45_49_Fraudebeheersing
22-07-2005
11:49
Pagina 45
&
FINANCE
CONTROL
Bestuurlijke informatieverzorging
Fraude e n fraude pre ve nt ie
BETER VOORKOMEN DAN GENEZEN Fraude binnen bedrijven lijkt tegenwoordig schering en inslag. Bijna dagelijks wordt er in de media wel melding gemaakt van een fraudegeval bij bedrijf X of organisatie Y. Tel daarbij op de vele fraudegevallen die de krant niet halen, dan komen we ongetwijfeld tot een schrikbarend aantal. Fraude is niet helemaal te vermijden; elke organisatie loopt risico. Fraude is echter wel te beheersen. S A M E N VAT T I N G R E DAC T I E
W
at is fraude precies? Een sluitende definitie is er niet. En bij gebrek aan een wettelijke omschrijving komen er vele definities voor, die echter allemaal gemeenschappelijke kenmerken hebben. De belangrijkste bouwstenen die gangbare definities delen zijn de begrippen ‘opzettelijk’, ‘onjuiste voorstelling van zaken’ en ‘onrechtmatig’. Wij zien fraude als: een opzettelijke handeling waarbij door het geven van een onjuiste voorstelling van zaken een gepretendeerde rechtvaardiging voor de handeling ontstaat, waardoor een onrechtmatig voordeel wordt verkregen.
door wie? Organisaties die worden geconfronteerd met verduistering van geld of goederen verbazen zich vaak in hoge mate over de identiteit van de betrokkene. Vaak gaat het om iemand die al jaren bij de organisatie werkt, aanzien geniet, zelden ziek is en altijd zijn vakanties zo plant dat niemand daar last van heeft. Omgekeerd wordt geredeneerd dat die persoon vanwege het in hem gestelde vertrouwen meer vrijheden geniet wat betreft het afleggen van verantwoording
en ervoor zorgt dat anderen geen zicht krijgen op zijn werk. Vaak blijkt die persoon zodanig overstelpt te worden met zware, vertrouwelijke klussen, dat de werkdruk zeer hoog kan oplopen. Het uitblijven van een adequate beloning voor de toegenomen werkdruk kan een motief zijn om de vergoeding zelf te verhogen. Het is niet de bedoeling deze medewerkers bij voorbaat als ‘verdacht’ aan te merken. Wel dient er bij integriteitbeheersing rekening mee te worden gehouden dat een subjectieve beoordeling van iemand niet tot uitzondering mag leiden voor wat betreft de toepasselijkheid van beheersingsmaatregelen. Vertrouwen speelt bij fraudebeheersing een opvallende rol. Degene die opzettelijk een organisatie wil benadelen, weet dat dit het eenvoudigst gaat als hij vertrouwen weet te verkrijgen. Het is niet vreemd dat accountants stellen dat vertrouwen goed is, maar controle beter. Vertrouwen moet zijn ingebed in beheersingsmaatregelen en er dient verantwoording te worden afgelegd waaruit het bestaan en de effectiviteit van die maatregelen blijkt: geen vertrouwen zonder verantwoording.
AUGUSTUS 2005
|
45
verschijningsvormen van fraude Er worden veel namen aan soorten fraude gegeven, bijvoorbeeld interne fraude, inkoopfraude, pinpasfraude of personeelsfraude. Interne fraude maakt duidelijk dat het zich binnen de organisatie afspeelt. Inkoopfraude is een fraude die gebonden is aan een bepaald proces. Pinpasfraude is een fraude gebonden aan een ‘modus operandi’, ofwel het middel dat wordt gebruikt om te frauderen. Personeelsfraude is gebonden aan degene die het doet. Fraude in relatie tot degene die fraudeert Personeelsfraude. Personeelsfraude kenmerkt zich naast persoonlijke verrijking vooral door een benadeling van de organisatie of derden. Vaak wordt de overeenkomstigheid tussen het voordeel van de één en het nadeel van de ander als specifiek kenmerk verondersteld. Personeelsfraude is de meest voorkomende soort fraude die je op alle niveaus van een organisatie, in alle processen en met behulp van alle mogelijke hulpmiddelen kunt verwachten. Bij deze soort fraude wordt bovendien vaak samengewerkt met buitenstaanders,
W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
45_49_Fraudebeheersing
22-07-2005
11:49
Pagina 46
&
FINANCE
