FACULTEIT RECHTSGELEERDHEID
Fraudit Een kwalitatieve studie naar de eventuele mogelijkheden die een audit kan bieden in de preventie van (interne) fraude binnen financiële instellingen. Masterproef neergelegd tot het behalen van de graad van Master in de criminologische wetenschappen door (00904737) Goudesone Delphine Academiejaar 2014-2015
Promotor :
Commissaris:
Prof. dr. Persak Nina
Prof. dr. Verhage Antoinette
Verklaring inzake toegankelijkheid van de masterproef criminologische wetenschappen
Ondergetekende,
Goudesone Delphine (00904737)
geeft hierbij aan derden,
zijnde andere personen dan de promotor (en eventuele co-promotor), de commissarissen of leden van de examencommissie van de master in de criminologische wetenschappen,
[de toelating] [geen toelating]
om deze masterproef in te zien, deze geheel of gedeeltelijk te kopiëren of er, indien beschikbaar, een elektronische kopie van te bekomen, waarbij deze derden er uiteraard slechts zullen kunnen naar verwijzen of uit citeren mits zij correct en volledig de bron vermelden.
Deze verklaring wordt in zoveel exemplaren opgemaakt als het aantal exemplaren waarin de masterproef moet worden ingediend, en dient in elk van die exemplaren ingebonden onmiddellijk na het titelblad.
Datum: 10/08/2015
Handtekening: Delphine Goudesone
Woord vooraf De reden om Criminologie te studeren werd gevoed vanuit een traditioneel –eng- perspectief op criminaliteit, zoals het merendeel van de publieke opinie vandaag. Bij aanvang van mijn studie, is deze visie in een snel tempo verruimd naar een omvangrijke zienswijze. In het bijzonder met expliciete aandacht voor met betrekking tot financieel en economisch gerelateerde fraude. Deze interesse, in combinatie met de belangstelling voor het bankwezen, heeft geleid tot deze eindverhandeling als het sluitstuk van mijn studies binnen de Criminologische Wetenschappen. Bovenal richt ik een dankwoord tot iedereen die mij heeft ondersteund tijdens het realiseren van deze masterproef. Op de eerste plaats, wens ik graag mijn promotor, professor Nina Persak, te bedanken voor de positieve begeleiding tijdens dit voorbije academiejaar. Haar kritische, opbouwende feedback heeft deze scriptie helpen op punt te stellen. Vervolgens wens ik alle respondenten van harte te bedanken om hun medewerking te verlenen aan mijn onderzoek en tijd vrij te maken om mij te ontvangen. Zonder jullie was er geen empirisch onderzoek. Aansluitend gaat mijn dank uit naar iedereen die mij heeft geholpen tijdens de respondentenverzameling en mij in contact hebben gebracht met de juiste personen. Verder verdienen mijn broers, vrienden en medestudenten een bedanking voor de steun, begrip en luisterend oor. Tot slot wil ik in het bijzonder graag mijn ouders bedanken die mij de mogelijkheid hebben gegeven om te studeren, voor de nodige ondersteuning hebben gezorgd en onvoorwaardelijk in mij geloven. Aan iedereen, oprecht bedankt!
i
Inhoudstafel Woord vooraf ...................................................................................................................... i Inhoudstafel ........................................................................................................................ ii Trefwoorden ..................................................................................................................... vii Lijst van gebruikte afkortingen ....................................................................................... viii Lijst van gebruikte figuren ................................................................................................ ix Lijst van gebruikte tabellen ............................................................................................... ix INLEIDING .............................................................................................................................. 1 Probleemstelling ..................................................................................................................... 1 Voorbeelden en cases ............................................................................................................. 2 Handhaving en bestrijding ..................................................................................................... 4 Onderzoeksvragen .................................................................................................................. 5 DEEL 1: THEORETISCH LUIK ........................................................................................... 9 HOOFDSTUK 1: AFBAKENING EN BEGRIPSVERDUIDELIJKING ........................... 9 1.1.
Inleiding ..................................................................................................................... 9
1.2.
Methodologie ............................................................................................................. 9
1.3.
Terminologie ............................................................................................................ 10 1.3.1.
De Audit ......................................................................................................... 10
1.3.1.1. Interne Audit ............................................................................................. 12 1.3.1.2. Externe Audit ............................................................................................ 13 1.3.2.
Fraude ............................................................................................................. 14
1.3.2.1. Interne Fraude ........................................................................................... 15 1.3.2.2. Externe Fraude .......................................................................................... 16
1.4.
1.3.3.
Fraudit: Forensic/Fraud Audit ........................................................................ 16
1.3.4.
Financiële instellingen .................................................................................... 17
Besluit....................................................................................................................... 18
HOOFDSTUK 2: ALGEMEEN OVERZICHT ‘INTERNE AUDIT’ ......................... 20 2.1. Inleiding ........................................................................................................................ 20 2.2. Historisch kader ............................................................................................................. 20 2.3. Wettelijk kader .............................................................................................................. 22 ii
2.3.1. Belgische context ............................................................................................... 22 2.3.1.1. Koninklijk Besluit van 5 juli 2015 tot goedkeuring van het reglement van de Nationale Bank van België van 19 mei 2015 betreffende de interne controle en de interne auditfunctie ................................................................................................... 22 2.3.1.2. Wet van 17 december 2008 inzonderheid tot oprichting van een auditcomité in de genoteerde vennootschappen en financiële ondernemingen ........................... 23 2.3.1.3. Voorontwerp (2013) van wet tot wijziging van de wet van 10 april 1990 tot regeling van de private en bijzondere veiligheid en tot opheffing van de wet van 19 juli 1991 tot regeling van het beroep van privédetective ......................................... 23 2.3.1.4. Richtlijnen opgesteld door het Bazel Committee on Banking Supverision 23 2.3.2. Internationale context ......................................................................................... 24 2.3.2.1. Sarbanes-Oxley Act..................................................................................... 24 2.4. Deontologisch kader ...................................................................................................... 25 2.5.
Three Lines of Defence Model................................................................................. 26 2.5.1.
Kritiek op Three Lines of Defence ................................................................. 28
2.6.
Relatie Interne Audit - Forensische Audit ................................................................ 28
2.7.
Harde controle versus soft control............................................................................ 29
2.8.
Besluit....................................................................................................................... 29
HOOFDSTUK 3: FRAUDIT ................................................................................................. 31 3.1. Inleiding ........................................................................................................................ 31 3.2. Theoretisch raamwerk ................................................................................................... 31 3.2.1. De Fraudedriehoek ............................................................................................. 31 3.2.1.1. Motief .......................................................................................................... 32 3.2.1.2. Opportuniteit ............................................................................................... 32 3.2.1.3. Rationalisering ............................................................................................ 32 3.2.1.4. Toepassing van de fraudedriehoek .............................................................. 33 3.2.2. De Rationele-keuzetheorie ................................................................................. 34 3.2.2.1. Power of Fear – Jeremy Bentham ............................................................... 34 3.2.2.2. Kritiek op de RKT ....................................................................................... 35 3.2.3. Agency-theorie ................................................................................................... 35 3.2.
Internationaal onderzoek .......................................................................................... 37 3.2.1.
Typologie intern fraudeur ............................................................................... 37 iii
3.2.2. 3.3.
Motivatie interne fraude ................................................................................. 38
Besluit....................................................................................................................... 39
DEEL 2: EMPIRISCH LUIK ............................................................................................... 40 HOOFDSTUK 4: ONDERZOEKSDESIGN ....................................................................... 40 4.1. Inleiding ........................................................................................................................ 40 4.2. Kwalitatieve onderzoeksmethode ................................................................................. 40 4.2.1.
Methodologische beperkingen ................................................................... 41
4.3. Het semigestructureerd interview .................................................................................. 43 4.4. Respondentenverzameling ............................................................................................ 44 4.4.1. Steekproef .......................................................................................................... 44 4.4.2. Procedure ............................................................................................................ 45 4.4.2.1. Methode van contactopname met professionelen ....................................... 47 4.5. Interviewsetting ............................................................................................................. 50 4.6. Data-analyse .................................................................................................................. 51 4.7. Besluit............................................................................................................................ 52 HOOFDSTUK 5: ONDERZOEKSRESULTATEN ............................................................ 53 5.1. Inleiding ........................................................................................................................ 53 5.2. Interne Audit ................................................................................................................. 54 5.2.1. Doelstelling Interne Audit .................................................................................. 54 5.2.1.1. Primaire doelstelling ................................................................................... 54 5.2.1.2 Secundaire doelstelling ................................................................................ 54 Preventie ............................................................................................................... 54 Detectie................................................................................................................. 56 5.2.2. Controlemechanismen ........................................................................................ 57 5.2.2.1. Hard controls ............................................................................................... 57 Geautomatiseerde processen ................................................................................ 57 Functiescheiding................................................................................................... 57 Duale controle ...................................................................................................... 58 Two week holiday rule ......................................................................................... 60 5.2.2.2. Soft controls ................................................................................................ 61 Corporate Culture ................................................................................................. 62 iv
Sociale controle .................................................................................................... 62 Ethiek ................................................................................................................... 63 Whistleblower policy ........................................................................................... 65 5.2.2.3. Effectiviteit van controlemechanismen ....................................................... 66 5.3. Interne fraude ................................................................................................................ 67 5.3.1. Prevalentie interne fraude binnen financiële instellingen .................................. 67 5.3.1.1. Profiel (interne) fraudeur ............................................................................. 68 5.3.1.2. Motivatie (interne) fraude ........................................................................... 69 5.3.2. ‘Grote’ vs. ‘kleine’ interne fraudes .......................................................... 70 5.3.3. Trends ................................................................................................................. 72 5.3.3.1. Technologische innovatie ............................................................................ 72 5.3.3.2. Dematerialisatie ........................................................................................... 72 5.3.3.3. Nauwe klantenrelatie ................................................................................... 73 5.3.3.4. Casussen ...................................................................................................... 73 Kasfraude ............................................................................................................. 73 Diefstal van activa ................................................................................................ 74 Dealerfraude ......................................................................................................... 75 Misbruiken van de Gift-policy ............................................................................. 75 Verzekeringsfraude .............................................................................................. 76 Afpersing .............................................................................................................. 76 5.3.4. Sanctionering interne fraude .............................................................................. 76 5.3.4.1. Interne sanctionering ................................................................................... 77 Blaambrief ............................................................................................................ 77 Demoties............................................................................................................... 77 Verlies van vakantiedagen ................................................................................... 77 Inperking van het variabel loon ............................................................................ 78 Ontslag ................................................................................................................. 78 5.3.4.2. Strafrechtelijke sanctionering ...................................................................... 79 5.3.5. Communicatie interne fraude en sanctionering .................................................. 79 5.3.5.1. Communicatie van interne fraudecasussen ................................................. 79 v
5.3.5.2. Communicatie als preventiesignaal ............................................................. 79 5.3.5.3. Communicatie naar de media ...................................................................... 81 5.4. Fraudit ........................................................................................................................... 82 5.4.1. Opleiding forensic auditor .................................................................................. 82 5.4.2. Preventie interne fraude ..................................................................................... 82 5.4.2.1. Voorstel wetsontwerp ‘Privaat Onderzoeker’ (Milquet, 2013) ............. 83 5.4.3. Toegevoegde waarde Interne Audit inzake interne fraude ................................. 85 5.5. Besluit............................................................................................................................ 85 CONCLUSIE EN AANBEVELINGEN ............................................................................... 90 Centrale onderzoeksvraag .................................................................................................... 92 Beperkingen ......................................................................................................................... 95 Conclusie .............................................................................................................................. 96 Aanbevelingen ...................................................................................................................... 97 BIBLIOGRAFIE .................................................................................................................... 98 BIJLAGEN ............................................................................................................................... x BIJLAGE 1: Three Lines of Defence model (IIA, 2013) ...................................................... x BIJLAGE 2: Tabellen (ACFE, 2014) .................................................................................... xi BIJLAGE 3: Eerste contactopname respondenten ............................................................ xviii BIJLAGE 4: Informed Consent........................................................................................... xix BIJLAGE 5: Onderzoeksinstrument ................................................................................... xxi BIJLAGE 6: Gebruikte kanalen bij contactopname ........................................................... xxii BIJLAGE 7: Afgenomen interviews ................................................................................. xxiii BIJLAGE 8: Codeboom .................................................................................................... xxiv
vi
Trefwoorden Interne Audit Interne Fraude Preventie Financiële Instellingen Kwalitatief Onderzoek
vii
Lijst van gebruikte afkortingen 3LoD
Three Lines of Defence
AAA
American Accounting Associating
ACFE
Association of Certified Fraud Examiners
CEO
Chief Executive Officer
CFO
Chief Financial Officer
CIA
Certified Internal Auditor
GAAS
Generally Accepted Auditing Standards
HR
Human Resources
HQ
Headquarters
IIA
Institute for Internal Auditors
IFA
Institute for Forensic Auditors
N
Bereikte respondenten
NBB
Nationale Bank van België
POS
Point of Sale
PWC
PriceWaterhouse & Coopers
RKT
Rationele Keuzetheorie
SOX
Sarbanes-Oxley Act
UA
Universiteit Antwerpen
VUB
Vrije Universiteit Brussel
viii
Lijst van gebruikte figuren Figuur 1:
De fraudedriehoek (Cressey, 1953)
Lijst van gebruikte tabellen Tabel 1:
Fraudegevoelige sectoren
Tabel 2:
Gender van de dader
Tabel 3:
Financieel verlies naargelang gender
Tabel 4:
Leeftijd van de dader
Tabel 5:
Financieel verlies naargelang leeftijd
Tabel 6:
Anciënniteit
Tabel 7:
Financieel verlies naargelang anciënniteit
Tabel 8:
Positie van de dader binnen de onderneming
Tabel 9:
Financieel verlies naargelang positie
Tabel 10:
Prevalentie van collusie
Tabel 11:
Opleidingsgraad
Tabel 12
Fraudegevoelige sectoren binnen de organisatie
Tabel 13:
Financieel verlies naargelang departement
Tabel 14:
Triggers ter herkenning van fraude
ix
INLEIDING Frauditing: een samenvoeging van de woorden fraude en auditing. Een audit impliceert interne of externe controle binnen een instelling (Dries et al., 2011). Fraude ontstaat gebruikelijk vaak door een gebrek aan controle of een beperkte controle (Wells, 2001). Het lijkt dus logisch dat een degelijk werkend auditmechanisme zou kunnen bijdragen aan de preventie (en detectie) van interne fraude. Maar is dit effectief zo? Auditing is immers een complex proces, met als voornaamste doel, de controle van de boeken (Dries et al, 2011). Fraudepreventie en -detectie is dus niet het primaire doel van de audit. Zoals de editie van Montgomery’s Auditing in 1934 stelde “An incidental, but nevertheless important, objective of
an audit is detection of
fraud.” (Lee et al., 2008).
