema’s. Zie figuur 5 en 6.
Good practice: verslag raad van commissarissen over toezicht op risico’s en risicobeheersing ten aanzien van fraude en naleving van wet- en regelgeving. Aalberts, Annual report 2018, pp. 51–52. http://www.jaarverslag.com/ar/aalberts-industries.html
The Supervisory Board and the Management Board have specifically discussed the further implementation of the Code of Conduct, monitoring of the effectiveness and compliance with the Code of Conduct and violations of the Code of Conduct reported via the Speak up! procedure. In addition, the e-learning programme, governance regulations and processes of Aalberts within the entire organisation, including the training and monitoring thereof have been discussed. Furthermore, there was specific attention for the culture and values of Aalberts and ‘the Aalberts way’, the implementation thereof throughout the entire organisation and how these values can contribute to the long-term value creation of Aalberts. The Management Board reported to the Supervisory Board on the updated sustainability approach of Aalberts, including the connection to the Sustainable Development Goals and the more structured and stringent approach towards health and safety in the operational excellence network. The Supervisory Board supports the more stringent approach to possible governance risks at group companies combined with a further strengthening of governance at group level and throughout the business. The general legal counsel discussed governance risk management and the work schedule of the legal and governance department with the Supervisory Board. The work schedule of the internal audit function has been approved by the Supervisory Board. |
Good practice: verslag raad van commissarissen over toezicht op risico’s en risicobeheersing ten aanzien van fraude en naleving van wet- en regelgeving. NN Group, Financial report 2018, p. 15. https://www.nn-group.com/Media/Reports.htm
Financial and economic crime Financial and economic crime (FEC) such as money laundering, terrorist financing and non-compliance with sanctions regulations can harm confidence in the financial sector. Combating FEC is therefore high on the agenda of regulators and supervisory authorities in the Netherlands and elsewhere. In light of this and recent developments within the financial sector, the Supervisory Board was periodically informed on the design, operation and effectiveness of the risk framework aimed at managing and controlling FEC-related risks. FEC-related risks are an integral part of NN Group’s Risk Control Framework. Amongst other things, the framework includes quarterly reporting by the businesses affiliated to NN Group on inherent FECrelated risks, measures adopted to mitigate these risks and how any managed FEC-related risks relate to the risk appetite of the group. These reports are incorporated in the risk management report, which is discussed with the (Risk Committee of the) Supervisory Board on a quarterly basis. |
De accountantscontrole van de jaarrekening is op grond van art. 2:391 lid 3 een onderzoek of de jaarrekening het vereiste inzicht geeft en aan de krachtens de wet gestelde voorschriften voldoet. Op grond van controlestandaarden 240 en 250 moet de accountant daarbij ook een redelijke mate van zekerheid verkrijgen dat de jaarrekening geen afwijking van materieel belang bevat als gevolg van fraude of niet-naleving van wet- en regelgeving.
COS 240: “5. Een accountant die een controle overeenkomstig de Standaarden uitvoert, is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of fouten. (….) 10. De doelstellingen van de accountant zijn:
COS 250: “4. De vereisten van deze Standaard zijn erop gericht de accountant te helpen afwijkingen van materieel belang in de financiële overzichten als gevolg van niet-naleving van wet- en regelgeving te identificeren. (…..) 10. De doelstellingen van de accountant zijn:
|
De controle van de accountant richt zich derhalve op een deelpopulatie van de risico’s op fraude en overtreding van wet- en regelgeving die relevant zijn voor het bestuur en de raad van commissarissen, namelijk de fraudes en overtreding van wet- en regelgeving die leiden tot een afwijking van materieel belang in de jaarrekening. De aandacht voor frauderisico’s en naleving van wet- en regelgeving door gecontroleerde organisaties is ook bij accountants de afgelopen jaren toegenomen, zowel binnen de accountantsorganisaties als op sectorniveau.1
Sinds een aantal jaren geeft de accountant via de uitgebreide controleverklaring meer inzicht in zijn controle. Dat doet hij onder andere door het vermelden van de kernpunten van de controle, de zaken die in de professionele oordeelsvorming van de accountant het meest significant waren in de controle (controlestandaard 701, par. 7 en 8). Zie ook
Informatie fraude en naleving van wet- en regelgeving in de controleverklaring.
