Aandacht voor bestrijding fraude laat nog te wensen over

MCA

4

Risicomanagement

Onderzoek toont aan:

Aandacht voor bestrijding fraude laat nog te wensen over Drs. Maria van der Burgt RC Werkzaam als senior consultant bij Atos KPMG Consulting binnen de competentie World Class Finance Het Nederlandse bedrijfsleven is recentelijk goed wakker geschud door diverse fraudeschandalen bij vooraanstaande bedrijven zowel in Nederland als wereldwijd. De vraag is of deze gebeurtenissen slechts incidenten hebben gevormd of dat zij het topje van de ijsberg zijn van een lange stroom aan fraudekwesties die vroeg of laat nog in de media zal opdoemen. Daarnaast is het de vraag in hoeverre ondernemingen deze schandalen zullen aangrijpen om frauderisico’s als een belangrijk bedrijfsrisico te onderkennen en overeenkomstig aan te pakken. Dit artikel gaat in op de vraag in welke mate ondernemingen zich heden ten dage bezighouden met de bestrijding van fraude. Hiertoe wordt gebruik gemaakt van de onderzoeksresultaten van een recentelijk in Canada uitgevoerd onderzoek naar fraude en wanbestuur bij ondernemingen.1 In dit onderzoek is gekeken naar hoe de leiding van organisaties frauderisico’s percipieert alsmede naar de wijze waarop en de mate waarin maatregelen worden getroffen om fraudes binnen de organisatie te voorkomen en op te sporen.

Ontwikkelingen in fraude Al sinds het COSO-rapport2 halverwege de jaren ’90 heeft risicobeheersing een groeiende aandacht van controllers en internal auditors gekregen. Risico’s ten aanzien van fraude werden toen echter nog niet zo serieus genomen; fraudeurs werden gezien als mensen die hun declaraties

1

2

26

KPMG Canada (2002): Fraud and Misconduct Diagnostic Survey, KPMG LLP, the Canadian member firm of KPMG International, a Swiss non-operating association. Zie Committee of Sponsoring Organizations of the Treadway Commission (1992): Internal Control – Integrated Framework. American Institute of Certified Public Accountants, Jersey City.

wat omhoog schroefden of zich nu en dan wat spullen toe-eigenden om hun – naar hun idee te lage – salaris te compenseren of hun gokverslaving in stand te houden. Nu er wat ‘grotere’ zaken aan het licht zijn gekomen die een significante bedreiging voor de continuïteit van organisaties hebben gevormd, lijkt fraude een groeiend probleem te worden. Deze voorvallen hebben geleid tot een steeds meer toenemende aandacht voor het aanpakken van frauderisico’s binnen bedrijven. De gebeurtenissen zijn in Amerika zelfs de reden geweest voor het aannemen van een nieuwe wet, de Sarbanes-Oxley Act. Deze wet heeft consequenties voor de verslaggeving van Nederlandse bedrijven die een beursnotering in de Verenigde Staten hebben alsmede van in Nederland gevestigde deelnemingen van Amerikaanse multinationals. Tevens kan de topleiding van deze bedrijven persoonlijk aansprakelijk worden gesteld als hun boekhouding naar Amerikaanse maatstaven niet blijkt te kloppen. Fraude wereldwijd De multinationals Worldcom, Enron en Ahold hebben reeds naar buiten gebracht dat hun leiding een verkeerde voorstelling van zaken in financieel opzicht had gegeven, om zo in de jaarrekening een beter beeld te geven van de financiële positie en toekomstverwachtingen van het bedrijf dan in werkelijkheid het geval was. Een belangrijk aspect van de fraude bij Enron betrof het feit dat ‘side letters’, met hierin garanties voor de financiering van aan derden verkochte activa, niet aan de accountant waren getoond. De balans werd hierdoor rooskleuriger weergegeven dan in werkelijkheid het geval had moeten zijn. Op basis van deze misleiding zijn investeerders aangetrokken, langlopende verplichtingen aangegaan en bedrijfsaandelen uitgeschreven. Bekendmaking van de onjuistheden heeft geleid tot spectaculaire koersdalingen en procedures tegen het bedrijf in kwestie en zijn topmensen.

Risicomanagement

Fraude in Nederland De bekendste fraude op Nederlands grondgebied betreft de bouwfraude. Hierbij werden onder andere vorderingen en schulden tussen bouwbedrijven onderling buiten de boeken tegen elkaar weggestreept. Niet alleen bij commerciële bedrijven maar ook bij overheidsinstellingen neemt het aantal bekende fraudegevallen toe. Een bekend voorbeeld van een fraudezaak bij overheidsinstellingen betreft de fraude bij de Sociale Dienst Amsterdam. Hierbij hadden twee personeelsleden geld verstrekt aan uitkeringsgerechtigden, die dat vervolgens weer naar de betreffende medewerkers terugsluisden.

Wat wordt onder fraude verstaan? Hoewel de term fraude niet in het Wetboek van Strafrecht of een ander wetboek voorkomt en deskundigen met elkaar van mening verschillen over een volledig sluitende omschrijving van het begrip, is de volgende definitie een goed bruikbare: “Het opzettelijk door één of meer personen vervalsen, weglaten, toevoegen of verwijderen van gegevens teneinde waarden aan een huishouding op onrechtmatige wijze te onttrekken of te doen toevloeien”. Deze definitie is ontleend aan de Verordening Fraudemelding die het Koninklijk Nivra in 1995 heeft uitgegeven. Het begrip fraude blijkt in de praktijk een ruime en subjectieve interpretatie toe te staan. Of iets als fraude wordt aangemerkt hangt af van iemands gevoel voor normen en waarden. Zo kan de ene persoon vinden dat iets nog wel door de beugel kan, terwijl een andere persoon over hetzelfde negatief oordeelt. De perceptie van fraude verschilt niet alleen van persoon tot persoon, maar ook van land tot land en van tijd tot tijd. Ook organisaties kunnen op verschillende manieren tegen fraude aankijken.