Probleemstelling Internationaal onderzoek wees uit dat de financiële sector de gevoeligste sector is qua (interne) fraude. De laatste twee jaar zijn er 20% van de interne fraudegevallen gesitueerd in de financiële sector (tabel 1) (ACFE, 2014). Daarenboven vult PWC (2014) dit onderzoek aan met de vaststelling dat het bankwezen 50% kans heeft, om slachtoffer te worden van interne fraude. Een internationaal onderzoek gevoerd door PWC (2014) had als resultaat dat ruim 37% van de ondervraagde bedrijven in de laatste 12 maanden slachtoffer was geworden van een of andere fraude. In 2009 was dat 30%. Op amper vijf jaar tijd heeft er zich een exponentiële stijging doorgezet en de verwachtingen zijn dat dit fenomeen enkel zal blijven stijgen. De meest voorkomende vormen van interne fraude, volgens deze survey, zijn het stelen van activa, zoals een koffie apparaat vanop kantoor meenemen naar huis. Omkoping en corruptie zijn tevens een belangrijke valkuil voor een onderneming, denk maar aan ongepaste relatiegeschenken of belangenconflicten. Of nog, inkoopfraude, waar een werknemer privé uitgaven als professionele onkosten kan ingeven of goederen bestellen op naam van de zaak voor privé gebruik. Tot slot blijven accountancy gerelateerde fraudes uiteraard risicovol voor een onderneming. Een op twee bedrijven maakt zich daarenboven zorgen om het slachtoffer van fraude te worden. 1
De term corporate fraud verwijst voor velen naar “fraude gepleegd door de leiding van het bedrijf” -de CEO of het topmanagement- (Wells, 2001). Doch is dit slechts een klein deel is van de gepleegde interne fraude. Ondernemingen zijn zeker niet altijd de schuldige (Verhage et al., 2010). Verschillende surveys wijzen uit dat in het merendeel van de casussen, niet de directie zich schuldig maakt aan interne fraude maar de werknemers (Wells, 2001).
Voorbeelden en cases De zaken Enron1, Arthur Andersen2 (Healy & Palepu, 2003), Nick Leeson3 (Greener, 2006) en Jerome Kerviel4 (Van Erp et al., 2008) zijn wereldwijde bekende schoolvoorbeelden van financieel en economische interne fraudes, waarvan de laatste twee -Nick Leeson en Jerome Kerviel- gesitueerd zijn binnen het bankwezen. Allen hebben ze bewezen dat zowel de interne als externe controlemechanismen te omzeilen zijn en bijgevolg ongrijpbaar grote fraude mogelijk is. In eigen land zijn er evenzeer voldoende recente voorbeelden uit allerhande sectoren. De klassieke casus voor België is het welbekende Lernaut en Hauspie5 (De Morgen, 2014). Twee aanzienlijke zaken binnen het bankwezen zijn Fortis6 (Condijts et al., 2009) en Dexia7
1
Enron was een Amerikaans energiebedrijf die begin 2000 failliet werd verklaard, ten gevolge grootschalige systematische interne fraude. Onder meer door belastingsontduiking, het opzetten van spookbedrijven en diverse dochterondernemingen (Healy & Palepu, 2003). 2
Arthur Anderssen, de firma die de accountancy voor zijn rekening nam ging bijgevolg ook over kop. De fraude was te groot was om onopgemerkt te blijven en aldus een rol heeft gepleegd in het negeren van de fraude in plaats van dit te rapporteren (Healy & Palepu, 2003). Nick Leeson heeft in de jaren ’90 gefraudeerd binnen het Britse Barings bank. Ten gevolge van zijn daden werd Barings Bank failliet verklaard (Greener, 2006). 3
4
Jerome Kerviel eigenhandig heeft een miljardenfraude gerealiseerd bij de Franse bank: Société Generale (SG) door de verhandeling van effecten op de markt (Van Erp et al., 2008). 5
De oprichters van het spraak technologisch bedrijf, hebben zich schuldig gemaakt aan het opzetten van spookbedrijven en boekhoudkundige tegenstrijdigheden, met als doel een hogere beurskoers te realiseren. Beleggers en aandeelhouders investeerden in een ‘lege’ doos (De Morgen, 2014). 6
Het Fortis-debacle ontstond in 2008 toen aandeelhouders gewag maakten van fraude binnen de instelling. Fortis wilde samen met 2 externe buitenlandse partners, ABN AMRO overnemen en daar was kapitaal voor nodig. Er heerste het vermoeden dat de jaarrekeningen bewust positiever werden gepresenteerd dan ze in werkelijkheid waren. Deze misleidende voorstelling zorgden ervoor dat (potentiële) beleggers en aandeelhouders extra investeerden in de instelling, wanneer het al te laat was (Condijts et al., 2009). Er werd een gerechtelijk onderzoek opgestart.
2
(Claerhout, 2014). De focus van deze scriptie situeert zich niet op voorgenoemde casussen, deze bevinden zich immers op meso- en macroniveau (Hebberecht, 2012). Deze schandalen worden vaak gerealiseerd door een rooskleurige voorstelling van boekhoudkundige manipulaties8. Beleggers, aandeelhouders, particulieren én de onderneming zelf worden misleid en bedrogen. De focus van dit werk ligt op het microniveau. Denk dan bijvoorbeeld aan een kantoorhouder van een bank die, al dan niet, systematisch een of meerdere klanten rechtstreeks bedriegt, besteelt en/of misleidt en bijgevolg ook de onderneming. Wanneer de aandacht wordt gericht op enkele mediatieke bronnen zijn voorbeelden van interne fraude binnen het bankwezen op microniveau legio. Onderstaande titels illustreren een greep uit het aanbod van verschillende kranten: “Kantoorhouder pluimt spaarders”, (Darragas, 2007). “Frauderende bankdirecteur riskeert veertig maanden cel”, (Foubert, 2011). “Bankier stal jarenlang van rijke weduwe”, (Houwen, 2015). “Frauderende bankdirecteur gaf geld van klanten uit aan coke en hoertjes”, (Rosquin, 2011). “Filiaalhouders Dexia verduisteren geld van klanten”, (De Standaard, 2008). “Fortis bankier steelt 3 miljoen van klant”, (Het Laatste Nieuws, 2013). “Frauderende bankdirecteur ontkomt met milde straf”, (De Standaard, 2008). “700 spaarders voor miljoenen opgelicht”, (De Morgen, 2015).
Bovenstaande titels verduidelijken het actueel probleem van interne fraude binnen bancaire instellingen. Bovendien is dit slechts een greep van de bekend gemaakte zaken, die deel 7
Door de financiële crisis van 2008 verloor Dexia een groot vermogen aan kapitaal. Er werd een kapitaalinjectie gerealiseerd die geheel niet conform was aan de regels binnen het bankwezen. Slecht bestuur van het management en misleidende informatie zorgden uiteindelijk voor de val van de bank (Claerhout, 2014). 8
Boekhoudkundige regel: Activa = Debet + Eigen kapitaal (Nobles et al., 2014). Met de activa wordt het geheel van bezittingen van de onderneming bedoeld. De activa worden uitgedrukt in het bedrag die deze bezittingen vertegenwoordigen (cash, grond, gebouwen, kantoormateriaal, bedrijfswagen et cetera). De debet is de schuld die het onderneming bij een derde heeft (Renovatiewerken aan het kantoorgebouw en de schuld wordt pas afgelost binnen X bepaalde tijd) en/of de schuld die een klant bij de onderneming heeft (Klant zijn bestelde goed geleverd gekregen, maar nog niet betaald).
3
uitmaken van een strafrechtelijke procedure. Interne fraude wordt gekenmerkt door het confidentieel karakter (PWC, 2014). Dit confidentieel karakter is te wijten aan verschillende factoren waaronder de bescherming van de privacy (Privacywet, 1992), het bedrijfsimago en bijgevolg het vertrouwen van de klanten (O’Gara, 2004). Indien er geen strafrechtelijke inbreuken zijn gesteld, wordt interne fraude bijgevolg herhaaldelijk binnenshuis afgehandeld. Ongetwijfeld dient men in dit studiedomein rekening te houden met het dark number. Zowel op vlak van strafrechtelijke vervolgingen, interne afhandelingen en diegenen die door de mazen van het net vallen. Interne fraude is (helaas) big business. In elk van de boven vermelde gevallen waren er verschillende interne controleorganen actief. Het Three Lines of Defence model (2010) (Dries et al., 2011) was in het merendeel van de gevallen al geïmplementeerd. Er was controle actief op de eerste lijn, rechtstreekse supervisie door de onmiddellijke hiërarchie; de tweede lijn; interne controle en de derde lijn; de Interne Audit. Ondanks deze controlemechanismen is er toch interne fraude, onafhankelijk van elkaar, voorgevallen binnen verschillende instellingen. Opvallend aan de voorgenoemde koppen is het gemeenschappelijk element; het gaat telkens om om zelfstandige bankagenten en kantoren gaat. We kunnen dit in zekere zin zien als “fraude op afstand” (Cressey, 1953): de eerstelijnscontrole is aanwezig, maar de tweede en derde lijn bevinden zich voornamelijk op afstand, in de hoofdzetel van de financiële instelling. Tegelijkertijd bewijst het 3LoD-model onmiddellijk zijn onmisbare waarde, want de interne fraudes zijn wel degelijk gedetecteerd. Maar kan (Interne) Audit, naast de detectie van interne fraude, deze pogen te voorkomen of tot een minimum te beperken –100% voorkomen is immers een utopie- aan de hand van preventiemechanismen an sich?
Handhaving en bestrijding Binnen België is het onderzoek naar de combinatie van de fenomenen fraude, de laatste jaren aan een heuse opmars bezig. De komst van de “forensic accountant” wijst eveneens op een toename van fraude binnen organisaties en instellingen. (Verhage et al., 2010). Daarenboven wordt door de komst van dit “nieuwe” beroep, meteen het debat geopend op de bestrijding en handhaving van het fenomeen. Zet een onderneming de eigen dienst in, zoals bijvoorbeeld de Interne Audit? Of klopt men aan bij de private opsporing, zoals privédetectives en 4
consultancybureaus gespecifieerd in ‘fraude binnen ondernemingen’? Of nog, kiezen ze voor de legitieme handhaver: de politie?
Onderzoeksvragen De centrale onderzoeksvraag in deze scriptie luidt als volgend: Kan een Interne Audit bijdragen aan de preventie van interne fraude binnen financiële instellingen in België? Deze onderzoeksvraag wordt opgesplitst in meerdere bijvragen om een adequaat antwoord op de centrale onderzoeksvraag te vormen. -
Welke is de doelstelling (primair en secundair) van Interne Audit?
-
Welke zijn de voordelen en beperkingen van een Interne Audit?
-
Welke maatregelen kunnen er genomen worden tegen interne fraude binnen financiële instellingen?
-
Welke zijn de trends van interne fraudes binnen financiële instellingen?
-
Op welke wijze kan interne fraude gedetecteerd worden?
-
Welke zijn de mogelijke sancties op interne fraude?
In dit werk wordt de focus grotendeels gelegd op de Interne Audit. De externe audit is zeker niet minder belangrijk en verdiend minstens evenveel aandacht. Wegens pragmatische redenen, met als hoofdelement het korte tijdsbestek van deze scriptie, werd echter gekozen om één element van de Audit onder de loep te nemen en slechts kort stil te staan bij de externe audit. De tweede klemtoon in dit werk ligt op interne fraude. Reden daarvoor is omdat een Intern Auditdepartement de eigen organisatie doorlicht en controleert. Het eigen bedrijf, derhalve, de werknemers, zijn het voorwerp van controle. Daarenboven is fraude gepleegd door leden van een organisatie –interne fraude- de meest voorkomende fraude. Deze interne fraude is heel vaak van een groot kaliber, zowel in grootte als de kostprijs (Wells, 2011). Derde en laatste focus in dit werk ligt op financiële instellingen, met andere woorden het 5
bankwezen. Deze nadruk is onder meer gekozen door de woelige periodes die financiële instellingen de laatste jaren ondervinden, met de financiële crisis uit 2008 als koploper. Om de bovenstaande centrale onderzoeksvraag uitvoerig te beantwoorden zal het eerst luik; het theoretisch luik, aanvatten met de afbakening, definiëring en operationalisering van de gebruikte terminologie
en
methodologie.
In een daaropvolgende fase zal een literatuurstudie de huidige kennis en het landschap over het auditfenomeen in kaart te brengen. Enerzijds wordt er aandacht besteed aan zowel het historisch als het wetgevend kader van de audit binnen België. Het auditfenomeen in onze omringende buurlanden en de Verenigde Staten wordt eveneens onderworpen aan een analyse en vergeleken met de Belgische situatie. Er wordt stil gestaan bij de verschillende visies en methodes die van toepassing zijn op de Interne Audit en op welke wijze deze methodes optimaal kunnen worden ingezet om (interne) fraude te voorkomen en op te sporen. Anderzijds krijgt de groei van interne fraude binnen de publieke en private sector tevens aandacht in deze scriptie. Er wordt nagegaan welke soorten interne fraude populair zijn, hoe deze te voorkomen, te detecteren en te sanctioneren. Het profiel van de werknemer –op microniveau- die interne fraude pleegt wordt van naderbij bekeken, alsook de reden om te frauderen. Zoals Wells (2001) zei: “It’s either greed or need”. Het empirisch luik bestaat uit kwalitatief onderzoek. Deze is een kleinschalig, exploratief en diepgaand onderzoek en wordt uitgevoerd door het afnemen van open diepte interviews (Decorte & Zaitch, 2010) met experten op het vlak van Interne Audit. De respondenten zijn opgedeeld in twee categorieën: respondenten actief werkzaam binnen Interne Audit en respondenten actief op het audit terrein van externe audit, beide toegepast op financiële instellingen. Deze opsplitsing wordt gemaakt ten einde een vergelijking mogelijk te maken. Door de moeilijkheidsgraad om deze respondenten te bereiken zal de verwachting van het aantal respondenten tussen de vijf en acht liggen. Het kwalitatief onderzoek beoogt een diepgaande analyse uit te voeren om een beeld te krijgen op het auditfenomeen. Aan de hand van de diepte interviews, beoogt deze masterproef dus een visie te krijgen hoe Interne Audit binnen financiële instellingen te werk gaat en op welke manier dit, al dan niet, kan bijdragen tot de preventie van interne fraude. Verder wordt er nagegaan om verschillende soorten fraudes in kaart te brengen, de preventie en detectie van interne fraude, welke sanctionering er, al dan niet volgt, en het profiel van de werknemer in kwestie. 6
De bevindingen van het kwalitatief onderzoek zullen vervolgens teruggekoppeld worden aan de literatuurstudie en toegepast worden om een antwoord te formuleren op de onderzoeksvraag en aanbevelingen te formuleren. Deze masterproef beoogt geen generaliseerbaarheid, onder meer te wijten aan het beperkt aantal respondenten (Decorte & Zaitch, 2010). Evenwel laat dit gering aantal respondenten het toe, om een diepgaande en kwaliteitsvolle analyse uit te voeren. De resultaten van deze analyse dienen echter met enige voorzichtigheid worden benaderd, deze is immers niet representatief voor het volledige auditlandschap binnen het bankwezen in België. Dit exploratief onderzoek kan zeker wel de aanzet geven tot kwantitatief onderzoek, die statistische generaliseerbaarheid beoogt. De theoretische relevantie van dit werk situeert zich voornamelijk in de literatuurstudie. Er wordt een synthese gegeven van de bestaande literatuur omtrent het Fraudit fenomeen binnen België en in het buitenland. Er is in Vlaanderen weinig diepgaand onderzoek naar de effectieve werking van een intern auditdepartement, binnen de publieke en private sector. Hoofdreden is het confidentieel karakter van de Interne Audit (De Beelde, 2002), die gerespecteerd moet worden. Het spreekt voor zich dat de procedures en checklists die gebruikt worden bij een Interne Audit, niet publiek worden gemaakt. Iemand die binnen een bedrijf bijvoorbeeld oneerlijke praktijken hanteert en zich schuldig maakt aan fraude, zou op deze manier, de publiek gemaakte gegevens kunnen aanwenden in zijn voordeel en andere methodes gebruiken om de frauduleuze werkwijze verder te zetten. Belangrijk om te onthouden is dat dit werk dus helemaal niet het doel nastreeft om de gebruikte interne auditprocedures- en checklists achterhalen. Wel tracht deze scriptie een antwoord te formuleren op de vraag centrale onderzoeksvraag van dit eindwerk. Het is op dit domein, dat de praktische relevantie zich onder meer situeert. Een tweede reden naar het weinige empirisch onderzoek naar Interne Audit departementen, is te wijten aan de moeilijkheidsgraad om experten te vinden en te contacteren9. Lukt deze eerste stap, staat de onderzoeker voor een tweede uitdaging: de respondenten effectief “warm” 9
Zoals ook in deze scriptie het geval is.