waardoor deze fraudesoort zowel intern als extern is. Afhankelijk van het proces waarin de mogelijke daders werkzaam zijn, zijn er geëigende maatregelen ter beheersing van dit risico. Enkele typische voorbeelden van personeelsfraude: ~ verduistering van geld, goederen of andere eigendommen van de organisatie onder het mom van diefstal door derden; ~ onjuiste kostendeclaraties met behulp van gefingeerde bonnetjes en facturen; ~ salarisfraude door het opvoeren van fictieve werknemers, waarbij het salaris wordt betaald aan de frauderende medewerker. Managementfraude. Als fraude zich niet zozeer tegen de organisatie maar tegen derden richt, bijvoorbeeld door manipulatie van de jaarrekening of een fiscale aangifte, dan spreek je over managementfraude. Hoewel gesteld kan worden dat de dader zichzelf niet zozeer verrijkt als wel de organisatie voor wie hij werkt, is er indirect vrijwel altijd een persoonlijk belang, in de vorm van een winstafhankelijke beloning of de continuïteit van de baan. Als het om manage-
Directieleden kunnen zelf normen stellen mentfraude gaat, wordt wantrouwig naar de accountant gekeken. Hoewel fraudebeheersing de primaire verantwoordelijkheid is van de leiding van de organisatie zelf, vinden velen dat de accountant bij die beheersing ook een taak heeft. Dat is zeker zo als het gaat om een te gunstig voorgestelde jaarrekening. Bedenk echter dat de accountant veelal ook om de tuin wordt geleid met valse verklaringen en documenten. Enkele typische voorbeelden van managementfraude:
CONTROL
~ het ‘oppoetsen’ van de cijfers, door bijvoorbeeld minderheidsdeelnemingen als 100 procent bezittingen mee te consolideren, om een hoger krediet te verkrijgen voor het bedrijf of meer geld op te kunnen halen bij een aandelenemissie; ~ het hoger voorstellen van verkopen, door bijvoorbeeld onder handen werk als debiteuren te boeken of nog te ontvangen bonussen als reeds behaald te boeken, ter verwerving van een hogere bonus; ~ het hoger voorstellen van de omzet door niet de provisie op bepaalde van derden afkomstige goederen te verantwoorden, maar te pretenderen dat de goederen in eigen eigendom zijn verhandeld. Op deze manier kon de aan aandeelhouders beloofde omzetgroei toch worden gehaald. Directiefraude. Directiefraude is een variant op personeelsfraude. Het gaat om fraude waarbij de organisatie benadeeld wordt ter verkrijging van persoonlijk voordeel, hoewel het soms gaat om een variant op managementfraude. Toch wordt anders tegen deze vorm van fraude aangekeken dan ‘gewone’ personeelsfraude of managementfraude. Dat komt omdat directieleden veel meer bevoegdheden en macht hebben. Zij genieten bovendien een bepaald vertrouwen en hebben de mogelijkheid zelf normen te stellen. Dat maakt hen minder grijpbaar als gekeken wordt naar gebruikelijke beheersingsmaatregelen. Directiefraude kenmerkt zich vaak door transacties die slechts op zeer hoog niveau kunnen plaatsvinden, zoals de overname van een ander bedrijf. Dat wil niet zeggen dat het niet ook kan gaan om een huis-tuin-en-keukenfraude zoals het indienen van te hoge kostendeclaraties onder overlegging van valse bonnetjes. In dat laatste geval komt de directeur er makkelijk mee weg, omdat hij veelal zelf degene is die de bonnetjes accordeert.
46
|
AUGUSTUS 2005
Fraude in relatie tot het proces. Er zijn geen bedrijfsprocessen denkbaar of mensen nemen er aan deel. In bijna alle processen valt onrechtmatig persoonlijk gewin te behalen door zichzelf iets van waarde toe te eigenen. Over bijna alle processen valt positiever verslag te doen dan gerechtvaardigd. Kortom, alle pro-
Vertrouwen speelt bij fraudebeheersing een opvallende rol cessen zijn fraudegevoelig. In sommige processen ligt fraude echter veel meer voor de hand dan in andere. Te denken valt aan processen waarbij het voor de hand ligt dat geld of goederen van waarde een belangrijke rol spelen, zoals het betalingsproces, de inkoop of de verkoop. Fraude en het betalingsproces. Bij de meeste fraudeurs gaat het om geld. Daarom is het juist de betaalfunctie die extra aandacht behoeft. Iedereen die gerechtigd is betalingen te doen of te ontvangen, heeft een betaalfunctie. Hoofdregel voor het doen van betalingen is dat de kassier over een geautoriseerde factuur beschikt die de betaling rechtvaardigt. De autorisatie is afkomstig van een collega die er voor instaat dat de prestatie zoals omschreven op de factuur ook daadwerkelijk is geleverd. Het liefst heeft die autorisatie plaatsgevonden in een door de crediteurenadministratie geplaatst blokstempel, over welk stempel zowel de kassier als de autorisator niet kunnen beschikken. Het is bovendien gebruikelijk dat degene die de betaling voorbereidt niet degene is die de finale autorisatie geeft op de factuur of de uiteindelijke autorisatie heeft voor de bank (elektronische handtekening).
