Inleiding

Naar aanleiding van de aanpassing van Standaard 700 is het met ingang van de controles over het kalenderjaar 2022 voor alle wettelijke controles verplicht om in de controleverklaring aandacht te besteden aan (werkzaamheden met betrekking tot) fraude en continuïteit. Voor controles van OOB-organisaties is rapportage over fraude met ingang van 2021 verplicht gesteld en vanaf 2022 ook over continuïteit.

Dit artikel gaat nader in op bovenvermelde rapportage over fraude in de controleverklaring. Concreet betreft het een aanpassing/uitbreiding van Standaard 700 met paragraaf 29B namelijk:

‘Bij wettelijke controles als bedoeld in artikel 1, eerste lid, onderdeel p van de Wet toezicht accountantsorganisaties van volledige sets van financiële overzichten voor algemene doeleinden, dient de accountant in de controleverklaring in een aparte sectie ‘Controleaanpak frauderisico’s’ aan te geven op welke wijze de accountant heeft ingespeeld op frauderisico’s die kunnen leiden tot een afwijking van materieel belang. De beschrijving kan worden geïntegreerd, indien van toepassing, in de sectie kernpunten van de controle.

Bovenstaande is niet van toepassing indien:

1. wet- of regelgeving openbaarmaking van de aangelegenheid verhindert; of
2. in buitengewoon zeldzame omstandigheden de accountant bepaalt dat de aangelegenheid niet gecommuniceerd dient te worden in de controleverklaring omdat redelijkerwijs verwacht wordt dat de nadelige gevolgen van dergelijke communicatie groter zijn dan de voordelen voor het maatschappelijk verkeer. Dit is niet van toepassing indien de entiteit publiekelijk informatie over de aangelegenheid openbaar heeft gemaakt.’

Paragraaf 700.A41B vermeldt vervolgens:

‘De mate van detail die in de controleverklaring moet worden verschaft om te beschrijven op welke wijze op frauderisico’s die kunnen leiden tot een afwijking van materieel belang tijdens de controle is ingespeeld is een kwestie van professionele oordeelvorming en wordt aangepast aan de specifieke omstandigheden en complexiteit van de controle. In overeenstemming met paragraaf 29B kan de accountant het volgende beschrijven:

• de frauderisico’s die aandacht vereisten bij de controle;
• een verwijzing naar eventuele toelichtingen in de financiële overzichten;
• een kort overzicht van de uitgevoerde werkzaamheden;
• een indicatie van de uitkomst van de werkzaamheden van de accountant;
• belangrijke waarnemingen met betrekking tot de aangelegenheid. Of een combinatie van deze elementen.

Indien er frauderisico’s zijn die kunnen leiden tot een afwijking van materieel belang die van de accountant geen significante aandacht vereisten bij het uitvoeren van de controle, heeft de accountant de mogelijkheid om werkzaamheden en uitkomsten en/of waarnemingen in verkorte vorm op te nemen. Wet- of regelgeving kan openbare toelichting door het management of de accountant verhinderen. Zo kan bij wet- of regelgeving specifiek zijn verboden dat een openbare mededeling wordt gedaan die een nadelige invloed zou kunnen hebben op een onderzoek dat door een bevoegde instantie naar een daadwerkelijke dan wel een vermoede illegale handeling wordt uitgevoerd (zoals aangelegenheden die gerelateerd zijn aan het witwassen van geld).’

Ervaringen en toepassing

NBA heeft – na consultatie – op 14 oktober 2022 handreiking 1150: Rapporteren in de sectie ‘Controleaanpak frauderisico’s’ in de controleverklaring uitgebracht. In de toepassing van bovenstaande vereisten van Standaard 700 geeft zij daarin onder andere de volgende aanbeveling:
‘De NBA moedigt de accountant aan om, waar mogelijk, alle in Standaard 700 onder  A41B voorgestelde elementen in de sectie ‘Controleaanpak frauderisico’s’ te beschrijven. Hiermee komt de accountant tegemoet aan een belangrijke wens van gebruikers in het maatschappelijk verkeer om meer transparant te rapporteren hoe de accountant in de controleaanpak heeft ingespeeld op de voor de specifieke entiteit geldende frauderisico’s en belangrijke waarnemingen van eventuele aangelegenheden naar aanleiding van de uitvoering van de controle. In alle gevallen maakt de accountant deze beschrijving zover mogelijk cliëntspecifiek. Tot slot kan de accountant -indien van toepassing- in de sectie ‘Controleaanpak frauderisico’s’ opschrijven dat er geen indicaties van fraude zijn geconstateerd.’