7
maken om medewerking te verlenen aan het onderzoek. Deze medewerking is afhankelijk van verschillende factoren zoals de toestemming van het (top)management, de goodwill, interesse, en tijd van de respondenten. Ondanks deze uitdagingen, kan dit werk praktisch relevant zijn voor de respondenten zelf, de publieke en private sector, alsook voor beleidsmakers. De resultaten van dit onderzoek kunnen bijvoorbeeld –in zeer beperkte mate- aangewend worden om een vergelijking te maken met andere bedrijven en alsook de eigen werking te herzien. Deze scriptie is opgedeeld in twee grote luiken. Het eerste deel omvat het theoretisch luik. Het eerste hoofdstuk bevat de operationalisering van de concepten die centraal staan in dit werk: audit, fraude en financiële instellingen. Interne Audit en interne fraude worden uitvoerig besproken. Er wordt kort stil gestaan bij externe audit en externe fraude. Het tweede hoofdstuk vormt een uitvoerig literatuuroverzicht betreffende het historisch, wettelijk en deontologisch kader van de (interne) audit en het Tree Lines of Defence model. Het derde hoofdstuk focust op enkele criminologische inzichten: de fraudedriehoek (Cressey, 1953) en de Rationele keuzetheorie (Cornisch & Clarke, 1986) en een leer uit de economie, de Agencytheorie (Jensen & Meckling, 1976). Deze worden geanalyseerd en toegepast op Interne Audit en interne fraude binnen financiële instellingen. Het tweede luik, het empirisch luik, start met hoofdstuk vier die een uiteenzetting bevat van het onderzoeksdesign en de gebruikte kwalitatieve methode. In hoofdstuk vijf worden de onderzoeksresultaten weergegeven door middel van citaten. Deze onderzoeksresultaten worden vervolgens uitvoerig besproken, geïnterpreteerd en geanalyseerd. Het laatste hoofdstuk dient als sluitstuk van deze verhandeling. De centrale onderzoeksvraag en bijvragen worden in deze rubriek beantwoord. Er wordt stil gestaan bij de beperkingen, een besluit gevormd en eveneens worden er enkele beknopte aanbevelingen geformuleerd.
8
DEEL 1: THEORETISCH LUIK HOOFDSTUK 1: AFBAKENING EN BEGRIPSVERDUIDELIJKING 1.1. Inleiding De gebruikte methodologie voor de literatuurstudie wordt uiteengezet. Vervolgens worden de centrale concepten afgebakend en verduidelijkt. Respectievelijk worden de Audit, zowel intern als extern, fraude, eveneens intern als extern én de financiële instellingen uiteengezet.
1.2. Methodologie De literatuurstudie is een primordiaal element van deze masterproef en vormt de hoeksteen van het theoretisch luik. De begripsafbakening, definiëring en operationalisering van de gebruikte terminologie, is een eerste belangrijk onderdeel van de literatuurstudie. Verder werd de nationale en internationale literatuur geconsulteerd, teneinde de huidige kennis omtrent het studiedomein van deze scriptie te bewerkstelligen. De
geconsulteerde
boeken
en
zijn
voornamelijk
afkomstig
uit
de
centrale
universiteitsbibliotheek van de VUB10, de verschillende universiteitsbibliotheken van de UGent en enkele van de UA. De dienst “interbibliothecair leenverkeer” heeft het mogelijk gemaakt om deze boeken uit de verschillende universiteiten te raadplegen. Via Unicat11 werd de standplaats van de boeken, over de verschillende universiteiten heen, gelokaliseerd. De bestudeerde tijdschriften en tijdschriftartikels werden eveneens via de verschillende bibliotheken geraadpleegd en gelokaliseerd via de databank Antilope12. Alsook werden de databanken Web of Science en Aleph aangewend, waarvan de relevante literatuur online in full text beschikbaar werd gesteld.
10
Pleinlaan 2, 1050 Etterbeek.
11
Union Catalogue of Belgian Libraries.
12
Belgian Union Catalogue for periodicals.
9
Tot slot werd er, in beperkte mate, gebruik gemaakt van diverse bronnen uit de praktijk. Deze zijn opgesteld door consultancybedrijven, voor personen actief in het werkveld van de auditsector. Voorbeelden zijn KPMG en PWC. Eveneens werden twee beroepsorganisaties geconsulteerd: Het Instituut voor Interne Auditors (IIA) en het Instituut voor Forensische Audit (IFA).
1.3. Terminologie 1.3.1. De Audit De term auditing verwijst integraal naar controle. Er is een duidelijke controledimensie aanwezig in deze activiteit (Dries et al., 2011). De primaire doelstelling van een audit is de controle van allerhande processen. Welke processen dit precies zijn, hangt af van de insteek van de audit: intern of extern. Interne Audit is verantwoordelijk voor het risico- en controlebeheer binnen de onderneming, over verschillende entiteiten heen. Een externe audit wordt uitgevoerd door een onafhankelijke, derde partij: de externe bedrijfsrevisor. Deze kijkt de financiële gezondheid van een onderneming na, alsook de betrouwbaarheid van de jaarlijkse rapportering (De Beelde, 2002). Verder bestaan er specifieke audits gericht op een bepaald aspect of eenheid. Denk aan een managementaudit of overheidsaudit. (De Beelde, 2002; Dries et al., 2011). Deze scriptie verdiept zich in de Interne Audit en staat kort stil bij de externe audit. Allereerst wordt er een uiteenzetting gegeven over de audit in zijn geheel. In 1973 definieerde de American Accounting Association (AAA) audit als volgend: “Een systematisch proces waarbij op objectieve wijze bewijsmateriaal verzameld en geëvalueerd wordt m.b.t. veronderstellingen over economische feiten en handelingen, om na te gaan in hoeverre deze veronderstellingen overeenstemmen met vastgestelde criteria; de resultaten van dit onderzoek worden meegedeeld aan geïnteresseerde gebruikers.” Een eerste klemtoon ligt op het “systematisch proces”. Alle auditactiviteiten dienen elkaar logisch en gestructureerd op te volgen (Dries et al., 2011). Deze voorschriften dienen in elke audit telkens op consistente en consequente wijze worden gerealiseerd (De Beelde, 2002)
10
Tweede element is de objectiviteit waaraan de audit, alsook de auditor, moet voldoen. Deze objectiviteit gaat gepaard met onafhankelijkheid, eveneens gekoppeld aan de audit en de functie als auditor (Dries et al., 2011). Deze objectiviteit impliceert validiteit en betrouwbaarheid (De Beelde, 2002). Validiteit behelst effectief meten wat men beoogt te meten (Billiet & Waege, 2010). Verder dient de auditor de uitgevoerde audit gedetailleerd te staven, aan de hand van voldoende documentatie en de gebruikte auditmethode. Op deze wijze wordt controle op de resultaten verwezenlijkt. Betrouwbaarheid wordt door Decorte & Zaitch (2010) omschreven als “de stabiliteit of consistentie van verschillende metingen van hetzelfde fenomeen”. Eenzelfde audit zou bijgevolg door verschillende auditors, onafhankelijk van elkaar, dezelfde resultaten dienen te bekomen. De “economische feiten en handelingen” zijn een derde accent in bovenstaande definitie. De harde kern van de (externe) audit is de specifieke doorlichting van de boekhouding. Dit is een zeer complex proces, wegens het gebruik van heel wat verschillende rekeningen binnen een organisatie (De Beelde, 2002). Een voorbeeld: een financiële instelling heeft een bedrijfswagen aangekocht met een levensduur van 10 jaar. Daarenboven is er een tweede aankoop gedaan van kantoormateriaal (Nobles et al., 2014).
Beide aankopen zijn
fundamenteel verschillend van elkaar. Zodoende zullen deze aankopen op verschillende rekeningen geboekt worden, zodat de balans van het bedrijf behouden blijft. De wagen zal immers verschillende jaren gebruikt worden en dient gedurende tien jaar op de jaarrekening geboekt te worden. Het kantoormateriaal daarentegen, wordt enkel op de jaarrekening van het huidige jaar geboekt. Wanneer de boekhouding van het bedrijf deze aankopen op een verschillende methode boekt, dan de gebruikte methode door de auditor, staat deze voor een nog grotere uitdaging (De Beelde, 2002). Laatste element uit de definitie is de “publieke bekendmaking van de auditresultaten”. Onder de geïnteresseerden bevindt zich onder meer het directiecomité, de raad van bestuur van de onderneming bevinden, alsook de publieke opinie. Binnen financiële instellingen kan deze bekendmaking vooral significant zijn voor aandeelhouders en/of de Commissie van het Bank en Financiewezen (De Beelde, 2002).
11
1.3.1.1.
Interne Audit
Interne Audit impliceert riskmanagement. Deze actor dient alle mogelijke risico’s te beheren, aan de hand van uitvoerige procescontroles. Deze controles dienen bepaalde doelstellingen te realiseren, waaronder procesoptimalisatie, hogere efficiëntie en daling van het foutrisico (IIA, 1999). Het frauderisico beheersen vormt een belangrijke secundaire nevenactiviteit van Interne Audit, maar behoort niet tot de primaire doelstelling (Dries et al., 2011). Respectievelijk worden er enige definities besproken. De Interne Audit wordt door het Instituut voor Interne Auditoren (IIA)13 (1999) omschreven als: “Interne audit is een onafhankelijke en op objectieve wijze zekerheid verstrekkende en raadgevende activiteit. Deze is in het leven geroepen om een meerwaarde te bieden en verbetering te bewerkstelligen van de werking van een organisatie. Zij helpt een organisatie bij het realiseren van haar doelstellingen door, via een systematische en gedisciplineerde aanpak, de doeltreffendheid van het risico- en controlebeheer en de beleidsprocessen te evalueren en te verbeteren.” Het IIA (1999) definieert Interne Audit als meer dan louter een controleactiviteit. De raadgevende activiteit is een beduidend element in bovenstaande definitie en zorgt voor een brede invulling van Interne Audit. Via adviesverlening en aanbevelingen kan Interne Audit de doelstellingen van de organisatie helpen te bereiken en te verbeteren waar nodig. De raadgevende activiteit impliceert tevens een meer proactieve aanpak dan alleen maar een reactieve handelswijze. Eveneens wordt de onafhankelijke en objectieve positie van een interne auditor belicht. Sawyer (2003) definieert Interne Audit als volgend: “Internal audit acts as an independent appraisal activity to review operations as a service to the organisation by measuring and evaluating the adequacy of controls and the efficiency and effectiveness of performance. (…) Internal auditors are vitally involved in all matters related to the organisational governance and risks.”
13
Het IIA is een beroepsvereniging voor interne auditors wereldwijd. Actueel heeft ze meer dan 180000 leden uit 190 landen. Binnen de IIA is er een nationale groep van interne auditors per land. Voor België is dit ‘IIABEL’.
12
Sawyer benaderd Interne Audit vanuit een enge bepaling. De nadruk ligt op de beoordelingsactiviteit -appraisal activity-. Er wordt beperkte aandacht besteedt aan de raadgevende activiteit die aan bod komt in de definiëring van het IIA (1999). Genomen controlemaatregelen worden onderzocht, alsook efficiëntie en effectiviteit. Daarnaast speelt Interne Audit een sleutelrol in het bestuur –governance- en risicobeheer van de organisatie. Het interne auditdepartement is bijgevolg verantwoordelijk om op geheel (a) onafhankelijke, (b) objectieve en (c) neutrale wijze controles binnen de onderneming uit te voeren. Interne Audit rapporteert rechtstreeks aan het Auditcomité om de onafhankelijkheids-, objectiviteitsen neutraliteitsfunctie te respecteren (De Beelde, 2002). Daarenboven beschikt het Intern Auditdepartement binnen elke instelling over een auditcharter14. In dergelijk charter worden onder meer de gebruikte methode(s) van Interne Audit, hun positie binnen de onderneming en de relatie tot het Auditcomité toegelicht. Verder worden de ethische waarden en normen waar de Intern Auditor zich dient te identificeren opgesomd alsook de relatie van Interne en Externe Audit (Sarens et al., 2009). 1.3.1.2.
Externe Audit
Een externe of financiële audit wordt uitgevoerd door een onafhankelijke derde partij (Porter et al., 2008). Doelstelling van de externe audit is de controle en rapportering van de financiële gezondheid van een onderneming. Zo wordt, op geheel objectieve wijze, de actuele betrouwbaarheid van een organisatie in kaart gebracht. Deze verslagen kunnen betekenisvol zijn voor potentiële investeerders, kredietverstrekkers en aandeelhouders teneinde een neutraal beeld te hebben over de instelling en zodoende weloverwogen keuzes te maken (De Beelde, 2002). De financiële audit is niet gericht op de preventie en detectie van fraude (Dries et al., 2011). In de Belgische context wordt de externe audit uitgevoerd door de bedrijfsrevisor (De Beelde, 2002). De bedrijfsrevisor kan een natuurlijke- of een rechtspersoon zijn (Dries et al., 2011). Bekende voorbeelden zijn Deloitte, Ernst & Young, KPMG en PwC15.
14
Een auditcharter wordt driejaarlijks herzien, tenzij er zich een dringende noodzaak voordoet (K.B., 2015).
