32% 73% 79% Economische criminaliteit: Een bedreiging voor elk bedrijf. Economic Crime Survey Nederland 2014 In samenwerking met de VU Amsterdam

Economic Crime Survey Nederland 2014 In samenwerking met de VU Amsterdam

Economische criminaliteit: Een bedreiging voor elk bedrijf

73%

Bijna driekwart van de bedrijven slachtoffer van economische criminaliteit

32%

Eén op de drie misdrijven door toeval ontdekt

79%

Overgrote meerderheid cybercriminelen bevindt zich buiten de organisatie

www.pwc.com/crimesurvey

Bij PwC in Nederland werken ruim 4.300 mensen met elkaar samen vanuit 12 vestigingen. PwC Nederland helpt organisaties en personen de waarde te creëren waarnaar zij op zoek zijn. Wij zijn lid van het PwC-netwerk van firma’s in 157 landen met meer dan 184.000 mensen. Wij zien het als onze taak om kwaliteit te leveren op het gebied van assurance-, belasting- en adviesdiensten. Vertel ons wat voor u belangrijk is. Meer informatie over ons vindt u op www.pwc.nl

2

PwC

Inhoud Inleiding

4

Omvang en schade Omvang economische criminaleit in Nederland Economische criminaliteit naar categorie De schade van economische criminaliteit

7 7 8 11

De daders Daders komen vaak uit de eigen organisatie Daderprofielen Consequenties voor de daders

15 15 16 17

Preventie en detectie Preventieve maatregelen Detectie van economische criminaliteit Compliance programma’s Kwetsbare posities Trainingen

19 19 20 21 23 23

Verdieping cybercrime en organisatiecultuur Cybercriminaliteit Organisatiecultuur

25 25 26

Methodologische verantwoording Procedure Steekproef Respondenten

28 28 29 29

De vragen

33

Colofon

34

Economic Crime Survey Nederland 2014

3

Inleiding Algemeen

Onderzoeksstrategie

Voor u ligt de zevende editie van de Economic Crime Survey, jaargang 2014. PwC laat tweejaarlijks een enquête uitvoeren naar economische criminaliteit en de oorzaken en gevolgen hiervan. Het in kaart brengen van de achtergrond, omvang en schade van deze vorm van criminaliteit is belangrijk. Een onderzoek helpt inzicht te verschaffen in de oorzaken van dergelijk crimineel gedrag en de mogelijke gevolgen hiervan voor uw bedrijf. Een deel van onze dagelijkse praktijk bestaat uit het bestrijden en trachten te voorkomen van economische criminali­­teit waardoor uw bedrijf getroffen kan worden.

In samenwerking met prof. dr. Wim Huisman en dr. Adriaan Denkers, beiden verbonden aan de afdeling Criminologie van de Vrije Universiteit Amsterdam, is een vragenlijst samengesteld. De vragen zijn voorgelegd aan personen die zich in hun dagelijkse werkzaamheden bezighouden met de aanpak, het voorkomen en/of in kaart brengen van economische criminaliteit binnen hun bedrijf. Hierbij zijn de respondenten vragen voorgelegd over de vormen van criminaliteit waar hun organisatie de laatste 24 maanden mee is geconfronteerd, of waarvan men een vermoeden heeft. Daarnaast is speciale aandacht besteed aan cybercrime en de rol van bedrijfsculturen. Ook zijn vragen gesteld over de impact en schade van criminaliteit, de daders van de meest recente economische delicten en de oorzaken. Deze vragen zijn door Onderzoeksbureau Flycatcher via een webbased enquête voorgelegd aan bovengenoemde doelgroep. Binnen deze doelgroep hebben 875 respondenten de vragenlijst ingevuld. Op basis van de antwoorden van deze experts bieden wij u een zo betrouwbaar mogelijk beeld van economische criminaliteit binnen de ‘BV Nederland’.

Dit jaar brengen wij niet één, maar drie rapporten uit. Deze drie rapporten zijn het resultaat van een grootschalig onderzoek (in opdracht van PwC) naar economische criminaliteit bij bedrijven gevestigd in Nederland. In dit eerste rapport schetsen wij een algemeen beeld van de aard, omvang, schade en oorzaken van economische criminaliteit bij Nederlandse bedrijven in de afgelopen twee jaar. Daarnaast gaan wij in op de verscheidene daders en geven wij een uiteenzetting van de door bedrijven gehanteerde (preventie)maatregelen en de effectiviteit daarvan. Het tweede rapport staat in het teken van een specifieke vorm van (economische) criminaliteit: cybercrime. Door de snelle ontwikkelingen binnen de ICT is deze vorm van criminaliteit helaas niet meer weg te denken uit onze huidige samenleving. Vandaar dat wij uitgebreid en in een apart rapport bij cybercrime stilstaan. Het derde en laatste rapport binnen dit drieluik is gericht op de rol van bedrijfsculturen. Zorgt een bonuscultuur bijvoorbeeld voor meer criminaliteit binnen een bedrijf? Geven de managers zelf wel het juiste voorbeeld? En hoe effectief is de sociale controle binnen een onderneming? Dit zijn slechts enkele vragen die aan bod komen in het derde rapport.

4

PwC PwC

Omdat we dit jaar hebben gekozen voor een nieuwe onderzoeksopzet is het niet mogelijk alle uitkomsten te vergelijken met de resultaten uit eerdere surveys. Wij zijn echter op de toekomst gericht: met deze opzet hebben wij een stevige basis gelegd om de onderzoeksresultaten de komende jaren vergelijkbaar te maken.

(Global) Economic Crime Survey: ontwikkelingen door de jaren heen Sinds 2001 brengt de mondiale organisatie van PwC tweejaarlijks de Global Economic Crime Survey uit. Deze studie vindt haar basis in een wereldwijd onderzoek onder managers en hoger naar economische criminaliteit. PwC Nederland heeft vanaf 2005 op basis van de verzamelde data van PwC Global haar eigen Economic Crime Survey uitgebracht gericht op de Nederlandse situatie.

In 2011 hebben PwC Nederland en PwC Duitsland gezamenlijk hun eigen onderzoek verricht, naast het onderzoek van PwC Global. In 2014 is de zevende editie van de Global Economic Crime Survey gepubliceerd. 5.128 respondenten binnen bedrijven uit 99 verschillende landen hebben hieraan deelgenomen. PwC Nederland heeft ook dit maal haar eigen onderzoek verricht, waar dit rapport en de twee specifieke rapporten over cybercrime en bedrijfsculturen het resultaat van zijn.

Opvallendste bevindingen op een rij • Drie kwart van de organisaties geeft aan geconfronteerd te zijn met enige vorm van economische criminaliteit in de afgelopen twee jaar. In vergelijking met de Nederlandse/ Duitse versie van de Global Economic Crime Survey uit 2011 en het wereldwijde onderzoek gepubliceerd in de Global Economic Crime Survey 2014 is dit een opvallende stijging. In 2011 rapporteerde 53% van de respondenten slachtoffer te zijn geweest van economische criminaliteit. Wereldwijd gaven 37% van de ondervraagden dit jaar aan de afgelopen twee jaar enige vorm van economische criminaliteit te hebben ondervonden. • Diefstal van geld, goederen of fraude (65%) wordt ook dit jaar weer als meest voorkomende vorm van economische criminaliteit gemeld door de respondenten. Dit wordt gevolgd door diefstal van informatie (27%), cybercriminaliteit (23%), corruptie (21%) en concurrentievervalsing (18%). De respondenten die hebben aangegeven binnen hun werkveld expert te zijn op het gebied van één van de vijf categorieën van economische criminaliteit, benoemen voornamelijk delicten binnen hun eigen onderdeel als meest voorkomend. Hieruit kan worden opgemaakt dat expertise op een bepaald vlak van groot belang is voor het in kaart brengen van de omvang en schade van economische criminaliteit. • Met een plek in de middenmoot wordt cybercrime door een kwart van de respondenten genoemd. De schade die bedrijven ervaren bij cybercriminaliteit wordt als minst ernstig beschouwd ten opzichte van de andere vier vormen van economische criminaliteit. In de toekomst verwachten de respondenten echter significant meer schade door cybercriminaliteit, dan de daadwerkelijk opgelopen schade gedurende de afgelopen twee jaar. • Uit het onderzoek komt een ‘daderprofiel’ naar voren. De daders zijn veelal relatief jonge mannen (67% is jonger dan 40) die nog niet lang bij het bedrijf werkzaam zijn. Twee derde van de daders heeft een positie onder het middenmanagement. Dit is een verandering ten opzichte van voorgaande jaren, waar de interne dader destijds veelal langer dan vijf jaar in dienst was en een positie bekleedde in het middenmanagement of hoger.

Wanneer zij worden ontdekt, volgt doorgaans ontslag. Tegen daders buiten de onderneming wordt hoofd­­­ zakelijk aangifte gedaan. De cybercrimineel bevindt zich in tegenstelling tot de traditionele economische crimineel overwegend buiten de organisatie. Tegen hem wordt beduidend minder vaak aangifte gedaan, dan tegen de daders van traditionele economische criminaliteit. Dit komt waarschijnlijk omdat hij zich goed verborgen weet te houden binnen de digitale wereld en bedrijven vaak niet weten wie de dader is. Wanneer de cyber­­crimineel echter van binnen de organisatie komt en hij wordt ontdekt, volgt in de meeste gevallen ontslag en wordt aangifte gedaan. • Dat voorkomen beter is dan genezen wordt door het merendeel van de bedrijven bevestigd. Drie kwart van de organisaties heeft preventieve maatregelen getroffen om economische criminaliteit te voorkomen. Transparante richtlijnen, gedragscodes en een sanctiebeleid zijn door een meerderheid van de bedrijven geïmplementeerd. 63% van de bedrijven biedt trainingen aan voor het eigen personeel. Daarnaast maakt een kwart van de organisaties gebruik van een compliance programma. Opvallend is dat bedrijven met een compliance programma en bedrijven die trainingen aanbieden vaker slachtoffer worden van economische criminaliteit. De controleparadox zou hier mogelijk een rol kunnen spelen: bedrijven die dergelijke maatregelen treffen, detecteren vermoedelijk juist vaker economische criminaliteit. Misdrijven komen immers zelden aan het licht door externe instanties (zoals handhavende diensten), maar voornamelijk door interne audit of interne tips. Met dit rapport hopen wij u een zo helder mogelijk beeld te verschaffen van de aard, omvang, oorzaken en schade van economische criminaliteit en de bestrijding hiervan. Uiteraard zal economische criminaliteit nooit volledig uitgebannen kunnen worden. Desalniettemin geeft dit onderzoek u een extra handvat om alert en bewust van de ontwikkelingen rondom deze bijzondere vorm van criminaliteit te zijn. Wij hopen en vertrouwen dat dit rapport hieraan kan bijdragen.

