Risicomanagement Risicoacceptatiegraad: het wel of niet accepteren van risicovolle cliënten bij accountantsorganisaties

1 Moulay Abdelkader Iourizen Utrecht, augustus 2011

Risicomanagement

2

“ RISICOMANAGEMENT”

Risicoacceptatiegraad: het wel of niet accepteren van risicovolle cliënten bij accountantsorganisaties

Betreft: Masterscriptie afdeling Accountancy en Controlling In opdracht van: Rijksuniversiteit Groningen

Student: Moulay Abdelkader Iourizen (S1830627)

Docent: Dr. T. Marra

Deze afstudeeropdracht is geschreven onder verantwoordelijkheid van de Rijksuniversiteit Groningen en het copyright berust bij de auteur. Zowel de Rijksuniversiteit Groningen, als de

auteur verklaren, dat zij eventuele gegevens van derden, die voor de afstudeeropdracht zijn gebruikt en die door deze derden als vertrouwelijk zijn aangemerkt, als zodanig zullen

3

VOORWOORD

Voor u ligt mijn afstudeeronderzoek in het kader van de afronding van de opleiding master Accountancy & Controlling aan de Rijksuniversiteit van Groningen. Mijn afstudeeronderzoek is hoofdzakelijk gericht op het vakgebied risico management. Dit vind ik interessant, omdat ik affiniteit heb met “Controlling” binnen mijn opleiding en er dagelijks op de werkvloer, als assistent accountant Audit, mee te maken heb.

De recente ontwikkelingen op het gebied van bedrijfsrisico‟s voor accountantsorganisaties, als gevolg van de invoering van AWB 4e trans, de Wwft en (indirect) de inkeerregeling, zijn aanleiding geweest voor mijn afstudeerscriptie. Hierdoor kunnen de bedrijfsrisico‟s voor accountantsorganisaties stijgen. In dit onderzoek laat ik zien wat de effecten hiervan zijn geweest.

Ik wil tevens een aantal personen bedanken die hebben bijgedragen aan een goed verloop van mijn afstudeeronderzoek. Hieronder valt allereerst de heer M.C. Reda. Zijn vertrouwen heeft mijn motivatie doen versterken om mijn onderzoek af te ronden. Vervolgens wil ik de heer T. Marra bedanken die mij tijdens mijn afstudeeronderzoek heeft begeleid en voor voldoende leerzame en bruikbare tips en feedback heeft gezorgd. Deze begeleiding heb ik als zeer nuttig ervaren en vooral de tussenevaluatiegesprekken vond ik zeer positief. Echter zonder de steun van mijn familieleden had ik niet zover kunnen komen, ook aan hen een dankwoord.

Tevens wil ik de accountantsorganisaties die deelgenomen hebben aan mijn interview nogmaals hartelijk bedanken. En tot slot mijn voormalige werkgever die mij de ruimte en tijd heeft gegeven om aan mijn afstudeeronderzoek te werken.

Hartelijk dank!

Abdelkader Iourizen Augustus 2011

4

INHOUDSOPGAVE

1. INLEIDING ... 6

1.1 Inleiding ... 6

1.2 Aanleiding van het onderzoek ... 7

1.3 Probleemstelling ... 10

1.4 Relevantie ... 11

1.5 Slot ... 13

2.RISICOMANAGEMENT ... 14

2.1 Inleiding ... 14

2.2 COSO Enterprise Risk Management ... 14

2.3 Bedrijfsmodel voor accountantsorganisaties ... 19

2.4 Engagement Risk ... 22

2.5 Het Audit Risk Model ... 23

2.6 Slot ... 25

3 HET PROCES VAN CLIËNTACCEPTATIE EN –CONTINUATIE ... 26

3.1 Inleiding ... 26

3.2 Algemene controleproces ... 26

3.3 Zeven factoren bij evaluatie cliëntacceptatie ... 27

3.4 Proces cliëntacceptatie en continuatie ... 27

3.5 Cliëntenonderzoek ... 29

3.6 Slot ... 32

4 OPZET VAN HET ONDERZOEK ... 33

4.1 Inleiding ... 33

4.2 Onderzoekvorm en onderzoeksobject ... 33

4.3 Selectie accountantsorganisaties ... 34

4.4 Spreiding selectie accountantsorganisaties ... 35

4.5 Totstandkoming selectie accountantsorganisaties ... 36

4.6 De vragenlijst ... 37

4.7 Slot ... 39

5 UITKOMSTEN ONDERZOEK ... 40

5.1 Inleiding ... 40

5.2 Bewustzijn risicomanagement ... 40

5

5.4 Opdrachtaanvaarding ... 44

5.5 Integriteit ... 44

5.6 Risicobeperkende maatregelen ... 45

5.7 Controlevergoeding ... 46

5.8 Monitoring/ interne kwaliteitsbewaking ... 47

5.9 Slot ... 48 6 CONCLUSIE ... 49 6.1 Inleiding ... 49 6.2 Deelvragen ... 49 6.3 Vraagstelling ... 50 LITERATUURLIJST ... 52 Geraadpleegde literatuur ... 52 Geraadpleegde websites ... 55 BIJLAGE 1: RISICOFACTOREN ... 56

BIJLAGE 2: VRAGENLIJST (INCLUSIEF TOELICHTING) ... 59

BIJLAGE 3.1: INTERVIEWVERSLAG ACCOUNTANTSORGANISATIE A ... 66

BIJLAGE 3.2: INTERVIEWVERSLAG ACCOUNTANTSORGANISATIE B ... 74

BIJLAGE 3.3: INTERVIEWVERSLAG ACCOUNTANTSORGANISATIE C ... 82

BIJLAGE 3.4: INTERVIEWVERSLAG ACCOUNTANTSORGANISATIE D ... 87

6

1. INLEIDING

1.1 INLEIDING

Risicomanagement wordt steeds meer een aandachtsgebied binnen een accountantsorganisatie. Om risicomanagement te optimaliseren, is het van belang dat het beleid op het gebied van cliëntacceptatie en -continuatie hieraan aangepast wordt. Volgens Kuijck (2000) zijn de risico‟s van de bedrijfsvoering door externe factoren risicovoller geworden, omdat de accountantsorganisaties alsmaar groter werden. Kuijck constateerde dat de accountantsorganisaties meer juridische en economische risico‟s lopen dan in het verleden en daarom is het verstandig om aandacht te besteden aan risicomanagement. Mijn afstudeeropdracht wil een helder beeld schetsen van de beheersing van risicomanagement op het gebied van cliëntacceptatie en -continuatie binnen een accountantsorganisaties.

Krom (1993) definieert “risicomanagement” in het algemeen als: “ ...een samenstel van

regels en maatregelen die moeten bereiken dat de normale risico’s die de praktijkvoering van accountantskantoren met zich meebrengt worden geminimaliseerd, en dat de bijzondere risico’s tijdig worden onderkend en zodanig behandeld dat deze niet tot onverwachte situaties leiden.”

Het aangaan of het continueren van een relatie met risicovolle cliënten is een risico voor iedere accountantsorganisatie, omdat het belangrijk is om geen cliënten aan te nemen waaraan grote (toekomstige) risico‟s verbonden zijn. Er is sprake van afruil waarbij het verlies van toekomstige cliënten wordt beperkt door het niet aangaan van een relatie met een risicovolle cliënt. Dat kan leiden tot reputatieverlies en schade. Het beheersen of het inperken van het risico dat organisatiedoelstellingen niet worden behaald, wordt in mijn onderzoek gezien als risicomanagement.

In het verleden werden risicovolle cliënten zonder problemen geaccepteerd. Maar vanwege strakker risicobeleid van de laatste tijd gebeurt dat niet meer. Dit wordt volgens Kuijck (2000) veroorzaakt doordat er meer juridische en economische risico‟s

7 zijn dan in het verleden. Bij grote accountantskantoren worden relaties met te risicovolle cliënten volgens Nierop (2006) niet meer gecontinueerd. Dit komt doordat de bedrijfsrisico‟s van accountantsorganisaties zijn gestegen. De hoeveelheid risico‟s die accountantsorganisatie willen nemen bij het accepteren (en continueren) van risicovolle cliënten wordt in mijn onderzoek gezien als “risicoacceptatiegraad”.

1.2 AANLEIDING VAN HET ONDERZOEK

Diverse landen, die in het verleden bekend stonden om hun bankgeheim, verklaarden recentelijk bereid te zijn om administratieve bijstand te verlenen in het kader van het Organisatie Economische Samenwerking en Ontwikkeling (OESO) Model Belastingovereenkomst (artikel 26). Het OESO-model zorgt er voor dat landen informatie verplicht uitwisselen met betrekking tot bankgeheimen.

Deze ontwikkeling zorgt ervoor dat de diverse landen transparanter worden. Voor de werknemers die bij banken werken die bankgeheimen aanbieden, is het lucratief om gegevens van rekeninghouders door te verkopen aan landen die achter zwartspaarders aanzitten. Zo heeft een bankmedewerker uit Liechtenstein bankgegevens van 1.400 rekeninghouders aan de Duitse inlichtingendienst verkocht voor 5 miljoen euro (Van Almelo, 2009).