Deze zijn gekend als ‘The Big Four’ en zijn (inter)nationaal de vier gevestigde waarden met betrekking tot audit, accountancy en consultancy. 15
13
1.3.2. Fraude Fraude kan bondig samengevat worden als misleiding. Bij het horen van de term fraude, wordt er vaak een link gelegd met oplichting, corruptie, witwassen, misbruik et cetera. Het woord “fraude” vindt zijn oorsprong in het Latijn en kan breed vertaald worden als bedrog of schade (Verhage et al., 2010). Fraude is daarom een containerbegrip en afhankelijk van de wijze waarop fraude benaderd wordt, kan de betekenis fluctueren. Fraude wordt juridisch omschreven in het Belgische Strafwetboek onder Art. 496 swb. en valt onder Afdeling III Oplichting en Bedriegerij (Vermeulen, 2006). Kernelementen uit dit artikel zijn het “oogmerk om zichzelf iets toe te eigenen wat aan een ander toebehoort”, “misbruik van vertrouwen” en “gebruik maken van valse hoedanigheden”. Poging tot oplichting en bedriegerij wordt eveneens strafbaar gesteld. Verhage & De Baets (2010) definiëren fraude als “Een verzamelbegrip waaronder verschillende vormen van financieel-economische criminaliteit samenvallen, die één gemeenschappelijk kenmerk hebben: het onder valse voorwendselen verkrijgen van voordelen waarop men geen recht heeft.” Belangrijkste kernelement van fraude is de intentie (Davia et al., 2000). De intentie impliceert dat er tevens een verdachte aanwezig is. Dit is een natuurlijk- of rechtspersoon, met het specifiek doel om onder valse voorwendselen te handelen. Het slachtofferschap kan diverse vormen aannemen, dit kan bijvoorbeeld een particulier of een onderneming zijn. Doch hoeft dit niet telkens een specifiek aanwijsbare persoon (of onderneming) te zijn. Slachtofferschap kan eveneens de vorm aannemen van een entiteit. Schoolvoorbeeld is het milieu als slachtoffer inzake milieucriminaliteit (Hebberecht, 2012). Aangaande financiële en economische criminaliteit is het grootste slachtoffer vaak de volledige samenleving, zowel op politiek, economisch als sociaal vlak (Hoogenboom, 1995). Dientengevolge slachtofferschap
kan
fraude
(overheid,
op
verschillende onderneming,
wijzen
benaderd
werknemers)
worden en
omtrent
daderschap
(organisatiecriminaliteit, werknemerscriminaliteit, wittenboordencriminaliteit) (Cools et al., 2005).
14
1.3.2.1.
Interne Fraude
Het ACFE16 (2006) definieert interne fraude binnen ondernemingen als volgend: "The use of one’s occupation for personal enrichment through the deliberate misuse or misapplication of the employing organization’s resources or assets." Bovenstaande definitie focust op het misbruik van de middelen die een organisatie ter beschikking zet voor de werknemers. Onder werknemer begrijpen we in dit werk zowel de arbeider, bediende, manager, kaderlid als directielid. Interne fraude wordt doorgaans opgedeeld in twee vormen: financiële fraude en misleiding betreffende de activa (Hillison et al., 1999). Onder financiële fraude valt bijvoorbeeld het misleidend voorstellen van de jaarrekeningen, de financiële situatie van een onderneming verkeerdelijk naar buiten brengen en verduistering van geldelijke fondsen. De externe bedrijfsrevisor dient dergelijke fraude in principe op te merken, bij de controle van de jaarrekeningen. Verder is er de fraude aangaande de activa. Dit kan heel erg ruim gepercipieerd worden. Denk onder meer aan het stelen van kantoormateriaal, het inbrengen van verkeerde onkostennota’s en het aanwenden van professioneel budget voor privégebruik. Interne fraude binnen de publieke en private sector onderscheid zich in volgende vormen (O’Gara, 2004)17: A. Management pleegt fraude tegen de onderneming, het witwassen van middelen en afwijkingen op de jaarrekening presenteren B. Fraude plegen voor de onderneming, onder de vorm van witwassen van geld en de jaarrekening niet correct voorstellen. C. Fraude plegen tegen de onderneming, kan voorkomen onder de vorm van corruptie. D. Fraude plegen tegen de onderneming, door het misleidend voorstellen van activa of activa te stelen.
16
De Association of Certified Fraud Examiners is de autoriteit op internationaal vlak inzake fraudebestrijding en spitst dit onder meer toe op de bedrijfscontext (www.acfe.com). 17
Dit is een niet-limitatieve lijst.
15
Opeenvolgend worden een aantal (niet-limitatieve) voorbeelden gegeven van mogelijke interne fraude, toegepast op de financiële wereld. Zo is er payrollfraude, waar de werknemer zijn loonfiche kan manipuleren in zijn voordeel, bijvoorbeeld middels het voorleggen van frauduleuze diploma’s. Of het vervalsen van de verkoopcijfers om een hoger variabel loon te ontvangen. Het falsificeren van vakantiedagen of extra vakantiedagen opnemen is een andere voorbeeld. Of nog, de vermeende zieke of arbeidsongeschikte werknemer, die wordt uitbetaald door de werkgever (tot een bepaald percentage) en/of de mutualiteit. Klassiek voorbeeld is allicht de kasfraude of het stelen van bepaalde activa. Cateringfraude is een volgende illustratie, waar de werknemer niet of te weinig betaald voor een maaltijd in het bedrijfsrestaurant. Kortom, interne fraude kan oneindig vele vormen aannemen, afhangende van de inventiviteit en wil van de fraudeur. 1.3.2.2.
Externe Fraude
Externe fraude wordt gepleegd door een derde, bijvoorbeeld een klant of particulier van een onderneming (Verhage & De Baets, 2010). Verzekeringsfraude is hier een voorbeeld van: iemand kan bijvoorbeeld een onbestaand goed laten verzekeren of dit als ‘gestolen’ opgeven en de premie incasseren. Of nog, binnen het bankwezen: het vervalsen van loonfiches om een krediet of kredietkaart te verkrijgen bij een kredietverstrekker. Deze twee bovenstaande voorbeelden illustreren de bank als slachtoffer. Doch zijn de klanten van de bank eveneens vaak slachtoffer, bijvoorbeeld inzake phishing18 of identiteitsdiefstal (Verhage & De Baets, 2010).
1.3.3. Fraudit: Forensic/Fraud Audit De term Fraudit krijgt men door de samenvoeging van de concepten audit en fraude (cf. supra). Een forensische audit focust zich op het specifiek onderzoek en detectie van mogelijke fraude(s) (IFA, 2001).
18
Phishing is een vorm van internetfraude waarbij op onrechtmatige wijze bankgegevens van iemand worden verkregen, om deze daarna te misbruiken (Verhage et al,. 2010).
16
Het IFA (2001) omschrijft de forensische audit als volgend: “Fraud audit is the activity that consists of the gathering, verifying, processing, analysing of and reporting on data in order to obtain facts and/or evidence – in a predefined context – in the area of legal/financial disputes and or irregularities (including fraud) and giving preventative advice.” De preventieve adviesverlening, met betrekking tot mogelijk irregulariteiten, is een fundamenteel onderdeel van bovenstaande definitie. Fraude als primaire functie behoort eveneens tot kernelement volgens het IFA. In tegenstelling tot Interne Audit, die zich focust op de procescontrole en –optimalisatie en adviesverlening. Pas in tweede instantie wordt het frauderisico opgenomen in de analyse. Den Hartigh (2012) voorziet een summiere definitie: “Frauditing richt zich op het signaleren en effectief terugdringen van risico’s van integriteitsschendingen door met governance belaste functionarissen.” Den Hartigh (2012) bedoelt derhalve de specifieke rol die auditors, zowel intern als extern, mogelijks vervullen bij het onderzoeken van vermeende fraude. Er worden potentiële integriteitsschendingen, corruptiesignalen en mogelijke misleidende informatie nagetrokken. Een forensische audit kan een ondersteunende functie bieden aan de Audit, zowel intern als extern. Want zoals eerder vermeld (cf. supra) is de preventie van fraude een secundaire activiteit van Interne Audit. De primaire doelstelling van Interne Audit situeert zich in de controle en optimalisatie van processen (Dries et al., 2011). De forensische audit daarentegen, stelt het fraudeluik wel als primair doel.
1.3.4. Financiële instellingen De Nationale Bank van België19 (2014) omschrijft het bankwezen als volgend: “De sector financiële instellingen bestaat uit alle vennootschappen en quasivennootschappen intermediairs)
met
en/of
als het
hoofdfunctie verlenen
van
financiële
intermediatie
(financiële
financiële
hulpdiensten
(financiële
hulpbedrijven).” 19
De NBB is de nationale toezichthouder op de Belgische financiële instellingen.
17
Eerste kernelement is de “financiële intermediatie”, waarbij er wordt bemiddeld tussen twee partijen. De eerste partij is deze die financiële middelen tot hun beschikking hebben en deze willen beleggen en dus ter beschikking van de bank stellen. De tweede partij is deze die financiering nodig hebben, bijvoorbeeld onder de vorm van een krediet. Financiële instellingen verlenen kredieten met behulp van de deposito’s, die door de eerste partij ter beschikking van de bank, worden gezet. Deze deposito’s ondergaan een transformatie20 vooraleer deze worden uitbetaald in kredieten naar de tweede partij (Febelfin, 2012). Volgend kernelement is het verlenen van “financiële hulpdiensten”. Voorbeelden zijn onder meer financiële adviesbureaus, investeringskantoren en verzekeringsmaatschappijen. De verkooppunten binnen het bankwezen zijn onderverdeeld in branches en zelfstandige agentschappen of de Point of Sales (POS). Een POS gebruikt de naam van de instelling waarvan ze deel uitmaakt, alsook alle faciliteiten die de instelling tot hun beschikking stelt. Onder meer de aangeboden producten, expertise, trainingen en marketing. Dit blijft echter een zelfstandig agent die zijn persoonlijk kapitaal investeert in de zaak, met eigen werknemers die worden uitbetaald door de agent. Daar waar een branch integraal deel uitmaakt van de instelling en de werknemers rechtstreeks worden aangenomen door HR binnen de hoofdzetel (NBB, 2014).
1.4. Besluit Dit eerste hoofdstuk heeft de gebruikte concepten, die in dit werk centraal staan, grondig uiteengezet, afgebakend en verduidelijkt. Opeenvolgend werden de audit en fraude verduidelijkt, beiden zowel intern als extern. Interne Audit heeft als essentie de controle en optimalisatie van processen, daar waar externe audit zich focust op de controle van de jaarrekeningen. Fraude is een containerbegrip en er moet een duidelijke intentie aanwezig zijn om wangedrag te plegen. Interne fraude situeert zich binnen ondernemingen en worden begaan door werknemers. Bijvoorbeeld een werknemer die verkoopcijfers vervalst, met als doelstelling hogere premies te krijgen bij het variabel loon. Externe fraude wordt begaan door derden, bijvoorbeeld klanten van een financiële instelling die een krediet verwerven aan de hand van frauduleuze loonfiches. Vervolgens werden beide concepten samengevoegd tot 20
Transformatiefunctie van de bank. Deze transformatiefunctie wordt gekenmerkt door drie karakteristieken: transformatie betreffende de schaal, transformatie betreffende de looptijd en risicotransformatie.
18
Fraudit. Deze forensische audit voert specifiek onderzoek gericht op de detectie van irregulariteiten, waaronder fraude. Tot slot werd er een korte verklaring gegeven voor financiële instellingen en werd het onderscheid tussen branch en POS toegelicht.
19
HOOFDSTUK 2: ALGEMEEN OVERZICHT ‘INTERNE AUDIT’ 2.1. Inleiding Navolgend wordt er een algemeen geheel geschetst rond het fenomeen van de Interne Audit binnen de financiële context. We plaatsen Audit, en het ontstaan van de distinctie tussen Interne en Externe Audit, in een historisch perspectief. Vervolgens wordt het wettelijk kader toegelicht, zowel vanuit nationale als internationale context. De gedragsprincipes, waaraan de Intern Auditor dient te voldoen, worden uiteengezet in het deontologisch kader. Verder wordt de hedendaagse rol van Interne Audit verklaard aan de hand van het 3LoD-model. De relatie Intern – Forensisch Auditor wordt nader bekeken. Tot slot worden de controlemechanismen van Audit onderzocht: hard en soft controls.
2.2. Historisch kader Het woord Audit vindt zijn oorsprong in het Latijnse woord audire, die zoveel wil zeggen als “horen” of “luisteren” (Renard, 1994). In het Oude Babylonië en Egypte had Audit, de doelstelling om identieke gebeurtenissen te vergelijken met elkaar. Meerdere partijen tekenden de gebeurtenissen op en via de gelijkenissen en/of verschillen, werd er gepoogd de correctheid en objectiviteit van de rapportering te garanderen (De Beelde, 2002). De eerste bronnen van Audit die het meeste aanleunt bij hoe we de audit vandaag kennen, werden gevonden in het Oude Griekenland rond 350 V.C. (Lee et al., 2008). In de Griekse en Romeinse tijd vergezelde de “Auditor” boodschappers en controleerde deze of de gegeven boodschap, correct werd overgebracht aan de derde partij (Porter et al., 2008). In de Vroege Middeleeuwen en in het Ancien Régime zette de ontwikkeling van de Audit zich verder, wegens de opkomst van complexer wordende maatschappijen. Engeland en de Italiaanse stadstaten gebruikten de Audit om de inkomsten van de staatskas te controleren met als voornaamste doel; de preventie van fraude. (Lee et al., 2008). Doch was de Audit en vooral de Interne Audit in de periode voor de Industriële Revolutie beperkt. Ambachtelijke werkplaatsen werden voornamelijk gerund door familie, bijgevolg was Interne Audit niet nodig (Porter et al., 2008; Lee et al., 2008). 20
De opkomst van de Industriële Revolutie, zorgde voor de groei van het Auditfenomeen tot hoe we het vandaag de dag kennen. Er ontstond een sterke groei op het vlak van economie, mobiliteit, wetenschap en industrialisatie (Porter et al., 2008). Dit ging gepaard met de opkomst van steeds complexer wordende structuren en de basis werd gevormd om privaat eigendom te scheiden van de onderneming (De Beelde, 2002). De staalindustrie bewerkstelligde het ontstaan van de eerste grote bedrijven met een groot aantal werknemers. De vooruitgang van de industrialisatie, had de nood aan grote kapitalen om machines aan te kopen, ingeschakeld (Lee et al, 2008). Via aandelen werden er kapitaalkrachtige investeerders gezocht om de fabrieken op te starten. De Audit was het logisch gevolg om de snel groeiende boekhouding binnen bedrijven bij te houden en te controleren (Lee et al., 2008). Na de economische crisis in de Verenigde Staten -de crash van Wallstreet in 1929 (Renard, 1994)-, was er meer dan ooit nood aan controle (Lee et al., 2008). De jaren die volgden waren er van heropbouw, gekenmerkt door groeiend kapitaal en investeringen om de economie opnieuw draaiende te krijgen. Om kapitaal aan te trekken, kreeg Audit een belangrijke en onontbeerlijke functie binnen een bedrijf. De fraudepreventie- en detectie verdween naar de achtergrond. De Audit werd in de jaren ’30 en ’40 hoofdzakelijk ingezet om de boeken te controleren en de financiële geloofwaardigheid te vergroten naar potentiële investeerders (Lee et al., 2008). De opkomst van beursgenoteerde bedrijven zorgde onder meer voor het ontstaan van de Interne Audit in de Verenigde Staten (Porter et al., 2008). Een tweede, prominentere reden was de onvrede die bestond tegenover de werking van de externe audit (De Beelde, 2002). Aan de hand van interne controle werd er kort op de bal gespeeld binnen ondernemingen en instellingen. Alsook liet Interne Audit het toe om specialisten in te schakelen in de strijd tegen fraude (De Beelde, 2002). Deze evoluties resulteerden in 1941 tot de oprichting van The Institute of Internal Auditing in de Verenigde Staten. In de jaren ’70 kreeg de Interne Audit een duidelijke repressieve en preventieve dimensie (Renard, 1994). De socio-economische context, vanaf de tweede helft van de 20e eeuw, kende een grote technologische groei. Er ontstonden steeds meer grotere ondernemingen waar controle een belangrijker deel van de activiteiten van een bedrijf bevatte. Audit evolueerde naar een riskbased auditing: de auditor focust zich op de activiteiten en departementen van het bedrijf waar de meeste fouten zich kunnen voordoen (Lee et al., 2008). 21
De laatste twee decennia werd Auditing sterk geïnformatiseerd met als gevolg de verlichting van het auditwerk. In deze context werd een tweede belangrijke activiteit van de audit gecreëerd: de onafhankelijke en neutrale adviesfunctie van het auditcomité21 (Porter et al., 2008). De voorgenoemde recente schandalen (cf. supra) hebben ervoor gezorgd dat Audit, zowel intern als extern, meer dan ooit een belangrijke, onafhankelijke en neutrale plaats dient in te nemen. Zowel binnen de publieke en private sector, om nieuwe boekhoudkundige schandalen in de toekomst te vermijden.
