voor de financieel professional met ambitie

Stappenplan fraudebeheersing: Zo handelt u bij (vermoedens van) fraude Stappenplan fraudebeheersing: Zo handelt u bij (vermoedens van) fraude

Risk

Stappenplan fraudebeheersing: Zo handelt u bij (vermoedens van) fraude

Lees dit artikel Lees dit artikel

Door Ron Kieft -

Bijna iedere dag is in de krant over een nieuw geval van fraude te lezen: over organisaties die het slachtoffer zijn geworden van bedrog door derden of door eigen medewerkers, niet zelden het management van een organisatie.

Fraude kan worden gedefinieerd als ‘een opzettelijke handeling door één of meer personen uit de kring van het management, met governance belaste personen, het personeel of derden, waarbij gebruik wordt gemaakt van misleiding teneinde een onrechtmatig of onwettig voordeel te behalen’. Het gaat bij fraude dus om drie kenmerken:

  1. Opzet: de opzettelijke onrechtmatige onttrekking en daarmee bevoordeling van individuen of organisaties;
  2. Misleiding: het verhullen van de onttrekking door het manipuleren van gegevens;
  3. Wederrechtelijk voordeel.

Fraudebeheersing

De e-learning Fraudebeheersing van Finance Academy E-learning biedt controllers te tools om te reageren op mogelijke fraude. Na het volgen van deze cursus bent u onder meer in staat om:

  • Het fraudegevaar in een organisatie in te kunnen schatten.
  • Fraudesignalen in een organisatie te herkennen.
  • De drie elementen van integriteitsbeheersing te benoemen en toe te lichten.
  • Frauderisico’s in een organisatie aan te kaarten.
  • Frauderisico’s te analyseren en te vertalen naar de planning en uitvoering van een onderzoek.


>> Al abonnee? Bekijk de e-learning hier op uw dashboard
>> Meer weten? Lees meer hier in de openbare catalogus

Diefstal of fraude?

Wie een laptop van zijn werkgever ontvreemdt, maakt zich nog niet schuldig aan fraude, al heeft hij wel een vermogensdelict (diefstal) gepleegd. Zodra hij echter in de administratie vastlegt dat deze laptop als demonstratiemodel ter beschikking is gesteld aan een bepaalde klant, maakt hij zich schuldig aan fraude. Hij onttrekt niet alleen iets aan de organisatie, maar hij probeert ook nog eens de waarheid administratief te verhullen.

De fraudedriehoek

Een klassieke uitspraak in het kader van fraude is: ‘de gelegenheid maakt de dief’. Hoewel het zonder gelegenheid niet mogelijk is kwaad te doen, is het te eenvoudig om integriteitsinbreuken uitsluitend te verklaren vanuit de gelegenheid. Ook andere factoren zijn van belang, in het bijzonder het hebben van een motief. Een motief is een reden om iets te doen. In de literatuur wordt veelal gesproken van een stimulans of druk. Druk drijft iemand tot een handeling of juist tot het nalaten van een handeling. Geldgebrek is een voor de hand liggende drukfactor, maar ook bijvoorbeeld het behalen van een bepaald doel of het vervullen van een bepaalde ambitie.

Echter, die drukfactoren komen voor bij een groot aantal mensen, die bovendien daartoe vaak in de gelegenheid worden gesteld, zonder dat hen dat brengt tot het zich onreglementair toe-eigenen van middelen of het knoeien met verantwoordingen. Druk is daarom op zich nog geen verklarende grond om over te gaan tot fraude, zelfs niet in combinatie met de aanwezigheid van een duidelijke gelegenheid. Druk is meestal wel het startpunt van fraude. ‘Druk maakt de dief’ zou dan ook wel een goede uitspraak zijn. Rechtvaardiging of rationalisatie is het doorslaggevende element in combinatie met gelegenheid en druk om een integriteitsinbreuk te verklaren. Het feit dat wordt verondersteld dat iemand anders ‘het ook doet’ is een veel gehoorde rechtvaardiging. Rechtvaardiging drijft iemand niet tot fraude. Echter, zonder rechtvaardiging kan iemand zijn handelen niet rechtvaardigen en daarom niet tot die handeling komen.

Figuur 1. Fraudedriehoek

Integriteitsbeleid

Bij fraudebeheersing speelt vertrouwen een opvallende rol. Degene die opzettelijk een organisatie wil benadelen, weet dat dit het eenvoudigst gaat als hij vertrouwen weet te verkrijgen. Vertrouwen moet zijn ingebed in beheersingsmaatregelen en er dient verantwoording te worden afgelegd waaruit het bestaan en de effectiviteit van die maatregelen blijkt: geen vertrouwen zonder verantwoording. Het is dan ook niet voor niets dat accountants vaak stellen: ‘vertrouwen is goed, maar controle is beter’.