”

Het begrip fraude blijkt een ruime en subjectieve interpretatie toe te staan

”

Sommige organisaties vinden het accepteren van kostbare relatiegeschenken door de afdeling inkoop een vorm van fraude terwijl andere organisaties hier heel anders

3

Bartels, W.J. en D.J. van der Wolk: Fraude: Van het signaleren van risico’s tot het treffen van maatregelen. Checklisten Algemeen Management 33 2.D.3.5-01.

MCA Tijdschrift voor Organisaties in Control

2003

Sarbanes-Oxley Act: Recente ontwikkelingen op het gebied van corporate governance Op 30 juli 2002 werd door de president van de Verenigde Staten naar aanleiding van de Enron affaire de Sarbanes-Oxley Act getekend. Deze wetgeving, die van toepassing is op alle aan de Amerikaanse beurs genoteerde bedrijven, heeft grote gevolgen voor het management en de wijze waarop zij haar verantwoordelijkheid tot uitdrukking brengt voor het functioneren van de interne beheersingsstructuur van de organisatie. Deze verantwoordelijkheid is uitgewerkt in Section 404 van de wet: “Management’s Internal Controls and Procedures for Financial Reporting”. In deze sectie is geregeld dat er een verslag van het management moet worden opgenomen in de te deponeren jaarcijfers, dat bestaat uit: •

•

•

een verklaring over de verantwoordelijkheid van het management voor het opzetten en handhaven van een adequaat intern beheersingssysteem en adequate procedures met betrekking tot de financiële verslaglegging; een oordeel over de effectiviteit van het intern beheersingssysteem en de procedures met betrekking tot financiële verslaggeving; een mededeling dat de externe accountant de evaluatie van het management heeft gecontroleerd en daarover heeft gerapporteerd.

Het feit dat het management nu expliciet verantwoordelijk is voor, en rapporteert over de effectiviteit van het intern beheersingssysteem, betekent dat zij hierover een grote mate van zekerheid moet hebben. Niet alleen betekent dit dat procesbeschrijvingen aanwezig, actueel en toegankelijk moeten zijn, maar ook dat toezicht op de naleving in voldoende mate moet worden uitgeoefend.

tegenaan kijken. Wat onder kostbaar wordt verstaan kan overigens ook weer per organisatie verschillen. Het moge voor zich spreken dat een heldere normstelling binnen organisaties ten aanzien van wat onder fraude wordt verstaan cruciaal is om in voorkomende gevallen bepaalde handelingen ook daadwerkelijk als fraude te kunnen aanmerken. Vormen van fraude Er kunnen verschillende vormen van fraude worden onderkend. Het is belangrijk hierin een onderscheid te maken, aangezien dit kan helpen bij het identificeren van eventuele fraudevoorvallen. In navolging van Bartels en Van der Wolk3 maken wij een onderscheid in declaratiefraude, inkoopfraude, verkoopfraude, verduistering van geld, verduistering van goederen en fraude met informatie.

27

MCA

4

Risicomanagement

Inkoopfraude bij Ahold (Het Financieele Dagblad, 26 maart 2003) “Amsterdam – Het justitieel onderzoek van de Amerikaanse autoriteiten naar fraude bij Aholds groothandelsdochter US Foodservice wordt mogelijk uitgebreid naar twee grote Amerikaanse voedingsbedrijven: Sara Lee en ConAgra Foods. De Wall Street Journal stelt dat de opsporingsambtenaren anonieme informatie hebben ontvangen waaruit blijkt dat vertegenwoordigers van deze fabrikanten samenspannen met inkoopmanagers van US Foodservice. Zij zouden de valse inkoopkortingen van de inkoopmanagers hebben bevestigd tegenover de boekhouding van US Foodservice en later tegenover de externe accountant. Zij waren volgens de anonieme bron ervan op de hoogte dat de feitelijke bedragen lager waren. (…) Een aantal inkoopmanagers van US Foodservice is geschorst toen vorige maand bekend werd dat er tenminste $ 500 miljoen aan inkoopkortingen kwijt was. Ahold heeft daarop aangifte van fraude gedaan bij de autoriteiten en houdt momenteel zelf ook een forensisch onderzoek.”

Cooking the books Men kan zich afvragen of het rooskleuriger presenteren van cijfers ook als een vorm van fraude kan worden aangemerkt. Er worden immers geen waarden aan de huishouding op onrechtmatige wijze onttrokken en de betreffende functionarissen worden er in deze gevallen dan ook niet direct in financiële zin door bevoordeeld. Toch lijkt naar onze mening ook hier sprake van fraude te zijn. Door het sjoemelen met financiële overzichten om zo een veelbelovend beeld te presenteren van de financiele positie en toekomstverwachtingen van het bedrijf tracht de leiding van de organisatie namelijk haar positie te beschermen. Dit is naar ons idee ook een vorm van persoonlijke bevoordeling. Indien de leiding wordt beloond op basis van gerealiseerde prestaties door middel van bonusregelingen, is het rooskleuriger weergeven van de ondernemingsresultaten in alle gevallen een vorm van fraude.