AEX | AMX | AScX | Totaal | |||||
(n = 25) | (n = 25) | (n=25) | (n = 75) | |||||
n | % | n | % | n | % | n | % | |
Aandacht voor frauderisico’s/werkzaamheden in controleverklaring | 16 | 64 | 13 | 52 | 19 | 76 | 48 | 64 |
Afzonderlijke paragraaf in controleverklaring met uitgebreide uitleg over werkzaamheden ten aanzien van het risico op fraude en/of overtreding van wet- en regelgeving | 9 | 36 | 8 | 32 | 6 | 24 | 23 | 31 |
Afzonderlijke paragraaf in controleverklaring met high level uitleg over werkzaamheden ten aanzien van het risico op fraude en/of overtreding van wet- en regelgeving | 5 | 20 | 2 | 8 | 6 | 24 | 13 | 17 |
Specifiek kernpunt ten aanzien van fraude | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Frauderisico benoemd als onderdeel van een ander kernpunt | 7 | 28 | 6 | 24 | 11 | 44 | 24 | 32 |
Specifiek kernpunt ten aanzien van naleving van wet- en regelgeving | 1 | 4 | 1 | 4 | 3 | 12 | 5 | 7 |
Specifiek kernpunt naar aanleiding van een overtreding van wet- en regelgeving | 3 | 12 | 5 | 20 | 0 | 0 | 8 | 11 |
Uit tabel 6 blijkt dat het frauderisico als zodanig bij geen van de onderzochte ondernemingen is vermeld als specifiek kernpunt. Dat is niet verwonderlijk aangezien het dan over het algemeen zou moeten gaan om één van de vier of vijf belangrijkste punten van de controle. Uit tabel 1 blijkt dat het bestuur van de onderzochte ondernemingen in 63% van de gevallen het frauderisico niet als één van de belangrijkste risico’s van de onderneming beschouwt terwijl op basis van eerder onderzoek is vastgesteld dat zij gemiddeld twaalf tot dertien risico’s rapporteren. Overtreding van wet- en regelgeving heeft in 18% van de gevallen wel een specifiek kernpunt opgeleverd. Daarnaast wordt het frauderisico in 32% van de controleverklaringen wel genoemd als één van de redenen voor een ander kernpunt. Vaak betreft dit het kernpunt over de controle van de omzet waar het risico van fraude bij de omzetverantwoording wordt genoemd en mede wordt geadresseerd in de controle.
Dat fraude en naleving van wet- en regelgeving slechts in een beperkt aantal gevallen behoort tot de meest significante aangelegenheden van de controle betekent niet dat de accountant hier in de controleverklaring geen aandacht aan besteedt. In reactie op de maatschappelijke roep om meer aandacht voor en transparantie over de wijze waarop frauderisico’s en naleving van wet- en regelgeving worden geadresseerd in de controle hebben diverse accountants in 2018 een aparte paragraaf opgenomen in de controleverklaring waarin ze daar in meer detail informatie over verschaffen. In 31% van de controleverklaringen is gedetailleerde nadere uitleg hierover opgenomen en in 17% van de controleverklaringen een kortere, meer high level, uitleg. In totaal wordt in 64% van de controleverklaringen op enige wijze aandacht besteed aan werkzaamheden gericht op frauderisico’s.