Een analyse van vakliteratuur en vijfentwintig bekende Nederlandse schandalen uit de afgelopen vijfentwintig jaar uitgevoerd door het onderzoeksteam ‘integriteit’ van de Hogeschool van Amsterdam in 2016 heeft patronen in organisatieculturen aan het licht gebracht, die de kans op fraude en/of corruptie vergroten. Het team heeft deze patronen herleid tot zeven ‘red flags’, zeven signalen voor fraude en corruptie in organisaties.

7 signalen voor fraude en corruptie in organisaties

  1. Grote machtsafstand. De macht is zodanig geconcentreerd (bij een individu, duo of groep) dat tegenspraak onmogelijk is of geen effect heeft. Met kans dat de machthebbers medewerkers onder druk zetten om bochten af te snijden en frauduleuze handelingen te verrichten.
  2. Isolement. Een organisatieonderdeel is fysiek, emotioneel en/of sociaal gescheiden van andere onderdelen. Groepsnormen kunnen daardoor verschuiven en makkelijker worden gerechtvaardigd (‘Naar ons wordt toch niet omgekeken, dus gaan we echt niet al die tijdrovende protocollen volgen.’)
  3. Geheimhoudingsconstructies. Die stellen belanghebbenden in staat om informatie over schendingen te verhullen.
  4. Rings of silence. Bepaalde personen zijn op de hoogte van schendingen en schermen die af voor anderen (‘We weten dat X zwart bijklust, maar we klikken niet naar de baas’). Zij hebben voor hun gevoel niet de ruimte om kritische vragen te stellen of gevoelige onderwerpen als deze aan te snijden.
  5. Verkeerd voorbeeld. Als leidinggevenden onvoldoende worden gezien als integere personen, weinig waarde hechten aan het belang van integriteit en/of niet ingrijpen als zich misstanden voordoen, geven zij het signaal af dat integriteit geen kernwaarde is voor de organisatie.
  6. Zwakke bedrijfsvoering. Er zijn onzorgvuldigheden op het gebied van beleid en bedrijfsvoering, waardoor de organisatie schendingen niet kan signaleren en/of bestraffen. Er is bijvoorbeeld te weinig toezicht of interne controle, of een te beperkte administratie.
  7. Resultaatgedrevenheid. Van het groepsgedrag gaat een grote drang uit om succes en resultaat te boeken. De druk is hoog, de verwachtingen zijn hooggespannen en/of de interne concurrentie is sterk, en alleen de winnaars krijgen waardering. Wat maakt dat niet-integer gedrag eerder wordt getolereerd.

Frauderesponsplan

Weinig organisaties hebben afgesproken procedures voor het handelen in geval van fraude. Terwijl als een vermoeden van fraude en de ondersteunde bewijzen niet adequaat worden afgehandeld, de schade voor de organisatie, zowel de financiële gevolgen, de reputatieschade als de impact op de organisatiecultuur, enorm kan zijn. Bedrijven als Enron, Arthur Andersen, Ahold en Parmalat zijn niet (bijna) ten onder gegaan aan brand, terroristische aanslagen, of een grootschalige uitval van computersystemen, maar wel aan slechte opvolging van vermoedens van fraude.
Fraude vraagt om snel ingrijpen. Maar wel met de nodige precisie. Het adequaat handelen in de eerste vierentwintig uur na een fraudesignaal is van significant belang voor het welslagen van het onderzoek. Elke dag dat het langer duurt, is er één te veel.

Vanaf de eerste signalen van fraude speelt de factor tijd een grote rol. Fraude is immers een ernstige verstoring van de dagelijkse werkzaamheden. En niets doen, houdt in dat die verstoring snel groter kan worden. Toch is er meer nodig dan snelheid alleen. Bedrijfsfraude vraagt ook om precisie en zorgvuldigheid.
Ingrijpen bij fraude vraagt bovendien om sensitiviteit. Sensitiviteit om de signalen van fraude in een relevante context te plaatsen. Om de organisatie niet meer te belasten dan strikt noodzakelijk is. Om tussen de regels door te lezen. Om te horen wat er niet gezegd wordt. Om de verschillende kanten van de waarheid te kunnen onderscheiden. Maar ook om de balans tussen harde en zachte maatregelen te vinden.

Het zou idealiter voor een ieder binnen een organisatie eenvoudig te herleiden moeten zijn waar fraudesignalen kunnen worden gemeld. In kleine organisaties is doorgaans wel duidelijk bij wie men dan terecht kan. In een grote organisatie kan het zoeken zijn naar het juiste loket, doordat daar meerdere met governance belaste functies kunnen voorkomen. Een duidelijk loket is een eerste relevante stap voor succes op dit terrein. Het is bovendien raadzaam om een frauderesponsplan, fraud respons protocol, op te (laten) stellen, waarin staat wat te doen of juist te laten bij vermeende fraude en wie dan te informeren of aan te schakelen. Als een fraudesignaal namelijk bij een procesverantwoordelijke binnenkomt, is paniek doorgaans een eerste menselijke reactie.