In Nederland verstaat Van Almelo onder frauderen: “het opzettelijk weinig aangeven (van belasting) en het daarbij vervalsen van papieren”. Onder ontduiken verstaat hij: “vergeten iets aan te geven”. In Nederland is belastingontduiking en belastingfraude een strafrechtelijk delict. In Zwitserland is belastingfraude een strafrechtelijk delict; het ontduiken is geen strafrechtelijk delict, maar wel een economisch delict (beboetbaar).

De Nederlandse staat heeft een inkeerregeling ingevoerd om personen, die een geheime bankrekening hebben, tegemoet te komen. De inkeerregeling houdt in dat belastingplichtigen zonder een boete (vanaf 2010: tegen een lage boete) of strafrechtelijke vervolging alsnog eerder verzwegen inkomsten of vermogen kunnen aangeven bij de belastingdienst.

8 De inkeerregeling geldt louter wanneer belastingplichtigen zelfstandig en tijdig bankgeheimen aangeven, en niet wachten totdat zij het vermoeden hebben dat de belastinginspecteur bekend is met de verzwegen inkomsten.

Belastingplichtigen die gebruik willen maken van de inkeerregeling zijn bewust van het feit dat de inkeeraangifte juist en volledig moet zijn. Door de nieuwe wet is de vraag naar accountantswerkzaamheden toegenomen, omdat accountantsorganisaties hen een begeleiding kunnen bieden van een volledige en duidelijke inkeer. In 2007 deed de rechtbank Amsterdam (25 mei LJN BB2664) een uitspraak waarin het ontduiken van belasting gekwalificeerd is als witwassen (Koster, 2008).

Daarnaast is per 1 augustus 2008 de Wet ter voorkoming van witwassen en financieren van terrorisme (hierna: Wwft) in werking getreden. De Wwft is in de plaats gekomen voor de volgende 2 wetten: de Wet identificatie dienstverlening (WID) en de Wet melding ongebruikelijke transacties (Wet MOT). Voor de werking van de Wwft werd voor elke nieuwe cliënt in het kader van de WID identificatie vastgesteld. De Wwft gaat verder dan het alleen identificeren van de cliënten en introduceert een uitgebreid cliëntenonderzoek. De Wwft verplicht accountantsorganisaties een cliëntonderzoek te verrichten voordat de (controle)opdracht wordt geaccepteerd (artikel 4 Wwft.).

Tevens is de recente invoering van nieuwe wet- en regelgeving aanleiding voor het onderzoek. Op 1 juli 2009 is de 4e tranche Algemene Wet Bestuursrecht (AWB) ingegaan. De 4e tranche AWB introduceert het begrip medepleger, wat inhoudt dat waar voorheen alleen de belastingplichtige kon worden beboet, nu ook de adviseur in persoon kan worden beboet.

Ook hier is sprake van een stijging van de bedrijfsrisico‟s van accountantsorganisaties. De inwerkingtreding van de 4e tranche AWB heeft daardoor ook direct effect op accountantsorganisaties die niet tot inkeer zijn gekomen, omdat accountantsorganisaties nu kunnen worden beboet en worden vervolgd. Wanneer een cliënt besluit om in te keren, bestaat immers de kans dat de accountant door de mand valt, wanneer de

9 accountantsorganisatie grove fouten heeft gemaakt met betrekking tot het verlenen van de dienstverlening (Thijsen, 2008). Dit kan leiden tot reputatieverlies en schade voor de accountantsorganisatie.

Door de voorgaande ontwikkelingen rijst bij mij de vraag wat een accountantsorganisatie doet als een bestaande cliënt meedeelt, dat hij/zij een geheime bankrekening heeft. Accountantsorganisaties realiseren dan dat zij ten onrechte (goedkeurende) verklaringen hebben afgegeven, als het verzwegen geld uit de gecontroleerde onderneming komt. Dit zou kunnen resulteren in het schaden van de goede naam van de accountantsorganisatie (van Manen, 1989). Want wanneer een accountantsorganisatie een cliënt heeft die negatief in het nieuws is, of in een omstreden sector opereert, kan dit leiden tot reputatieverlies van de accountantsorganisatie.

Een andere vraag die opkomt is wat een accountantsorganisatie doet op het moment dat een nieuwe cliënt zich meldt. Zo verwacht het maatschappelijk verkeer dat vooral ook van risicovolle cliënten de jaarstukken worden gecontroleerd (Van Almelo, 2005). Maar het is ook begrijpelijk dat accountantsorganisaties niet hun vingers willen branden aan risicovolle cliënten die in het verleden hebben gefraudeerd. Door het accepteren van risicovolle cliënten vergroot de accountantsorganisatie de kans dat de ondernemingsdoelstellingen niet worden bereikt.

In de verzekeringswereld betalen risicovolle cliënten (met een verhoogd risico) meer premie dan andere cliënten. Worden door accountantsorganisaties ook voor risicovolle cliënten een hogere (controle) vergoeding doorberekend? Een cliënt met een verhoogd risico, zal dan meer moeten betalen voor de dienstverlening die de accountantsorganisatie verleent, gezien het feit dat de accountantsorganisatie meer risico loopt dan bij een “normale” cliënt.

Sinds 1 oktober 2006 hebben accountantsorganisaties die wettelijke controles willen uitvoeren een vergunning nodig op grond van de Wet Toezicht Accountantsorganisaties (WTA art 5). De Autoriteit Financiële Markten (hierna: AFM) is toezichthouder, en is verantwoordelijk voor het verstrekken van de WTA vergunningen en de handhaving

10 ervan. De AFM gaat na of accountantsorganisaties en individuele accountants zich wel aan de voorgeschreven wetten en bepalingen houden (Wietsma, 2008). De WTA stelt als eis dat accountantskantoren hun bedrijfsvoering moeten inrichten op basis van een stelstel van kwaliteitsbeheersing (WTA art. 21).

1.3 PROBLEEMSTELLING

De in de vorige paragraaf genoemde ontwikkelingen, betekenen een substantiële verhoging van het bedrijfsrisico voor accountantsorganisaties. Dit onderzoek zal zich daarom richten op hoe accountantsorganisaties in de praktijk om gaan met cliënten die een verhoogd risico vormen.

Het doel van dit onderzoek is een duidelijk beeld te schetsen van risicomanagement op het gebied van cliëntacceptatie en -continuatie bij accountantsorganisaties als gevolg van de recente ontwikkelingen in de wet- en regelgeving. Daarnaast wil ik onderzoeken op welke wijze de verhoogde risico‟s beheerst kunnen worden. Ik wil dit doen door het beschrijven van huidige risicomanagement praktijken van accountantsorganisaties, en te onderzoeken of en hoe risico‟s door de accountantsorganisaties worden gemanaged als gevolg van het aannemen en continueren van risicovolle cliënten.

Om antwoord te geven op de bovenstaande onderzoekbeschrijving, heb ik een centrale vraagstelling geformuleerd:

Hoe kunnen accountantsorganisaties het besluitvormingsproces rondom het verhoogde risico bij cliëntacceptatie en -continuatie inrichten, in relatie tot het behalen van haar ondernemingsdoelstellingen?

Om antwoord te krijgen op de geformuleerde vraagstelling, heb ik een zestal deelvragen geformuleerd, te weten:

1. Welke gangbare theoretische modellen zijn aanwezig om bedrijfsrisico‟s te beheersen om ondernemingsdoelstellingen te bereiken?

11 2. Welke theoretische stappen zijn aanwezig in het proces rondom cliëntacceptatie en -continuatie?

3. Welke ondernemingsdoelstellingen van accountantsorganisaties worden er bedreigd? 4. Op welke manier worden potentiële cliënten geanalyseerd bij het aangaan van een relatie bij accountantsorganisaties?

5. Welke verschillen en overeenkomsten zijn er tussen accountantsorganisaties bij de cliëntacceptatie en -continuatie?

6. Wat voor gevolgen kan het verhoogd risico hebben ten aanzien van de controlevergoeding, extra personeel en controle-inspanning?

Dit onderzoek zal bestaan uit een literatuuronderzoek en een praktijkonderzoek. De eerste drie deelvraag zullen worden beantwoord door middel van het uitvoeren van theoretisch onderzoek. Om de overige deelvragen te beantwoorden, worden een aantal interviews met accountantsorganisaties afgenomen. Om te ondervangen dat de (interview)vragen niet juist of volledig worden beantwoord, is er gekozen om informatie te verzamelen door middel van interview. De deelvragen zijn eventueel aangevuld met literatuuronderzoek, op het gebied van recente ontwikkelingen.