Het ontstaan van fraude Hoe ontstaat fraude eigenlijk? Fraude wordt doorgaans gepleegd als er sprake is van een bepaalde samenloop van omstandigheden. De fraudeur moet de behoefte hebben om te willen frauderen. Daarnaast moet hij de mogelijkheid krijgen om te kunnen frauderen. Net als bij andere overtredingen komt dit erop neer dat er sprake moet zijn van een motief en een gelegenheid.

28

Motief Een motief voor het plegen van fraude zou zelfverrijking kunnen zijn. Mogelijke sociaal-psychologische oorzaken hiervoor zijn bijvoorbeeld: problemen in de privé-sfeer, problemen op het werk of simpelweg een onbedwingbare hebzucht. Bij problemen in de privé-sfeer zou men kunnen denken aan een verslaving zoals een gok- of alcoholverslaving. In deze gevallen heeft de fraudeur geld nodig om zijn of haar verslaving te kunnen bekostigen. Bij problemen op het werk zou men kunnen denken aan een gemiste promotie of een slechte werksfeer. In deze gevallen wil de fraudeur zijn inkomen compenseren voor een in zijn ogen te laag salaris of wil hij gecompenseerd worden voor de slechte arbeidsomgeving waarin hij verkeert. Gelegenheid De gelegenheid om te frauderen hangt nauw samen met de mate waarin de onderneming maatregelen heeft genomen om fraude te voorkomen. Hoe effectiever deze maatregelen zijn, des te moeilijker het zal zijn om te frauderen zonder betrapt te worden. Organisatorische maatregelen om fraude te voorkomen zijn echter nooit oneindig; een teveel aan controles maakt een efficiënte en effectieve bedrijfsvoering namelijk onmogelijk. Bovendien moet in iedere werkrelatie een zekere mate van vertrouwen heersen. Fraude is daarom nooit helemaal uit te sluiten. Maar als de mogelijkheden om te frauderen echter zo beperkt mogelijk worden gehouden door middel van een goed ingericht intern betrouwbaarheidssysteem dat een complete set aan maatregelen van interne controle omvat, kunnen de mogelijkheden tot fraude in ieder geval zoveel mogelijk worden ingeperkt.

”

Fraude is nooit helemaal uit te sluiten

Toenemend belang van ‘control-omgeving’ uit COSOrapport Feit blijft dat binnen nagenoeg elke organisatie potentiële fraudeurs de mogelijkheid hebben om toe te slaan. Een organisatie blijft dan ook altijd afhankelijk van de integriteit en de loyaliteit van haar werknemers. Dat bedrijfscultuur en omgevingsfactoren, zoals sociale controle, daarbij een essentiële rol kunnen spelen, moge duidelijk zijn. In de huidige zich verhardende samenleving, waarin individualisme en egoïsme worden verkozen boven samenwerking en onderlinge afhankelijkheid, lijkt het belang van het in het COSO-rapport genoemde internal-control-element ‘control-omgeving’ dan ook toe te nemen.

”

Risicomanagement

Internal Control volgens COSO Internal control wordt volgens het COSO-rapport uitgeoefend door vijf onderling samenhangende elementen. Deze zijn: • de control-omgeving: de kern van elke onderneming bestaat uit mensen met elk hun eigen integriteit, waarden en normen. De control-omgeving is de ‘atmosfeer’ waarbinnen medewerkers hun activiteiten uitvoeren en vormt als zodanig het beheerskader; • risicobeoordeling: elke onderneming wordt op elk niveau geconfronteerd met risico’s. Deze risico’s dienen geïdentificeerd te worden alvorens ze beheerst kunnen worden. Er moet derhalve een mechanisme zijn om deze risico’s te identificeren en te analyseren; • beheersingsmaatregelen: na vaststelling van de relevante risico’s kunnen beheersingsmaatregelen worden geïmplementeerd om ervoor te zorgen dat de doelen van de organisatie worden bereikt; • informatie en communicatie: informatie en communicatie is een essentieel element in het kader van besturing en beheersing van een organisatie; • bewaking: dit betreft het continu evalueren (zowel tijdens het proces als achteraf) dat de activiteiten ook effectief en efficiënt worden uitgevoerd, alsmede het zorgen voor eventuele bijstelling. De omvang en frequentie van de bewaking zal in grote mate afhangen van de risico’s die worden gelopen en de effectiviteit van de getroffen beheersingsmaatregelen.

Fraudebeheersing als een vorm van risicomanagement Fraude vormt een risico voor elk bedrijf. Het beheersen of inperken van fraude kan dan ook als een vorm van risicomanagement worden gezien. Risicomanagement wordt door Van Blitterswijk4 als volgt gedefinieerd:

MCA Tijdschrift voor Organisaties in Control

2003

Risicomanagement is dus het proces van het onderkennen van te lopen risico’s en de bewuste5 keuze om er al dan niet iets aan te gaan doen. Met ‘bewuste keuze’ wordt aangegeven dat wanneer een onderneming wel onderkent dat er bepaalde risico’s worden gelopen, maar op grond van bijvoorbeeld een kosten-batenanalyse besluit geen actie te ondernemen, er toch aan risicoanalyse wordt gedaan. Men acht in dit geval de eventuele negatieve gevolgen van de risico’s niet groot of belangrijk genoeg om er iets aan te doen. Frauderisico’s hebben altijd een nadelig resultaat.6 Voor zover men zich van deze risico’s bewust is, kunnen er maatregelen tegen worden getroffen indien de kosten van de maatregelen opwegen tegen de gevolgen van optreden van het risico. Men spreekt in dit verband van zuivere, pure of statische risico’s. Er zijn ook risico’s die zowel positieve als negatieve gevolgen kunnen hebben. In dit geval spreekt men van speculatieve, commerciële of dynamische risico’s. Voorbeelden van deze risico’s zijn beleggingsrisico’s, valutarisico’s en renterisico’s.