2.3. Wettelijk kader 2.3.1. Belgische context 2.3.1.1. Koninklijk Besluit van 5 juli 2015 tot goedkeuring van het reglement van de Nationale Bank van België van 19 mei 2015 betreffende de interne controle en de interne auditfunctie De NBB – de toezichthouder op de financiële instellingen binnen België- heeft een reglement opgesteld betreffende de interne controle en Interne Audit binnen financiële instellingen22 (K.B., 2015). Volgens dit reglement dient Interne Audit onder meer een onafhankelijke en neutrale functie uit te oefenen, integer te handelen, professionele bekwaamheid aan de dag te leggen, een auditcharter op te stellen en over een auditplan te beschikken. Het auditplan komt tot stand aan de hand van een risicoanalyse. Elk departement en activiteit moet minimum eenmaal om de vijf jaar intern geauditeerd worden binnen het bankwezen. Mogelijkerwijs worden risicovolle departementen, bijvoorbeeld een dealerroom, tweejaarlijks geauditeerd daar waar een lage risicovolle activiteit slechts een maal op de vijf jaar wordt geauditeerd (K.B., 2015).
21
Het auditcomité is een subgroep van de managementdirectie. De oprichting van een auditcomité is bij de Wet (2008) verplicht voor kredietinstellingen, verzekeringsinstellingen, beleggingsondernemingen en instellingen voor collectieve beleggingen (B.S., 2008). 22
Het Koninklijk Besluit van 5 juli 2015 tot goedkeuring van het reglement van de Nationale Bank van België van 19 mei 2015 betreffende de interne controle en de interne auditfunctie is op 20 juli 2015 in werking getreden.
22
2.3.1.2. Wet van 17 december 2008 inzonderheid tot oprichting van een auditcomité in de genoteerde vennootschappen en financiële ondernemingen De externe audit is opgelegd door de Vennootschapswet (2008). Deze wet stelt dat middelgrote en grote ondernemingen23 aan een wettelijke controle van de jaarrekening moeten worden onderworpen. 2.3.1.3. Voorontwerp (2013) van wet tot wijziging van de wet van 10 april 1990 tot regeling van de private en bijzondere veiligheid en tot opheffing van de wet van 19 juli 1991 tot regeling van het beroep van privédetective Joëlle Milquet legde als minister van Binnenlandse Zaken (Di Rupo I), in haar beleidsnota van 2013 een wetsontwerp op tafel ter wijziging van de wet op privédetectives van 199124 (Milquet, 2013). Dit wetsontwerp stuitte op veel kritiek vanuit de bedrijfswereld, alsook het bancair landschap (De Standaard, 2013). Toegepast op de financiële instellingen betekent deze hervorming, een quasi onmogelijke werking van de Interne Audit en interne controle zoals ze vandaag de dag bestaat. Concreet zullen de interne controle en Interne Audit vallen onder het domein van “private onderzoekers” (Milquet, 2013) en dienen hiervoor de nodige opleiding en certificering te behalen. Indien er bijvoorbeeld een vermoeden tot fraude zou bestaan, dient de interne controle en Interne Audit de persoon in kwestie, waar er onderzoek naar zal gevoerd worden, allereerst te informeren in kader van de bescherming van de persoonlijke levenssfeer (Privacywet, 1992). Het spreekt voor zich dat deze informatieplicht het luik van preventie en detectie naar interne fraude binnen financiële instellingen teniet doet. 2.3.1.4. Richtlijnen opgesteld door het Bazel Committee on Banking Supverision De samenwerking tussen Interne en Externe Audit worden onder meer vastgelegd door Bazel (2014). Enkele bepalingen zijn regelmatig contact tussen beide entiteiten. Verder dient Externe Audit, onafhankelijk van Interne Audit, de financiële jaarrekening bekend te maken.
23
Onder middelgrote en grote ondernemingen vallen deze die: - personeel die gelijk aan of groter dan 50 is. - jaaromzet (exclusief btw) die gelijk aan of groter dan 7300000€ is. - balanstotaal die gelijk aan of groter dan 3650000€ is. 24
Er is degelijk nood aan een wijziging van deze 20 jaar oude wet en bevat constructieve elementen voor de sector van de private veiligheid.
23
2.3.2. Internationale context 2.3.2.1. Sarbanes-Oxley Act In 2002 werd de Sarbanes-Oxley Act in de Verenigde Staten geïmplementeerd, in navolging van enkele grootschalige boekhoudkundige schandalen op macroniveau: Enron en Worldcom25 (Healy & Palepu, 2003; Zekany et al., 2004). SOX legt de verantwoordelijkheid voor de controlemechanismen, binnenin ondernemingen, integraal bij de directie. Concreet dient de financiële verslaggeving compleet, correct en traceerbaar te zijn. Het topmanagement horen adequate controles aan te tonen, alsook het realiseren van voorzorgsmaatregelen, om net die transparante en betrouwbare verslaggeving te verwezenlijken (Ramos, 2004). Onder meer de verplichte bekendmaking van de jaarlijkse resultaten voor de belanghebbenden, toezicht op de (interne en externe) controles,
correcte certificering en training van
werknemers vallen allen onder SOX. Deze wet wordt doorgevoerd tot de externe auditbedrijven die de pure boekhoudkundige controles voor hun rekening nemen (Ramos, 2004). Sectie 404 van SOX stelt dat: “Issuers are required to publish information in their annual reports concerning the scope and adequacy of the internal control structure and procedures for financial reporting. This statement shall also asses the effectiveness of such internal controls and procedures. (…) The registered accounting firm shall, in the same report, attest to and report on the assessment on the effectiveness of the internal control structure and procedures for financial reporting.” (Ramos, 2004; IIA, 2008). Het jaarlijks gepubliceerde rapport dient zodoende een expliciete en verplichte verklaring te bevatten door de CEO en de CFO, waarin wordt gesteld dat de jaarrekening en de duidingen een correct, getrouw en transparant beeld van de onderneming weergeven (Ramos, 2004). Zo oordeelt de directie bijvoorbeeld over de effectieve doeltreffendheid van de interne controle en de rapportering van de financiën (IIA, 2008). Dit impliceert dat het bedrijfsmanagement in staat moet zijn om expliciete verklaringen aan te reiken voor de financiële rapportering. Men
25
Worldcom, een Amerikaans telecommunicatie onderneming, ging in 2002 eveneens failliet door grootschalige fraude. Na de val van Anderssen (cf. supra), nam KPMG de externe audit over en werden er boekhoudkundige manipulaties geconstateerd: onbestaande inkomsten werden geboekstaafd, de activa werd te hoog voorgesteld en dergelijke meer (Zekany et al., 2004).
24
kan zich zodus niet beroepen op “er geen weet van hebben” ingeval van mogelijke fraude(s). In navolging van het bedrijfsmanagement, dient ook de Externe Audit –Anderssen bij Enron en Woldcom (Healy & Palepu, 2003; Zekany et al., 2004)- een rapport op te maken. De correcte voorstelling van de financiële gegevens van het bedrijf, onderzoek van de interne controle op de financiële verslaggeving door het management en de effectiviteit van deze laatste betreffende interne controle, zijn enkele elementen die opgenomen worden in het eindverslag van Externe Audit (Ramos, 2004). Het oogmerk van deze wet is de bescherming van aandeelhouders door de responsabilisering van de directie binnen een onderneming. Zoals bleek uit bovengenoemde schandalen (cf. supra), was deze verantwoordelijkheid bijna onbestaande in het verleden (Healy & Palepu, 2003; Zekany et al., 2004). SOX is van toepassing op Amerikaanse beursgenoteerde bedrijven en bijgevolg voor de actieve dochterondernemingen gesitueerd in Europa (Ramos, 2004).
2.4. Deontologisch kader Audit –zowel intern als extern- gaat gepaard met beroeps deontologische regels die voorgeschreven worden door de beroepsorganisatie. De globale beroepsorganisatie verbonden aan het vakgebied van Interne Audit is het Instituut voor Interne Auditoren26, nationaal en internationaal (IIA, 2000). Het deontologisch charter is de ethische code waaraan de Interne Auditor moet voldoen, de vooropgestelde regels dient te respecteren en deze toe te passen bij de uitoefening van zijn beroep (Dries et al., 2011). Deze deontologische regels hebben geen wettelijke grondslag, maar stelt een statutair tuchtrecht voorop, betreffende wangedrag of misbruik van het beroep. Dit kan gaan van een waarschuwing tot berisping, als het ontzetten uit het lidmaatschap van de vereniging via tuchtrechtspraak. Opeenvolgend kan er in ernstige casussen eveneens sanctionering volgen door de daartoe voorziene wet- en regelgeving (IIA, 2000). De sanctionering, via tuchtrechtspraak, heeft echter geen rechtstreekse invloed op de uitoefening van het beroep, enkel op het lidmaatschap van de beroepsvereniging. De Intern Auditor kan zijn professie steevast blijven uitoefenen (Stewart & Subrananiam, 2009).
26
Andere beroepsverenigingen zijn het NIVRA en NOREA. NIVRA is een organisatie van toepassing wanneer de Interne Auditor een registeraccountant is. NOREA is een organisatie van toepassing op IT- Interne Auditoren.
25
Het deontologisch Charter van het IIA België omvat vier principes en twaalf gedragsregels (IIA, 2000). De vier principes zijn: A. Integriteit Met integriteit wordt zoveel bedoeld als eerlijk handelen, opnemen van verantwoordelijkheid en het respecteren van de wet. Integriteit is de tegenpool van witwassen, corruptie, misleiding (Hoogenboom, 1995). B. Objectiviteit De Auditor mag zich tijdens de uitoefening van het beroep niet laten leiden door persoonlijke gevoelens of persoonlijke relaties aangaan met mogelijke personen die het onderwerp van onderzoek vormen. C. Confidentialiteit Met confidentialiteit wordt het voor zich houden van geheime informatie bedoeld. Deze informatie dient enkel aangewend te worden in het voordeel van zowel het onderzoek als de wet. Niet om bijvoorbeeld eigen persoonlijk gewin te realiseren. D. Bekwaamheid De Auditor moet in het bezit zijn van degelijke kennis om het beroep uit te oefenen alsook de toelating hebben om de professie uit te voeren. Deze toelating vertaalt zich onder meer in het behalen van bepaalde certificeringen en het volgen van opleidingen en trainingen. Financiële instellingen nemen deze vier bovenstaande waarden van het IIA over in het deontologisch charter des huizes, toegepast op Interne Audit. Alsook kunnen ondernemingen extra primordiale waarden bijvoegen die de instelling typeren, zoals daar zijn waardigheid, nauwkeurigheid en een toelichting van de draagwijdte van het charter (IIA, 2000). Verder wordt vaak de integrale werking van Interne Audit, de principes, de doelstellingen en de partners toegelicht.
2.5. Three Lines of Defence Model Na de financiële crisis van 2008 werd het bankwezen met een nieuwe uitdaging geconfronteerd. The Bank for International Settlements (Bazel III, 2009) stelde navolgend de
26
economische impasse, een nieuwe organisatiestructuur op voor Interne Audit binnen de financiële wereld: Three Lines of Defence27. Deze ging van kracht in 2010. Dit model – Three Lines of Defence (3LoD)- impliceert een duidelijke verdediging die van binnenuit de onderneming komt. Een verdediging voor de onderneming, ingeval fouten worden geproduceerd of nog, met betrekking tot een “aanval” tegen de onderneming, al dan niet van binnen uit. De eerstelijnscontrole –First line of Defence- is een controle die rechtstreeks en simultaan wordt uitgevoerd (Dries et al., 2011) door de managers vanop het eerste echelon, bijvoorbeeld een projectmanager, teamleader of branchmanager. Wordt er een fout opgemerkt, heeft de manager de mogelijkheid om onmiddellijk te reageren. Indien het een menselijke fout is, kan een manager zorgen voor de nodige bijsturing voor de werknemer(s). Indien het een fout in een proces of systeem is, kan de manager feedback geven aan zijn hiërarchisch meerderen, bijvoorbeeld naar de tweede- of derdelijns controle. De eerste lijn wordt geïdentificeerd als de Business. Deze omvatten de dagdagelijkse activiteiten van een onderneming (IIA, 2013). Voor een financiële instelling zijn dit bijvoorbeeld de werking van zelfstandige agentschappen en branches of de klantendienst van een bank of verzekeringsinstelling. Tot de tweedelijnscontrole –Second line of Defence- behoren specifieke departementen waaronder
Investigation, Inspection en Compliance (IIA, 2013). Deze ondersteunen,
coördineren en adviseren de eerste lijn in de integraliteit van haar taken (Dries et al., 2011). Deze lijn waakt aldus over het functioneren van de gehele eerste lijn. Er wordt nagekeken of alle verantwoordelijkheden (correct) worden opgenomen? Hoe wordt er omgegaan met fouten? Worden fouten gemeld? Wordt er voorzien in eventuele bijscholing voor de werknemers? Worden inadequate procedures geoptimaliseerd? Naast de directe en uitgestelde controle op de eerstelijnsfuncties heeft de tweede lijn eveneens de opdracht om doorgedreven risk assesments, als beleidsvoorbereidende taken uit te voeren (Dries et al., 2011; IIA, 2013). De derde lijn –Third line of Defence- tot slot, is het werkveld van Interne Audit, het hoogste controleorgaan binnen een financiële instelling. De derde lijn is een geheel autonome, onafhankelijke, neutrale en objectieve entiteit en heeft bijgevolg geen operationele verantwoordelijkheden (IIA, 1999). Interne Audit voert de globale controle uit over de eerste
27
Bijlage 1.