45_49_Fraudebeheersing
22-07-2005
11:49
Pagina 47
&
FINANCE
Ook dient degene die de betaling autoriseert alle bescheiden te controleren op de verplichte controlehandelingen alvorens zijn elektronische handtekening te plaatsen. Dit proces lijkt deugdelijk maar valt of staat met de goede taakuitoefening van allen die bij dit proces zijn betrokken. Inkoopfraude. Inkoopfraude wordt vaak verward met omkoping van een inkoper. In dat geval is geen sprake van fraude zoals gedefinieerd in dit artikel, maar van corruptie. De simpelste inkoopfraude bestaat uit het creëren van een fictieve prestatie die als geleverd wordt afgetekend, waarna betaling kan plaatsvinden op een speciaal daartoe door de inkoper opgezette bankrekening van het vermeende bedrijf dat de prestatie zou hebben geleverd. Inkoopfraude wordt gekenmerkt door gebruikmaking van een aspect dat zich bij alle inkopen voordoet: de betaling aan de verkoper. Net zoals bij fraude bij het betalingsproces gaat het immers om het geld. Het proces van fraudebeheersing dient er dan ook voor te zorgen dat er in voldoende mate op wordt toegezien dat alleen wordt betaald voor een
CONTROL
daadwerkelijk ontvangen prestatie tegen een prijs die vantevoren overeen is gekomen op een rekening van de werkelijke leverancier. In de praktijk blijken organisaties daar nog wel eens in tekort te schieten. Verkoopfraude. De bekendste verkoopfraude betreft de zogenoemde ‘winkel in de winkel’: een verkoper verkoopt goederen die niet van zijn werkgever zijn, maar van hemzelf, gebruikmakend van de organisatie, naam en reputatie van zijn werkgever. In feite draagt daarmee de werkgever, met uitzondering van de inkoopprijs, alle kosten, terwijl de gehele opbrengst naar de verkoper gaat. Stelt u maar eens voor wat het betekent als een tankstationmedewerker voor eigen rekening honderd bekertjes koffie per dag verkoopt. De koffiekosten per bekertje koffie zijn ongeveer € 0,06, terwijl de opbrengst € 1,50 bedraagt. De extra inspanning is verwaarloosbaar, want koffie moest er toch al worden gezet. Aan de verkoopzijde van een organisatie is er voor de fraudeur bovendien iets te halen als hij een beloning heeft die afhankelijk is van de geclaimde ver-
kopen. Je zal dan ook zien dat er een tendens bestaat verkopen te vroeg te rapporteren en retouren, reclames en annuleringen in een volgende periode te melden. In feite is dit een vorm van wat slepen wordt genoemd. Je moet deze gang van zaken dan wel van periode tot periode volhouden, terwijl je feitelijk slechts eenmaal voordeel hebt.
visie op fraudebeheersing De klassieke visie: reactief. De klassieke visie is gebaseerd op de gelegenheid maakt de dief en een incident is te beschouwen als de uitzondering op de regel. Door middel van preventieve en detectieve maatregelen wordt de gelegenheid maximaal afgegrendeld. Naast functiescheidingen en toegangscontroles hanteert de organisatie zogenoemde pre-employment screenings, wordt in functioneringsgesprekken aandacht besteed aan integriteit en is er een klokkenluiderregeling geïntroduceerd. Verder wordt bevordering en handhaving van integriteit als remedie gezien om vooral de organisatie niet te verstikken in allerlei restrictieve maatregelen. Periodiek wordt er een sterkte-zwakteanalyse uitgevoerd door een groot
Algemene maatregelen ter voorkoming van fraude Doel
Maatregel
Tijdig signaleren van effecten van mogelijke fraude.
~ Een aantal ontwikkelingen binnen uw onderneming kan aanwijzingen geven voor mogelijke fraude, al dan niet gepleegd met behulp van computers. Volg deze ontwikkelingen kritisch. Gedacht kan worden aan: voorraadverschillen; toename activa; toename uitgaven; toename uitgaven; afname van schulden; afname van verkopen; afwijkingen van normale procedures; defecte controle/weegmachines; trendbreuken. ~ Uitvoeren van periodieke inventarisaties van geld en goederen door functionarissen onafhankelijk van de bewarende functionaris.