Risicoclassificaties De term ‘risico’ is een ruim begrip en er zijn talloze soorten risico’s te onderscheiden. Ook zijn er verschillende indelingen mogelijk. Wij volgen de classificatie van Coumou,7 waarbij alle door een onderneming te lopen risico’s kunnen worden opgesplitst in zogeheten ‘Core Business’risico’s en algemene risico’s (zie figuur 1). De core-businessrisico’s zijn risico’s waarvan ook een aantal tot de categorie ‘ondernemersrisico’s’ behoort. Deze speculatieve risico’s kunnen naast verlies of schade ook winst opleveren. Overigens, afhankelijk van de branche waarin men verkeert, kunnen risico’s tot de core-businessrisico’s worden gerekend dan wel tot de algemene risico’s behoren. Financiële risico’s zoals rente- en valutarisico’s zullen voor een financiële instelling tot de core-businessrisico’s worden gerekend. Voor een productiebedrijf kunnen dezelfde risico’s worden aangemerkt als omgevingsrisico’s.

“Een systematisch proces van: • het identificeren en analyseren van risico’s die de ondernemingsdoelstelling bedreigen; • het inventariseren en selecteren van risicobeheersingstechnieken; • het implementeren van de gekozen risicobeheersingsinstrumenten; • de continue evaluatie van dit proces.” 4 5

6 7

Van Blitterswijk, A.W. (1994): Risk Management, Heterogeniteit in verzekeringen. Liber Amicorum G.W. de Wit. Het woord risico komt van het Italiaanse ‘risicare’ hetgeen durven of wagen betekent. Het nemen van risico betreft dus eerder een bewuste keuze dan een (nood)lot of bestemming. Zie P.L. Bernstein (1996): Against the gods: The remarkable story of risk. John Wiley & Sons Inc, New York, p. 8. Zie J.H.G Louwman en H.B.A. Steens (1994): Risicomanagement: Een beheersingsmodel. Kluwer Bedrijfswetenschappen, p. 21. Coumou, C.J. (2000): Information Risk Management. Praktijkgids De Controller & Informatiemanagement, augustus 2000.

Figuur 1. Risicoclassificatie volgens Coumou.

29

MCA

4

Risicomanagement

De algemene risico’s kunnen verder worden opgesplitst naar omgevingsrisico’s (macro, bedrijfstak, concurrentie en distributiekanalen), catastrofes (brand, criminaliteit, vliegtuigramp, storm) en operationele risico’s. De operationele risico’s bestaan uit enerzijds risico’s die verband houden met de binnen een organisatie aanwezige technologie (hardware en software) en anderzijds risico’s die verband houden met het menselijk handelen (fraude en fouten).

Maatregelen tegen frauderisico’s Om frauderisico’s zo effectief mogelijk te kunnen inperken, moeten de met fraude verband houdende risico’s eerst worden geïdentificeerd en gewaardeerd. Dit wordt risicoanalyse genoemd.8 Naargelang de hoogte van de kans dat een risico zich zal voordoen alsmede de impact die deze gebeurtenis heeft, zullen vervolgens al dan niet bewuste maatregelen worden genomen om deze risico’s in te perken. De mogelijke impact van frauderisico’s moet hierbij ruim worden opgevat. Financiële schade als gevolg van fraude is vervelend, maar imagoschade kan een onderneming in veel grotere mate kwetsen. Imagoschade is namelijk een schadepost die op langere termijn vaak vele malen groter is dan de financiële schade. Niet voor niets heeft het Amerikaanse telecomconcern Worldcom zijn naam gewijzigd in MCI. Volgens de Wall Street Journal wil het bedrijf op deze manier een streep zetten onder zijn discutabele verleden.9 Een beleid om de onderneming tegen fraude te wapenen kan worden aangepakt vanuit twee invalshoeken, te weten fraudepreventie en fraudedetectie. Maatregelen van preventieve aard betreffen maatregelen ter voorkoming van fraude. Maatregelen van detectieve aard betreffen maatregelen ter signalering ervan. Preventie Uit preventief oogpunt kan worden gedacht aan het opstellen van een ethische code en het aanbieden van een training aan de werknemers om de daarin vervatte kernwaarden van de onderneming te bespreken. Het doel hiervan is het verantwoordelijkheidsbesef onder de medewerkers te versterken. Daarnaast kan worden gedacht aan het instellen of verbeteren van een stelsel van maatregelen van interne controle. Ook kan worden gedacht aan het garanderen van vrije toegang voor het hoofd van de afdeling Internal Audit of soortgelijke afdeling tot de Raad van Commissarissen. Deze maatregel is vooral ter voorkoming van fraude in kringen van management en bestuur. Zie Starreveld, Van Leeuwen en Van Nimwegen (2002): Bestuurlijke informatieverzorging deel 1: Algemene grondslagen. Stenfert Kroese, Groningen/Houten, p. 92. 9 NRC 11 april 2003. 10 De overheidsaccountants van het Nederlands Instituut van Registeraccountants (Nivra) hebben recentelijk een aanbeveling aan de overheid gedaan voor het instellen van een meldpunt waar ambtenaren aan de bel kunnen trekken als zij binnen de overheid fraude vermoeden (bron: ANP 31 maart 2003)