Amsterdam, juli 2014 André Mikkers PwC

Economic Crime Survey Nederland 2014

5

Detailhandel en vervoer- en opslagsector bovengemiddeld slachtoffer van economische criminaliteit

6

PwC

Omvang en schade

Bijna drie kwart van de Nederlandse organisaties wordt geconfronteerd met economische criminaliteit. Voor een groot deel van de organisaties gaat dat om diefstal of fraude. Een kleiner deel ziet zich geconfronteerd met diefstal van informatie, cybercriminaliteit, corruptie of concurrentievervalsing. Vrijwel alle bedrijven die zich geconfronteerd zagen met diefstal of fraude, benoemen een delict uit deze categorie als het meest ernstige uit de afgelopen twee jaar. De ondervraagde experts schatten de opgelopen schade over de afgelopen twee jaar relatief het hoogst in als gevolg van diefstal of fraude en relatief het laagst als gevolg van cybercriminaliteit. Wel verwachten zij dat dit verschil in de komende twee jaar zal verminderen; de relatieve schade als gevolg van diefstal en fraude schatten zij in de komende twee jaar enigszins lager in en de relatieve schade als gevolg van cybercriminaliteit daarentegen hoger.

Omvang Aan de 875 experts op het gebied van economische criminaliteit binnen Nederlandse organisaties is gevraagd hoe vaak de organisatie, gedurende de afgelopen twee jaar, in aanraking is gekomen met vijf verschillende categorieën van economische criminaliteit. Deze categorieën zijn: diefstal van geld, goederen of fraude, diefstal van informatie, cybercriminaliteit, corruptie en cybercriminaliteit. Bijna driekwart (73%) geeft aan dat de organisatie in de afgelopen twee jaar ten minste één keer geconfronteerd is met een vorm van economische criminaliteit. De gevonden omvang van de economische criminaliteit in Nederland is in deze versie van de Dutch Economic Crime Survey hoger dan in de voorgaande versies. In de versie uit 2011 wordt vermeld dat ongeveer de helft van de organisaties getroffen was door economische criminaliteit. De Global Economic Crime Survey 2014 van PwC rapporteert dat wereldwijd 37% van de organisaties slachtoffer is geworden van economische criminaliteit. Een mogelijke verklaring voor deze verschillen is het type respondenten dat de vragen in de verschillende onderzoeken heeft beantwoord. Bij de voorgaande versies van de Economic Crime Survey is getracht

executives te benaderen. In deze versie zijn de vragen voorgelegd aan experts op het gebied van economische criminaliteit. Deze experts hebben in hun dagelijkse functie van doen met de aanpak, het voorkomen en/of in kaart brengen van economische criminaliteit binnen het bedrijf waar zij werkzaam zijn. Van de respondenten geeft 77% aan functioneel expert te zijn op het gebied van diefstal van goederen of geld of fraude, 57% op het gebied van diefstal van informatie, 40% op het gebied van corruptie, 38% op het gebied van cybercriminaliteit en 34% op het gebied van concurrentievervalsing. Specifieke functionele expertise blijkt in dit onderzoek samen te hangen met de mate waarin economische criminaliteit wordt waargenomen. Dat wil zeggen, experts rapporteren meer criminaliteit op de gebieden waar zij zich functioneel op richten. Zo meldt bijvoorbeeld 44% van de experts op het gebied van cybercriminaliteit deze specifieke vorm van criminaliteit, terwijl slechts 9% van de overige respondenten deze vorm van criminaliteit rapporteert. Dit zou erop kunnen wijzen dat specifieke functionele expertise nodig is om economische criminaliteit te kunnen waarnemen. In Figuur 1 zijn de verschillen tussen de verscheidene specifieke experts en hun perceptie van economische criminaliteit schematisch afgebeeld.

Economic Crime Survey Nederland 2014

7

Economische criminaliteit naar categorie

Figuur 1 E  xpertise en geobserveerde Economische Criminaliteit over afgelopen twee jaar (2014)

35%

Diefstal van geld, goederen of fraude

73% 9%

Cybercriminaliteit

44% 12%

Diefstal van informatie

39% 7%

Concurrentievervalsing

Geen expert op specifiek gebied Wel expert op specifiek gebied

39% 9%

Corruptie

37% 0%

20%

40%

60%

80%

Naar verwachting zal de grootte van een bedrijf invloed hebben op diens slachtofferschap: een groter bedrijf zal vaker slachtoffer zijn. Uit dit onderzoek blijkt echter dat de omvang van de organisatie niet gerelateerd is aan slachtofferschap van economische criminaliteit. Wel blijken er verschillen tussen sectoren te zijn. Experts afkomstig uit organisaties binnen de vervoer- en opslagsector (97%) en de detailhandel (83%) rapporteren bovengemiddeld vaak geconfronteerd te zijn met enige vorm van economische criminaliteit. Experts afkomstig uit organisaties binnen de zakelijke dienst­­verlening (57%) en de gezondheidszorg (66%) geven beduidend minder vaak aan slachtoffer te zijn van economische criminaliteit. Figuur 2 Slachtofferschap  van Economische Criminaliteit over afgelopen twee jaar (2014)

Diefstal van geld, goederen of fraude

17%

30%

Diefstal van informatie

18%

6%

Cybercriminaliteit

14%

4%

Corruptie

14%

4% 3%

Concurrentievervalsing

13%

18%

3%

5%

1 tot 5 keer 6 tot 10 keer Meer dan 10 keer

0%

8

PwC

3% 2% 20%

40%

60%

80%

Per criminele categorie konden de respondenten aangeven of hun bedrijf nooit, minder dan vijf keer, minder dan tien keer of vaker dan tien keer met de verschillende categorieën van economische criminaliteit is geconfronteerd. De resultaten zijn weergegeven in Figuur 2. Figuur 2 toont dat diefstal van geld, goederen of fraude (64%) de meest gerapporteerde vorm van economische criminaliteit is, waar de organisaties in de afgelopen twee jaar ten minste één keer mee te maken hebben gehad. Iets meer dan een kwart van de respondenten (27%) rapporteert diefstal van informatie. Cybercriminaliteit (22%) en corruptie (21%) worden door ongeveer een vijfde van de respondenten genoemd. Concurrentievervalsing lijkt het minst voor te komen. Deze vorm van economische criminaliteit wordt gemeld door 18% van de respondenten. De vijf categorieën van economische criminaliteit blijken niet in alle sectoren even vaak voor te komen. • Diefstal van geld, goederen of fraude wordt frequent gerapporteerd door experts afkomstig uit de detailhandel (80%), vervoer en opslag (88%) en horeca (82%) en relatief zelden door experts afkomstig uit de informatie- en communicatiesector (42%) en de zakelijke dienstverlening (33%). • Experts afkomstig uit de bouwnijverheid (56%), de industrie (32%) en overheidsdiensten (32%) geven aan betrekkelijk vaak slachtoffer te zijn van enige vorm van corruptie. • Vanuit de detailhandel (6%) en het onderwijs (7%) wordt corruptie daarentegen relatief weinig gemeld. Diefstal van informatie lijkt vooral voor te komen in de financiële sector (44%) en is relatief gering in de detailhandel (18%). • Concurrentievervalsing wordt veelal gemeld vanuit de bouwnijverheid (40%), de industrie (32%), de horeca (32%) en de informatie- en communicatiesector (29%). • Het onderwijs (4%) en overheidsdiensten (6%) lijken sporadisch met concurrentievervalsing geconfronteerd te worden. • Binnen de financiële sector (48%) en de informatie-en communicatie sector (43%) wordt cybercriminaliteit herhaaldelijk gemeld. • Door respondenten uit de cultuur, sport en recreatieve sector (7%), de detailhandel (11%), en de gezondheidszorg (15%) wordt digitale criminaliteit relatief zelden gerapporteerd.

Figuur 3 Specifieke  vormen van diefstal van geld of goederen / fraude van de diefstal of fraude slachtoffers uit de afgelopen twee jaar (2014)

Diefstal van goederen

77%

51%

Diefstal van geld

Fraude met facturen

17%

Boekhoudfraude

Belastingfraude

14%

Verschillende vormen van diefstal van informatie

6% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Verschillende vormen van diefstal van geld, goederen en fraude Van de respondenten geeft 64% aan dat de organisatie geconfronteerd is met diefstal of fraude. Deze bevinding komt overeen met de resultaten van eerdere versies van de Nederlandse en Global Economic Crime Survey van PwC: organisaties zien zich vooral geconfronteerd met ‘gewone’ diefstal en fraude. Aan de experts is gevraagd welke vormen van diefstal of fraude dat betrof. Daarbij kregen zij vijf verschillende vormen van diefstal of fraude voorgelegd.

Figuur 4 Specifieke  vormen van diefstal van informatie Van de slachtoffers van diefstal van informatie afgelopen twee jaar (2014) Diefstal van vertrouwleijke klant- en/of bedrijfsgegevens

56%

Diefstal van intellectueel eigendom

38%

Productvervalsing en overtreding van patent- en merkrechten

15%

Industrie/ economische spionage

14%

De respondenten konden één of meerdere van deze vormen ‘aankruisen’, of een andere vorm van diefstal of fraude beschrijven. Figuur 3 geeft de antwoorden van deze experts weer. Hier zien wij dat de ondervraagde experts melden dat hun organisatie in de afgelopen twee jaar vooral getroffen is door diefstal van goederen (77%) en geld (51%). Dit neemt niet weg dat men ook een aanzienlijk deel fraude met facturen (17%) en boekhoudfraude (14%) rapporteert. Belastingfraude meldt slechts 6% van de respondenten.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Van de respondenten gaf 27% aan ten minste één keer in de afgelopen twee jaar geconfronteerd te zijn met diefstal van informatie. Dat is een lichte stijging ten opzichte 2011. Toen gaf 20% aan slachtoffer te zijn van informatiediefstal of bedrijfsspionage. Om na te gaan welke vormen van diefstal van informatie het betrof, zijn aan de respondenten die hebben aangegeven dat hun organisatie geconfronteerd was met deze specifieke vorm van economische criminaliteit vier verschillende vormen van diefstal van informatie voorgelegd. Zij konden aangeven dat één of meerdere, dan wel een andere vorm, binnen hun organisatie had plaatsgevonden. Meer dan de helft van deze respondenten (56%) geeft aan dat de organisatie in de afgelopen twee jaar geconfronteerd is met diefstal van vertrouwelijke klant- of bedrijfsgegevens. Figuur 4 toont dat nagenoeg vier op de tien respondenten aangeeft dat het om diefstal van intellectueel eigendom gaat (38%). Minder vaak rapporteren de experts productvervalsing of overtreding van het patent- of merkenrecht (15%) of industriële of bedrijfsspionage (14%).