1.4 RELEVANTIE

Met mijn literatuuronderzoek wordt inzicht verkregen in de positie van accountantsorganisaties op het gebied van risicomanagement. Gedurende het onderzoek zal met een praktijkonderzoek de huidige situatie(proces) worden geanalyseerd op het gebied van cliëntacceptatie en -continuatie bij risicovolle cliënten. Uit het praktijkonderzoek zal blijken of en hoe de accountant het risico van potentiële cliënten analyseert.

Vervolgens zal ook uit het praktijkonderzoek blijken wat accountantsorganisaties doen bij het wel of niet aannemen van risicovolle cliënten en welke redenen en factoren hierop invloed hebben.

12 Bij het opstellen van risicoprofielen van bestaande en nieuwe cliënten zijn de processen “cliëntacceptatie en cliëntcontinuatie” belangrijk. Accountantsorganisaties kunnen de resultaten van dit onderzoek gebruiken bij het effectief opstellen van risicoprofielen van bestaande of nieuwe cliënten.

Aan de hand van het onderzoek krijgen accountants beter zicht op welke risico‟s zij in acht moeten nemen, waardoor zij beter kunnen besluiten om (potentiële) risicovolle cliënten dienstverlening aan te bieden. Verder zal uit het onderzoek blijken in hoeverre de 4e tranche AWB invloed heeft op de besluitvorming, gezien het feit dat de 4e tranche AWB een persoonlijk effect kan hebben op accountants.

De WTA regelt de vergunningplicht voor alle accountantsorganisaties die wettelijke controles (willen) uitvoeren. Eén van de belangrijkste eisen waaraan een accountantsorganisatie moet voldoen, is kwaliteitsverbetering en -beheersing. De relevante eis van kwaliteitsbeheersing die betrekking heeft op mijn onderzoek is: “het voorzien in de opzet en toepassing van procedures inzake het aanvaarden en behouden van (controle)cliënten”.

De resultaten van het onderzoek kunnen door accountantsorganisaties worden gebruikt ter bevordering van het naleven van het kwaliteitsbeleid door het proces cliëntacceptatie (en continuatie) te optimaliseren. Op basis van het proces is de accountantsorganisatie in staat de risico‟s te herkennen, adequaat te analyseren en te verwerken in de besluitvorming op het gebied van cliëntacceptatie en continuatie. Daarnaast kan, waar nodig, verbetering in het proces aangebracht worden.

De accountantsorganisatie kan de resultaten van het onderzoek tevens gebruiken om de AFM beter inzicht te geven in de wijze waarop de kwaliteit rondom het proces beheerst wordt. Hierdoor voldoet de accountantsorganisatie aan de eisen om de vergunning te kunnen bemachtigen of te kunnen behouden.

13 1.5 SLOT

In dit hoofdstuk heeft u de aanleiding, probleemstelling en mijn hoofd- en deelvragen kunnen lezen. In het volgende hoofdstuk ga ik nader in op risicomanagement. Ik zal hierbij het COSO-ERM model behandelen en een bedrijfsmodel voor accountantsorganisatie ontwikkelen die als vertrekpunt voor risico management met betrekking tot risicovolle cliënten voor mijn onderzoek wordt gebruikt.

14

2.RISICOMANAGEMENT

2.1 INLEIDING

De accountant moet er voor zorgen dat zijn ondernemingsdoelstellingen worden bereikt. Bij een dienstverlenende organisatie, zoals een accountantsorganisaties, zijn “het bereiken van kwaliteit” en “reputatie” één van de belangrijkste doelstellingen. Een aansprekend voorbeeld waar het mis is gegaan als gevolg van reputatieverlies, is Arthur Andersen. Hoewel er ook sprake was van frauduleuze accountants, was de betrokkenheid bij een risicovolle cliënt indirect aanleiding tot uitstroom van cliënten, waardoor de accountantsorganisatie uiteindelijk failliet is gegaan.

De eerste fase in het risicomanagement is het proces cliëntacceptatie. De tweede fase in het risicomanagement proces is de opdrachtacceptatie. Volgens Kuijck (2000) dient de cliëntacceptatie te worden gesplitst van de opdrachtaanvaarding, waardoor een accountantsorganisatie een keuze kan maken tussen de diensten die zij wil aanbieden bij de desbetreffende cliënt.

In dit hoofdstuk zal in paragraaf 2.2 worden ingegaan op het meest gebruikte en actuele risicobeheersingsysteem voor organisaties: “The Committe of sponsoring Organizations of the Treaway Commission”-Enterprise Risk Management (hierna: COSO-ERM). Vervolgens wordt in paragraaf 2.4 behandeld hoe de accountant een basisinzicht kan krijgen in het zichtbaarder en tastbaarder maken van het engagement risk (opdrachtrisico). Ik wil dat doen door aandacht te besteden aan de wijze waarop vaktechnische risico‟s van de accountant in kaart worden gebracht. Door middel van een model wordt een koppeling gemaakt tussen cliëntacceptatie en opdrachtacceptatie.

2.2 COSOENTERPRISE RISK MANAGEMENT

COSO-ERM gaat ervan uit dat het doel van een accountantsorganisatie het creëren van waarde voor de aandeelhouders is. In het proces van waardecreatie voor aandeelhouders loopt een accountantsorganisatie veel risico‟s. De risico‟s zorgen in het algemeen voor kansen en of bedreigingen om waardecreatie te realiseren.

15 Het risicobeheersingsysteem COSO-ERM ondersteunt organisaties met risico‟s om te gaan die waardecreatie beïnvloeden. Het systeem wordt toegepast op de gehele organisatie, met als doel het behalen van de organisatiedoelstellingen. Voorbeelden hiervan zijn het ondersteunen van het naleven van wet- en regelgeving en (mede daardoor) het voorkomen van reputatieschade.

Het meest gebruikte en actuele risicobeheersingsysteem voor organisaties is COSO-ERM. Het doel van het risicobeheersingsysteem COSO-ERM is om met de gewenste mate van zekerheid te kunnen stellen dat de ondernemingsdoelstellingen worden bereikt (Emanuels e.a., 2005).

Het risicobeheersingsysteem COSO-ERM definieert risk-management als volgt:

“Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives” (COSO-ERM 2004)

Het COSO-ERM richt zich op de volgende vier doelstellingniveaus van een organisatie: 1) Strategic: high-level goals, aligned with and supporting the mission;

2) Operations: effective and efficient use of the resources; 3) Reporting: reliability of reporting;

4) Compliance: compliance with applicable laws and regulations.

Mijn onderzoek zal zich richten op het afdekken van het doelstellingniveau “strategic” en “compliance”, aangezien deze doelstellingen betrekking hebben op het proces “cliëntacceptatie” en “cliëntcontinuatie”. Uiteraard is het voor een accountantsorganisatie wel belangrijk om alle vier doelstellingen volledig af te dekken, zodat integraal risicomanagement kan worden gerealiseerd.

16 Risicomanagement binnen de accountantsorganisatie is volgens Geerlof (2000) belangrijk, omdat zich omstandigheden kunnen voordoen, die de ondernemingsdoelstellingen in gevaar kunnen brengen. In zijn artikel geeft Geerlof alle facetten van risicomanagement weer:

 het identificeren en analyseren van risico‟s die ondernemingsdoelstellingen bedreigen;

 het inventariseren en selecteren van risicobeheersing- en risico financieringstechnieken;

 het implementeren van een risicobeheerstrategie; en

 de continue evaluatie van dit proces.

Alle vier facetten moeten worden uitgevoerd voor alle vier hierboven beschreven doelstellingniveau (Strategic, Operations, Reporting en Compliance) om tot een integraal beheersingsysteem te komen.

De risico‟s die ondernemingsdoelstellingen bedreigen kunnen worden beheerst door een stappenplan te hanteren. Het COSO-ERM noemt ze componenten. Het raamwerk COSO-ERM bestaat uit de volgende acht aan elkaar gerelateerde componenten: 1. Internal environment, 2. Objective settings, 3. Event identification, 4. Risk assessment, 5. Risk response, 6. Controle activities, 7. Information & Communication en 8. Monitoring.

17 In de onderstaande afbeelding zijn de acht gerelateerde componenten van het COSO-ERM-raamwerk in een kubus weergegeven:

Afbeelding 1: Driedimensionale kubus COSO-ERM

De vier doelstellingen van een organisatie zijn weergegeven in de verticale kolommen van de kubus, en de horizontale kolommen zijn de acht componenten. In de derde dimensie van de kubus worden de verschillende niveaus weergegeven.

Op basis van het COSO-ERM en met hulp van het artikel van Uiterlinden (2006) beschrijf ik kort wat de acht componenten inhouden:

 Internal Environment en Objective setting worden ook wel de randvoorwaarden van het risicobeheersingsysteem genoemd. Hier wordt bij de component Internal Environment de risicobewustheid van de organisatie beschreven. Uiterlinden definieert “risicobewustheid” hoe de kleur en risicocultuur van een organisatie is, en hoe functionarissen binnen een organisatie daarmee omgaan. De risk appetite (risicoacceptatiegraad), integriteit, ethische waarden en milieu waar de organisatie opereert zijn factoren die Internal Environment beïnvloeden. In de component Objective setting is een proces aanwezig die ondersteunt bij het formuleren van organisatiedoelstellingen, waardoor daarna pas potentiële risico‟s door een organisatie kunnen worden geïdentificeerd. De organisatiedoelstellingen worden vervolgens op de missie en de risk appetite van de organisatie afgestemd.