Signalen voor fraude Signalen voor declaratiefraude • hoog declaratiepatroon ten opzichte van andere medewerkers; • vaak hetzelfde restaurant of benzinestation; • handgeschreven bonnen waar men geprinte bonnen zou verwachten; • hoog bedrag op declaratie ten opzichte van de geleverde goederen of diensten. Signalen voor inkoopfraude • ontbreken van meerdere offertes bij belangrijke inkopen; • offertes die dicht tegen elkaar aanliggen; • wisselen van leverancier zonder aanwijsbare reden; • bepaalde leverancier die altijd de laagste offerte heeft. Signalen voor verkoopfraude • afnemer koopt slechts goederen of komt uitsluitend goederen afhalen wanneer een bepaald persoon aanwezig is; • een kas waarin nooit kasverschillen voorkomen; • tegenvallende opbrengsten uit afval en uitval ten opzichte van marktcondities; • lage marges ten opzichte van kostprijs; • klachten van klanten over ‘onduidelijkheden in het prijsbeleid’; • veelvuldig gebruik van creditnota’s; • ontbreken van factuurnummers of gebruikmaken van ongenummerde facturen. Signalen voor verduistering van goederen • voorraadadministratie is niet actueel of is onoverzichtelijk vastgelegd; • veel meldingen van breuk, afval en uitval. Signalen voor verduistering van geld • achterstanden in de kasadministratie; • ontbreken van bonnen/declaraties voor uitgaven; • declaraties/facturen in de kasadministratie die daar niet thuishoren; • hoge afboekingen van debiteuren. Signalen voor fraude met informatie • vernemen van informatie over het eigen bedrijf van een derde, die zij alleen maar uit inside information kunnen hebben; • mededelingen van klanten dat zij zijn benaderd door een concurrent, die een offerte deed met net wat lagere prijzen dan de onderneming hanteert; • het verliezen van een exclusiviteitscontract met een leverancier, omdat een concurrent een net iets hogere prijs wil betalen.

8

30

Detectie Uit dectectief oogpunt kan worden gedacht aan een anoniem meldpunt binnen het bedrijf waar medewerkers vrijelijk toegang hebben tot het melden van fraude zonder achteraf als verrader te worden beschouwd.10 Daar-

Risicomanagement

naast is het raadzaam om internal-auditingteams te versterken met sociologen en psychologen en vaker gebruik te maken van forensische deskundigen die gespecialiseerd zijn in fraudeonderzoek. Zonder de expertise van deze personen kunnen onregelmatigheden namelijk lang onopgemerkt blijven omdat internal-auditingteams doorgaans geen zicht hebben op de oorzaak van de fraude, die vaak sociaal-psychologisch van aard is.

Onderzoek naar fraudes: het verleden Er is de laatste jaren veel onderzoek gedaan naar fraude. Hierbij werd vooral gekeken naar het verleden: wat de omvang van de fraudes is geweest, hoe de fraudes zijn ontstaan en wat de nadelige gevolgen voor de getroffen bedrijven zijn geweest. Zo heeft PriceWaterhouseCoopers een onderzoek11 uitgevoerd naar frauderisico’s in vijftien landen in Centraal- en West-Europa. Hieruit is gebleken dat fraude een belangrijk probleem is. In Europa waren 43% van de grotere bedrijven (>5000 medewerkers) gedurende de jaren 2000 en 2001 het slachtoffer van fraude. In Nederland was dit percentage 38% voor deze bedrijven en ruim 22% voor de kleinere bedrijven (<5000 medewerkers). Bij in totaal 536 Europese ondernemingen heeft fraude alleen al in de jaren 2000 en 2001 tot een gezamenlijke schadepost van naar schatting minstens € 3,6 miljard geleid; gemiddeld ruim € 6,7 miljoen per organisatie. Daar komt nog eens bij dat slechts één van de vijf bedrijven erin is geslaagd meer dan de helft van het verlies terug te vorderen. Bij 58% van de gevallen die aan het licht zijn gekomen bleek het puur toeval te zijn dat ze überhaupt werden ontdekt. Volgens Ernst & Young, dat senior executives van tienduizend grote bedrijven in vijftien landen ondervroeg, heeft meer dan tweederde van de bedrijven last van fraude. Meer dan 80% daarvan wordt gepleegd door eigen werknemers, en dan met name door leden van het management. Volgens de cijfers van Hoffmann Bedrijfsrecherche over 2001 zijn het in Nederland vooral de mannen die fraude plegen. Daarnaast is het volgens Hoffmann Bedrijfsrecherche ook vooral het management dat zich schuldig maakt aan het plegen van fraude. Volgens een in 1998 door KPMG België12 uitgevoerd onderzoek naar fraude in België, is 38% van de respondenten gedurende dat jaar slachtoffer geweest van fraude. De meest voorkomende vorm van fraude was verduistering, zowel van geld als van goederen. Declaratiefraude stond op nummer twee. De ondervraagde bedrijven waren niet in staat of niet bereidwillig om hun fraudegevallen te kwantificeren, zodat op basis van de gerapporteerde hoeveelheden en verliezen geen betrouwbare conclusies kunnen worden getrokken ten aanzien van de financiële impact van de fraudezaken. Slechts in 4% van de geval-

11 PriceWaterhouseCoopers (2001): European economic crime survey. 12 KPMG Belgium (1999): 1999 Belgium Fraud Survey Report.