Verschillende vormen van cybercriminaliteit Cybercriminaliteit bij bedrijven vormt een relatief nieuw object van wetenschappelijk onderzoek. Enkele onderzoeken richten zich op de mate waarin bedrijven geconfronteerd worden met cybercriminaliteit. De cijfers over de omvang van deze vorm van economische criminaliteit lopen daarbij sterk uiteen. In de Nederlandse Economic Crime Survey van 2011 was cybercrime nog niet opgenomen. De Global versie uit 2014 vermeldt dat 9% van de ondernemingen rapporteert geconfronteerd te zijn met cybercrime. Het onderhavige onderzoek toont een beduidend hoger percentage (22%).

Economic Crime Survey Nederland 2014

9

Aan de respondenten die aangaven geconfronteerd te zijn met cybercriminaliteit is gevraagd welke vormen van cybercriminaliteit dit betrof. Daartoe konden zij één of meerdere van acht vormen van cybercriminaliteit ‘aankruisen’, dan wel een andere vorm beschrijven. Figuur 5 geeft de antwoorden op deze vraag weer.

Figuur 5 Specifieke  vormen van Cybercriminaliteit van de slachtoffers van cybercrime uit de afgelopen twee jaar (2014) Phishing en pharming

24.2%

Verspreiden van virussen

24.2%

Hacken/ hacktivisme

16.0%

Illegaal onderscheppen van computergegevens

8.2%

Illegaal downloaden van bestanden

8.2%

Online identiteitsdiefstal

6.7%

Intentionele schade toegebracht aan/ aanval op computer­­ systemen of -gegevens

6.2%

Cyberspionage/ e-spionage

1.5% 0%

5%

10%

15%

20%

25%

30%

Figuur 5 toont dat het verspreiden van virussen (24%) en phishing1 en pharming2 (24%) de meest frequent genoemde vormen van cybercriminaliteit zijn. Een groot deel van de experts meldt dat de organisatie gedurende de afgelopen twee jaar geconfronteerd is met hacken of hacktivisme3 (16%). Minder vaak melden de experts dat de organisatie te maken heeft met andere vormen van cybercriminaliteit, zoals illegaal onderscheppen van computergegevens (8%), het illegaal downloaden van bestanden (8%), online identiteitsdiefstal (7%), of het intentioneel schade toebrengen aan het systeem of aan gegevens (6%). Van de experts waar het bedrijf te maken heeft gehad met cybercriminaliteit meldt slechts 1,5% dat het gaat om digitale spionage.

1. Vorm van internetfraude waarbij criminelen met behulp van nagebootste e-mails van een bank of andere financiële instelling proberen inloggegevens van klanten te verkrijgen 2. Vorm van internetfraude waarbij de website van een bank of financiële instelling door criminelen wordt nagebootst. Het slachtoffer wordt na het intypen van het webadres rechtstreeks naar deze namaak-site doorgestuurd 3. Samentrekking van hacken en activisme. Bij hacktivisme wordt het hacken van een netwerk gebruikt als daad van protest met veelal een politieke motivatie

10

PwC

Figuur 6 Specifieke  vormen van corruptie van de slachtoffers uit de afgelopen twee jaar (2014) Vragen, aannemen of verwachten van geld, goederen of diensten

60.6%

Aanbieden, verlenen of beloven van geld, goederen of diensten

51.1%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Figuur 7 Specifieke  vormen van concurrentievervalsing van de slachtoffers van concurrentievervalsing uit de afgelopen twee jaar (2014)

41.3%

Prijafspraken Misbruik van economische machtspositie

24.5%

Marktverdeling

24.5%

Aanbestedingsvervalsing

23.9%

Marktbeperkende fusies of overnames Marktverstorende concurrentie van de overheid

12.3%

Verschillende vormen van corruptie: actief of passief? Aan de respondenten die corruptie hebben gerapporteerd, is gevraagd of het hier actieve en/of passieve corruptie betrof. Onder actieve corruptie wordt het aanbieden, verlenen of beloven van geld, goederen of diensten in ruil voor een wederdienst bedoeld. Onder passieve corruptie verstaat men het vragen, aannemen of verwachten van geld, goederen of diensten in ruil voor het verstrekken van een wederdienst. Van de experts die hadden aangegeven dat er corruptie had plaatsgevonden, rapporteert 51% dat dit om actieve en 61% dat het om passieve corruptie gaat (Figuur 6). Dit betekent dat een deel van de organisaties zich geconfronteerd ziet met zowel actieve als passieve corruptie. Daarnaast suggereert dit resultaat dat, in zoverre corruptie binnen organisaties wordt geconstateerd, dit vaker gaat om medewerkers die ‘worden omgekocht’ dan om medewerkers die actief omkopen. Reden daarvoor kan zijn dat vanuit een kleiner deel van de organisaties personen vanuit meerdere andere organisaties worden omgekocht. Een tweede reden kan zijn dat passieve corruptie makkelijker te detecteren is dan actieve corruptie of dat organisaties zich meer richten op het detecteren en bestrijden van de eigen medewerkers die worden omgekocht, dan op de eigen medewerkers die anderen omkopen.

3.9% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Figuur 8 Meest  ernstige delict in afgelopen twee jaar van de organisaties die slachtoffer zijn geworden (2014) Diefstal van geld, goederen of fraude

64.6%

Cybercriminaliteit

9.2%

Diefstal van informatie

9.0%

Verschillende vormen van concurrentievervalsing Concurrentievervalsing wordt door 18% van de respondenten gerapporteerd. Aan deze respondenten is gevraagd welke vormen van concurrentievervalsing dit betrof. Zij konden daarbij aangeven of dat het geval was bij één of meerdere van zes verschillende vormen, dan wel zelf een andere vorm van concurrentievervalsing beschrijven. De antwoorden van deze experts zijn weergegeven in Figuur 7. Twee op de vijf respondenten ziet zich hierbij vooral geconfronteerd met prijs­afspraken.

De schade van economische criminaliteit Concurrentievervalsing

6.3%

Corruptie

6.0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Aan de respondenten die hebben aangegeven dat hun organisatie gedurende de afgelopen twee jaar gecon­­­ fronteerd was met ten minste één vorm van economische criminaliteit, is gevraagd wat het meest ernstige delict was. Figuur 8 geeft daarvan de percentages per categorie van economische criminaliteit weer.

Economic Crime Survey Nederland 2014

11

Figuur 9 Financiële  gevolgen van het meest ernstige delict in afgelopen 2 jaar van de organisaties die slachtoffer zijn geworden (2014) 100%

7.4%

90%

13.8%

80%

15.8%

70%

6.9%

14.0%

15.8%

10.3%

47.5%

22.8%

30.5% 37.9%

60% 50%

28.1%

39.5%

15.0%

40% 30%

17.5%

51.8%

20% 10%

41.4%

35.1%

28.9%

20.0%

0% Diefstal van geld, goederen of fraude 0 - 1.000 Euro

Diefstal van informatie

Corruptie

1.000 - 10.000 Euro

Concurrentie­ vervalsing

10.000 - 50.000 Euro

Cybercriminaliteit

Meer dan 50.000 Euro

Delicten uit de categorie diefstal of fraude worden het vaakst benoemd als misdrijf dat de grootste impact heeft gehad. Dit percentage komt sterk overeen met het percentage respondenten dat had aangegeven dat de organisatie geconfronteerd is met deze categorie van criminaliteit. Dit duidt dat vrijwel alle respondenten die hebben aangegeven dat de onderneming geconfronteerd is met diefstal of fraude, dit waarschijnlijk ook als meest ernstige delict bestempelen.

Figuur 10 O  pgelopen schade en verwachte bedreiging gemiddelde positie: 0 is laagste; 4 is hoogste

3.1

Diefstal van geld, goederen of fraude

3.3 2.3 2.3

Diefstal van informatie

1.6 1.6

Concurrentievervalsing

1.5 1.5

Corruptie

1.6

Cybercriminaliteit

1.3 1.0

12

PwC

Verwachte bedreiging Opgelopen schade

1.5

2.0

2.5

3.0

3.5

Voor de andere categorieën van economische criminaliteit geldt dat beduidend minder. Diefstal van informatie wordt gemeld door 27%. Een derde daarvan (9%) ziet een delict uit deze categorie als meest ernstig. Van de respondenten die melden slachtoffer te zijn geweest van cybercriminaliteit (22%) geeft minder dan de helft (9%) aan dat een cyberdelict het meest ernstige delict van de afgelopen twee jaar is. Corruptie wordt door 21% van de respondenten gerapporteerd, hiervan meldt slechts 6% van deze respondenten dat corruptie het meest ernstig was. Slachtofferschap van concurrentievervalsing wordt door 18% opgegeven. Ongeveer een derde van dat percentage (7%) noemt concurrentievervalsing daadwerkelijk het meest ernstige delict uit de afgelopen twee jaar. Vervolgens is aan de respondenten gevraagd een inschatting te maken van de financiële schade als gevolg van het meest ernstige delict uit de afgelopen twee jaar. Figuur 9 toont de financiële gevolgen van het meest ernstige delict waar de organisatie gedurende de afgelopen twee jaar mee geconfronteerd is. De financiële gevolgen van het meest ernstige delict uit de afgelopen twee jaar lijkt vooral hoog wanneer dit concurrentievervalsing betreft. Bijna de helft van de respondenten die concurrentievervalsing aanmerkt als meest ernstige delict (48%) geeft dan aan dat de financiële gevolgen meer dan € 50.000,- bedragen. Deze vorm van economische criminaliteit komt relatief zelden voor (gemeld door 18%) en wordt in de meerderheid van de gevallen door experts ook niet als meest ernstige delict bestempeld (slechts 7% van de experts koos concurrentievervalsing als meest ernstige delict). Wanneer respondenten concurrentievervalsing echter als meest ernstig aanmerken, zijn de financiële gevolgen zeer omvangrijk. De financiële gevolgen van diefstal of fraude en cybercriminaliteit (indien zulke delicten als meest ernstig worden gezien) lijken relatief beperkt. In de gevallen dat dergelijke delicten als meest ernstig worden aangemerkt, geeft slechts een klein deel van de respondenten aan (7%) dat de kosten de € 50.000,- overstijgen. Aan de respondenten die ten minste één delict hebben opgegeven is eveneens gevraagd de vijf categorieën van economische criminaliteit te ordenen naar de opgelopen schade gedurende de afgelopen twee jaar. Vervolgens is aan alle respondenten gevraagd de vijf categorieën van economische criminaliteit te ordenen naar de te verwachte bedreiging voor de organisatie gedurende de komende twee jaar. Figuur 10 geeft de resultaten van de gemiddelde antwoorden op deze vragen weer.