18

 De rode draad in mijn onderzoek is de factor risk appetite: “Hoeveel risico wil een accountantsorganisatie nemen bij het aangaan van risicovolle cliëntrelatie”. De risk appetite wordt in mijn onderzoek gebruik als de link tussen organisatiedoelstellingen en risicomanagement bij het nemen van de beslissing bij het bereiken van organisatiedoelstellingen.

 Alle potentiële gebeurtenissen die effect hebben op het behalen van de ondernemingsdoelstellingen moeten worden geïdentificeerd (event identification). Gebeurtenissen kunnen zowel intern als extern van betekenis zijn. Vervolgens dient per gebeurtenis een onderscheid gemaakt worden tussen opportuniteit en risico‟s (bedreiging). Opportuniteit dienen meegenomen te worden bij het proces van het bepalen van organisatiedoelstellingen, en risico‟s dienen worden ingeschat (risk assessment).

 Bij het uitvoeren van de risk assessment wordt in eerste instantie de risico‟s beoordeeld of deze aanvaardbaar zijn of niet. Vervolgens worden alle risico‟s in kaart gebracht, en wordt onderscheid gemaakt in inherent (bruto inherent) risk en residual (netto inherent) risk. Inherent risk is een risico wanneer geen risicobeperkte maatregelen zijn getroffen. Residual risk is het risico dat overblijft na een risicobeperkte maatregel.

 Risico‟s die de ondernemingsdoelstelling bedreigen, moeten worden gewogen tegen de criteria likelihood (kans) en impact. Onder “likelihood” wordt de waarschijnlijkheid van het optreden van de “event”, en onder “impact” wordt de invloed van de “event” op de te bereiken doelstelling verstaan (COSO ERM). Bij het uitvoeren van een risk assessment is een organisatie is staat om beter risico‟s te managen.

 Bij het managen van de risico‟s in COSO-ERM kunnen de volgende Risk Response worden aangenomen:

• Avoidance: Een organisatie neemt (beheersings-) maatregelen om te voorkomen dat risico plaats vindt.

• Reduction: Een organisatie neemt (beheersings-) maatregelen om de kans en of de impact van het risico te verminderen.

• Sharing: Een organisatie neemt (beheersings-) maatregelen om de kans en of de impact van het risico met externe partijen te delen.

19 • Acceptance: Een organisatie neemt geen (beheersings-) maatregelen en

accepteert de mogelijke kans en impact van het risico.

Het verschil tussen “avoidance” en “reduction”, wordt gekenmerkt door een resterende bedreiging bij reduction nadat (beheersings-) maatregelen zijn geïmplementeerd. De resterende bedreiging heeft dan wel een kleinere kans en impact.

 De component Control Activities betreft de beheersingsactiviteiten van organisaties die helpen bij het waarborgen van het effectief uitvoeren van het proces Risk Response. Dit gebeurt door het invoeren van procedures door de gehele organisatie heen, om voor te zorgen dat de organisatie haar doelstellingen behaalt.

 Informatievoorziening (Information & communication) is belangrijk voor een organisatie om de organisatiedoelstellingen te kunnen besturen en te beheersen. Relevante en tijdige informatie maakt het mogelijk dat functionarissen binnen een organisatie juiste beslissingen kunnen nemen in het proces risicomanagement.

 Er zijn verschillende methodes van monitoring van het risicobeheersingsysteem. Belangrijk is dat periodiek gecontroleerd wordt dat het systeem nog goed functioneert. Ook moet het systeem, wanneer het niet meer actueel is, gewijzigd worden.

2.3 BEDRIJFSMODEL VOOR ACCOUNTANTSORGANISATIES

Zoals hiervoor beschreven, richt het risicobeheersingsysteem zich op een viertal doelstellingsniveaus. In deze paragraaf beoog ik een deugdelijk vertrekpunt in kaart te brengen voor het risicomanagement van de onderzoeksituatie (het hebben van een risicovolle cliëntrelatie) bij een accountantsorganisatie. Hier worden de actuele risico‟s benoemd voor dit onderzoek, in relatie tot de organisatiedoelstellingen van accountantsorganisaties. Verder wordt toegelicht waarom dit voor het onderzoek relevant is.

20 Relatie doelstelling en bedreiging:

Een risicoanalyse begint met de meest belangrijke fase: de risico-identificatie. Hier moet initieel in kaart worden gebracht welke mogelijke risico‟s organisatiedoelstellingen bedreigen. Dit onderzoek zal zich richten op de doelstelling strategie (strategic) en compliance van een accountantsorganisatie.

De belangrijkste bedreigingen per doelstelling die voor dit onderzoek zijn geïnventariseerd zijn “uitstroom van cliënten” en “het niet verkrijgen of verliezen van een WTA vergunning”. Dit is als volgt uitgewerkt:

Bij het uitgangspunt van dit onderzoek heb ik de risico‟s in bovenstaand overzicht top-down geïnventariseerd, in plaats van bottom-up, voor een schematisch overzicht. Hierdoor is het mogelijk om de risico‟s eenvoudig aan te laten sluiten bij de organisatiedoelstellingen, om vervolgens het onderliggende (cliëntacceptatie)proces te onderkennen. Omdat de bedreigingen een tegenpool zijn van organisatiedoelstellingen, zijn de hierboven genoemde bedreigingen, de belangrijkste bedreigingen in dit onderzoek.

Doelstellingsniveau Doelstelling Risico/Bedreiging

- Strategic Omzetgroei en Reputatieverlies en uitstroom cliënten continuïteit

- Compliance Voldoen aan de Niet verkrijgen of intrekking vergunningseisen Wta vergunning imagoschade

21 Uit recente ontwikkelingen, die in de paragraaf “aanleiding van mijn onderzoek” zijn beschreven, heb ik het inherente risico voor een accountantsorganisatie in kaart gebracht en de elementen “impact” en “likelihood” onderkend.

Inherente risico

Bedreiging Event Likelihood Impact

Relatie met risicovolle cliënten Vergroot potentiële fraude door cliënten Beperkt Hoog Heeft effect op omzet, reputatie en waarde van de accountantsorganisatie

Risk response accountantsorganisaties:

Het primaire proces van een accountantsorganisatie is het bieden van dienstverlening aan cliënten. Nadat het inherente risico in kaart is gebracht (zie hierboven), zal een beoordeling van het risico moeten plaatsvinden door een accountantsorganisatie. De accountantsorganisatie zal moeten beoordelen of het verlenen van diensten aan dubieuze cliënten aanvaardbaar is of niet.

Uit het artikel van Nierop (2006) is gebleken dat weggestuurde risicovolle cliënten toch altijd zelfstandig nieuwe accountants weten te vinden, waardoor is geconstateerd dat accountantsorganisatie niet dezelfde risk response aannemen. Hij geeft drie mogelijke redenen: 1) de accepterende accountantsorganisatie is fout, omdat de cliënt zo evident en structureel onbetrouwbaar is, of 2) de afwijzende organisatie doen aan een vorm van cherry picking (ze willen alleen lucratieve cliënten) of 3) wijzen dubieuze cliënten af uit angst of gemak.

Zoals hierboven is geconcludeerd, bepaalt iedere accountantsorganisatie zijn eigen risicotolerantie en risicoacceptatiegraad. COSO-ERM kent “avoidance” (vermijden),

22 “reduction” (verminderen), “sharing” (delen) en “acceptance” (accepteren) als risk response. Voor dit onderzoek geldt dat een accountantsorganisatie deze risicohoudingen kan aannemen.

2.4 ENGAGEMENT RISK

Uit het artikel van Klijnsmit (2003) is gebleken dat bedrijfsrisico‟s voor accountantsorganisaties leiden tot een financieel verlies. Het financiële verlies kan zowel direct ontstaan, door bijvoorbeeld boetes en schadevergoeding, als indirect door reputatieverlies.

Reputatieverlies (loss of professional reputation) ontstaat wanneer een accountantsorganisatie steeds geassocieerd wordt met dubieuze cliënten, boetes en schadeclaims (litigation) van failliete of frauduleuze cliënten. Indien de accountantsorganisatie de procedure wint, kunnen de kosten van de procedure hoger zijn dan ooit aan de opdracht is verdiend. Daarnaast leidt een procedure met een cliëntrelatie tot reputatieverlies.

Knechel (2000) en Arens e.a. (2003) definiëren engagement risk als volgt: de kans dat

een accountantsorganisatie een verlies zal lijden uit de betrokkenheid met een cliënt.

Verliezen kunnen volgens Knechel ontstaan door: • Litigation (juridische procedures);

• Loss of professional reputation (reputatieverlies); • Lack of profitability (gebrek aan winstgevendheid).