MCA Tijdschrift voor Organisaties in Control

2003

len hebben de getroffen bedrijven een schadeclaim voor hun verlies als gevolg van fraude ingediend bij hun verzekeringsmaatschappij.

Onderzoek naar aandacht voor fraudebeheersing Bij de meeste onderzoeken naar fraude wordt aldus gekeken naar fraudes die in het verleden hebben plaatsgevonden. Echter, dergelijke specifieke bedrijfsinformatie is om verscheidene redenen lang niet altijd beschikbaar, althans, men weet nooit zeker of men volledig is. Immers, indien alle fraudes binnen een bedrijf al te achterhalen zijn, is het verlies als gevolg van een fraude niet altijd in geld uit te drukken. Bovendien kunnen bedrijven er bewust voor kiezen om hun verlies als gevolg van fraude niet bekend te maken. Organisaties zouden dergelijke informatie namelijk als gevoelig kunnen beschouwen; open communicatie hierover zou alleen maar nadelige gevolgen voor het imago van het bedrijf kunnen hebben. Enige terughoudendheid in het bekendmaken van fraudes blijkt ook wel uit het feit dat in 2002 van alle in Nederland gecontroleerde jaarrekeningen slechts twee meldingen van ‘mogelijke fraude’ zijn gedaan bij de Vereniging voor Register Accountants.

”

Wat voor maatregelen treffen bedrijven zoal om fraude te voorkomen? Bovendien is het naar onze mening wel zo interessant eens te onderzoeken wat voor maatregelen bedrijven zoal treffen om fraudes in hun organisatie te voorkomen. Dergelijke inventarisaties over hoe bedrijven hun frauderisico’s trachten te beheersen geven een indruk van hoe andere bedrijven fraudes te lijf gaan. Dit is weliswaar een veel subjectievere invalshoek, aangezien het hier om de perceptie van de geënquêteerden gaat, maar de resultaten van het onderzoek geven op zijn minst een globale indruk van hoe het beleid ten aanzien van frauderisico’s bij bedrijven is vormgegeven. Door de eigen bedrijfssituatie te vergelijken met de onderzoeksresultaten kan nuttige informatie worden verkregen over de benchmark. Op basis hiervan kunnen verbeteringen ten aanzien van fraudebeheersing worden doorgevoerd.

”

Gezien het bovenstaande is het in 2002 door KPMG Canada gehouden onderzoek naar fraude vanuit een andere invalshoek dan gebruikelijk opgesteld. In plaats van de geënquêteerden naar gebeurtenissen uit het verleden te vragen, is gevraagd naar hoe hun bedrijven de frauderisico’s binnen de organisatie proberen in te perken. Het onderzoek betreft dus een eerste inventarisatie naar fraudebestrijdingbeleid binnen organisaties.

31

MCA

4

Risicomanagement

Onderzoeksresultaten KPMG Canada 200213 Resultaten ten aanzien van fraudebeleid Hoewel 74% van de respondenten heeft aangegeven dat het beheersen van frauderisico’s essentieel is voor een goede bedrijfsvoering, heeft 10% aangegeven nog niet te hebben nagedacht over de wijze waarop binnen hun organisatie frauderisico’s worden beheerst. Daarnaast heeft 13% van de geënquêteerden aangegeven de frauderisico’s binnen hun organisatie niet te kennen; 55% van de ondervraagden heeft geantwoord de frauderisico’s binnen hun organisatie enigszins te kennen. Ook zegt 12% van de ondervraagden niet tevreden te zijn over de maatregelen tegen frauderisico’s binnen hun organisatie; 61% is hierover enigszins tevreden. Bij 13% van de ondervraagden is de verantwoordelijkheid voor risicobeheer slecht gedefinieerd; bij 56% van de ondervraagden is deze enigszins gedefinieerd, maar voor verbetering vatbaar. Meer dan 80% van de geënquêteerden heeft aangegeven dat de functionaris bij wie de eindverantwoordelijkheid voor fraudepreventie en -detectie ligt de CEO dan wel de CFO is (zie tabel 1).

Resultaten ten aanzien van maatregelen ter preventie van fraude Inperken gelegenheid tot fraude 23% van de respondenten denkt niet dat de selectieprocedure voor nieuw personeel mogelijke fraudeurs zou signaleren; 59% van de respondenten denkt dat mogelijke fraudeurs misschien zouden worden gesignaleerd tijdens de selectieprocedure (zie figuur 3). 51% van de ondervraagden heeft aangegeven dat de documentatie en communicatie van afdelingsproce-

Tabel 1. “Wie is binnen uw organisatie eindverantwoordelijk voor fraudepreventie en -detectie?” Chief Executive Officer 25 % Chief Financial Officer Hoofd afdeling Risicomanagement Hoofd Internal Audit Chief Compliance Officer Hoofd Beveiliging Raad van Bestuur Anders Weet niet

56 % 4% 9% 1% 6% 2% 7% 2%

Figuur 2.