Experts verwachten toename cybercrime Gemiddeld achten de respondenten de opgelopen schade en de verwachte bedreiging van “diefstal van geld en goederen of fraude” beduidend hoger in dan die van andere categorieën van economische criminaliteit. Van de respondenten geeft meer dan de helft van de respondenten (64%) aan dat “diefstal van geld en goederen of fraude” in de afgelopen twee jaar de meeste schade heeft veroorzaakt. In de komende twee jaar verwacht eveneens het merendeel (53%) van de respondenten dat “diefstal van geld en goederen of fraude” de grootste bedreiging voor de organisatie vormt. Wel plaatsen de respondenten “diefstal van geld en goederen of fraude” minder hoog als het gaat om bedreiging in de toekomst dan als het gaat om de opgelopen schade. De opgelopen schade als gevolg van cybercriminaliteit schatten de respondenten gemiddeld lager in dan andere vormen van economische criminaliteit. Slechts 9% rapporteert dat de schade als gevolg van cybercriminaliteit hoger is dan die van andere categorieën van economische criminaliteit. De verwachte bedreiging van cybercriminaliteit schatten respondenten hoger in; 16% van de respondenten verwacht dat cybercriminaliteit in de komende twee jaar de grootste bedreiging zal vormen. Naar de redenen voor de tegengestelde verschuivingen in de rangordening van de opgelopen schade en de verwachte bedreigingen van diefstal van geld of goederen en fraude en cybercriminaliteit is het

Figuur 11 S  chade als gevolg van Economische Criminaliteit opgelopen gedurende de afgelopen twee jaar Tijd (afhandeling management)

3.0

Tijd (door controle en eisen autoriteiten

2.6

2.5

Arbeidsmoraal

Reputatie

2.4

2.3

Zakenrelaties Relaties met de autoriteiten

2.1

1.9

Aandelenkoers 1.0

1.5

2.0

2.5

3.0

3.5

4.0

gissen. Mogelijk dat men ten aanzien van diefstal van geld of goederen en fraude de aanzienlijke schade die men oploopt als een gegeven beschouwt en deze daardoor minder als een bedreiging voor de toekomst ziet. Ook zou men kunnen veronderstellen dat de respondenten, bijvoorbeeld als gevolg van de voortschrijdende digitalisering van het betalingsverkeer, inschatten dat de mogelijkheden voor deze vorm van economische criminaliteit zullen afnemen. Het tegengestelde patroon van bevindingen met betrekking tot cybercriminaliteit zou mogelijk verklaard kunnen worden door de verwachting dat de digitalisering van informatie en betalingsverkeer verder zal toenemen. Dit zou criminelen kunnen verleiden tot het ‘online’ uitvoeren van delicten. Anderzijds zou de relatieve hoge verwachte bedreiging te wijten kunnen zijn aan de grote media-aandacht voor dit onderwerp, waardoor respondenten, al dan niet terecht, de indruk hebben dat cybercriminaliteit verder zal toenemen. Organisaties kunnen, naast de evidente financiele schade, ook op andere manieren worden benadeeld door economische criminaliteit. Dit kan betrekking hebben op interne kosten, zoals tijdsinvesteringen en de arbeidsmoraal, of om externe kosten, zoals de reputatie of relaties met klanten of autoriteiten. Om zicht te krijgen op de deze kosten is aan de respondenten gevraagd om aan te geven in hoeverre er schade als gevolg van economische criminaliteit is opgetreden op het gebied van: tijd (afhandeling door management), tijd (als gevolg van controle door en eisen van de autoriteiten), arbeidsmoraal, reputatie, zakenrelaties, relatie met autoriteiten en aandelenkoersen. Daarbij is de vraag over de schade als gevolg van aandelenkoersen alleen voorgelegd aan respondenten afkomstig uit beursgenoteerde ondernemingen. De respondenten konden deze vragen beantwoorden op een schaal van 1 ‘geen kosten / schade’ tot 4 ‘hoog’. De gemiddelden van de antwoorden op deze vragen zijn weergegeven in Figuur 11. De respondenten rapporteren als gevolg van economische criminaliteit vooral interne schade voor de organisatie. Dat betreffen vooral tijdsinvesteringen voor de afhandeling door het management en tijds­­investeringen als gevolg van controles en eisen van de autoriteiten. Als derde wordt schade aan het arbeidsmoraal genoemd. De respondenten rapporteren geringe schade als gevolg van economische criminaliteit voor de aandelenkoersen en de relatie met autoriteiten.

Economic Crime Survey Nederland 2014

13

Daders cybercrime bevinden zich voornamelijk buiten het bedrijf

14

PwC

De daders

De resultaten van het onderzoek tonen aan dat in de helft van de gevallen van ‘traditionele’ economische criminaliteit de dader een persoon uit de eigen organisatie is. De daders van cybercriminaliteit zijn vaak niet werkzaam in de eigen organisatie. De interne daders van zowel traditionele- als cybercriminaliteit zijn relatief jonge mannen die nog niet lang bij het bedrijf werken. Wanneer zij tegen de lamp lopen volgt vaak ontslag. Tegen daders van buiten het eigen bedrijf wordt vaak aangifte gedaan.

Daders komen vaak uit de eigen organisatie In het onderzoek is aan de respondenten gevraagd om het meest recente economische delict te noemen waarvan hun organisatie slachtoffer is geworden. Hierbij is apart gevraagd naar de meest recente cybercrime en de meest recente ‘traditionele’ economische criminaliteit. Ruim twee derde (69%) van de genoemde cyberdelicten vond plaats in 2013 of 2014, voor de ‘traditionele’ economische delicten is dit percentage zelfs 76%. Voor beide soorten criminaliteit vond het oudste genoemde delict plaats in 1991. De respondenten zijn ook gevraagd het meest ernstige delict te noemen waarvan de organisatie waarin zij werken slachtoffer is geworden. Ook de genoemde meest ernstige delicten zijn voornamelijk in 2013 of 2014 gepleegd (64%) en het oudste genoemde meest ernstige delict vond ook in dit geval plaats in 1991. Aan de respondenten is vervolgens gevraagd of de dader van het meest recente delict een eigen medewerker was of niet. De daders van ‘traditionele’ economische delicten blijken in ongeveer de helft van de gevallen een interne dader (46%) te zijn. De overige ‘traditionele’ economische delicten werden gepleegd door externe daders (47%) of door een interne dader die samenwerkte met een externe dader (7%). De daders van cybercrime die de organisaties troffen, kwamen aanzienlijk minder vaak uit de eigen gelederen: in 79% van de gevallen was het delict gepleegd door een externe dader. In de overige gevallen werd de meest recente cybercrime gepleegd door een eigen personeelslid, met (9%) of zonder (12%) hulp van buitenaf.

Dit grote verschil in het percentage externe daders tussen cybercriminaliteit en ‘traditionele’ economische delicten is mogelijk te verklaren door het feit dat de fysieke afstand tussen daders en potentiële slachtoffers geen obstakel vormt bij cybercriminaliteit. Bij ‘traditionele’ economische delicten moeten dader en slachtoffer vaak op hetzelfde moment op dezelfde plek fysiek aanwezig zijn om het delict te kunnen plegen. Eigen werknemers voldoen vanzelfsprekend frequent aan deze voorwaarde, waardoor het aantal interne daders bij ‘traditionele’ delicten mogelijk hoger is. Omdat deze fysieke aanwezigheid bij cybercriminaliteit geen belemmering vormt, is het voor externe criminelen mogelijk eenvoudiger om bedrijven via cybercriminaliteit tot slachtoffer te maken. Een alternatieve verklaring is dat het bij cybercriminaliteit minder vaak duidelijk is wie de dader is. Respondenten geven namelijk aanzienlijk vaker aan dat ze niet weten wie de dader is bij cybercriminaliteit (19%) dan bij ‘traditionele’ economische criminaliteit (12%). Mogelijkerwijs wordt bij cybercriminaliteit die is gepleegd door interne daders minder vaak de dader gevonden doordat interne daders het systeem beter kennen en daardoor beter in staat zijn hun identiteit verborgen te houden. Het meest ernstige delict dat de organisaties hebben meegemaakt, wordt vaker gepleegd door een externe dader dan door een interne dader. In de helft van de gevallen (50%) is het meest ernstige delict namelijk gepleegd door een buitenstaander, terwijl in 42% van de gevallen de dader in dienst van het bedrijf was. Bij de overige delicten werkten een interne en externe

Economic Crime Survey Nederland 2014

15

Figuur 12 V  erdeling interne externe dader Meest recente delict

Zowel interne als externe dader

Traditionele criminaliteit Cybercriminaliteit

7% 9% 47%

Externe dader

79% 46%

Interne dader

12% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Daderprofielen

Figuur 13 Daderprofiel  interne dader meest ernstige delict

71%

Geslacht

Mannelijk 29%

Vrouwelijk

37%

30 jaar of jonger 30%

Leeftijd

31-40 jaar 41-50 jaar

19%

51-60 jaar

12%

61 jaar of ouder

7%

Positie dader

Andere werknemers

67%

Middelmanagement

15%

Topmanagement

6%

Jaaren werkzaam in bedrijf

1-2 jaar

45%

3-5 jaar

18%

6-10 jaar

20%

11-20 jaar

10%

21 jaar of meer

7% 0

16

PwC

10

20

30

40

50

60

Op basis van een aantal kenmerken van de daders, van de genoemde meest ernstige delicten, kunnen daderprofielen worden opgesteld voor interne en externe daders. Zoals vaak naar voren komt in onderzoek naar criminaliteit zijn ook hier de daders vaak jonge mannen: in 71% van de gevallen is de genoemde dader een man en het merendeel is jonger dan dertig (37%) of tussen de dertig en veertig jaar (30%) oud. Verder blijken de daders slechts zelden een positie in het topmanagement (6%) of middelmanagement (15%) te hebben. Tot slot blijken de interne daders in de meeste gevallen (45%) nog maar één of twee jaar in dienst te zijn bij de organisatie. Het daderprofiel van externe daders wijkt niet veel af van dat van de interne daders. Ook de externe daders blijken veelal mannen van onder de 40 jaar te zijn. In de meeste gevallen is deze externe dader een klant (28%) of een individu zonder zakelijke relatie met de organisatie (28%). Slechts sporadisch blijkt de externe dader een concurrent (10%), zakenpartner (9%), idealistische groepering (3%) of de overheid (2%) te zijn.

2%

Anders

dader met elkaar samen (8%). Het percentage externe daders bij de meest ernstige delicten is aanzienlijk groter dan in 2011, toen slechts 30% van de meest ernstige delicten werd gepleegd door externen, zonder hulp van buitenaf. Dit verschil is voor een deel te verklaren doordat er in het huidige onderzoek ook vormen van cybercriminaliteit als meest ernstige delicten genoemd kunnen worden. Zoals we eerder in dit hoofdstuk zagen, wordt cybercriminaliteit aanzienlijk vaker door externe daders gepleegd dan ‘traditionele’ economische delicten, wat leidt tot een iets hoger percentage externe daders van de genoemde meest ernstige delicten.