Het belangrijkste onderdeel bij het screenen van de (potentiële) cliënt is de integriteit. Uit het proefschrift van Hernandez (2008) is gebleken dat accountants bij het inschatten van risico‟s, kijken naar “the tone at the top” bij een organisatie, omdat de directie/management (top van een organisatie) de interne beheersing kan verbreken en daardoor een frauderisico kan ontstaan.

23 Volgens Johnstone e.a. (2001) heeft fraude een hoge impact op het engagement risk. Indien een (potentiële) cliënt betrokken is bij fraude, zal het accountantsorganisatie risico lopen op rechtszaken en reputatieverlies.

2.5 HET AUDIT RISK MODEL

Het risicobeheersingsysteem COSO-ERM zou ook gekoppeld moeten worden aan het Audit Riks Model (ARM) om overige risico‟s te kunnen meewegen in de beslissing voor het aangaan van een relatie met risicovolle cliënten. Het ARM wordt door accountants gebruikt om bij aanvang van een jaarrekeningcontrole de risico‟s in te schatten. Het Audit Risk wordt gedefinieerd als het risico dat de accountant een onjuiste verklaring bij de jaarrekening afgeeft (Guy e.a., 1987). Op basis van de uitkomsten wordt door een accountantsorganisatie de hoeveelheid (controle)werkzaamheden bepaald die nodig is voor het uitvoeren van de opdracht. Het audit risk is voor een accountant een vaktechnisch risico. Hiermee wordt door Klijnsmit e.a. (2003) bedoeld dat beheersing van dit risico voor de accountant onderdeel is van zijn rol als beroepsbeoefenaar.

Het Audit Risk bestaat volgens Klijnsmit (2003) uit de volgende 2 componenten: • Het risico dat een jaarrekeningpost en de daarmee samenhangende aannames van het management een materiële fout bevat. Dit bestaat uit het inherente risico (inherent risk) en het interne controlerisico (control risk);

• Het risico dat de accountant dergelijke materiële fouten niet ontdekt. Dit is het ontdekkingsrisico (detection risk).

Het verschil tussen het inherente risico en interne controle risico is dat bij het inherente risico geen interne controlemaatregelen zijn toegepast.

24 De hoogte van het aanvaarde audit risk wordt binnen een accountantsorganisatie volgens Knechel (2000) generiek bepaald door middel van een formule:

AAR= IR x ICR x OR

AAR: Aanvaard Audit Risk IR: Inherente Risico ICR: Interne Controlerisico OR: Ontdekkingsrisico

Het aanvaarde audit risk is dan ook het risico dat de accountant bereid is te nemen dat de goedgekeurde jaarrekening een materiële fout bevat nadat alle werkzaamheden zijn verricht (Klijnsmit 2003).

Klijnsmit bespreekt in zijn artikel het verschil tussen het bedrijfsrisico van de cliënt en van de accountant. Zoals hiervoor besproken, is het ten onrechte afgegeven van een goedkeurende verklaring (zoals bij het achterhouden van opbrengsten bij een cliënt) een bedrijfsrisico voor de accountant. Immers een accountantsorganisatie loopt hierdoor schade op. Een bedrijfsrisico voor de cliënt is het niet behalen van de ondernemingsdoelen door interne en externe factoren en daardoor uiteindelijk de kans op een faillissement (Bell e.a., 1997).

Het bedrijfsrisico voor de cliënt is terug te vinden in de Audit Risk formule in het inherente risico (IR). Wanneer een accountantscontrole vaktechnisch ondeugdelijk wordt uitgevoerd, brengt dit een groot bedrijfsrisico voor een accountantsorganisatie met zich mee (Wallage, 1997).

Volgens van Manen (1989) is gebleken dat accountantsorganisaties er verstandig aan doen om gebruik te maken van een zorgvuldige risicoanalyse bij opdrachtacceptatie of -continuatie. Het bedrijfsrisico voor de accountant is ten dele terug te vinden in het aanvaardbare Audit risk (AAR) als het veroorzaakt wordt door een vaktechnisch risico;

25 “het risico dat ten onrechte een goedkeurende verklaring wordt afgegeven” (Klijnsmit, 2003).

Naast de vaktechnische risico‟s, zijn er ook andere oorzaken bij een accountantsorganisatie, zoals het risico dat het accountantsorganisatie haar ondernemingsdoelstellingen (zie COSO-ERM) niet bereikt bij het aangaan van (potentiële) cliënten. Het risico dat een accountantsorganisatie financieel en/of reputatieverlies leidt, komt in het Audit Risk Model volgens Klijnsmit niet tot uitdrukking.

2.6 SLOT

Zoals uit dit hoofdstuk blijkt, is er sprake van risicomanagement bij accountantsorganisaties bij het aangaan of het continueren van een cliëntrelatie. Ook op het moment van het aangaan (of continueren) van een opdracht binnen deze cliëntrelatie en het daaruit voortvloeiende oordeel, is sprake zijn van risicomanagement. In het volgende hoofdstuk behandel ik het proces van cliëntacceptatie en -continuatie.

26

3 HET

PROCES

VAN

CLIËNTACCEPTATIE

EN

–

CONTINUATIE

3.1 INLEIDING

Wanneer een accountant een nieuwe cliënt wil accepteren, zal de accountantsorganisatie moeten nagaan welke risico‟s op cliëntniveau de accountant kan verwachten. Met dit hoofdstuk beoog ik een beeld te schetsen van het algemene proces rondom cliëntacceptatie en continuatie bij accountantsorganisaties. Dit doe ik op basis van de zeven factoren die in overweging moeten worden genomen die Knechel (2000) en Westra (2002) hebben weergegeven, en op basis van het verplichte cliënten onderzoek.

Hierbij beschrijf ik overzichtelijk en beknopt de fase van “Expertise and staffing” tot “Profitability”. Op basis van het proces is de accountant in staat de risico‟s te herkennen, om vervolgens deze risico‟s adequaat te analyseren, om tot een besluit te komen rondom cliëntacceptatie. Het proces ondersteunt accountantsorganisaties die de risico‟s gecoördineerd en integraal willen beheersen.

3.2 ALGEMENE CONTROLEPROCES

Op auditopdrachten, audit gerelateerde services en adviesopdrachten kan risicomanagement van toepassing zijn. Wanneer een accountant aan een controleproces begint, is het screenen van (potentiële) cliënten de eerste stap. Knechel (2000) geeft in zijn boek “Auditing Assurance & Risk” het controleproces in zes stappen weer:

1. Client acceptance and Retention;

2. Knowledge Acquisition of Current Conditions; 3. Planning Tests of Financial Statement Assertions; 4. Tests of Financial Statement Assertions;

5. Completion of Audit; 6. Audit Reporting.

27 Paragraaf 3.4 zal zich richten op de eerste stap in het controle proces, namelijk “Client acceptance and Retention”. Het is belangrijk dat een accountantsorganisatie (potentiële) cliënten screent, omdat een cliënt een accountantsorganisatie in problemen kan brengen, waardoor de continuïteit van de organisatie in gevaar kan komen. Een andere reden om een cliënt te screenen, is het voldoen aan de kwaliteitsstandaarden.

3.3 ZEVEN FACTOREN BIJ EVALUATIE CLIËNTACCEPTATIE

Knechel (2000), Westra (2002) Arens e.a. (2003) identificeren zeven factoren die in overweging moeten worden genomen bij de evaluatie van een potentiële, nieuwe cliënt: (1) deskundigheid en capaciteit van de accountantsorganisatie, (2) onafhankelijkheid, (3) integriteit van de cliënt, (4) reputatie en imago van de onderneming, (5) verslaggevingvoorschriften, (6) financiële status, en (7) winstgevendheid van de opdracht.

Factoren 1 en 2 zijn beheersbaar door een accountantsorganisatie en meestal oplosbaar door de accountantsorganisatie. De overige factoren zijn niet beheersbaar door een accountantsorganisatie, maar dienen wel periodiek beoordeeld te worden.

Factoren 1 tot en met 3 worden ook genoemd in de HRA 205 (factoren die bij opdrachtaanvaarding in aanmerking moeten komen). De belangrijkste factor bij de evaluatie van een (potentiële) cliënt is integriteit van het management (3). Een tweede belangrijke factor die relevant voor mijn onderzoek is, is de reputatie en het imago van de onderneming (4). Verder zal ik in mijn onderzoek aandacht besteden aan de winstgevendheid van de opdracht (7) bij een verhoogd risico bij potentiële risicovolle cliënten.

3.4 PROCES CLIËNTACCEPTATIE EN CONTINUATIE

Deskundigheid en capaciteit (1), en onafhankelijkheid (2) van een accountantsorganisatie:

28 Doordat de accountantsberoepsgroep al jaren onder een vergrootglas ligt, is het voor een accountant essentieel dat de accountant door de maatschappij en de financiële wereld als deskundig en onafhankelijk wordt gezien (Klijnsmit, 2003).