Een goed frauderesponsplan stelt een organisatie bij een onverwacht voorval in staat om over voorbereide paden te lopen. Zo kan mogelijk via een frauderesponsplan een fraudeur op heterdaad betrapt worden, diens bevoegdheden onmiddellijk worden ingetrokken, sloten worden vervangen, juridisch advies worden ingewonnen omtrent de arbeidsrechtelijke positie, en dergelijke. Daarnaast kan eventuele externe belangstelling van politie, een opsporingsdienst of de media in goede banen worden geleid.

Het volgende stappenplan kan daarbij als leidraad dienen om adequaat te kunnen reageren op een vermoeden van fraude.

Frauderesponsplan

Om adequaat te kunnen reageren op een vermoeden van fraude is het van belang dat een organisatie een rampenplan opstelt, bestaande uit de volgende stappen.

  1. Stel een contactpersoon aan die alles op het gebied van fraude coördineert.
  2. Laat hem een logboek bijhouden waarin hij vastlegt welke afspraken hij maakt, met wie hij spreekt en dergelijke.
  3. Neem contact op met een advocaat om vast te stellen wat mogelijk is op het gebied van strafrecht, arbeidsrecht en civiel recht.
  4. Als de fraudeur bekend is, bepaal in overleg met de advocaat of hangende het onderzoek als ordemaatregel dat de medewerker moet worden geschorst. Hiermee voorkomt u dat hij het onderzoek kan belemmeren.
  5. Verzoek de systeembeheerder om inlogcode en wachtwoord van de geschorste medewerker in te trekken, zodat hij geen toegang meer heeft tot het bedrijfsnetwerk.
  6. Verzoek de gebouwenbeheerder vast te stellen welke sleutels de medewerker heeft van ruimten waarin vertrouwelijke informatie ligt opgeslagen.
  7. Stel in overleg met de advocaat de werkplek van de fraudeur veilig.
  8. Sta open voor de mogelijkheid dat de fraudeur niet alleen heeft gehandeld en dat er handlangers zijn.
  9. Stel kwetsbare onderdelen in de organisatie zeker (kasgeld, bankrekeningen).
  10. Controleer of er een fraudeverzekering is. Zo ja, neem de polisvoorwaarden door. Hieruit blijkt wat de organisatie moet doen om een uitkering veilig te stellen.
  11. Bepaal of er aangifte gedaan moet worden.
  12. Schakel een pr-deskundige in als woordvoerder om te bepalen hoe intern en extern gecommuniceerd moet worden over de fraude.
  13. Informeer de medewerkers over de ontstane situatie. Doe dit na overleg met de advocaat en de woordvoerder.
  14. Leg de medewerkers een spreekverbod op.
  15. Bepaal of private onderzoekers ingeschakeld moeten worden om onderzoek uit te voeren.

Wie wordt onderzoeksleider

Het eerste en misschien wel het belangrijkste punt dat in het frauderesponsplan aan de orde moet komen, is wie het fraudeonderzoek zal aansturen. Deze medewerker moet een geschikte manager zijn, die bekwaam is en training heeft genoten om een dergelijke rol op zich te nemen. Ondanks dat deze medewerker misschien niet over de capaciteiten voor alle uit te voeren taken beschikt, heeft deze medewerker voldoende kennis en is hij voldoende geëquipeerd om een dergelijk onderzoek aan te sturen en te managen. Hij moet in staat zijn om snel beslissingen te nemen en heeft de autorisatie de organisatie wanneer nodig te binden. Een belangrijke, maar veelal moeilijk in te willigen, eis is dat de onderzoeksleider tijd kan vrijmaken om het onderzoek uit te voeren en aan te sturen.

Aanbevelingen

Een belangrijke aanbeveling is dat interne medewerkers, zoals controllers en internal auditors, hun rol op het gebied van fraudebeheersing (leren) kennen. Ook van belang is dat het loket voor fraudesignalen intern bekend is. Om dit alles mogelijk te maken dienen medewerkers zich tijdig voor te bereiden op onverhoopte incidenten en zich waar mogelijk en relevant te laten bijstaan door professionals. Die professionals kenmerken zich door onafhankelijkheid, integriteit en klantgerichtheid. Vanuit die samenwerking kan de noodzakelijke expertise worden gedeeld, waardoor het beroep van controller en internal auditor een nog grotere waarde krijgt voor de organisatie.

Auteur: Drs. R.M. Kieft RA is zelfstandig gevestigd onder de naam Bureau voor Administratie en Controle Kieft (BACK) bv te Hoofddorp

Finance Academy E-learning

Leeromgeving Finance Academy E-learning bevat cursussen met een breed scala aan onderwerpen die voor controllers van belang zijn. Met het platform kunt u uw leerdoelen verwezenlijken en kennis vergaren om op de toekomst voorbereid te zijn volgens de nieuwe richtlijn voor Permanente Educatie. U kunt geheel vrijblijvend een gratis e-learning proberen om de omgeving te leren kennen.

The Finance Academy

Volg CMWeb op LinkedIn!

Hidden
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Meer over Risk

Meer lezen

Must reads

Hidden
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.