Uit bovenstaande blijkt dat het opnemen van bevindingen niet verplicht wordt gesteld maar wel wordt aanbevolen (vandaar ook dat ik het woordje ‘kan’ en de laatste 2 bullets van A41B in italic heb uitgelicht). Het niet verplichten van opnemen van bevindingen op het gebied van fraude wordt door – de Minister van Financiën – ingestelde Kwartiermakers onder andere ‘een gemiste kans’ genoemd. In een brief naar aanleiding van een tussenrapportage van deze Kwartiermakers meldt de Minister bovendien: ‘Ik ben het met de Kwartiermakers eens dat het voor de maatschappij belangrijk is dat een accountant naar buiten treedt over wat deze gezien heeft bij de controlecliënt’.

In de (pilot) ervaringen die ik van nabij heb meegemaakt en discussies die over dit topic plaatsvinden blijkt dat er flink geworsteld wordt met het wel of niet opnemen van bevindingen c.q. uitkomsten (de 2 laatste bullets van A41B) die volgen uit de uitgevoerde werkzaamheden. Het is toch vooral de bedoeling om in de controleverklaring een totaaloordeel te geven over de getrouwheid van de jaarrekening en geen deelconclusies of -oordelen op te nemen ? Ook is er geen vast stramien dan wel schaal ontwikkeld om de magnitude van de aard van bevindingen te kunnen beschrijven en duiden. Maak je bijvoorbeeld melding van ontoereikende functiescheiding in de betalingsorganisatie en hoe verhoudt zo’n bevinding zich met het vermelden van een daadwerkelijke (materiële) fraude in de organisatie en dan met wel of niet beschrijven van het redres ervan ? Gezien het gebrek aan ervaring hierin is het moeilijk om de dynamiek te voorspellen die deze bevindingen zullen hebben bij de gebruikers van de jaarrekening.

Om nog maar te zwijgen over de dynamiek en discussie die controleteams en externe accountants in voorkomende gevallen mee zullen maken met hun controleclient, inclusief de organen belast met governance (soms enkel een DGA).

Eigenlijk is er naar mijn mening nog veel behoefte aan het duiden van de daadwerkelijke toegevoerde waarde van het opnemen van deze bevindingen. Zelf zou ik ervoor pleiten om terughoudend om te gaan met het opnemen van bevindingen inzake fraudewerkzaamheden tenzij het je oordeel aantast (logisch lijkt me) dan wel dat het vanuit je stakeholder analyse evident is dat gebruikers hier toegevoegde waarde aan zullen ontlenen. Voorbeelden zijn lastig maar een voorbeeld kan zijn dat kredietverzekeraars zeker meer willen weten over duidelijke doorbrekingen van richtlijnen (naleven kredietlimieten) of functiescheidingen bij leveranciersselecties. Hoeft niet meteen een frauderisico te zijn maar dat kan het vanuit een kick-back oogpunt wel zijn.

Afsluiting

Ik besef me overigens terdege dat er nog meer aandachtspunten spelen bij de aanpassing van Standaard 700. Denk bijvoorbeeld aan het gevaar dat er vooral boilerplate teksten zullen ontstaan waardoor de toegevoegde waarde van het opnemen hiervan afneemt. Ook kun je je afvragen of de gemiddelde gebruiker van de controleverklaring bij iedere wettelijke controle zit te wachten op de toename van de lengte en volume hiervan. Ook is het vreemd dat deze aanpassing in Standaard 700 alleen voor wettelijke controles geldt en niet voor niet-wettelijke controle zoals bijvoorbeeld (grote) onderwijs- of zorginstellingen.

NBA heeft aangegeven dat men na een jaar nog goed wil evalueren inzake de ingezette wijzigingen in Standaard 700. De Kwartiermakers geven aan dat zeker wenselijk te vinden vanwege hun wens om het opnemen van bevindingen verplicht op te nemen in de controleverklaring.

Hopelijk kunnen in die tijd ook meer ervaringen worden gedeeld en richtlijnen worden gegeven inzake welke aard/soort van bevinding nu wel opgenomen moeten worden, welke optioneel en welke niet. Tevens kan dan bekeken worden hoe boilerplate teksten (hoe onvermijdbaar ook) zo kort mogelijk kunnen worden gehouden.

Ook zou mijns inziens de scope van de verplichting om te rapporteren over frauderisico’s beperkt moeten worden tot grote ondernemingen en instellingen (zoals bij CSRD). Dat betekent dus geen onderscheid tussen wettelijke en niet-wettelijke controles maar onderscheid op basis van omvang. Dit enerzijds omdat valt te verwachten dat zij een relatief grotere impact hebben op de maatschappij en anderzijds om de lastendruk op middelgrote ondernemingen en instellingen niet verder te vergroten.

Voor het plaatsen van reacties, hou graag rekening met onze spelregels.