Hiermee lijken accountants nadrukkelijker te reageren op de maatschappelijke behoefte aan meer informatie en transparantie over dit thema dan de besturen en commissarissen van de onderzochte ondernemingen die minder vaak aandacht besteden aan het thema in hun verantwoording naar aandeelhouders en andere stakeholders. In figuur 7 is een voorbeeld opgenomen van een controleverklaring waarin uitgebreid wordt beschreven hoe de accountant tijdens de controle heeft ingespeeld op het frauderisico.
Good practice: beschrijving controle-aanpak ten aanzien van frauderisico’s in de uitgebreide controleverklaring. Arcadis, Annual integrated report 2018, pp. 253–254. https://www.arcadis.com/en/global/investors/
Our focus on fraud |
Our objectives |
We assess and respond to the risk of fraud in the context of our audit of the financial statements. In this context and with reference to the sections on responsibilities in this report, our objectives in relation to fraud are: |
to identify and assess the risks of material misstatement of the financial statements due to fraud; |
to obtain sufficient appropriate audit evidence regarding the assessed risks of material misstatement due to fraud, through designing and implementing appropriate audit responses; and |
to respond appropriately to fraud or suspected fraud identified during the audit. |
However, because of the characteristics of fraud, particularly those involving sophisticated and carefully organised schemes to conceal it, such as forgery, deliberate failure to record transactions and collusion, our audit might not detect instances of material fraud. |
Our risk assessment |
We obtained an understanding of the entity and its environment, including the entity’s internal control. We made enquiries of relevant executives, directors (including internal audit, legal, compliance, human resources and regional directors) and the Supervisory Board. In addition, we considered other external and internal information. As part of our process of identifying fraud risks, we evaluated fraud risk factors with respect to financial reporting fraud, misappropriation of assets and bribery and corruption. Fraud risk factors are events or conditions, which indicate an incentive or pressure, an opportunity, or an attitude or rationalisation to commit fraud. We, together with our forensic specialists, evaluated the fraud risk factors to consider whether those factors indicated a risk of material misstatement due to fraud. |
As in all of our audits, we addressed the risk of management override of internal controls, including evaluating whether there was evidence of bias by the Executive Board, executive leadership team and other members of management that may represent a risk of material misstatement due to fraud. In our risk assessment we also considered the potential impact of performance based bonus schemes which the company has in place at certain components. |
Furthermore, Arcadis NV is a global company, operating in multiple jurisdictions. Therefore, we considered the risk of bribery and corruption as a result of operations in countries with an above average risk profile according to the Transparency International corruption perception index. We updated our understanding of the internal controls that Arcadis has in place to address and manage the risk of bribery and corruption when doing business in higher risk territories. These procedures included assessing the design and existence of the Arcadis General Business Principles, template agent contracts and vendor due diligence procedures. As part of our risk assessment we gained an understanding of the comprehensive governance structure as detailed in section ‘Governance & Compliance’ of the Annual Report. As part of this understanding, we also reviewed internal audit reports and followed up on the outcome of compliance reports (including complaints and whistleblowers). |
Our response to the risk of fraud |
We evaluated the design and the implementation and, where considered appropriate, tested the operating effectiveness of internal controls that mitigate fraud risks. In addition, we performed procedures, which include journal entry testing and evaluating accounting estimates for bias (including retrospective reviews of prior year’s estimates). In particular, our procedures consisted of evaluating key estimates and judgements as well as data analysis to identify high-risk journal entries. Where we identified instances of unexpected journal entries or other risks through our data analytics, we performed additional audit procedures to address each identified risk. These procedures also included testing of transactions back to source information. |
We considered the possibility of fraudulent or corrupt payments made through third parties and conducted detailed procedures on third party vendors in high-risk jurisdictions. |
Our procedures included verifying whether commission payments were at arm’s length. |
We also incorporated elements of unpredictability in our audit in all regions. |
We considered the outcome of our other audit procedures and evaluated whether any findings were indicative of fraud. If so, we reevaluate our assessment of fraud risk and its resulting impact on our audit procedures. |
We refer to the three key audit matters in the next paragraph of this report, which are all examples of our approach related to areas of higher risk due to accounting estimates where management makes significant judgements. |
Om meer inzicht te krijgen in de verhouding tussen de rapportage van de accountant en de rapportage door de onderneming over frauderisico’s hebben we die twee met elkaar geconfronteerd, zie hiervoor tabel 7. Hierbij hebben we op de ene as opgenomen het aantal en percentage ondernemingen dat aandacht besteedt aan frauderisico’s in de risicoparagraaf of materialiteitsmatrix en op de andere as opgenomen het aantal en percentage ondernemingen waarvan de accountant het frauderisico benoemt in een kernpunt of beschrijft in een afzonderlijke paragraaf.