Aantrekken betrouwbaar personeel.
~ Voer een weldoordacht beleid voor personeelswerving, personeelscontrole,
Voorkomen van fraude ontstaan door doorbreken
~ Creëren van functiescheiding tussen bewarende, registrerende,
personeelsbegeleiding en arbeidsomstandigheden.
controletechnische functiescheiding.
controlerende en uitvoerende functies.
Voorkomen van wijzigingen op programmatuur in de productieomgeving.
~ Periodieke interne of externe beoordeling van gecreëerde functiescheidingen. ~ Creëren functiescheiding tussen automatiseringsorganisatie en gebruikersorganisatie.
AUGUSTUS 2005
|
47
W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
45_49_Fraudebeheersing
22-07-2005
11:49
Pagina 48
&
FINANCE
accountantskantoor op één van de processen. Een gerenommeerde adviesorganisatie heeft geholpen een mooie gedragscode te maken, waardoor de organisatie weer voldoet aan de eisen van de tijd. De fraudeverzekeraar is tevreden, want de organisatie kan aantonen dat het werkt aan fraudebeheersing, maar of de fraudebeheersing ook werkt? De alternatieve visie: proactief. Als alternatief geven wij er de voorkeur aan incidenten meer als onderdeel van een proces te zien. Voorbeeldgedrag. Het eerste onderdeel is zonder twijfel het belangrijkste, namelijk het goede voorbeeldgedrag van de leiding en andere sleutelmedewerkers. Hiertoe worden twee stappen ondernomen: (1) ontwikkelen en bevorderen van de nakoming van gedragsregels, die bijvoorbeeld zijn vastgelegd in de vorm van een code waarvan iedereen doordrongen is, en (2) doen wat je zegt (‘walk the talk’). Voorbeeldgedrag is van vitaal belang. Als management met leveranciers op stap gaat naar dure restaurants en clubs, extravagante cadeaus accepteert en er op los declareert, dan moet men niet verbaasd zijn dat dit op de werkvloer een negatief effect kan hebben. Opleiding en training. Het tweede onderdeel in het alternatieve model is opleiding en training van personeel en derden die een nauwe relatie onderhouden met de organisatie. Het gaat om: ~ het bijbrengen van fraudebewustzijn; ~ hoe men kan omgaan met integriteitdilemma’s; ~ het duidelijk maken hoe ernstig het probleem kan zijn; ~ te leren hoe fraudesignalen te herkennen. Een fraudeur die weet dat zijn omgeving alert is, ervaart dat als afschrikkend
CONTROL
en daardoor werkt dat preventief. Preventie is de meest efficiënte en effectieve manier van fraudebeheersing. Als het om detectie gaat, is de schade al aangericht, laat staan als men al een onderzoek moet beginnen. Besteed daarom aandacht aan opleiding en training van alle medewerkers waar het gaat om fraude. Risicoanalyse en beoordeling beheersingsmaatregelen. Het derde onderdeel betreft risicoanalyse en de daarmee samenhangende beoordeling van de beheersingsmaatregelen, ter verkrijging van een gekwalificeerd beeld per proces van de mogelijkheid dat zich fraude voordoet. Bij deze analyse moet men rekening houden met de onderdrukking van zowel de ‘gelegenheid’, de ‘druk’ als de ‘rationalisatie’. Een risicoanalyse gaat uit van de specifieke bedreigingen van een organisatie in relatie tot de voor die organisatie eigen processen, waarbij bestaande beheersingsmaatregelen worden weggedacht. Een dergelijke risicoanalyse wordt bij voorkeur door middel van ‘self-assessments’ uitgevoerd. Hiertoe wordt door een fraudespecialist tezamen met een select aantal sleutelfunctionarissen, die een doorsnee vormen van de organisatie, een voor de organisatie relevant risico-universum geanalyseerd door middel van stemsessies. Na de risicoanalyse blijkt in welke processen op welke elementen beheersing noodzakelijk is en in welke mate de eigen medewerkers prioriteiten stellen. Op een vergelijkbare wijze als de risicoanalyse worden vervolgens sessies gehouden ter vaststelling van de vereiste beheersing. Daarbij wordt per element druk, rationalisatie en gelegenheid in relatie tot het gedrag van medewerkers een scala van vereiste preventieve, detectieve en handhavende beheersingsmaatregelen samengesteld. Met de juiste proceskennis aanwezig zijn dergelijke sessies zeer vruchtbaar.