70

80

In vergelijking met de resultaten uit 2011 valt op dat de genoemde daders uit dit onderzoek aanzienlijk minder vaak een positie in het top- of middel­­ management hebben en aanzienlijk korter werkzaam zijn bij het bedrijf. Een verklaring voor dit verschil is niet eenvoudig te geven. Wellicht dat experts over het algemeen een ander patroon zien, dan de executives die hebben deelgenomen in 2011. Daarnaast blijkt, ondanks dat ze nog steeds de grote minderheid vormen, dat het aandeel vrouwelijke daders flink gestegen is. Het gevonden daderprofiel blijkt in dit onderzoek vergelijkbaar bij kleine, middelgrote en grote organisaties.

Consequenties voor de daders

Geslacht

Figuur 14 Daderprofiel  externe dader meest ernstige delict

79%

Mannelijk 21%

Vrouwelijk

28%

30 jaar of jonger

Leeftijd

22%

41-50 jaar 4%

51-60 jaar

11%

61 jaar of ouder

Relatie met organisatie

Na een traditioneel delict gepleegd door een eigen werknemer volgt in twee derde van de gevallen ontslag. In bijna een kwart van de gevallen (24%) wordt er ook aangifte gedaan tegen de criminele werknemer. Indien de interne dader een cybercrime tegen de eigen organisatie heeft gepleegd, volgt bij bijna de helft van de gevallen ontslag (42%) en/of aangifte (42%). In een derde van de gevallen komen de interne cybercriminelen er met een waarschuwing van af.

35%

31-40 jaar

Idealistische organi­ saties/groeperingen

3%

Overheid

2%

Individu (geen zakelijke relatie met organisatie)

Op traditionele criminaliteit gepleegd door externe daders wordt in de helft van de gevallen gereageerd met aangifte (50%) of door de autoriteiten in te lichten (22%). Tegen externe cybercriminelen wordt in 30% van de gevallen aangifte gedaan, en regelmatig worden ook collega-bedrijven gewaarschuwd (23%). Relatief vaak – in 14% van de gevallen - worden er echter helemaal geen stappen ondernomen tegen externe cybercriminelen.

28% 10%

Concurrent Zakenpartner, leveran­ cier, dienstverlener, oid

9% 28%

Klant/opdrachtgever 0

10

20

30

40

50

60

70

80

90

Figuur 15 A  fhandeling interne dader naar type criminaliteit Traditionele criminaliteit Cybercriminaliteit

4% 6.1%

Geen stappen ondernomen

7% 12%

Rechtszaak aangespannen

De geënquêteerde experts zijn ook gevraagd naar de reacties op het meest recente delict dat hun organisatie heeft getroffen, en met name naar de consequenties voor de dader. Hierbij is onderscheid gemaakt tussen cybercriminaliteit en ‘traditionele’ delicten, en tussen de reacties op interne en externe daders.

Opvallend is de bevinding dat tegen interne daders vaker aangifte wordt gedaan wanneer het een cybercrime betreft dan wanneer het om een traditioneel delict gaat, terwijl dit bij externe daders precies andersom is. Een mogelijke verklaring hiervoor is dat het bij externe cybercriminelen moeilijk is te achterhalen wie het delict gepleegd heeft. Dit zou ook verklaren waarom relatief vaak geen stappen worden ondernomen tegen de externe cybercrimineel.

24%

Aangifte gedaan

42% 9%

Autoriteiten ingelicht

18% 67%

Ontslag

42% 4%

Vertrekregeling

15% 4% 6%

Overplaatsing

14%

Waarschuwing

33% 0

10

20

30

40

50

60

70

80

Economic Crime Survey Nederland 2014

17

Figuur 16 A  fhandeling externe dader naar type criminaliteit Geen stappen ondernomen

8%

Rechtszaak aangespannen

8% 8%

Traditionele criminaliteit Cybercriminaliteit

14%

50%

Aangifte gedaan

30% 22% 19%

Autoriteiten ingelicht 7% 8%

Publiciteit opgezocht

12%

Collega-bedrijven gewaarschuwd

23% 8% 6%

Bestaande contracten opgezegd

18% 15%

Waarschuwing 0

18

PwC

10

20

30

40

50

60

70

80

Preventie en detectie

Bijna drie kwart van de bedrijven treft preventieve maatregelen om economische criminaliteit te voorkomen. Transparante richtlijnen, gedragscodes en een sanctiebeleid worden door een meerderheid van de bedrijven gebruikt. Een kwart van de organisaties maakt gebruik van een compliance programma en 63% van de bedrijven biedt trainingen aan, voor het eigen personeel. Desondanks lijken bedrijven met een compliance programma en met trainingen vaker slachtoffer te worden van economische criminaliteit. Mogelijk komt dit doordat deze bedrijven juist vaker economische criminaliteit detecteren. Criminaliteit komt namelijk zelden aan het licht door handhavende diensten, maar juist vaak door interne audit of interne tips.

Preventieve maatregelen Om te voorkomen dat organisaties het slachtoffer worden van economische criminaliteit kunnen ze tal van preventieve maatregelen nemen. Aan de ondervraagde experts is een lijst met dertien mogelijke maatregelen voorgelegd, en hun is gevraagd om aan te geven of de organisatie deze maatregel heeft getroffen om economische criminaliteit tegen te gaan. Ook is gevraagd welke maatregelen de organisatie van plan is te gaan treffen in het komende jaar. In Figuur 17 worden deze verschillende maatregelen weergegeven. Bijna 74% van de respondenten geeft aan dat hun organisatie ten minste één van de genoemde maatregelen heeft getroffen. Gemiddeld genomen hebben de organisaties nagenoeg vier van de genoemde maatregelen getroffen. De meest genoemde preventieve maatregel waarvan bedrijven gebruik maken zijn transparante richtlijnen, gedragscodes en een sanctiebeleid. Ruim 53% van de organisaties maakt hier gebruik van. Andere relatief populaire preventieve maatregelen zijn het uitvoeren van systematische interne controles en audits (48%), het aanstellen van een vertrouwenspersoon voor ethische dilemma’s (41%) en actieve monitoring van intern en extern elektronisch verkeer (36%).

Het regelmatig wisselen van personeel op kwetsbare posities (15%), het evalueren van effecten van het compliance beleid (17%) en een klokkenluidermeldpunt (22%) blijken niet erg vaak voor te komen. Een derde van de respondenten antwoordt dat de organisatie het komend jaar van plan is om een (extra) preventieve maatregel te treffen (Figuur 18). Opnieuw behoren systematische interne controles en audits (12%) en transparante richtlijnen, gedragscodes en een sanctiebeleid (10%) tot de meest genoemde voorgenomen preventieve maatregelen. Opvallend is dat ook het evalueren van effecten van het compliance beleid (10%) tot de meest genoemde voorgenomen maatregelen behoort, terwijl deze maatregel momenteel door relatief weinig bedrijven is ingesteld. De aanwezigheid van een interne forensische technologische onderzoeker (6%) en een klokkenluidermeldpunt (7%) zijn de minst genoemde voorgenomen preventieve maatregelen, en de omvang van deze maatregelen zal het komend jaar naar verwachting dus niet toenemen.

Economic Crime Survey Nederland 2014

19

Detectie van economische criminaliteit

Figuur 17 Getroffen  maatregelen om economische criminaliteit tegen te gaan Transparante richtlijnen, gedragscodes en sanctiebeleid

53%

Systematische interne controles en audits

48%

Een vertrouwenspersoon voor ethische dilemma’s

41%

Actieve monitoring van intern en extern elektronisch verkeer

36%

Aanwezigheid van IT-deskundigen gespecialiseerd in het voorkomen en bestrijden van cybercriminaliteit

33%

Een noodprocedure voor het afsluiten van het IT-netwerk

28%

Gedragscode voor het corruptie­bestrijdings­ beleid voor externe partijen (zakenpartners, leveranciers, onder­aannemers, etc.)

25%

Due diligence controles (boekenonderzoek) bij corporate transacties

25%

Systematische risicoanalyse van de markten, sectoren, zakenpartners en transacties

24% 22%

Klokkenluidermeldpunt Evaluaties van de effecten van het compliance beleid

17%

Regelmatige wisseling van personeel op kwetsbare posities

15%

Aanwezigheid van een interne forensisch technologische onderzoeker

6% 0

10

20

30

40

50

60

Ondanks de preventieve maatregelen die veel organisaties treffen, wordt de meerderheid van de bedrijven toch slachtoffer van economische criminaliteit. Wanneer dit gebeurt, is het van belang dat het delict snel aan het licht komt, zodat de schade zo veel mogelijk beperkt kan worden. De respondenten is gevraagd hoe vormen van economische criminaliteit binnen de organisatie doorgaans aan het licht komen. Net als in 2011 geven de respondenten aan dat economische criminaliteit relatief vaak aan het licht komt door interne (30%) of externe (15%) tips en door interne audit (31%). Opvallend is de enorme toename van respondenten die verklaren dat criminaliteit door toeval aan het licht is gekomen: in 2011 werd dit in slechts 3% van de gevallen genoemd, terwijl dit percentage in dit onderzoek tot bijna 32% is gestegen. Mogelijk kan dit deels verklaard worden doordat de respondenten in het huidige onderzoek meerdere ontdekkingswijzen konden noemen, terwijl bij het onderzoek van 2011 maar één vorm van detectie kon worden aangegeven. Indien toeval veelal een rol speelt in combinatie met andere ontdekkingswijzen kan dit verklaren waarom het bij de huidige manier van antwoord geven wel sterk naar voren komt. Net als in de vorige Economic Crime Survey geeft slecht een klein percentage van de respondenten (9%) aan dat economische criminaliteit aan het licht is gekomen door handhavingsdiensten, zoals de politie. Dit resultaat laat zien dat bedrijven doorgaans zelf verantwoordelijk zijn voor het detecteren van economische criminaliteit binnen hun organisatie.

Economische criminaliteit veelal door toeval ontdekt

20

PwC

Compliance programma’s

Figuur 18 Geplande maatregelen om economische criminaliteit tegen te gaan Systematische interne controles en audits

Een steeds belangrijke rol in de preventie van economische criminaliteit onder bedrijven is weggelegd voor compliance programma’s. Deze programma’s hebben als doel om in de gehele organisatie te streven naar naleving van de geldende wet- en regelgeving. Daar waar interne controles of audits zich primair richten op detectie, is preventie het primaire doel van compliance programma’s.