27
en de tweede lijn, alsook de interactie tussen deze twee actoren (IIA, 2013). Processen en systemen worden gecontroleerd, aanbevelingen geschreven en rechtstreekse rapportering aan het
auditcomité
gerealiseerd
(Dries
et
al.,
2011;
Febelfin,
2014).
Aan de hand van een risk assesment, stelt de derde lijn een jaarlijks auditplan op. Dit auditplan bevat de te auditeren departementen, met zijn mogelijke verbonden risico’s. De regelmaat en frequentie van een Interne Audit is afhankelijk van het risiconiveau van de verschillende departementen binnen de financiële instelling. Een risicovol departement, bijvoorbeeld een dealerroom, kan bijvoorbeeld tweejaarlijks geauditeerd worden. Een afdeling met een lager risicogehalte, bijvoorbeeld een kan om de vijf jaar het onderwerp vormen van een Interne Audit.
2.5.1. Kritiek op Three Lines of Defence Het 3LoD-model is een model die binnen de financiële instellingen in België en in Europa gehanteerd wordt (Bazel III, 2010). Doch komt er vanuit sommige hoeken de bemerking dat het een te complex model is, die enkel rekening houdt met een doorgedreven controle van processen en functiescheiding (Paape, 2014). Waar zijn de mensen gebleven in het verhaal? Is er nog sprake van sociale controle en überhaupt vertrouwen? Het 3LoD oogt inderdaad mooi in theorie, maar verloopt dit in de praktijk effectief ook zo? Management op de eerste lijn moeten naast controlenormen, immers ook voldoen aan vaak torenhoge commerciële targets. Ingeval het maken van fouten of inefficiënties, kan het gebeuren dat dit niet meteen gemeld wordt (Paape, 2013). Weerwoord op deze kritiek is dat net daarom, de tweede en in een latere fase ook de derde lijn aanwezig is. In kleinere organisaties kan deze scheiding tussen de eerste en tweede lijn eerder flou zijn (IIA, 2013).
2.6. Relatie Interne Audit - Forensische Audit Een Intern Auditor is niet vanzelfsprekend een forensisch auditor. Via certificering kunnen deze functies echter geïntegreerd worden. In hoeverre de necessiteit aanwezig is om beide functies te vereenzelvigen is nog maar de vraag (Pollock & Sumner, 2009). Een Intern Auditor werkt immers voor de onderneming zelf en is op de hoogte van alle gehanteerde processen binnen de instelling. Hoe onafhankelijk, autonoom en objectief kan een Intern Auditor dan fraude detecteren of voorkomen? En indien er fraude wordt vastgesteld, hoe kan dit op objectieve en neutrale wijze worden gerapporteerd? De forensisch auditor daarentegen, 28
is specifiek gericht op het onderzoek en de rapportering van onregelmatigheden (Den Hartigh, 2007). Doch voldoen beide functies aan het deontologisch charter van de Audit. Een Intern Auditor vereenzelvigd zich evenzeer, net zoals een forensisch auditor, met bepaalde waarden, waaronder integriteit, bekwaamheid, confidentialiteit en objectiviteit (Den Hartigh, 2007). In dit raamwerk is de Interne Auditor derhalve capabel om fraudeonderzoek binnen de eigen financiële instelling uit te voeren.
2.7. Harde controle versus soft control Tot
de
harde
controle
behoren
duidelijke,
tastbare
en
vaak
geautomatiseerde,
geïmplementeerde controles (Weber, 1999). Functiescheiding en duale controle bijvoorbeeld. De organisatiecultuur van een onderneming en het publiceren van een ethische code behoort er evenzeer toe. Deze zijn relatief makkelijk zichtbaar en behoren tot de essentie van de Interne Audit -procesefficiëntie en proces optimalisatie- en zijn meetbaar. De “zachte” controle daarentegen is een onuitgesproken, subjectieve, niet tastbare en moeilijk meetbare controle (Hartig & De Korte, 2003). Het betreft sociale controle, bedrijfscultuur, motivatie, maar evenzeer de waarden waar een persoon zich zowel op professioneel als persoonlijk vlak mee identificeert. Denk aan integriteit, zin voor moraal en ethiek (Weber, 1999). Welke controle is nu op vlak van interne fraude het effectiefst? Zoals vaak ligt het antwoord waarschijnlijk in het midden, het is geen of/of verhaal. Een onderneming dient beide vormen van controles om risico’s te beperken (Hartig & De Korte, 2003).
2.8. Besluit Dit tweede hoofdstuk heeft Audit in een historisch kader geplaatst. De ontstaansvorm van de Audit werd besproken, alsook de evolutie van Audit naar Interne en Externe Audit. De wettelijke grondslag voor de audit werd in nationaal perspectief als internationaal perspectief toegelicht. Verder werd het deontologisch kader van de Intern Auditor toegelicht met zijn vier basisprincipes: integriteit, objectiviteit, confidentialiteit en bekwaamheid. Het 3LoD-model, geïmplementeerd door Bazel III (2009) in 2010, werd geanalyseerd. De verschillende controleniveaus (eerste, tweede en derde lijn) zouden binnen financiële instellingen verschillende risico’s moeten voorkomen, waaronder het fout- en het frauderisico. Er werd 29
beknopt stil gestaan tussen de relatie Interne en forensische Audit. Tot slot werd een vergelijking gemaakt tussen hard controls en soft controls (sociale controle).
30
HOOFDSTUK 3: FRAUDIT 3.1. Inleiding Via enkele theoretische inzichten bouwt dit hoofdstuk een theoretisch raamwerk op. Deze paradigma’s worden aangevuld met internationaal onderzoek. De typologie van intern fraudeurs wordt aangekaart, alsook hun drijvende factoren.
3.2. Theoretisch raamwerk 3.2.1. De Fraudedriehoek Om fraude beter te begrijpen wordt er in dit werk gebruikt gemaakt van Cressey’s fraudedriehoek (1953). Cressey’s onderzoek mag dan wel al ruim een halve eeuw oud zijn, het is een model die nog steeds zeer toepasselijk is op wittenboordencriminaliteit. De fraudedriehoek biedt drie centrale elementen aan, die elke vorm van fraude met elkaar gemeenschappelijk hebben: motief, opportuniteit en rationalisering.
Figuur 1: De fraudedriehoek (Cressey, 1973).
OPPORTUNITEIT
FRAUDE RISICO
MOTIEF
RATIONALISERING 31
3.2.1.1. Motief Een doel kan bereikt worden via legitieme of illegale weg. Wanneer een werknemer onder druk staat, kan de prikkeling ontstaan om voor de illegale weg te kiezen. Het motief kan verschillende (persoonlijke) redenen hebben, maar zal zich quasi altijd vertalen naar een financiële drijfveer (Wells, 2011). Een werknemer die bijvoorbeeld wraak wenst te nemen op zijn werkgever heeft een persoonlijk motief. Doch zal deze wraak voorkomen onder de vorm van financiële fraude. Andere redenen om fraude te plegen zijn geldproblemen waarmee een werknemer heeft te kampen of het onderhouden van een bepaalde (luxe) levensstijl (Cressey, 1953). Dit kan zich op de lange termijn vertalen naar een steeds groter wordende hebzucht. Nog een ander motief, kan eerder economisch van aard zijn. Dit motief heeft eerder betrekking op een organisatie an sich. Wanneer een bedrijf bijvoorbeeld een miljoenen jaaromzet heeft, zullen enkele duizenden euro’s het verschil niet maken (Cressey, 1953). Of zo redeneren fraudeurs althans. 3.2.1.2. Opportuniteit De opportuniteit wordt vertaald naar een kosten-batenanalyse. De mogelijkheid om fraude te plegen moet er zijn. Is er een betrappingsrisico en zo ja, hoe groot is dit risico? Indien de baten hoger zijn dan de kosten, is het zeer waarschijnlijk dat er delinquent gedrag zal gepleegd worden. Aan de hand van algemene kennis en technische kennis kan een mogelijk fraudeur de gestelde opportuniteiten ten volle “benutten” (Wells, 2011). De opportuniteit impliceert een verhoogd risico op fraude. Echter, niet iedereen die de kans heeft om fraude te plegen, zal dit ook effectief doen. Er wordt steeds een afweging gemaakt en er is een sterke wisselwerking tussen motief en opportuniteit (Cressey, 1953). 3.2.1.3. Rationalisering Het gebruik van rechtvaardigingsmechanismen is het derde element in de fraudedriehoek. Een fraudeur ziet zichzelf niet als een crimineel of zal het onwettig gedrag rechtvaardigen om zijn geweten te sussen. Enkele voorbeelden van neutralisatietechnieken zijn “Er is geen direct aanwijsbaar slachtoffer.” of “De verantwoordelijkheid ligt niet bij mij, ik speel maar een kleine rol in dit bedrog.” of “Ik doe helemaal niets verkeerd.” (Cressey, 1953). Belangrijk is dat de rationalisaties worden gemaakt vóór de fraude zich voordoet (Wells, 2011). Na het plegen van fraude worden de rechtvaardigheidsmechanismen vaak verlaten. Het stellen van 32
immoreel gedrag wordt steeds eenvoudiger, naarmate de betrokkene verder gaat in de fraude (Wells, 2011). 3.2.1.4. Toepassing van de fraudedriehoek Auditors richten zich voornamelijk op de gelegenheidspijler van de fraudedriehoek: “Waar zijn er lacunes in de controle waardoor er fraude kan optreden?” (Den Hartigh, 2012). Auditors, zowel intern als extern, hechten het meeste belang aan de lacunes binnen de organisatie en minder aan het profiel van de mogelijke fraudeur. Uiteraard moet de organisatiecultuur van een instelling regelmatig herzien worden om de (mogelijke) gelegenheden tot het minimum te beperken. Doch mag het profiel van de mogelijke fraudeur niet over het hoofd gezien worden. Een degelijk Human Resources beleid met voldoende profilering qua psyché, levensstijl, stabiliteit kan hier bijvoorbeeld een belangrijke rol spelen om fraude binnen een organisatie te vermijden (Den Hartigh, 2012). Evenwel is het onmogelijk om met zekerheid te voorspellen of iemand overgaat tot fraude of niet. Zoals de fraudedriehoek stelt: het is een combinatie van de drie verschillende componenten die kunnen bijdragen om over de drempel te stappen en te kiezen voor de illegale weg. Wells (2011) stelt eveneens dat opportuniteit geminimaliseerd kan worden door de opsplitsing van taken. Hoe meer werknemers belast zijn met dezelfde taak, hoe kleiner de kans dat een werknemer kan overgaan tot illegitieme praktijken. De kans is immers groot dat een collega frauduleuze handelingen opmerkt. Afschrikking is hier een belangrijke factor; uit angst zullen werknemers afzien om over te gaan fraude. Wanneer eenzelfde werknemer bijvoorbeeld zowel verantwoordelijk is voor de activa en de debet (cf. supra), kan deze “spelen” met de rekeningen, door geld bij te boeken die eigenlijk niet is uitgegeven en op die manier frauderen (Nobles et al., 2014). Wordt deze taak verdeeld over twee personen is het veel moeilijker – doch niet onmogelijk- om verkeerde boekingen te plaatsen op de rekeningen. Critici zijn sceptisch over deze visie. Deze stellen dat wanneer motivatie, druk en/ of rationalisatie groot genoeg zijn, er een andere aanpak zal aangewend worden om de fraude door te zetten (Wells, 2011).
33
3.2.2. De Rationele-keuzetheorie Cornish en Clarke (1986) stellen met de utilitaristische RKT dat een individu –als rationeel wezen- er expliciet voor kiest om wangedrag te stellen. Zijn de kosten hoger dan de baten, wordt er overgegaan tot het mogelijk delinquent gedrag. Anders dan in de fraudedriehoek (cf. supra) van Cressey (1953) speelt motivatie geen rol volgens Cornish en Clarke (1986). Cornisch en Clarke (1986) maken een onderscheid tussen twee keuzemomenten: A. Initial Involvement model Een individu maakt rationele keuzes en kiezen (al dan niet) voor betrokkenheid bij delinquent gedrag (Pauwels, 2012). B. Criminal Event model Kiest men om delinquent gedrag te plegen, moet men een tweede keuze maken: welk delinquent gedrag zal er worden gepleegd in welke situatie? (Pauwels, 2012). 3.2.2.1. Power of Fear – Jeremy Bentham De RKT vindt zijn oorsprong in de 18e eeuw. De verlichtingsfilosoof Jeremy Bentham behoorde tot de Klassieke School van de Criminologie en is de grondlegger van het concept “power of fear”. Bentham introduceerde de rationele crimineel. Er wordt een kostenbatenanalyse gemaakt. Zijn de kosten hoger dan de baten, dan is het zeer waarschijnlijk dat een bepaald (crimineel) gedrag niet wordt gesteld. Zijn de baten echter hoger dan de kosten, is de kans groot dat er over wordt gegaan tot het stellen van (delinquent) gedrag. Bentham was voorstander voor een duidelijk strafrecht (Pauwels, 2012): A. De straf moet zo snel mogelijk volgen op het wangedrag B. Er is nood aan een rechtvaardige straf C. Hoe zwaarder de straf, hoe onwaarschijnlijker de toepassing van de straf. D. Hoe onzekerder de straf, hoe zwaarder ze moet zijn om toch te resulteren in afschrikking. De toepassing van Bentham’s visie op het onderwerp van deze scriptie is zorgt voor twijfel. Bentham’s basisfilosofie zit goed. Als rationeel wezen lijkt het logisch dat je kiest voor het hoogste goed: de voordelen. Echter, in onze samenleving vandaag voldoet justitie niet aan de 34
kenmerken van Bentham’s model. En niet iedereen is een even rationeel wezen. Daarenboven is de vervolging van financiële en economische criminaliteit quasi nihil (Wells, 2001). Worden ze wel vervolgd, blijft het vaak slechts bij een boete die niet evenredig is met de verkregen winsten uit de criminele activiteiten. (Croall, 2001). Meer nog, de publieke opinie ziet financiële misdrijven niet als een prioriteit qua vervolging en bestraffing (Verhage et al., 2010) Het is echter wel de bevolking die de prijs voor deze soort misdrijven betaalt. Binnen interne sanctioneringsmechanismen kan het model evenwel –in beperkte matetoegepast worden. Als er weet is van regelmatige controles en de pakkans groot is, kan men afstappen van het idee om wangedrag te stellen. Doch is er een kanttekening nodig, want hoeveel controle is nu werkelijk nodig? Principalen (opdrachtgevers) moeten een zekere autonomie aan hun agenten (opdrachtnemers) verlenen in de uitoefening van de professionele taken. Een goed evenwicht inzake controle en dagelijkse werkomgeving is een noodzaak. 3.2.2.2. Kritiek op de RKT De RKT kreeg kritiek uit verschillende hoeken. De benadering zou te economisch zijn en er wordt te weinig rekening gehouden met de mens als persoon. De RKT gaat uit van een rationeel wezen. Niet iedereen is echter even rationeel. Daarenboven zijn er veel complexe sociale relaties die een individu met zijn omgeving heeft, die niet genegeerd mogen worden (Pauwels, 2012). Tweede kritiek wordt gegeven op het maken van keuzes. Keuzes die rationeel zijn, zouden weloverwogen moeten worden en goed doordacht worden. In het model van Cornisch en Clarke (1986) worden deze keuzes echter in een korts tijdsbestek genomen. Zijn het dan nog rationele keuzes? (Pauwels, 2012).