48
|
AUGUSTUS 2005
Vervolgens worden de uit de sessies voortvloeiende ideaalcomplexen vergeleken met de werkelijkheid en getoetst op haalbaarheid op korte en langere termijn. Vanuit die analyse volgt een implementatieplan, dat tot uitvoering kan worden gebracht. Rapportering en monitoring. Het vierde onderdeel betreft rapportering en monitoring. Incidentrapportering is van groot belang omdat dit bijdraagt tot het zo vroeg als mogelijk opmerken van fraudesignalen. Hiertoe zijn ‘hotlines’ als middel binnen een goede klokkenluiderregeling ideaal. Hoewel klikken of klokkenluiden in Nederland geen hoog aanzien heeft, blijkt in de praktijk juist klokkenluiden een van de meest effectieve manieren om tot een
Fraude behoort bij alle organisaties en is niet uit te bannen hoger niveau van fraudebeheersing te komen. Bedenk dat juist de klokkenluider weet waar de klepel hangt. Monitoring houdt in dat management, de controller en andere staffunctionarissen zich voortdurend bewust zijn van mogelijke signalen van (tijdelijke) zwakheden in de beheersing of gedragingen die als verdacht zijn aan te merken. Medewerkers en derden die weten dat er een hoog niveau van bewustzijn heerst binnen de organisatie rond fraudebeheersing, zullen eerder worden afgeschrikt om fraude tegen een dergelijke organisatie te begaan. Het gaat bij mogelijke daders namelijk niet alleen om feitelijke fraudebeheersing maar het idee dat fraudebeheersing een hoog niveau heeft. Om dat te bewerkstelligen is communicatie omtrent fraudebeheersing van groot belang.
45_49_Fraudebeheersing
22-07-2005
11:49
Pagina 49
&
FINANCE
Proactieve detectie. Laat het geen toeval zijn dat incidenten worden ontdekt. Daarom behelst het vijfde onderdeel de introductie van proactieve detectie. Hoe goed de preventieve maatregelen ook zijn, incidenten zullen zich altijd blijven voordoen. Periodieke audit van de effectiviteit van de beheersingsmaatregelen door perceptiemeting onder het personeel is een voorbeeld van proactieve detectie met betrekking tot werking van het systeem, waarbij de afdekking van druk, rationalisatie en gelegenheid in kaart worden gebracht. In feite wordt op die wijze de effectiviteit van de beheersingsmaatregelen getoetst. De kwaliteit van fraude- of integriteitbeheersing is op die manier meetbaar te maken. Goede proactieve detectie schrikt fraudeurs af en bevordert daardoor fraudebeheersing.
CONTROL
Onderzoek en opvolging. Effectief onderzoek en opvolging van incidenten is het logische sluitstuk van beheersing. Onderzoek in de context van een continue proces van beheersing, waarbij is voorzien in een doordacht calamiteitenplan, is succesvoller en effectiever dan de ad-hocbenadering. Geen actie ondernemen ingeval van vermoedens van fraude is geen optie. Voorts moeten fraudeurs altijd worden aangepakt en bij voorkeur worden aangegeven. Door vervolging kan een ontmaskerde fraudeur een volgende keer niet zo makkelijk gebruik meer maken van het voor hem zo noodzakelijke vertrouwen. Het moet helder zijn binnen en buiten de organisatie dat fraude niet wordt getolereerd. Doe niet stiekem, fraude behoort bij alle organisaties en is niet uit te bannen. Verantwoord optreden minimali-
seert fraude door maximale preventie, detectie en afschrikking, waardoor de kosten van fraude worden geminimaliseerd. Het is belangrijk zelf onderzoek te (laten) doen op een professionele manier. Alleen dan zult u een civiele of strafrechter aan uw zijde vinden. Zuiver, rechtvaardig onderzoek, waarbij de mogelijke dader op een juiste manier tegemoet is getreden, oogt meer respect en effect, dan machtsvertoon en wraak. Voorts zal uw aangifte bij de politie een betere opvolging krijgen en een hogere kans op slagen hebben. Bedenk dat de politie graag bereid is u ten dienste te zijn, maar slechts als u zich als werkgever verantwoordelijk heeft gedragen. Dit artikel is een korte samenvatting van het boek: Fraudebeheersing, hoe doe je dat? door Drs. P.J. Schimmel RA. Kluwer, Deventer, ISBN 9013011861.
advertentie
AUGUSTUS 2005
|
49
W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