12%

Evaluaties van de effecten van het compliance beleid

10%

Transparante richtlijnen, gedragscodes en sanctiebeleid

10%

Aanwezigheid van IT-deskundigen gespecialiseerd in het voorkomen en bestrijden van cybercriminaliteit

10%

Actieve monitoring van intern en extern elektronisch verkeer

10%

Een noodprocedure voor het afsluiten van het IT-netwerk

10%

Regelmatige wisseling van personeel op kwetsbare posities

In totaal geven 222 respondenten (25%) aan dat de organisatie waarin zij werkzaam zijn, beschikt over een compliance programma. Aan dit deel van de respondenten is vervolgens gevraagd in hoeverre dit compliance programma zich richt op bedrijfsethiek, cybercriminaliteit, concurrentievervalsing, diefstal van informatie, corruptie en diefstal van geld, goederen of fraude (Figuur 20). Figuur 20 toont de gemiddelde scores op een schaal van 1 (zeer geringe mate) tot 5 (zeer sterke mate). Hieruit blijkt dat de compliance programma’s van de bedrijven zich voornamelijk richten op diefstal van geld, goederen of fraude (3.5) en diefstal van informatie (3.4). De compliance programma’s richten zich in de minst sterke mate op concurrentievervalsing (3.0).

9%

Systematische risicoanalyse van de markten, sectoren, zakenpartners en transacties

9%

Due diligence controles (boekenonderzoek) bij corporate transacties

8%

Een vertrouwenspersoon voor ethische dilemma’s

8%

Gedragscode voor het corruptie­bestrijdings­ beleid voor externe partijen (zakenpartners, leveranciers, onder­aannemers, etc.)

8%

Klokkenluidermeldpunt

7%

Aanwezigheid van een interne forensisch technologische onderzoeker

6% 0

2

4

6

8

10

12

14

Figuur 19 D  etectie van economische criminaliteit Toeval

32%

Interne audit

31% 30%

Interne tip Externe tip

15%

Geautomatiseerd elektronisch meldsysteem Wisseling van personeel en taken

12% 12% 11%

Externe audit Klokkenluidermeldpunt

10%

Handhavende diensten/politie

9%

Compliance afdeling

9%

Media

5%

Andere afdeling

4% 0

5

10

15

20

25

30

35

Economic Crime Survey Nederland 2014

21

Om te onderzoeken of de preventieve werking van compliance programma’s effectief is, is getoetst of bedrijven zonder een compliance programma vaker slachtoffer worden van economische criminaliteit dan bedrijven met een compliance programma. Uit Figuur 21 blijkt dat respondenten die werkzaam zijn in een bedrijf met een compliance programma vaker rapporteren dat het bedrijf slachtoffer is geworden van economische criminaliteit, dan respondenten uit een organisatie zonder een compliance programma. Voor slachtofferschap van diefstal van geld, goederen of fraude en concurrentievervalsing zijn deze verschillen klein en niet significant. Slachtofferschap van cybercriminaliteit, diefstal van informatie en corruptie wordt wel significant vaker gerapporteerd bij bedrijven met compliance programma, dan onder bedrijven zonder compliance programma.

Figuur 20 F  ocus compliance programma

Bedrijfsethiek/business principles

3.2

Cybercriminaliteit

3.2

Concurrentievervalsing

3.0

2.3

Diefstal van informatie

2.1

Corruptie

1.9

Diefstal van geld, goederen of fraude 1

2

3

4

Figuur 21 C  ompliance programma en economische criminaliteit

Wel compliance programma Geen compliance programma

37%

Cybercriminaliteit

22% 22% 19%

Concurrentievervalsing

37%

Diefstal van informatie

27% 32%

Corruptie

19% 69% 66%

Diefstal van geld, goederen of fraude 0

22

PwC

10

20

30

40

50

60

70

80

90

100

Het is echter mogelijk dat deze gevonden verschillen veroorzaakt worden doordat grotere bedrijven uit bepaalde sectoren vaker een compliance programma hebben en tegelijkertijd ook een verhoogd risico op slachtofferschap hebben. Uit nadere analyse blijkt dat het verschil in slachtofferschap van diefstal van informatie niet meer significant is wanneer er wordt gecontroleerd voor bedrijfsgrootte en de sector. Het significante verschil in slachtofferschap van corruptie en cybercriminaliteit tussen organisatie met en zonder compliance programma blijft echter wel overeind. Dit resultaat lijkt contra-intuïtief: het doel van het compliance programma is om criminaliteit te voorkomen, maar bedrijven met compliance programma rapporteren daarentegen meer criminaliteit. Mogelijk is dit te verklaren door de zogenaamde ‘controleparadox’. Deze paradox duidt erop dat wanneer de controle op criminaliteit toeneemt, bedrijven ook vaker slachtoffer lijken te worden van criminaliteit. Dit is echter het gevolg van een hogere kans op detectie van criminaliteit in plaats van een daadwerkelijke toename van criminaliteit. Organisaties met een compliance programma zullen bijvoorbeeld eerder een delict detecteren dan bedrijven zonder compliance programma. Als gevolg daarvan rapporteren deze bedrijven vaker dat ze slachtoffer zijn geworden van een economisch delict, terwijl ze het in feite juist vaker opmerken. Een andere mogelijke verklaring is dat bedrijven een compliance programma juist instellen nadat ze slachtoffer zijn geworden van economische criminaliteit, zodat ze dit in de toekomst kunnen voorkomen.

Kijkend naar het totale beeld, geven de respondenten gemiddeld aan dat 34% van de werknemers op een kwetsbare positie werkt.

Figuur 22 P  ercentage medewerkers op kwetsbare posities 9%

0 procent

43%

1-24 procent 16%

25-49 procent

14%

50-74 procent 75-99 procent

Dit laatste is opmerkelijk. Feitelijk gezien is elke positie in een bedrijf immers kwetsbaar. Een zeer omvangrijk deel van de respondenten lijkt zich hier echter niet van bewust.

12%

100 procent

Trainingen

7% 0

5

10

15

20

25

30

35

40

45

Kwetsbare posities In het kader van de preventie en bestrijding van economische criminaliteit is het van belang om te weten waar de kwetsbaarheden in de organisatie zitten. Personeelsleden op kwetsbare posities zouden bijvoorbeeld extra trainingen kunnen krijgen om de veiligheid binnen de organisatie te waarborgen. De respondenten is gevraagd welk percentage van de medewerkers van de organisatie naar schatting op kwetsbare posities werkt (Figuur 22). Het merendeel van de respondenten rapporteert dat minder dan een kwart van de werknemers op een kwetsbare positie werkt: in 43% van de gevallen wordt een percentage tussen 1 en 24 genoemd, en 9% van de respondenten antwoordt dat er geen personeelsleden op een kwetsbare positie werkt. In 7% van de gevallen rapporteren respondenten dat alle personeelsleden een kwetsbare positie hebben.

Figuur 23 T  rainingen voor werknemers Integriteit

36%

Ethiek

28%

Risicomanagement

25%

Security & Control

23%

Cyberveiligheid

19%

IT-infrastructuur

18%

Anticorruptie

11%

Bestrijding van concurrentievervalsing

8% 0

5

10

15

20

25

30

35

Door het trainen van medewerkers kunnen bedrijven proberen het doen en laten van de medewerkers te beïnvloeden en zodoende de kans op slachtofferschap van economische criminaliteit te verminderen. Aan de respondenten is gevraagd op welke van de volgende gebieden de organisatie trainingen aanbiedt voor eigen medewerkers: ethiek, integriteit, cyberveiligheid, anticorruptie, bestrijding van concurrentievervalsing, risicomanagement, security & control, IT-infrastructuur (Figuur 23). • In 37% van de gevallen antwoordt de respondent dat er in de organisatie geen van deze genoemde trainingen plaatsvindt. • Als er binnen het bedrijf wel trainingen plaatsvinden is dit vaak op het gebied van integriteit (36%), ethiek (28%) en risicomanagement (25%). • Trainingen op het gebied van bestrijding van concurrentievervalsing (8%) en anticorruptie (11%) vinden het minst vaak plaats. Zoals eerder in dit rapport is aangetoond, werkt volgens de respondenten, gemiddeld ruim een derde van de werknemers op een kwetsbare positie binnen het bedrijf. Het trainen van deze medewerkers is mogelijkerwijs extra van belang in het voorkomen van economische criminaliteit. De respondenten is daarom gevraagd hoe vaak trainingen plaatsvinden voor medewerkers die werkzaam zijn op kwetsbare posities. • Bij 22% van de ondernemingen vinden nooit trainingen plaats voor personeelsleden op kwetsbare posities. Indien deze medewerkers wel getraind worden, vinden de trainingen vaak jaarlijks (27%) of op onregelmatige basis (20%) plaats. • In 8% van de gevallen worden medewerkers op kwetsbare posities eens in de twee jaar getraind, en slechts sporadisch vinden zulke trainingen twee keer per jaar (2%) plaats.

40

Economic Crime Survey Nederland 2014

23

Om vast te stellen of er een relatie is tussen de gegeven trainingen en de hoeveelheid criminaliteit, is onderzocht of bedrijven die trainingen geven aan het personeel minder vaak slachtoffer worden van economische criminaliteit, dan bedrijven waar geen trainingen worden gegeven. Figuur 25 geeft de resultaten weer en bedrijven blijken vaker slachtoffer te worden van verschillende vormen van economische criminaliteit wanneer zij het personeel trainingen geven. Voor slachtofferschap van diefstal van geld, goederen of fraude is het verschil tussen bedrijven met en zonder trainingen het kleinst. De verschillen in slachtofferschap van de vier overige vormen van economische criminaliteit tussen bedrijven met en zonder trainingen zijn wel betekenisvol. Uit aanvullende analyses blijkt dat deze gevonden verschillen niet veroorzaakt zijn doordat grotere bedrijven uit bepaalde sectoren zowel vaker trainingen geven en ook een grotere kans op slachtofferschap hebben.

Figuur 24 T  rainingen voor medewerkers op kwetsbare posities Nooit

22%

Onregelmatig

20%

Meer dan twee jaar

2%

Elke twee jaar

8%

Jaarlijks

27% 0

5

10

15

20

25

30

Figuur 25 T  rainingen en economische criminaliteit

Wel trainingen

25%

Cybercriminaliteit

17%

Geen trainingen

20% 14%

Concurrentievervalsing

31%

Diefstal van informatie

21% 27%

Corruptie

10% 66% 61 %

Diefstal van geld, goederen of fraude 0

24

PwC

10

20

30

40

50

60

70

80

90

100

Net als bij de vergelijking tussen bedrijven met en zonder compliance programma lijken dus ook bedrijven die trainingen aan het personeel aanbieden vaker slachtoffer te worden dan bedrijven zonder trainingen. Ook hier vormt de controle paradox een mogelijke verklaring voor dit opmerkelijke resultaat: personeelsleden die trainingen hebben ontvangen detecteren criminaliteit mogelijk sneller dan ongetraind personeel. Als gevolg hiervan rapporteren respondenten uit bedrijven waar trainingen worden gegeven mogelijk vaker dat ze slachtoffer zijn geworden van economische criminaliteit. Daarnaast is het opnieuw mogelijk dat de trainingen worden aangeboden nadat het bedrijf slachtoffer is geworden van economische criminaliteit, met als doel om herhaald slachtofferschap te voorkomen.