Relatie tussen fraude informatie in de risicoparagraaf en in de controleverklaring.
Aandacht in risicoparagraaf/materialiteits-matrix | Geen aandacht in risicoparagraaf/materialiteits-matrix | Totaal | |
Aandacht voor frauderisico in controleverklaring | 25 (33%) | 23 (31%) | 48 (64%) |
Geen aandacht voor frauderisico in controleverklaring | 13 (17%) | 14 (19%) | 27 (36%) |
Totaal | 38 (51%) | 37 (49%) | 75 (100%) |
Tabel
Naar de reden van deze verschillen hebben we geen onderzoek gedaan. Een mogelijke verklaring kan zijn dat de aandacht voor de rol van de accountant, de maatschappelijke druk op de accountant en de vraag om informatie van de accountant ten aanzien van fraude en voldoen aan wet- en regelgeving in recente jaren sterk is toegenomen terwijl dat voor de rol van bestuurders en commissarissen in mindere mate geldt. Het feit dat de VEB eerder dit jaar haar in de inleiding genoemde brief heeft gericht aan de accountantsorganisaties en niet (tevens) aan de bestuurders en commissarissen van de beursfondsen is daar mogelijk een uiting van.
De aandacht voor (het voorkómen van) fraude en naleving van wet- en regelgeving is de afgelopen jaren sterk toegenomen. Stakeholders geven dan ook aan dat ze meer informatie wensen van ondernemingen over de risico’s ten aanzien van beide onderwerpen en hoe deze worden gemitigeerd. Stakeholders hebben in de afgelopen jaren echter ook regelmatig aangegeven dat ze willen dat ondernemingen zich in hun informatieverstrekking richten op de meest relevante (materiële) thema’s. Dit levert een spanningsveld op.
In dit artikel doen wij verslag van onderzoek naar de informatieverschaffing door bestuurders, commissarissen en accountants over risico’s op fraude en overtreding van wet- en regelgeving en maatregelen om deze risico’s te mitigeren. Het hiervoor genoemde spanningsveld zien we terug in de informatieverstrekking. In slechts 37% van de risicoparagrafen wordt het frauderisico benoemd als één van de significante risico’s van de onderneming. Daarnaast wordt het frauderisico door 17 ondernemingen genoemd in de materialiteitsmatrix (41% van de ondernemingen die een materialiteitsmatrix opneemt, 23% van de totale populatie) waarbij 11 ondernemingen het opnemen (27% respectievelijk 15%) in het kwadrant met meest significante risico’s. In totaal merkt 48% van de onderzochte ondernemingen het frauderisico aan als significant risico. Risico’s ten aanzien van overtreding van wet- en regelgeving worden wel door nagenoeg alle ondernemingen gerapporteerd. In het verslag van de raad van commissarissen wordt zelden concreet aandacht besteed aan de wijze waarop de rvc toezicht houdt op de adequate beheersing van risico’s op fraude of overtreding van wet- en regelgeving.