Resultaten ten aanzien van maatregelen ter detectie van fraude 55% van de ondervraagden heeft aangegeven dat de kanalen waarlangs fraudeverdenkingen binnen de organisatie worden gerapporteerd moeten worden verbeterd; 6% heeft geantwoord dat er geen kanalen beschikbaar zijn voor het rapporteren van fraudeverdenkingen (zie figuur 2). Daarnaast heeft 15% van de respondenten aangegeven dat het management niet over voldoende ervaring en achtergrond beschikt om tijdens reviews van financiële resultaten of andere managementinformatie fraude te kunnen signaleren; 52% van de respondenten gaf aan dat deze functionarissen over enigszins voldoende ervaring en achtergrond hiervoor beschikken. 13 Voor de complete onderzoeksresultaten kunt u zich wenden tot de auteur, via e-mail: [email protected].

32

Figuur 3.

Figuur 4.

Risicomanagement

dures (bijvoorbeeld inkoopprocedures) in de organisatie moeten worden verbeterd; bij 4% van de ondervraagden vindt geen documentatie en communicatie van afdelingsprocedures plaats. 73% van de respondenten zei dat hun organisatie beschikt over een beleid ten aanzien van belangenverstrengeling. Echter, 71% van de respondenten zei dat men niet verplicht is om jaarlijks een verklaring omtrent belangenverstrengeling te tekenen (zie figuur 4). Inperken motief voor fraude 51% van de geënquêteerden heeft aangegeven dat de documentatie en communicatie van principes en beleid op het gebied van fraude en ethiek moet worden verbeterd; 11% heeft aangegeven dat documentatie en communicatie van principes en beleid op het gebied van fraude en ethiek niet plaatsvindt. 8% van de ondervraagden heeft aangegeven dat er meer aandacht nodig

Aan het onderzoek hebben 136 bedrijven meegedaan. De vragenlijsten zijn voor het overgrote deel ingevuld door de CEO (33%) of CFO (30%) van de organisatie. Daarnaast zijn de vragenlijsten ingevuld door het Hoofd Risicomanagement, het Hoofd Internal Control, het Hoofd Beveiliging of anders. De twee best vertegenwoordigde branches in het onderzoek zijn enerzijds energie, aardolie en mijnbouw (24%) en anderzijds productie (19%). Andere goed vertegenwoordigde bedrijfstakken zijn financiële dienstverlening, technologie en detailhandel. Meer dan de helft van de geënquêteerde bedrijven had een jaaromzet van meer dan $ 100 miljoen; 29% had een jaaromzet van $ 1 miljard of meer.

Conclusies Hoewel bij de geënquêteerde bedrijven als groep de beheersing van frauderisico’s redelijk te noemen is, zijn er op basis van de onderzoeksresultaten enkele zaken te noemen die voor verbetering vatbaar zijn. Meer dan 80% van de respondenten heeft aangegeven dat de functionaris bij wie de eindverantwoordelijkheid voor fraudepreventie en -detectie is gelegen de CEO dan wel de CFO betreft. Wij stellen voor dat betere kandidaten voor deze verantwoordelijkheid zouden kunnen zijn het Hoofd Risicomanagement, het Hoofd Internal Audit of de Raad van Bestuur in zijn geheel. De betrokkenheid van de CEO of CFO kan wijzen op een belangenverstrengeling zodra functionarissen uit de topleiding worden onderzocht naar aanleiding van vermeende manipulaties van financiële overzichten. Meer dan de helft van de ondervraagden heeft aangegeven dat de kanalen waarlangs fraudeverdenkingen binnen de organisatie worden gerapporteerd moeten worden verbeterd. Het hebben van een anoniem meldpunt voor

MCA Tijdschrift voor Organisaties in Control

2003

is voor het oplossen van problemen omtrent het sociale klimaat binnen de organisatie (bijvoorbeeld pesten, intimidatie, discriminatie); 58% heeft aangegeven dat dit soort problemen zich hebben voorgedaan maar nu onder controle zijn; 29% heeft aangegeven dat dergelijke problemen binnen hun organisatie niet voorkomen. 100% van de respondenten gaf aan dat hun medewerkers graag (67%) dan wel enigszins graag (33%) naar hun werk komen. 8% van de respondenten gaf aan dat hun medewerkers onder marktconform salaris zitten. 28% van de ondervraagden heeft aangegeven dat hun medewerkers enigszins op marktconform salaris zitten. 15% van de ondervraagden heeft aangegeven dat de beloningsstructuur niet goed aan de geleverde prestaties is gekoppeld (bijvoorbeeld in de vorm van een bonusplan); 32% heeft aangegeven dat de beloningsstructuur enigszins aan de geleverde prestaties is gekoppeld.

fraude zorgt ervoor dat vermeende fraudehandelingen eerder gemeld worden waardoor de schade ervan beperkter kan werken. Mensen zijn doorgaans terughoudend in het melden van fraude omdat men er later op aangekeken kan worden. En dit blijkt in de praktijk ook wel het geval te zijn. In de bouwfraude zijn de zogenaamde klokkenluiders er ook niet altijd even goed vanaf gekomen. Het hebben van een anoniem meldpunt voor het melden van fraude is daarom aan te bevelen.