Verdieping cybercrime en organisatiecultuur

De rapportage die in het najaar verschijnt gaat in op cybercrime en de publicatie die in het voorjaar van 2015 verschijnt gaat in op de rol van de organisatiecultuur. Hieronder gaan we kort in op deze onderwerpen. Cybercriminaliteit Cybercriminaliteit lijkt een steeds grotere bedreiging te vormen in de huidige samenleving. Het is daarom van belang om onderzoek ook specifiek te richten op deze vorm van criminaliteit, zoals ook blijkt uit de National Cyber Security Research Agenda II (NCSRA-II). Eerder in dit rapport werd al aangetoond van welke vormen van cybercrime bedrijven vaak slachtoffer worden, het is echter ook van belang om te achterhalen wat het doel van deze cybercriminaliteit is. In deze paragraaf wordt dit kort behandeld. In het specifieke rapport wordt dieper op deze en andere vragen met betrekking tot cybercrime ingegaan.

Van de respondenten rapporteert 22% dat de organisatie gedurende de afgelopen twee jaar geconfronteerd is met cybercriminaliteit (zie Figuur 2). Voor een belangrijk deel gaat dat om ‘phishing en pharming’ , het verspreiden van virussen of hacken (zie Figuur 5). Daarmee is er nog geen inzicht in het doel van de cybercrimineel. Om zicht te krijgen op de doelstellingen van cybercriminelen is aan de respondenten gevraagd “waar richtte de cybercriminaliteit waar uw organisatie in de afgelopen twee jaar mee van doen had zich vooral op?”. De respondenten konden meerdere antwoorden aangeven. Deze resultaten suggereren dat de doelstellingen van cybercriminaliteit afwijken van die van ‘traditionele’ criminaliteit waar organisaties mee geconfronteerd worden.

Economic Crime Survey Nederland 2014

25

Organisatiecultuur

Figuur 26 D  oel van cybercriminaliteit waarvan de organisatie slachtoffer is geworden Binnendringen van het ICT systeem

De kans dat organisaties worden geconfronteerd met economische criminaliteit en de mate waarin dat gebeurt, lijkt niet voor alle bedrijven even groot. Deze kans zou afhankelijk zijn van de aanwezigheid samenstel van condities of elementen die de uitvoering van het delict faciliteren4.

55%

Diefstal van informatie

28%

Diefstal van geld of goederen

27%

Destabiliseren van het ICT systeem

23%

Manipulatie van informatie

23%

Stilleggen van het ICT systeem

15% 0%

10%

20%

30%

40%

50%

60%

Deze ‘traditionele’ criminaliteit betreft immers vooral diefstal van geld of goederen en fraude. Cybercriminaliteit lijkt uit de antwoorden van de respondenten vooral op ‘digitaal vandalisme’; binnendringen van het systeem (55%), het manipuleren van informatie (23%) en het destabiliseren (23%) of stilleggen (15%) van het ICT systeem worden vaak genoemd als doelstellingen van cybercriminaliteit. Het binnendringen van een ICT-systeem kan ook een middel zijn om andere criminele activiteiten te ontplooien. Deze kunnen echter zijn mislukt, of (nog) niet ontdekt. Diefstal van informatie (27%) rapporteren de respondenten naar aanleiding van cybercrime ongeveer even vaak als bij ’traditionele’ criminaliteit. Diefstal van geld of goederen (27%) rapporteren de respondenten relatief minder vaak.

De routine activiteiten benadering, één van de meest bekende theorieën uit de criminologie, veronderstelt dat criminaliteit vooral plaatsvindt wanneer er gemotiveerde daders zijn, er een aantrekkelijke buit is en het toezicht ontbreekt5. De kwetsbaarheid van organisaties voor economische delicten zou, in lijn met deze benadering, afhankelijk zijn van de aanwezigheid van deze drie elementen. Om een indicatie te krijgen voor delict-kwetsbaarheid van organisaties is aan de respondenten gevraagd: “In hoeverre denkt u dat de volgende factoren een rol spelen bij het ontstaan van economische criminaliteit binnen uw bedrijf?”. Bij de voorgelegde factoren, gebrekkig toezicht, aantrekkelijk doelwit en moraliteit personeel, konden de respondenten antwoorden op een schaal van 1 “helemaal niet van toepassing’ tot 5 ‘helemaal van toepassing’. Bijna de helft van de respondenten rapporteerde dat de aantrekkelijkheid van het doelwit (46%) en het gebrek aan toezicht (46%) (helemaal) van toepassing zijn op het ontstaan van economische criminaliteit in de organisatie. Minder respondenten (36%) melden dat de moraliteit van het personeel daarop (helemaal) van toepassing is. Dit laatste is opmerkelijk aangezien de eerdere resultaten uit dit rapport tonen dat daders van de economische criminaliteit in minstens de helft van de gevallen afkomstig zijn uit de eigen gelederen.

Figuur 27 O  orzaken van economische criminaliteit

Aantrekkelijk doelwit

46.2%

Gebrekkig toezcht

45.6%

Moraliteit personeel

32.5% 0%

10%

20%

30%

40%

50%

4. Benson, M.L., & Madensen, T.D. (2007). Situational crime prevention and White-Collar crime. In Henry N. Pontell and Gilbert Geis (Eds.), International handbook of whitecollar and corporate crime, (pp. 609-626). Springer. 5. Cohen, L. E., & Felson, M. (1979). Social change and crime rate trends: A routine activities approach. American Sociological Review, 44, 588-608.

26

PwC

In het afgelopen decennium, sinds de recente economische crisis en de daaraan gerelateerde grote schandalen, betogen media en wetenschappers dat de organisatiecultuur een belangrijke oorzaak kan zijn van gebrek aan integriteit en de delict-kwetsbaarheid van organisaties6. Veelvuldig bespreken zij de cruciale rol van managers, ofwel de doorslaggevende invloed van “the tone at the top”7.

Figuur 28 M  anagers in mijn organisatie... ...spreken aan op naleving van organisatierichtlijnen

69.7%

...beoordelen op hoe resultaten tot stand komen

59.5%

...geven het juiste voorbeeld

56.3% 0%

20%

40%

60%

80%

Om na te gaan hoe het gesteld is met “the tone at the top” is de respondenten gevraagd: “De managers in mijn organisatie…” ‘…geven het juiste voorbeeld wat betreft bedrijfsethiek’, ‘… beoordelen successen niet alleen op de behaalde resultaten, maar ook op hoe deze tot stand zijn gekomen’ en ‘… spreken medewerkers erop aan als zij zich niet aan de organisatierichtlijnen houden’. De resultaten tonen dat de respondenten in meerderheid vinden dat de managers uit hun organisatie het goede voorbeeld geven (56%), niet alleen naar de resultaten kijken, maar ook naar hoe deze tot stand zijn gekomen (60%), en medewerkers wijzen op de naleving van organisatierichtlijnen (70%). Dit suggereert dat de respondenten doorgaans redelijk tevreden zijn ten aanzien van hun managers. Dit neemt niet weg dat respectievelijk 14%, 13% en 9% van de respondenten het oneens is met deze stellingen. De overige respondenten zijn het eens noch oneens met de stellingen. In de verdieping over organisatiecultuur wordt onder meer ingegaan op de invloed van “the tone at the top” binnen organisaties op economische criminaliteit. Specifiek wordt daarbij ook de invloed van bonussen en targets behandeld. Daarbij gaan we ook in op de invoed van bonussen en targets.

6. Kaptein, S.P. (2010). The Ethics of Organizations: A Longitudinal Study of the U.S. Working Population. Journal of Business Ethics, 92(4), 601-618. Victor, B., & Cullen, J. B. (1988). The Organizational Bases of Ethical Work Climates. Administrative Science Quarterly, 33(1), 101-125. 7. D’Aquila, J.M., & Bean, D.F. (2011). Does A Tone At The Top That Fosters Ethical Decisions Impact Financial Reporting Decisions: An Experimental Analysis. International Business & Economics Research Journal, 2(8), 41-54.

Economic Crime Survey Nederland 2014

27

Methodologische verantwoording

Procedure Voor dit onderzoek is gebruik gemaakt van het Flycatcher panel. Dit panel voldoet aan de ISO-kwaliteitseisen voor sociaalwetenschappelijk onderzoek, markt-, en opinieonderzoek. Het panel bestaat uit ongeveer 15.000 personen van twaalf jaar of ouder, die ongeveer acht vragenlijsten per jaar ontvangen. Gemiddeld vult tussen de 60% en 70% van de benaderde panelleden de verstuurde vragenlijsten in. Indien een vragenlijst volledig is ingevuld, ontvangen panelleden een aantal punten die ze kunnen inwisselen voor een cadeaubon naar keuze. Bij aanmelding voor het panel worden enkele achtergrondgegevens ingevuld (bijvoorbeeld geslacht, geboortedatum, opleidingsniveau, woonsituatie, arbeidssituatie), en deze moeten minimaal eens per jaar geactualiseerd worden.

Op basis van deze achtergrondgegevens zijn uit het panel alle Nederlanders geselecteerd die tussen de 18 en 65 jaar oud zijn, werkzaam zijn, en ten minste één collega hebben. De steekproef is verder niet gestratificeerd naar achtergrondkenmerken, alle respondenten die aan bovenstaande criteria voldoen zijn benaderd voor deelname. In totaal voldeden 8024 panelleden aan de genoemde criteria. Zij ontvingen op maandag 24 februari 2014 de vragenlijst en deze kon tot maandag 3 maart 2014 ingevuld worden. Tabel 1 geeft een overzicht van de respons. In totaal zijn er 8024 panelleden via e-mail benaderd, wat in 27 gevallen een foutmelding opleverde (bijvoorbeeld een foutief e-mailadres of een volle mailbox). Netto zijn er dus 7997 vragenlijsten verstuurd. In totaal zijn 3865 vragenlijsten ingevuld, wat neer komt op een response percentage van ruim 48%. Onder de non-response vallen 459 onvolledig ingevulde vragenlijsten en 18 vragenlijsten die verwijderd zijn wegens slechte responskwaliteit8.