In het kader van de “Nadere voorschriften inzake de onafhankelijkheid van de openbaar accountant” (ex artikel B1-290.1 VGC), dient de accountant (jaarlijks) een afweging te maken omtrent risico‟s die de accountant kan verwachten en de maatregelen die de accountant treft om de onafhankelijkheid te kunnen waarborgen. Daarbij wordt het bestaan van risico‟s ten aanzien van de onafhankelijkheid van zowel de directieleden als medewerkers van de accountantsorganisatie in het kader van de cliënt onderkend. De risico‟s kunnen van familiaire, financiële of andere afhankelijkheidsrelatie van aard zijn.

Integriteit (3) en reputatie (4) van de cliënt:

In het kader van de normen en waarden van een accountant, dient de accountant zich te verdiepen in de aard van de activiteiten van de potentiële cliënt. De activiteiten van de cliënt kunnen het oordeel over de integriteit van de cliënt mogelijk negatief beïnvloeden. Volgens Hernandez (2008) is de integriteit en het gedrag van directeuren een belangrijke factor op de kans op fraude. Hayes e.a. (2005) argumenteert in zijn artikel dat de accountant de toekomstige cliënt goed moet kennen om tot een sluitend controleplan te komen. Indien hij de cliënt goed kent, is hij in staat om de zwakkere punten van de onderneming vast te leggen, die specifiek aandacht zullen vereisen bij het uitvoeren van de controle.

Indien een cliënt geen bezwaar heeft tegen collegiaal overleg en bekend wil maken waarom hij afscheid heeft genomen van de vorige accountant heeft dit een positief effect op de mate van integriteit. Uit het artikel van van Amelo (2005) is gebleken dat accountants het collegiaal overleg als formaliteit zien en dat het overleg niet optimaal verloopt. Omdat de accountants vrezen voor civiele claims, leidt dit er toe dat zij hun opvolgers niet volledig of nauwelijks durven te informeren.

Uit onderzoek van Woo e.a. (2001) is gebleken dat de cliënten prijsconcurrentie en wisseling van directie als argumenten bij wisseling van accountantsorganisatie gebruiken. Uit het onderzoek van Chaney e.a. (2002) komt naar voren dat de aftredende

29 accountant weinig moeite zal doen om een risicovolle cliënt te behouden en weinig zal willen los laten over de cliënt. Dit uit vrees voor schadeclaims, verlies aan geloofwaardigheid en reputatieverlies.

Ten aanzien van de integriteit moet worden nagegaan of de cliënt bereid is om de uitvoering van de opdracht te laten plaatsvinden volgens geldende wet- en regelgeving. Daarnaast dient doormiddel van onderzoek via nieuwsbronnen, zoals internet en lokale media, informatie ingewonnen te worden om een oordeel over de integriteit van de cliënt te kunnen vormen.

Verslaggevingvoorschriften (5) en financiële status (6):

De accountantsorganisatie dient ook te onderzoeken en vast te leggen of de cliënt bereid is om verslaggevingvoorschriften na te leven. Er dient een goed beeld te worden verkregen van wat de financiële status van de cliënt is, om te kunnen weten of de cliënt binnenkort niet in de problemen komt, met een mogelijk faillissement als gevolg.

Winstgevendheid van de opdracht (7):

Bij het aanvaarden van een opdracht, dient dit tegen een toereikende vergoeding plaats te vinden. De vergoeding moet minimaal de kosten kunnen dekken die aan de opdracht zijn verbonden. Dit kunnen zowel kosten zijn bij het uitvoeren van de opdracht, maar ook rekeninghoudend met toekomstige kosten. Zoals bij eventuele reputatieschade door de risicovolle cliënt.

3.5 CLIËNTENONDERZOEK

Bij een cliëntonderzoek wordt voor de potentiële cliënt door middel van geïdentificeerde risicofactoren het risicoprofiel ingeschat. In het algemeen kiezen accountantsorganisaties voor een meest gebruikt en eenvoudige risicoprofiel; een verlaagd of verhoogd risicoprofiel. Het cliëntenonderzoek wordt door Wallage (2009) gezien als een belangrijke (preventieve) maatregel die bijdraagt aan het herkennen en beheersen van de risico‟s die bepaalde cliënten of transacties met zich mee brengen.

30 Kuijck (2000) heeft vanuit de praktijk verschillende risicofactoren geïdentificeerd (zie bijlage 1). In deze tabel heeft Kuijck een opsplitsing gemaakt naar cliënt- en branchespecifieke risico‟s. De reden hiervoor is dat accountants volgens wetenschappelijk onderzoek over het algemeen op die manier ook hun ervaring en kennis opdoen.

Kuijck maakt ook onderscheid tussen het bruto risicoprofiel en het netto risicoprofiel. Het bruto risicoprofiel is gebaseerd op afwegingen welke onder andere in bijlage 1 zijn genoemd. Het netto risicoprofiel is gebaseerd op het risico dat resteert nadat alle maatregelen zijn genomen om het risico te verminderen. Kuijck is van mening dat bij het gebruik maken van het bruto risicoprofiel, de risico‟s welke bij een specifieke cliënt worden gelopen, duidelijker worden dan bij het netto risicoprofiel.

Door het bruto risicoprofiel is een accountantsorganisatie in staat de risico‟s te managen, waardoor een effectieve en efficiënte bedrijfsvoering met betrekking tot risicomanagement wordt gerealiseerd. Kuijck geeft de nagestreefde voordelen van het hanteren van het bruto risicoprofiel in de volgende 3 punten weer:

• Samenstelling van het team en inspelen op de cliënt;

• Cliëntenportefeuille uitdrukken in termen risico en rendement;

• Beïnvloeden van verzekeringspremies voor beroepsaansprakelijkheid.

Een accountantsorganisatie dient een cliëntonderzoek te verrichten ter voorkoming van witwassen en terrorismefinanciering (artikel 3 lid 1 Wwft), dit houdt in dat de volgende aspecten minimaal verricht dienen te worden:

 identificatie en verificatie van de cliënt (artikel 3 lid 2 a Wwft,

 identificatie en risk based verificatie van de uiteindelijke belanghebbende (UBO‟s)(artikel 3 lid 2 b Wwft),

 doel en aard van de accountantsrelatie vaststellen (artikel 3 lid 2 c,Wwft)

 het bewaken en monitoren van de accountantsrelatie en de transacties (artikel 3 lid 2 d Wwft).

31 Het cliëntenonderzoek moet worden afgestemd op de risicogevoeligheid voor witwassen en terrorismefinanciering. Zoals hierboven is beschreven kan risicogevoeligheid gebaseerd worden op het type cliënt en de branche waarin de cliënt werkzaam is. Bij een verhoogd risicoprofiel moeten aanvullende werkzaamheden voor het cliëntenonderzoek verricht worden.

Fraudemelding:

De Wwft kent twee pijlers. De eerste pijler is “cliëntenonderzoek” in de vorm zoals hierboven is beschreven, en de tweede pijler is de “fraude meldplicht”. Volgens artikel 16 Wwft dient een instelling een verrichte of voorgenomen ongebruikelijke transactie te melden. Accountantsorganisaties kunnen een transactie van > € 15.000 in contanten als ongebruikelijke transactie aanmerken. Accountantsorganisaties kunnen ook andere transacties als ongebruikelijke transactie aanmerken, wanneer zij vermoeden hebben dat deze verband kunnen hebben met witwassen of terrorisme financiering.

Besluit cliëntacceptatie:

De accountantsorganisatie evalueert de risico‟s die verbonden zijn aan de potentiële cliënt. De compliance officer vraagt de verantwoordelijke functionaris of er ten aanzien van deze nieuwe cliënten informatie bestaat op grond waarvan acceptatie mogelijk een probleem kan zijn. De cliëntverantwoordelijke functionaris legt de overwegingen met betrekking tot acceptatie of afwijzing fysiek vast. In overeenstemming met de opdrachtvoorwaarden, dient de accountantsorganisatie een engagement letter (opdrachtbevestiging) op te stellen en door de cliënt te laten tekenen.

Cliëntcontinuatie:

De beslissing tot continueren van de cliëntrelatie hangt af van belangrijke zaken, die zich tijdens de huidige of voorgaande opdrachten heeft afgespeeld en die invloed hebben op het continueren van de cliëntrelatie. De hiervoor beschreven aspecten bij cliëntacceptatie worden bij de jaarlijkse continuatie meegewogen.

32 Engagement letter:

Een engagement letter is een overeenkomst tussen een accountantsorganisatie en de cliënt voor het aangaan van de controleopdracht (Hayes, 2005). Het opstellen van een engagement letter is verplicht om toekomstige misverstanden met de cliënt te voorkomen.

Compliance:

Volgens Peeperkorn (2008) moet compliance een integraal onderdeel zijn van de organisatiecultuur en niet alleen de verantwoordelijkheid van een gespecialiseerde compliance-medewerker. De afdeling compliance bewaakt de kwaliteit en naleving van externe wet- en regelgeving binnen een accountantsorganisatie. Intern heeft de compliance officer een toezichthoudende rol ten aanzien van kwaliteitsbewaking van de processen.