3.2.3. Agency-theorie De agency-theorie is de theorie die de relatie onderzoekt tussen een principaal (opdrachtgever) en een agent (opdrachtnemer) (Jensen & Meckling, 1976). In deze scriptie wordt de principaal aanzien als werkgever en de agent als werknemer. De werknemer wordt aangesteld door de werkgever om bepaalde taken voor deze uit te voeren. Door het uitvoeren van deze taken, kan de werknemer belangrijke en confidentiële informatie tot zich nemen en deze informatie in het eigen voordeel aanwenden (Wells, 2011). 35
Twee factoren –of bedreigingen- zijn cruciaal voor de relatie principaal: moreel risico en opportunisme (Wells, 2011). Onder moreel risico valt het stellen van wangedrag wanneer personen, een beperkt of geen risico lopen, om voor dit wangedrag verantwoordelijk te worden gesteld. Dus wanneer er geen/weinig controle is, is er een groot moreel risico. Opportunisme kan beschreven worden als de mate waarin agenten zullen handelen in eigenbelang (Jensen & Meckling,
1976).
Om deze twee bedreigingen te minimaliseren en/of te voorkomen, zorgt de principaal voor een correcte verloning en regelmatige controles onder de vorm van een Audit (intern of extern). Wanneer er geen goede en/of correcte verloning is en geen controlemechanisme, is de kans groot dat een agent een opportuniteit benut, wanneer het moreel risico nihil is, om over te gaan tot illegitieme praktijken. Er worden vier (tegenstrijdige) relaties onderscheiden binnen deze theorie (Jensen & Meckling, 1976; Wells, 2011; Willekens, 2008): A. Aandeelhouders – Management Aandeelhouders willen een verklaring voor alle winsten (en eventuele verliezen), het is immers hun investering. Daar waar het management liever niet alles prijsgeeft om zichzelf bijvoorbeeld extra te verlonen. Om deze relatie “gezond” te houden, is een onderneming verplicht, jaarlijks de rekeningen en balans kenbaar te maken. Omdat gesjoemel met de jaarrekeningen (cf. supra) een vaak gehanteerde praktijk is, is een Audit toegewezen (Willekens, 2008). B. Management – Aandeelhouders Aandeelhouders stellen hun fondsen ter beschikking aan een onderneming en hebben er verder weinig tot geen controle over. Het management kan in principe doen met deze fondsen wat ze wil. Opnieuw is hier een weergave van de jaarlijkse rekeningen en balans nodig ter behouden van goede relatie, met de Auditor als controleorgaan (Willekens, 2008). C. Management – Personeel In grote ondernemingen, zoals financiële instellingen, is het onmogelijk om elke werknemer op zijn activiteiten te controleren. Een Interne Audit (Willekens, 2008) kan
36
bijvoorbeeld de efficiëntie van werknemers nagaan en hun correct handelen binnen de onderneming. D. Aandeelhouders – Auditor De controle van de jaarrekening wordt door de aandeelhouders toevertrouwd aan de auditor. Er wordt gerekend op een correcte weergave, doch is het mogelijk dat een Auditor de jaarrekening niet correct weergeeft, al dan niet met deze intentie (Dries et al., 2004).
3.2. Internationaal onderzoek 3.2.1. Typologie intern fraudeur Het ACFE brengt via hun internationaal, tweejaarlijks onderzoek noemenswaardige resultaten aan, betreffende de typologie van de intern fraudeur binnen organisaties. Respectievelijk zal de onderzoekster enkele resultaten bespreken. Hoewel dit onderzoek uit 2014 van toepassing is op de globale private sector, kunnen deze ook aangewend worden in het kader van het bankwezen. Bovendien werden dezelfde observaties gesteld uit voorgaand onderzoek van KPMG (2011, 2013) en PWC (2014). De lezer kan alle tabellen consulteren in bijlage II. Tabel 2 wijst aan dat 66.8% van de daders mannen zijn. Tevens zijn mannelijke daders verantwoordelijk voor hogere financiële verliezen dan vrouwelijke daders (Tabel 3). Financiële tekorten veroorzaakt door mannen, zijn
120 – 132% hoger, dan verliezen
veroorzaakt door vrouwelijke daders. Tabel 4 indiceert dat het waarschijnlijker is dat men overgaat tot interne fraude tussen de leeftijd van 31 à 45 jaar. Tabel 5 toont evenwel aan dat hoe ouder men is op het moment van het plegen van de fraude, hoe groter de financiële schade aan de organisatie. De anciënniteit speelt evenals een rol in de prevalentie van interne fraude. De risicoperiode bevindt zich tussen 1 à 5 jaar (Tabel 6). Opnieuw volgt het financieel verlies hetzelfde stramien als voorgaande observaties. Tabel 7 toont aan dat hoe vanaf 10 jaar dienst in de organisatie, de financiële verliezen veel groter zijn dan wanneer men interne fraude pleegt in de eerste 5 jaren van de indiensttreding. Tabel 8 stelt dat de meeste fraudes worden uitgevoerd door bediendes of werknemers uit het middenkader. Tabel 9 bewijst dat hoe hoger het gezag van de fraudeur –bestuurslid-, hoe omvangrijker de financiële tekorten zullen zijn. De volgende tabel (10) wijst eveneens op het voorkomen van collusie in een 37
organisatie en stelt dat naargelang men ouder wordt, er een grotere kans bestaat op collusie en dus systematische fraude. Verschillen in opleidingsgraad worden aangereikt in tabel 11. Hieruit blijkt dat hoe hoger de educatiegraad, hoe hoger de kans op interne fraude met hoog financieel verlies tot gevolg. Doch dient deze observatie met enige voorzichtigheid benaderd te worden. Door een hogere opleidingsgraad, is de kans immers groter dat deze een hogere positie bekleden. Zoals gezien in tabel 9 zijn het vooral de hoge posities die zorgen voor beduidende verliezen. Volgens de observaties uit tabel 12 zijn de fraudegevoeligste sectoren binnen een organisatie deze van accounting, operations, sales en het topmanagement. Waarvan deze laatste, het topmanagement, verantwoordelijk is voor de grootste geldelijke tekorten (tabel 13). Men dient dus
rekening te houden met
fraude(vermoedens):
geslacht,
leeftijd,
volgende factoren
anciënniteit,
aangaande interne
positie binnen de organisatie,
opleidingsgraad en het departement waar men is tewerkgesteld.
3.2.2. Motivatie interne fraude KPMG (2013) stelt dat een slechte prestatie, ten gevolge van een hoge werkdruk en tijdsdruk, en het verbergen van geldelijke verliezen, sterke motiverende factoren zijn om de stap naar interne fraude te zetten. De corporate culture van een organisatie heeft volgens KPMG (2013) een invloed op het voorkomen van interne fraude. Strikte organisaties die hoge targets stellen en weinig ruimte voor individuele vrijheid laten, kampen met meer frauduleuze cases. Oplossing is dus een open organisatie met sterke corporate governance uitbouwen. Tabel 14 (ACFE, 2014) lijst enkele red flags op die kunnen resulteren in interne fraude of pogingen tot. 44% van de intern fraudeurs ging over tot delinquent gedrag omwille het onderhoud van een bepaalde (luxe) levensstijl. 32% kampte met financiële problemen ten tijde van de gestelde fraude. Additioneel onderzoek toont aan dat tijdelijke werkkrachten een verhoogd frauderisico vormen voor financiële instellingen. De onzekere werksituatie kan leiden tot onvrede. Dergelijke gevoelens zijn volgens Owolabi (2010) een beweegreden om malafide gedrag binnen de organisatie te plegen.
38
3.3. Besluit Dit laatste hoofdstuk van het theoretisch luik werd opgedeeld in het theoretisch raamwerk en internationale inzichten. De fraudedriehoek (Cressey, 1953) en de RKT (Cornisch & Clarke, 1986) werden vanuit criminologisch standpunt geanalyseerd. Via het economisch gedachtegoed van de Agency-theorie (Jensen & Meckling, 1976)
werd het theoretisch
raamwerk vervolledigd. Vervolgens werden de resultaten van twee internationale onderzoeken (ACFE, 2014; KPMG, 2013) geïnterpreteerd, betreffende de typologie van de intern fraudeur en hun motiverende factoren.
39
DEEL 2: EMPIRISCH LUIK HOOFDSTUK 4: ONDERZOEKSDESIGN 4.1. Inleiding Het theoretisch luik heeft voorzien in een eerste kennismaking met (interne) audit en (interne) fraude, de wisselwerking tussen deze twee domeinen en hoe deze in verhouding staan tot elkaar, binnenin de financiële wereld. Om de centrale onderzoeksvraag en bijvragen te beantwoorden, is er nood aan een degelijk opgezet onderzoeksdesign. Er werd een weloverwogen keuze gemaakt voor de kwalitatieve onderzoeksmethode. Kiezen is in zekere mate ook verliezen, daarom wordt er stilgestaan bij de beperkingen en moeilijkheden van dit onderzoek. Dit hoofdstuk heeft aandacht voor de werkwijze en het opzet van het onderzoek, alsook de motivatie voor de kwalitatieve insteek. Respectievelijk worden volgende elementen in beschouwing
genomen:
de
onderzoeksstrategie,
de
onderzoekseenheden,
de
respondentenverzameling, de interviewsetting en de verwerking en analyse van de verkregen data.
4.2. Kwalitatieve onderzoeksmethode De keuze voor de kwalitatieve methode werd gemaakt om een studie de diepte te realiseren, eerder dan in de breedte. Gezien het te onderzoeken domein van deze scriptie niet te herleiden is tot enkel(e) meerkeuze- en gesloten vragen (Billiet & Waege, 2010) werd een persoonlijke interviewafname, verkozen boven een kwantitatieve bevraging. Kwalitatief onderzoek wordt gekenmerkt door een open en flexibele gegevensverzameling (Maso & Smaling, 2004), die de nodige nuances en gedetailleerde beschrijvingen kan bieden. Deze openheid en flexibiliteit gaat gepaard met een zekere moeilijkheidsgraad. Via een open houding dient de onderzoekster zich kunnen aan te passen in een veranderlijke situatie, gekenmerkt door ongeplande en onverwachte gebeurtenissen (Decorte & Zaitch, 2010).. 40
Bovendien is kwalitatief onderzoek uitermate geschikt voor gevoelige onderwerpen die de nodige discretie vergen (Decorte & Zaitch, 2010). Door de mogelijke opbouw van een vertrouwensrelatie tussen respondent en interviewer, bestaat er een relatief grotere kans dat de respondent, effectief een kwalitatieve bijdrage zal leveren aan het onderzoek. Aan de hand van subtiliteit en nuancering kan er naar een bepaalde vraag toe gebouwd worden. Vertrouwen tussen beide partijen wekt tevens een grotere geloofwaardigheid van de interviewer naar de respondent toe. Voorts is een kwantitatieve benadering, niet de beste onderzoeksmethode om een adequaat antwoord te bieden op de centrale onderzoeksvraag en bijvragen die het onderwerp vormen van deze eindverhandeling. De poule van onderzoekseenheden is immers beperkt, mede door het persoonlijk interesseveld van de onderzoekster en de pragmatische afbakening van het te onderzoeken domein. De onderzoekseenheden werden gezocht binnen de Interne Auditdepartementen van financiële instellingen: bankwezen en verzekering.
Deze
gelimiteerde en kleine groep zou in een kwantitatief onderzoeksdesign kunnen leiden tot vertekende en niet-representatieve onderzoeksresultaten.
4.2.1. Methodologische beperkingen De methodologische beperkingen van deze scriptie worden opeenvolgend kort toegelicht. Insgelijks dienen pragmatische motieven, waaronder het korte tijdsbestek van dit onderzoek, de arbeidsintensiviteit en beperkte mogelijkheden, in acht worden genomen. Een belangrijke begrenzing, of misschien het belangrijkste nadeel van kwalitatief onderzoek is het gebrek aan statistische representativiteit en causaliteit (Billiet & Waege, 2010). Kwalitatief onderzoek wordt gekenmerkt door een beperkt aantal respondenten, die slechts een greep vormen uit de volledige populatie in de samenleving. Generaliseerbaarheid behoort niet tot de doelstellingen van deze masterproef. Wel wordt er gestreefd naar interne betrouwbaarheid en validiteit. Er is niettemin nood aan een belangrijke kanttekening: de respondenten in dit onderzoek zijn deskundigen in het vakgebied. Hun expertise is veel meer dan slechts een persoonlijke mening en subjectieve gevoelens. Het wettelijk kader en de werkwijze van Interne Audit doorheen financiële instellingen binnen België wordt toegelicht. Er zijn organisatorische verschillen op te merken, maar globaal gezien volgen de interviews dezelfde trend. 41
Omwille van deze bovenstaande reden kan deze studie een zekere representativiteit aan de dag leggen, indien de resultaten voorzichtig gespiegeld en geïnterpreteerd worden met de beperkingen van kwalitatief onderzoek in het achterhoofd. Causaliteitsverbanden daarentegen, zal niet mogelijk zijn in dit onderzoeksdesign (Decorte & Zaitch, 2010). Ten tweede kan er een te eenzijdige kijk op de voorgrond treden (Maso & Smaling, 2004). Enkel de visie van professionelen wordt bevraagd en niet die van bijvoorbeeld werknemers op een lager echelon. Quasi alle respondenten –op twee na- zijn Interne Auditors actief binnen de financiële
sector
in
België.
Een
kritische
blik
is
noodzakelijk.