”

Het hebben van een anoniem fraudemeldpunt is aan te bevelen

”

Bijna een kwart van de respondenten denkt niet dat de selectieprocedure voor nieuw personeel mogelijke fraudeurs zou signaleren; meer dan de helft denkt dat ze misschien zouden worden gesignaleerd tijdens de selectieprocedure. Met het screenen van potentiële werknemers alvorens een contract wordt aangeboden, kan veel narigheid worden voorkomen. Eenvoudige instrumenten hiervoor zijn het vragen naar referenties, het vragen naar een verklaring van goed gedrag en het betrekken van sociologen en psychologen in de selectieprocedure daar deze mensen beter geëquipeerd zijn om potentieel fraudegedrag te signaleren. Meer dan de helft van de respondenten heeft aangegeven dat de documentatie en communicatie van afdelingsprocedures moeten worden verbeterd of dat er helemaal geen afdelingsprocedures zijn gedocumenteerd of gecommuniceerd. Het hebben van heldere afdelingsprocedures met

33

MCA

4

Risicomanagement

controletechnische functiescheidingen en heldere definities van eenieders taken, bevoegdheden en verantwoordelijkheden, zijn echter belangrijke maatregelen van interne controle waarvan een preventieve werking zal uitgaan tegen mogelijke fraudeactiviteiten. Wanneer deze maatregelen eenmaal in werking zijn, zal een potentiële fraudeur namelijk minder in de gelegenheid worden gesteld om tot fraude over te gaan. Het instellen en onderhouden van een goed werkend stelsel van maatregelen van interne controle is dan ook aanbevelenswaardig. Een dergelijk stelsel van maatregelen van interne controle zal overigens effectiever zijn naarmate de bevoegdhedenstructuur ook in de geautomatiseerde systemen is doorgevoerd met behulp van wachtwoorden en competentietabellen. Bijna driekwart van de respondenten heeft aangegeven niet verplicht te zijn om jaarlijks een verklaring omtrent belangenverstrengeling te tekenen. Het strikter toezien op het feit dat dit wel gebeurt is – uiteraard – aanbevelenswaardig en bovendien eenvoudig te implementeren.

”

Zaak is vooral om de frauderisico’s die zeer grote schades voor de organisatie kunnen hebben regelmatig onder de loep te nemen en er vervolgens passende maatregelen voor te zoeken. Een belangrijke maatregel is het garanderen van vrije toegang voor de afdeling Internal Audit tot de Raad van Commissarissen. Daarnaast kan worden gedacht aan het opzetten van een goed functionerende compliance afdeling of – indien reeds aanwezig – de verbetering ervan. Deze maatregelen zijn vooral ter voorkoming van fraude in kringen van management en bestuur. Omdat deze fraudezaken de meeste schade kunnen veroorzaken voor ondernemingen, moet men zich vooral hiertegen zoveel mogelijk proberen te wapenen. De rol van de controller

Aandacht voor ethiek zal steeds belangrijker worden

”

Meer dan de helft van de geënquêteerden heeft aangegeven dat de documentatie en communicatie op het gebied van ethiek moeten worden verbeterd of dat er op het gebied van ethiek helemaal geen documentatie beschikbaar is of communicatie plaatsvindt. Naarmate binnen organisaties meer aandacht wordt geschonken aan ethiek in de vorm van bijvoorbeeld het zorgen voor een prettige werksfeer en sociaal klimaat, het trachten te voorkomen van discriminatie en het hebben van een heldere en rechtvaardige beloningsstructuur, zal er bij medewerkers in mindere mate een motief zijn voor het plegen van fraude. Aandacht voor ethiek is dus belangrijk en zal steeds belangrijker worden naarmate organisaties in omvang toenemen en er minder sprake zal zijn van sociale controle bij het uitvoeren van de werkzaamheden.

Toekomst Het is voor bedrijven niet zozeer interessant om zich de vraag te stellen óf bepaalde fraude-incidenten bij de organisatie in kwestie zouden kunnen voorkomen; veel interessanter is te onderkennen dát dit waarschijnlijk het geval zal zijn en daarom goed na te denken over hoe dit gevaar beperkt kan worden, hetzij via preventie hetzij via 14 Bos, K.Y., en O.C. van Leeuwen (1999): De toekomst van de financiële functie: wil de laatste het licht uitdoen? Praktijkboek Financieel Management 44, december 1999.

34

detectie. Wij verwachten op basis hiervan dat bedrijven een (hernieuwde) nadruk zullen leggen op internal control, transparante verslaggeving en risicomanagement. De Sarbanes-Oxley wet heeft hier al een aanzet voor gegeven. Daarnaast verwachten we dat organisaties steeds meer aandacht zullen krijgen voor het oplossen van vraagstukken op het gebied van integriteit.

Ervan uitgaande dat bovenstaande verwachte toekomstige ontwikkelingen ook daadwerkelijk zullen plaatsvinden, zal er iemand in de organisatie het voortouw moeten nemen ten aanzien van het (beter) beheersen van frauderisico’s, iemand die bedrijfsbreed acties initieert en de organisatie als geheel in het licht van frauderisico’s beziet.

”

Hier ligt een dankbare taak voor de controller Hier ligt ons inziens een dankbare taak voor de controller. De moderne controller is namelijk niet meer slechts de producent van rapportages maar wordt geacht ervoor te zorgen dat zijn organisatie ‘in control’ is.14 Het implementeren van een expliciet fraude-risicomanagementbeleid behoort daarbij een onderdeel te zijn van de moderne financiële functie waarbij de controller optreedt als business partner van het management. Dit betekent dat de controller erop moet toezien dat het inbedden van een fraude-risicomanagementbeleid in zijn organisatie goed wordt uitgevoerd en tevens de verantwoordelijkheid moet dragen voor een goede werking van het beleid. De toezichthoudende en toetsende functie ten aanzien van fraudepreventie en -detectie dient evenwel bij andere partijen binnen de organisatie zoals de afdeling Internal Audit te zijn belegd. Dit om – zoals reeds gezegd – mogelijke belangenverstrengeling tussen ‘de controleur’ en ‘de gecontroleerde’ te voorkomen. MCA

”