Een accountantsorganisatie is verplicht te beschikken over een kwaliteithandboek, waarin de interne beheersing van kwaliteitmaatregelen is vastgesteld. Uit het artikel van Woudstra (2005) komt naar voren dat risicomanagement van de accountantsorganisaties in relatie tot kwaliteitsdenken zijn weerslag vindt in de getroffen maatregelen die zijn beschreven in het kwaliteitshandboek.

Uit het onderzoek van Woudstra (2005) is tevens gebleken dat het invoeren van de compliancefunctie, de reputatie en de professionele integriteit van de accountantsorganisatie en haar medewerkers bevordert en beschermt. Het “in compliance” zijn betekent voor Kuijck (2000) dat de onafhankelijkheid, de objectiviteit en integriteit van zowel de accountantsorganisatie, als ook de individuele werknemers gewaarborgd is.

3.6 SLOT

In dit hoofdstuk heb ik aandacht besteed aan het proces cliëntacceptatie. In het volgende hoofdstuk schets ik de opzet van het onderzoek. Ik geef daarbij aan op welke wijze ik antwoord wil krijgen op de door mij geformuleerde onderzoeksvragen.

33

4 OPZET VAN HET ONDERZOEK

4.1 INLEIDING

In dit hoofdstuk beschrijf ik de opzet van mijn onderzoek. De doelstelling van mijn onderzoek is een duidelijk beeld schetsen van risicomanagement op het gebied van cliëntacceptatie en -continuatie bij accountantsorganisaties als gevolg van de recente ontwikkelingen in de wet- en regelgeving. Daarnaast wil ik onderzoeken op welke wijze de verhoogde risico‟s beheerst kunnen worden. Middels de deelvragen zal ik in dit hoofdstuk aangeven wat de methode van onderzoek is. Aan de hand van de onderzoeksopzet probeer ik uiteindelijk het antwoord op mijn centrale vraagstelling te formuleren.

4.2 ONDERZOEKVORM EN ONDERZOEKSOBJECT

Aan de hand van openvragen zullen de accountantsorganisaties worden geïnterviewd om daarmee antwoord te krijgen op de genoemde deelvragen. De belangrijkste reden waarom voor openvragen is gekozen, is om diepgang in de interviews te brengen door te kunnen doorvragen. Een doelstelling van dit onderzoek is de verschillen tussen accountantsorganisaties te onderzoeken. Om deze doelstelling te kunnen voltooien dient de huidige situatie, de risicohoudingen en oordelen van de geselecteerde accountantsorganisaties in kaart gebracht te worden. Hierdoor zijn overige type (kwantitatief) onderzoeken niet toepasbaar om tot de gewenste informatie te komen.

Ter toetsing van de verkregen antwoorden, of wanneer een interview geen toereikende informatie oplevert, zullen een tweetal casusposities worden voorgelegd. Deze casussen hebben mede tot doel ethische vragen te stellen rondom relaties met risicovolle cliënten. Voorbeelden van onderwerpen met betrekking tot cliëntacceptatie en continuatie worden in deze casussen verwerkt. De reden waarom ik ook voor deze methode heb gekozen, is om argumenten te verzamelen en te analyseren die relevant zijn voor het beantwoorden van de vraagstelling.

34 De belangrijkste argumenten zullen zich ontleden aan ethische normen van een accountantsorganisatie, aangezien wetsbepalingen en beroepsrichtlijnen hier duidelijk over zijn.

4.3 SELECTIE ACCOUNTANTSORGANISATIES

Om inzicht te krijgen in de verschillen tussen accountantsorganisaties rondom het beleid ten aanzien van risicovolle cliënten en wetenschappelijk onderbouwde uitspraken voor mijn onderzoek te kunnen doen, heb ik een vijftal accountantsorganisaties geïnterviewd. De accountantsorganisaties die zijn geselecteerd voor mijn onderzoek zijn allen actief in Nederland. Vanwege privacyreden zijn de namen van de accountantsorganisaties niet in dit onderzoek opgenomen.

Bigfour accountantsorganisatie:

Accountantsorganisatie A is een internationale accountantsorganisatie. Wereldwijd telt dit accountantskantoor 100.000 medewerkers verdeeld over 140 landen. In Nederland werken 4.500 medewerkers verspreid over 30 vestigingen. Accountancy, fiscaal advies, transaction advisory services en juridisch advies zijn de kerndiensten van accountantsorganisatie A. De accountantsorganisatie bezit een Wta/OOB vergunning voor het kunnen verrichten van alle soorten wettelijke controles. Het interview is afgenomen met een vennoot, zie bijlage 3.1 voor het interviewverslag.

Middelgroot accountantsorganisaties met een WTA/ OOB vergunning:

Accountantsorganisatie B is een zelfstandig opererende, middelgroot, Nederlandse accountantsorganisatie die lid is van een internationaal accountantsnetwerk. Accountantsorganisatie B heeft vijf vestigingen in Nederland, en behoort tot de tien grootste accountantsorganisaties van Nederland. De accountantsorganisatie bezit een Wta/OOB vergunning. Het interview is afgenomen met een vestigingdirecteur en een controleleider, zie bijlage 3.2 voor het interviewverslag.

Accountantsorganisatie C is een middelgroot accountantskantoor voor kleine en middelgrote ondernemingen, de agrarische sector, overheid en non-profit instellingen.

35 De accountantsorganisatie heeft zevenenveertig vestigingen, en bezit een Wta/OOB vergunning voor het verrichten van wettelijke controles. De vragenlijst is door een relatiemanager ingevuld, zie bijlage 3.3 voor de ingevulde vragenlijst.

Middelgroot accountantsorganisaties met een WTA vergunning (geen OOB):

Accountantsorganisatie D is een middelgroot kantoor. Door heel Nederland werken 115 medewerkers, verspreid over 4 vestigingen. Accountancy, fiscaal- en juridische advies zijn de kerndiensten van accountantsorganisatie D. De accountantsorganisatie bezit een Wta vergunning voor het verrichten van wettelijke controles. Het interview is afgenomen met een vennoot, zie bijlage 3.4 voor het interviewverslag.

Accountantsorganisatie E is een middelgroot kantoor van registeraccountants, belastingadviseurs en consultants. De accountantsorganisatie bedient relaties in het MKB, overheid en non profit. De accountantsorganisatie heeft 4 vestigingen in het noorden van het land. De accountantsorganisatie heeft nog geen Wta vergunning, maar voert wel wettelijke controles uit vanuit een samenwerkingsverband in de vorm van een vereniging. Het interview is afgenomen met een relatiemanager, zie bijlage 3.5 voor het interviewverslag.

4.4 SPREIDING SELECTIE ACCOUNTANTSORGANISATIES

In deze subparagraaf wordt de spreiding met betrekking tot de geselecteerde accountantsorganisaties voor dit onderzoek onderbouwd.

Er is bewust gekozen voor één bigfour accountantsorganisatie, omdat bij de overige drie bigfour accountantsorganisatie het proces hetzelfde is georganiseerd als bij accountantsorganisatie A. De overige bigfour accountantsorganisaties hebben wellicht andere softwareprogramma‟s, maar het acceptatie- en continuatietraject is net als accountantsorganisatie A met dezelfde stappen geautomatiseerd dichtgemetseld. Hierdoor acht ik het niet nodig om nog een bigfour organisatie te interviewen

36 Daarnaast is bewust gekozen voor twee middelgrote accountantsorganisaties die een Wta/ OOB vergunning hebben. Een beursgenoteerde bedrijf, een bank en/of een verzekeraar zijn een voorbeeld van een organisatie van openbaar belang (OOB). Deze organisaties mogen alleen door accountantsorganisaties gecontroleerd worden die een Wta/OOB vergunning hebben. Er vindt grondig en frequent toezicht plaats door de AFM op de accountantsorganisaties die een Wta/OOB vergunning hebben. De accountantsorganisaties mogen OOB‟s en overige ondernemers controleren.

Tot slot zijn twee middelgrote accountantsorganisaties geselecteerd die geen Wta/OOB vergunning hebben, maar alleen een Wta vergunning. Zij mogen geen OOB‟s controleren, maar wel overige ondernemers controleren.

4.5 TOTSTANDKOMING SELECTIE ACCOUNTANTSORGANISATIES

De initiële insteek was een interview bij zeven accountantsorganisaties, te weten een bigfour accountantsorganisatie, twee middelgrote accountantsorganisaties met meerdere vestigingen, twee middelgrote accountantsorganisaties met één vestiging en twee kleine accountantsorganisaties. Voor dit onderzoek is het belangrijk om een relatiemanager, externe accountant of vennoot te interviewen om relevante en bruikbare data te verzamelen. Bij het benaderen van accountantsorganisaties was het lastig om in contact te komen met één van de functionarissen. Zo is het voorgekomen dat drie accountantsorganisaties geen tijd voor een interview hadden, maar wel de vragenlijst wilden invullen. Uiteindelijk heeft toch één accountantsorganisatie (accountantsorganisatie C) een vragenlijst ingevuld en hebben twee accountantsorganisaties zich zonder duidelijke reden teruggetrokken.