Tabel 1 Responsoverzicht Aantal benaderde panelleden Foutmeldingen Netto verstuurd (=aantal panelleden – foutmeldingen) Verwijderd wegens slechte responskwaliteit* Vragenlijst onvolledig ingevuld / drop-out* Response

8 024 27 7 997 18 459 3 865

* De gegevens van deze respondenten zijn niet meegenomen in de respons en de resultaten.

8. Er is op responsekwaliteit gecontroleerd door onder andere te kijken naar de invultijd, consistentie van de antwoorden, open antwoorden, straightlining. Van straightlining is sprake indien bijv. bij een reeks stellingen overal de eerste antwoordoptie gekozen wordt.

28

PwC

Tabel 2 Selectievraag “Bent u uit hoofde van uw functie belast met het …” In kaart brengen

Voorkomen

Aanpakken

Totaal aantal respondenten

Diefstal van geld of goederen of fraude

288

503

250

674

Corruptie

152

238

120

356

Diefstal van informatie

190

375

145

495

Concurrentievervalsing

136

185

79

296

Cybercriminaliteit

135

235

94

334

Totaal

413

658

316

875

Steekproef

Respondenten

Vanuit de assumptie dat experts binnen organisaties meer kennis bezitten dan andere medewerkers over de omvang, de gevolgen en de verschijningsvormen van economische criminaliteit, alsmede over de maatregelen die daartegen binnen de organisatie zijn getroffen, zijn uit het panel de respondenten geselecteerd die functioneel betrokken zijn bij economische criminaliteit. Daartoe zijn de 3865 respondenten allereerst gevraagd of zij uit hoofd van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van vijf verschillende vormen van economische criminaliteit: diefstal van geld of goederen of fraude, corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit. Van de respondenten beantwoordden 23,6% ten minste één keer bevestigend. Alleen deze 875 respondenten hebben de vragenlijst verder ingevuld. De bevestigende antwoorden van de respondenten op deze selectievraag zijn weergegeven in Tabel 2.

Van de 875 respondenten die hebben aangegeven functioneel betrokken te zijn bij het in kaart brengen is 47% vrouw en hun gemiddelde leeftijd is 41 jaar. Het opleidingsniveau van de meerderheid van de respondenten (61%) is hoog (WO of HBO). De respondenten zijn gemiddeld zeven jaar werkzaam binnen de huidige afdeling. Aan de respondenten is een vraag voorgelegd over de functie die zij vervullen. Daarbij zijn twaalf verschillende opties gegeven of konden de respondenten hun eigen functie beschrijven. Van de respondenten koos 53% een van de gegeven opties. Daarvan vervult meer dan de helft (55%) een functie als leidinggevende; waarvan 4% als CEO, 13% als algemeen directeur, 9% als directielid en 29% als hoofd / manager. Een functie als analist / onderzoeker vervult 13%. Daarnaast vervult 11% een functie als accountant / controller, 7% als juridisch medewerker, 8% als (Chief / senior) security / risk officer, 4% als veiligheidsmanager en 3% als compliance officer. Zie Figuur 29 voor een overzicht van de functies van de respondenten.

Tabel 2 toont dat 72% van de geselecteerde respondenten zich functioneel richt op het voorkomen van economische criminaliteit. Met het in kaart brengen en aanpakken van economische criminaliteit houdt respectievelijk 47% en 36% van de respondenten zich in het kader van hun functie bezig. Daarnaast blijkt meer dan de helft van deze experts zich te richten op diefstal van geld of goederen of fraude (77%) en diefstal van informatie (56%). Op het in kaart brengen, voorkomen of aanpakken van corruptie, cybercriminaliteit en concurrentievervalsing richt respectievelijk 41%, 38% en 34% van de respondenten zich.

Economic Crime Survey Nederland 2014

29

Figuur 29 F  uncties binnen de organisatie

Analist/onderzoeker

Van de organisaties heeft 39% binnen Nederland minder dan honderd personeelsleden, 30% ten minste honderd maar minder dan duizend personeelsleden en 31% duizend personeelsleden of meer. De helft (52%) van de organisaties heeft geen personeelsleden buiten Nederland. Bij 15% van de organisaties werken buiten Nederland minder dan duizend personeelsleden, Bij 12% is dat meer dan duizend maar minder dan tien duizend, bij 14% van de bedrijven werken tienduizend of meer mensen buiten Nederland.

62

Senior security/ risk officer

8 34

Juridisch medewerker

135

Hoofd/manager 49

Accountant/controller 19

Veiligheidsmanager 12

Compliance officer

16

Security/Risk officer Chief security/ Risk officer

12 44

Directielid

60

Algemeen directeur 17

CEO 0

20

40

60

80

100

120

140

160

Figuur 30 P  ersoneelsleden in Nederland

31%

1.000 of meer 12%

500 t/m 999

18%

100 t/m 499 50 t/m 99

8% 15%

10 t/m 49 7%

5 t/m 10

10%

Minder dan 5 0

30

PwC

5%

10%

15%

20%

25%

30%

35%

Figuur 32 geeft de sectoren weer waarbinnen de respondenten werkzaam zijn. Een afwijking van het percentage werkzame personen per sector kan gelegen zijn aan de selectie die voor dit onderzoek is gebruikt. Figuur 31 toont dat 16% van de 875 respondenten werkzaam is in de gezondheidszorg en 13% in de detailhandel. Relatief weinig respondenten zijn werkzaam in de bouwnijverheid en binnen de cultuur, sport en recreatie sector (beide 3%). Ook de horeca (4%) lijkt enigszins ondervertegenwoordigd binnen de steekproef.

Figuur 31 P  ersoneelsleden buiten Nederland

7%

Weet niet

14%

10.000 of meer 4%

5.000 tot 10.000 1.000 tot 5.000

8% 6%

500 tot 1.000

10%

Minder dan 500

52%

Geen buiten Nederland 0

10%

20%

30%

40%

50%

60%

Figuur 32 R  espondenten naar sectoren

Overig

52

Overige diensten

46 30

Cultuur, sport & recreatie

143

Gezondheidszorg 75

Onderwijs

82

Overheid Zakelijke dienstverlening

60

Financiële sector

63

Informatie & communicatie

51

Horeca

34

Vervoer & opslag

33 110

Detailhandel Bouwnijverheid

25

Industrie

71 0

50

100

150

200

Economic Crime Survey Nederland 2014

31

32

PwC

De vragen

De vragenlijst bestaat uit vier delen: achtergrondkenmerken, omvang en schade, detectie en preventie en organisatiecultuur. Hieronder volgt een korte beschrijving van de vragenlijst.

Achtergrondkenmerken Aan de respondenten is gevraagd of zij uit hoofde van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van de vijf in het rapport beschreven vormen van economische criminaliteit waar hun organisatie mee wordt of kan worden geconfronteerd. Daarnaast zijn onder meer vragen gesteld over de functie van de respondenten, het aantal jaren dat men werkzaam is, de sector waar zij werkzaam zijn en de grootte van het bedrijf.

Omvang en schade De respondenten kregen eerst vragen voorgelegd over de mate waarin de organisatie gedurende de afgelopen twee jaar geconfronteerd was met vijf verschillende vormen van economische criminaliteit: diefstal van geld of goederen of fraude, corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit. Over elke categorie van economische criminaliteit waarvan de respondent had aangegeven dat de organisatie daarmee van doen had gehad, kregen de respondenten vervolgvragen over de specifieke vorm van criminaliteit. Aan de respondenten die hadden aangegeven dat de organisatie gedurende de afgelopen twee jaar geconfronteerd was met cybercriminaliteit is doorgevraagd over het meest recente cyberdelict: wat voor type delict het betrof, wat het doel was van dat delict, wanneer dat plaatsvond, over de dader(s), over de slachtoffers en over de afhandeling.

Vergelijkbare vragen zijn voorgelegd aan alle respondenten die hadden aangegeven dat de organisatie geconfronteerd was met economische criminaliteit over het meest recente (andere) economische delict. Aan alle respondenten die economische criminaliteit rapporteerde is gevraagd welk van de inmiddels afgehandelde delicten uit de afgelopen twee jaar het meest ernstig was. Over dit delict is gevraagd naar wanneer dat plaatsvond, wat de (financiële) schade was en naar het profiel van de daders.

Detectie en preventie Aan de respondenten is gevraag op welke wijze economische criminaliteit binnen de organisatie aan het licht komt. Vervolgens is hun gevraagd of de organisatie beschikt over een compliance programma en waar dat programma, indien aanwezig, zich op richt en uit bestaat. De vragenlijst bevat voorts vragen over de maatregelen die de organisatie treft om economische criminaliteit tegen te gaan, de perceptie van de medewerkers op kwetsbare en de trainingen die de organisatie aanbiedt.

Organisatiecultuur Ten aanzien van de cultuur van de organisatie zijn de respondenten bevraagd over de oorzaken van economische criminaliteit, de perceptie over de integriteit van managers en over het belang van bonussen en targets binnen de organisatie.

Economic Crime Survey Nederland 2014

33

Colofon

Projectteam PwC Drs. André Mikkers RA Dr. Martijn Schut Warner van der Colk MSc Extern onderzoeksbureau Flycatcher Internet Research B.V. Methodologie, validatie en tekstbijdragen Faculteit der Rechtsgeleerdheid, sectie Criminologie VU Amsterdam Prof. Dr. Wim Huisman Dr. Adriaan Denkers Dr. Steve van de Weijer Tamara Flikweert MSc

34

PwC

De informatie zoals opgenomen in deze publicatie is uitsluitend bestemd voor algemene informatiedoeleinden. De informatie in deze publicatie mag niet worden beschouwd als professioneel advies. Wij raden u aan advies in te winnen bij een PwC professional, voordat u beslist of handelt. Hoewel wij de grootst mogelijke zorgvuldigheid betrachten in de samenstelling en het onderhoud van de in deze publicatie verstrekte informatie, kan PwC niet garanderen dat deze informatie compleet, actueel en/of accuraat is. PwC aanvaardt dan ook geen aansprakelijkheid voor directe of indirecte schade die is ontstaan door gebruikmaking van, vertrouwen in of handelingen verricht naar aanleiding van de in deze publicatie verstrekte informatie, tenzij er aan de zijde van PwC sprake is van opzet of bewuste roekeloosheid. PwC geeft geen enkele garantie met betrekking tot deze informatie, noch uitdrukkelijk, noch impliciet, daaronder mede begrepen – maar niet beperkt tot – garanties van prestatie, verhandelbaarheid of geschiktheid voor een bepaald doel.

PwC’s Economische Crime Survey van Nederland  2014

35

© 2014 PricewaterhouseCoopers B.V. (KvK 34180289). Alle rechten voorbehouden. PwC verwijst naar de Nederlandse firma en kan soms naar het PwC-netwerk verwijzen. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op www.pwc.com/structure voor meer informatie.