Dat ongeveer de helft van de ondernemingen geen specifieke aandacht besteedt aan frauderisico’s wijkt af van de door de VEB geuite wens. Het kan echter wel aansluiten bij de wens van stakeholders om informatieverschaffing toe te spitsen op de materiële onderwerpen aangezien het de vraag is of het frauderisico bij iedere onderneming als zodanig is aan te merken. Het lijkt wenselijk dat ondernemingen en hun stakeholders hier het gesprek over voeren om te waarborgen dat de informatieverschaffing aansluit bij stakeholdersbehoeften.
Ondernemingen hebben er moeite mee om een specifieke indicatie te geven van de verwachte impact indien een specifiek risico op fraude of overtreding van wet- en regelgeving materialiseert. Slechts 14% doet dat voor beschreven frauderisico’s en 19% voor risico’s van overtreding van wet- en regelgeving. Iets meer dan de helft van de ondernemingen die specifieke risico’s rapporteren beschrijft vervolgens ook de maatregelen van interne beheersing waarmee het risico wordt gemitigeerd. Andere ondernemingen volstaan vaak met een meer generieke beschrijving van maatregelen die zijn gericht op ethisch gewenst gedrag, zoals een code of conduct. Voor de ondernemingen waar fraude of overtreding van wet- en regelgeving een significant risico is zien we op deze aspecten ruimte voor verbetering.
Accountants zijn in recente jaren, waaronder via de VEB-brief (
Deze resultaten zijn mogelijk het gevolg van het feit dat stakeholders zoals de
Prof. dr. A.J. Brouwer RA is partner bij PwC en hoogleraar aan de Vrije Universiteit Amsterdam.
Martijn de Vroom RA is senior manager bij EY.
Drs. G. van Blijderveen RA is associate partner bij EY.
Zie bijvoorbeeld https://www.nba.nl/over-de-nba/commissies-en-adviesorganen/werkgroep-fraude/ voor meer informatie over de NBA fraudewerkgroep.
AEX Index | AMX Index | Smallcap Index | |||
1 | Aalberts Industries | 26 | Air France-KLM | 51 | Accell |
2 | ABN-AMRO Group | 27 | Altice | 52 | Accsys |
3 | Adyen | 28 | AMG Advanced Metallurgical | 53 | Alfen |
4 | Aegon | 29 | Aperam | 54 | Amsterdam Commodities |
5 | Ahold Delhaize | 30 | Arcadis | 55 | B&S Group |
6 | Akzo Nobel | 31 | ASM International | 56 | Binck Bank |
7 | Arcelor Mittal | 32 | Koninklijke BAM Groep | 57 | Brunel International |
8 | ASML Holding | 33 | Basic-Fit | 58 | For Farmers |
9 | ASR Nederland | 34 | BESI | 59 | Heijmans |
10 | DSM | 35 | Koninklijke Boskalis Westminster | 60 | ICT Group |
11 | Galapagos | 36 | Corbion | 61 | Kas Bank |
12 | Gemalto | 37 | Eurocommercial Properties | 62 | Kendrion |
13 | Heineken | 38 | Flow Traders | 63 | Kiadis Pharma |
14 | IMCD | 39 | Fugro | 64 | Lucas Bols |
15 | ING | 40 | Grand Vision | 65 | Nedap |
16 | KPN | 41 | Intertrust | 66 | NIBC |
17 | NN Group | 42 | OCI | 67 | NSI |
18 | Philips | 43 | PostNL | 68 | Ordina |
19 | Randstad | 44 | SBM Offshore | 69 | Pharming Group |
20 | RELX Group | 45 | Signify | 70 | Sif Holdings |
21 | Royal Dutch Shell | 46 | Takeaway.com | 71 | Sligro |
22 | Royal Vopak | 47 | TKH Group | 72 | Van Lanschot Kempen |
23 | Unibail Rodamco Westfield | 48 | TomTom | 73 | Vastned |
24 | Unilever | 49 | WDP | 74 | Volker Wessels |
25 | Wolters Kluwer | 50 | Wereldhave | 75 | Wessanen |