Gedurende het onderzoek is gebleken dat accountantsorganisaties niet snel mee wilden werken aan het onderzoek, omdat de functionarissen weinig of geen tijd hadden voor een interview.

Tijdens het onderzoek bleek dat het merendeel van de middelgrote accountantsorganisaties (met of zonder Wta vergunning) zich hebben aangesloten bij Samenwerkende Registeraccountants en Accountants- Administratieconsulenten (SRA). Het SRA is een vereniging die een netwerk is voor middelgrote accountantsorganisaties

37 in Nederland. Het SRA biedt op dit moment aan 370 aangesloten accountantsorganisaties alle mogelijkheden van een bigfour kantoor (www.sra.nl).

Wegens de invoering van de Wta maken veel leden gebruik van producten en diensten van het SRA. Een aantal leden bezit inmiddels een wettelijke vergunning voor het uitvoeren van (wettelijke) controles of bevinden zich in het proces om de vergunning te bemachtigen. Om een vergunning te bemachtigen, of juist te behouden, moeten accountantsorganisaties continu aan de kwaliteitsnormen van de AFM voldoen. Zo biedt het SRA digitale controledossiers inclusief een kader aan om een juiste en volledige analyse rondom risicomanagement cliëntacceptatie en –continuatie uit te voeren. Tevens verricht het SRA periodiek kwaliteitsreviews uit waar de AFM op steunt. Accountantsorganisatie B, D en E zijn aangesloten bij het SRA.

Met deze relevante informatie is besloten om, naast een bigfour organisatie en twee middelgrote accountantsorganisaties met Wta/OOB vergunning, uiteindelijk ook twee middelgrote accountantsorganisaties te selecteren die aangesloten zijn bij een netwerk voor accountantsorganisaties.

De interviews zijn afgenomen aan de hand van een vragenlijst. Op basis van de acht componenten van het stappenplan van COSO-ERM zijn de vragen in de vragenlijst geformuleerd. Zoals in hoofdstuk 2 is beschreven, kan het systeem worden toegepast op de gehele accountantsorganisatie, met als doel de focus op het behalen van de organisatiedoelstellingen te leggen. In de volgende paragraaf behandel ik de door mij gehanteerde vragenlijst.

4.6 DE VRAGENLIJST

In bijlage 2 zijn een vragenlijst en een tweetal casusposities toegevoegd die gebruikt zijn bij het interviewen van de accountantsorganisaties. De vragen hebben betrekking op het risicobeheersingsysteem. In de bijlage heb ik per vraag een korte toelichting beschreven, om aan te geven wat de vraag precies inhoudt.

38 Omdat het niet zeker was dat een accountantsorganisatie tijd heeft voor een interview, zijn de vragen vervolgens voorzien van korte toelichtingen zodat accountantsorganisaties zelf de vragenlijst kunnen invullen. Met behulp van de vragenlijst (en korte toelichting per vraag) wordt gewaarborgd dat een interview gestructureerd verloopt en dat de verkregen data op dezelfde manier verzameld en geanalyseerd kunnen worden.

Ter toelichting wordt hier een korte schets gegeven waarom bepaalde vragen zijn gesteld voor bij de interviews. De kernpunten voor dit onderzoek worden hier onderbouwd, dit gebeurt voornamelijk met behulp van de toelichtingen die per vraag in de bijlage zijn vermeld. De vragen zijn er voornamelijk op gericht om een helder beeld te krijgen van de accountantsorganisatie rondom risicomanagement ten aanzien van (risicovolle) cliëntrelaties.

Definitie risicovolle cliënten

Ten eerste is het belangrijk om te weten wie accountantsorganisaties als “risicovolle cliënten” zien. Daarnaast is het van belang te weten op grond van welke factoren risicoprofielen van cliënten worden vastgesteld.

Bewustzijn, verantwoording en betrokkenheid

Het is belangrijk dat een accountantsorganisatie een dergelijk proces ontwikkelt en dat de directie voorbeeldgedrag vertoont bij het uitvoeren van het proces. Dit bepaalt tevens het bewustzijn van verschillende soorten functionarissen omtrent de omgang met (risicovolle) cliënten.

Organisatiedoelstellingen van accountantsorganisaties

De organisatiedoelstellingen moeten allereerst bekend zijn voordat de accountantsorganisatie potentiële risico‟s voor het behalen van deze organisatiedoelstellingen kan identificeren. Accountantsorganisaties kunnen verschillende organisatiedoelstellingen hebben. Aangezien een accountantsorganisatie verschillende soorten ondernemingsdoelstellingen wil behalen, zal een weloverwogen

39 afweging gemaakt moeten worden op basis van risico‟s en rendement op een cliënt. Wordt een risicovolle cliënt gezien als opportuniteit (hoog risico = hoog rendement) of wordt dit als risico gezien dat een organisatiedoelstelling niet wordt behaald (voorbeeld: reputatieschade).

Risicoacceptatiegraad

Hoeveel risico wil een accountantsorganisatie nemen bij het aangaan van een cliëntrelatie met een verhoogd risico. De risicoacceptatiegraad wordt in dit onderzoek gebruikt als de link tussen organisatiedoelstellingen en risk management bij het nemen van de beslissing bij het bereiken van organisatiedoelstellingen.

Risicobeheersing

Welke risicobeperkende maatregelen zijn door de accountantsorganisaties genomen om het risico te beperken. Een opsomming van de risicobeperkende maatregelen bepalen de mate van risicobeheersing in een accountantsorganisatie.

Monitoring

Er zijn verschillende methoden van monitoring van het risicobeheersingsysteem. Belangrijk is dat periodiek door een accountantsorganisatie gecontroleerd wordt of het proces nog goed functioneert. Indien blijkt dat het proces niet meer actueel is, wordt onderzocht hoe er wijzigingen door de accountantsorganisatie wordt doorgevoerd.

4.7 SLOT

In dit hoofdstuk heb ik de opzet van dit onderzoek beschreven, waarbij ik aandacht heb geschonken aan de accountantsorganisaties die ik heb benaderd voor een interview en mijn vragen. De vragenlijst voor mijn interview is opgenomen in bijlage 2. De vragenlijst bevat diverse vragen die uiteindelijk dienen te leiden tot beantwoording van mijn deelvragen. In het volgende hoofdstuk behandel ik de uitkomsten van mijn onderzoek.

40

5 UITKOMSTEN ONDERZOEK

5.1 INLEIDING

Mijn onderzoek is gericht op accountantsorganisaties in Nederland. Het doel is de verschillen tussen accountantsorganisaties te onderzoeken rondom het beleid ten aanzien van risicovolle cliënten. In dit hoofdstuk beschrijf ik vanaf paragraaf 5.2 de onderzoeksresultaten, op basis van de antwoorden die de accountantsorganisaties tijdens de interviews hebben gegeven.

5.2 BEWUSTZIJN RISICOMANAGEMENT

Het proces rondom cliëntacceptatie en -continuatie is bij alle geïnterviewde accountantsorganisaties in een redelijk vast stramien gegoten. De accountantsorganisaties hebben een handboek kwaliteitsbeheersing ontwikkeld, waarin onder andere het proces cliëntacceptatie en –continuatie is opgenomen, die jaarlijks wordt geactualiseerd. De reden dat de accountantsorganisaties een handboek kwaliteitsbeheersing hebben, is omdat de Wta dit verplicht stelt, aldus meerdere geïnterviewden. Zonder een Wta(OOB) vergunning kunnen zij geen wettelijke controles uitvoeren. In het kwaliteitshandboek is uiteen gezet welke stappen zij moeten doorlopen op het moment dat een cliënt zich aandient. Deze handleiding zorgt voor de bewustheid van alle functionarissen die betrokken zijn in het proces en geeft de accountantsorganisaties de beschikking over de meest actuele werkwijze en standaarddocumenten voor het proces.

Accountantsorganisatie A heeft een Legal departement, accountantsorganisatie B en C hebben een kenniscentrum die op fulltime basis bezig is met wijzigingen in wet- en regelgeving. Deze afdelingen zorgen ervoor dat de wijzigingen zijn weerslag hebben in de handboeken. De accountantsorganisaties D en E zijn aangesloten bij het SRA voor MKB accountantskantoren en maken gebruik van (digitale) controledossiers die door hen zijn ontwikkeld. Het SRA werkt nauw samen met de AFM rondom het proces kwaliteitsbeheersing. Wanneer er wijzigingen zijn in wet- en regelgeving omtrent het proces, zullen de standaard template‟s/documenten in het controledossier door het SRA worden aangepast. Zo waarborgen de accountantsorganisaties dat de