De onderzoekster heeft op deze beperking een weerwoord trachten te bieden door eveneens twee externe experten te interviewen. Een derde belangrijke beperking van de kwalitatieve onderzoeksmethode is het fenomeen om bijvoorbeeld sociaal wenselijk te antwoorden, zaken te verzwijgen of te verdraaien of te liegen (Decorte & Zaitch, 2010). Daarnaast is een respondent vrij om te kiezen of deze überhaupt zal antwoorden op een bepaalde vraag. Bijgevolg kunnen sommige zaken niet aan bod komen of onderbelicht blijven. Al deze motieven kunnen de betrouwbaarheid en validiteit van kwalitatief onderzoek in het gedrang brengen. Elk verhaal en elke visie heeft een subjectieve inslag. Deze subjectiviteit zorgt voor moeilijkheden bij de toetsing en controle van dataverzameling. Om die reden is het niet vreemd dat kwalitatief onderzoek vaak kampt met lage externe betrouwbaarheid (Billiet & Waege, 2010). Tot slot moet de onderzoekster zich eveneens bewust zijn van de eigen interpretatie en mogelijke persoonlijke voorkeuren in de fase van de data-analyse. Dit bewustzijn moet aanwezig doorheen alle doorlopen fases. Van het opstellen van de vragen tot het coderen en datareductie en tot slot de effectieve interpretatie van de verkregen data (Decorte & Zaitch, 2010). Billiet & Waege (2010) stellen een procedure van intercodeur-betrouwbaarheid (inter rater reliablity) voor om de eigen perceptie en interpretatie van de onderzoekster in te perken. Een tweede onafhankelijk onderzoeker kan de gegevens coderen en interpreteren. Wanneer beiden dezelfde conclusies vormen, is er sprake van betrouwbaarheid. In dit onderzoek heeft de onderzoekster het transcriberen, het samenvatten van de interviews en de gegevensverwerking autonoom uitgevoerd. Wél werden enkele interviews voorgelegd aan derden om te toetsen wat 42
voor hen de belangrijkste punten zijn en de verschillende interpretaties met elkaar te vergelijken. De volledige werkwijze van de onderzoekster wordt nauwkeurig toegelicht om de controleerbaarheid van het kwalitatieve onderzoek te vergroten (Van Zwieten & Willems, 2004).
4.3. Het semigestructureerd interview Het onderzoek van deze masterproef maakt gebruik van diepgaande, semigestructureerde interviews met professionelen. De onderzoekster heeft gebruik gemaakt van een guide of een reeds logisch, opgebouwde, uitgewerkte vragenlijst28 (Decorte & Zaitch, 2010). Doelstelling van dit halfopen interview is om het geheel en het verloop van het interview toch enigszins via een gestructureerde weg te laten lopen. Een van de kenmerken van een face-to-face interview is het dynamische gegeven, het spel van actie en reactie. Dit kenmerk is meteen ook een voordeel van kwalitatief onderzoek; er kan in zekere mate afgeweken worden van de vragenlijst. Het laat de onderzoekster toe om door te vragen bij bepaalde antwoorden, die kunnen leiden tot boeiende inzichten. Eveneens is dit een voordeel voor de respondenten, ze krijgen immers de mogelijkheid om uitgebreid hun expertise uit de doeken te doen. (Decorte & Zaitch, 2010; Kvale, 2008). De flexibiliteit van het kwalitatief onderzoek laat het eveneens toe om de vragenlijst bij te sturen indien nodig. Het is immers niet nodig om alle interviews op identiek dezelfde wijze af te nemen met exact dezelfde vragen (Decorte & Zaitch, 2010). Het is dus een iteratief-cyclisch proces, waar de verzamelde data, de verdere dataverzameling kan sturen en bijvoorbeeld onderzoeksvragen verfijnen (Van Staa & Evers, 2010). De onderzoekster heeft gepoogd om alle interviews in min of meer gelijke mate uit te voeren en de vooropgestelde guide te volgen. Bij de bevraging van bepaalde elementen van het auditfenomeen, zoals de frequentie, het opstellen van een jaarlijks auditplan en de daarbij horende risk assesment, werd het saturatiepunt (Decorte & Zaitch, 2010) of verzadigingspunt reeds bereikt na vijf interviews. Bijgevolg werd er in de daaropvolgende interviews slechts in beperkte mate stil gestaan bij deze specifieke elementen en meer tijd voorzien voor andere vragen en subjecten. Deze aanpassingen in de vragenlijst werden gereduceerd tot het minimum om toch in zekere mate de uniformiteit van de interviews trachten te garanderen. 28
Bijlage 5: Onderzoeksinstrument.
43
4.4. Respondentenverzameling 4.4.1. Steekproef De respondenten die hun deelname hebben verleend aan dit onderzoek, zijn professionelen en deskundigen binnen hun vakgebied. Wegens deze voorgaande reden, werd er gebruik gemaakt van een doelgerichte steekproef (Billiet & Waege, 2010). In een latere fase werd de doelgerichte steekproef aangevuld met een sneeuwbalsteekproef (Decorte & Zaitch, 2010). De samenstelling van de steekproef is afhankelijk van de onderzoeksdoelstelling en het is de taak van de onderzoekster om het type deelnemers te selecteren (Decorte & Zaitch, 2010). De ondervraagde professionelen bevatten een grondige expertise over het bevraagde onderwerp en daar ligt de kracht van deze doelgericht en homogene steekproef. Veralgemening naar een empirische populatie is niet het doel van deze scriptie, er wordt gestreefd naar dieptekennis (Billiet & Waege, 2010). De afbakening van deze scriptie zorgde tegelijkertijd voor een beperkte onderzoekspopulatie: het Interne Auditdepartement van een financiële instelling in België. Bijgevolg is het niet opportuun om slechts een kleine selectie te bevragen. Er werd getracht om zoveel mogelijk onderzoekseenheden te bereiken, teneinde dit onderzoek te laten voldoen aan de interne betrouwbaarheid en validiteit (Billiet & Waege, 2010). Een sneeuwbalsteekproef wordt in de Criminologische Wetenschappen normaliter gebruikt voor drugsonderzoek en extreem moeilijk te bereiken groepen in de samenleving (Decorte & Zaitch, 2010). De onderzoekster kampte bij aanvang van de respondentenverzameling echter met de uitdaging om allereerst correcte contactgegevens te achterhalen, alsook de effectieve bereidwilligheid
tot
medewerking
aan
deze
eindverhandeling
te
bewerkstelligen.
Deze sneeuwbalsteekproef is, bijgevolg, geleidelijk aan tot stand gekomen. Na het interview met de eerste respondent, werd er gepolst naar de kennis van andere mogelijke respondenten. Zodoende ging de bal effectief aan het rollen en werd het aantal respondenten verhoogd. De maximumomvang van de sneeuwbalsteekproef is bereikt wanneer dezelfde namen worden genoemd en die al reeds zijn gecontacteerd (Decorte & Zaitch, 2010). In het volgende luik “procedure” wordt de aanpak en contactopname nader toegelicht. De kracht van de sneeuwbalmethode bevindt zich daar waar er een verhoogde kans is tot effectieve deelname van respondenten (Billiet & Waege, 2010). Wanneer de onderzoekster 44
wordt geïntroduceerd door een voorgaande respondent, is de potentiële respondent meer geneigd om zijn medewerking te verlenen. Er wordt een zekere vertrouwensband gecreëerd. Stel je deze (grote) vraag als onbekende, is de kans reëel dat er een negatieve respons op terug komt of zelfs helemaal geen respons (Vrooman, 2001). Een mogelijke beperking van de sneeuwbalmethode is het wederkerend gelijkaardig profiel van respondenten. (Billiet & Waege,
2010).
In
deze
scriptie
wordt
er
echter
een
homogene
en
beperkte
onderzoekspopulatie onderzocht. Er wordt een globaal en geïntegreerde visie beoogd. Een homogene groep respondenten is –in deze scriptie- dus een must. Er werden enkele selectiecriteria opgesteld door de onderzoekster om toch een zekere graad van heterogeniteit aan de dag te stellen, zodoende alle soorten financiële instellingen aan bod zijn gekomen bij de gegevensverzameling. Een tweede beperking is de afhankelijke positie van de onderzoekster tegenover de respondenten. De onderzoekster moet steunen op de goodwill van respondenten om deze verder te helpen (Vrooman, 2001).
4.4.2. Procedure Het eerste contact met de onderzoekseenheden was niet vanzelfsprekend. Er werd een limitatieve lijst opgesteld van 28 actieve financiële instellingen in België. De anonimiteit en vertrouwelijkheid gebiedt (Decorte & Zaitch, 2010) het uiteraard om geen contactpersonen te vermelden. Deze lijst werd samengesteld aan de hand van de persoonlijke kennis van de onderzoekster en consultaties op de website van de Nationale Bank van België. Er werd een eerste selectie gemaakt tussen nationale en regionale financiële instellingen, waar regionale organisaties niet werden opgenomen in de lijst. Eveneens werden buitenlandse instellingen die actief zijn in België buiten beschouwing gelaten. Deze twee selectiecriteria werden gehanteerd om de doelstelling van het onderzoek niet uit het oog te verliezen: een globaal beeld vormen over de mogelijke preventieve kracht en wisselwerking tussen Interne Audit en interne fraude op de Belgische markt. Vooraleer een eerste contact te ondernemen, werd de lijst opgedeeld in verschillende criteria. Eerste reden van deze selectie werd gemaakt zodat de onderzoekster een degelijk globale visie had op de financiële instellingen actief op de Belgische markt. Voorts werd er nagestreefd om uit elke categorie tenminste een respondent te verwerven om te toetsen indien er gelijkenissen en/of verschillen waar te nemen zijn binnen én buiten de verschillende groepen. Alsook wou er vermeden worden om een bepaalde focus aan de dag te leggen voor slechts een niche 45
binnen de markt en niet op de globale Belgische markt. Heterogeniteit werd geambieerd buiten de groepen, alsook homogeniteit binnen de groepen om ook daar eventuele gelijkenissen en/of verschillen waar te nemen. Er werd een onderscheid gemaakt tussen: A. Core Business: bank- en/of
verzekeringswezen
Waar ligt de focus qua productaanbod van de financiële instelling: bankwezen of verzekeringswezen? Is er een overlapping waar te nemen tussen banking en verzekering? Een onderneming enkel gericht op bankproducten zal mogelijkerwijs andere controles uitvoeren en/of maatregelen nemen dan een onderneming enkel gericht op verzekeringsproducten, zowel voor interne als externe fraude. B. Markt segmentatie: particulieren, professionelen en private
banking
Waar ligt de focus qua klanten Is het een onderneming gericht op enkel particulieren en/of professionelen? Privaat bankieren? Is er een overlapping waar te nemen tussen deze
drie
categorieën?
Een instelling gericht op grote vermogens en privaat bankieren zal mogelijkerwijs andere controlemechanismen en/of maatregelen gebruiken dan een instelling enkel gericht op particulieren. C. Dochteronderneming Maakt
de onderneming deel
uit
van een holding/moedermaatschappij?
De dochterondernemingen werden niet afzonderlijk gecontacteerd. Er werd rechtstreeks contact opgenomen met de moedermaatschappij. Selectiecriteria C werd eveneens opgesplitst in banking en verzekering. D. Aantal Hoeveel
werknemers werknemers
heeft de
onderneming?
Er wordt gesteld dat het voorkomen van interne fraude logischerwijs kleiner is in een onderneming met een kleiner personeelsbestand, dan een onderneming met een groter personeelsbestand. Andere criteria zoals sociale controle kunnen hier bijvoorbeeld zeker een rol in meespelen.
46
Deze selectiecriteria kunnen deels overlappen. Een financiële instelling kan bijvoorbeeld zowel
op
particulieren
en
professionelen
gericht
zijn
als
op
banking-
en
verzekeringsproducten. Bij elk van de vier bovenstaande selectiecriteria werd er nagestreefd om in ieder segment minimum een financiële instelling te verwerven als respondent. Het voorgaande in beschouwing genomen, werden er van de 28 financiële instellingen 22 ondernemingen gecontacteerd. De methode van contactopname wordt hiernavolgend uiteengezet. 4.4.2.1. Methode van contactopname met professionelen Uit verscheidene hoeken werd getracht om de juiste persoon te vinden. Via de websites van de desbetreffende financiële instellingen werd een eerste poging ondernomen om het juiste aanspreekpunt te vinden om een primair contact te bewerkstelligen. Deze aanpak bleek bijzonder inefficiënt: het was een tijd consumerende bezigheid, zonder resultaat en weinig tot geen contactgegevens. Twaalf websites van financiële instellingen werden op deze wijze geconsulteerd met slechts de opsporing van een mogelijke persoon als aanspreekpunt, zonder contactgegevens. De onderzoekster gooide de aanpak over een andere boeg en er werd gebruik gemaakt van de zoekmachine Google. Aan de hand van enkele kernwoorden werd er getracht om een mogelijke contactpersoon te achterhalen. Volgende kernwoorden werden gehanteerd: Interne Audit/Auditor en de naam van de financiële instelling. Relatief snel werd het duidelijk dat de eerste hits telkens een doorverwijzing zijn naar de sociale netwerksite LinkedIn29. LinkedIn leent zich dan ook tot een prima instrument om mogelijke onderzoekseenheden te zoeken, een naam te pakken te krijgen, de professionele historiek te raadplegen en eventueel te contacteren. Vijf onderzoekseenheden, werden op deze wijze gedetecteerd en op een later moment gecontacteerd. Wanneer er enkel de gegevens van LinkedIn voorhanden waren, werd er duidelijk vermeld in het eerste contact via e-mail dat de gegevens via de sociale netwerksite werden bekomen. Geen van deze vijf onderzoekseenheden ging in op de vraag om medewerking te verlenen aan dit onderzoek.
29
www.linkedin.be. Deze sociale netwerksite laat personen toe om hun professioneel traject kenbaar te maken met onder meer hun huidige functie, voorgaande jobs, studies, vaardigheden en dergelijke meer.
47
Een volgende stap om contact met mogelijke respondenten te bewerkstelligen werd gerealiseerd aan de hand van een rechtstreeks schrijven naar Human Resources van de organisatie via e-mail30. Het is relatief eenvoudig om het algemeen e-mail adres te vinden van het HR-departement op de website van de desbetreffende instelling. De specifieke vraag werd gesteld of er een mogelijkheid bestond dat de organisatie zich bereidwillig zou opstellen ter medewerking aan het fraudit fenomeen en er werd een eventuele doorverwijzing gevraagd naar de persoon die hier een antwoord op kon bieden. Negen financiële instellingen werden via deze methode gecontacteerd en twee instellingen voorzagen in een positief antwoord. Bijgevolg werd er een interview afgenomen en een uitgebreid antwoord via e-mail ontvangen van een andere respondent. De doeltreffendste aanpak bleek echter het aanspreken en gebruiken van zowel het persoonlijk als professioneel netwerk van de onderzoekster. Zes interviews werden verworven aan de hand van netwerking, informeel als formeel (Vrooman, 2001). Drie van deze interviews werden verkregen ten gevolge het eigen persoonlijk en professioneel netwerk van de onderzoekster. De andere helft werd verkregen door de respondenten zelf. Enkele respondenten hebben op eigen initiatief, de gegevens en het opzet van dit onderzoek doorgegeven naar mogelijke respondenten van andere financiële instellingen, die op hun beurt een positief antwoord hebben gegeven tot medewerking aan deze scriptie. Het belang van het netwerk werd onderstreept toen een van financiële instellingen akkoord ging om de medewerking te verlenen aan het onderzoek, na een eerste afwijzing via de contactopname per het HR-departement. Door de voorstelling van een respondent die al medewerking had verleend, werd er een zekere vertrouwensband met en van de onderzoekster verwacht en was deze instelling wél bereid om medewerking te verlenen. Gebruik maken van het netwerk is een geleidelijk en effectief proces (Cortner, 2015). De onderzoekster heeft verscheidene contactkanalen –six degrees of seperation31 (Cortner, 2015) – doorlopen, vooraleer bij de gewenste persoon terecht te komen. De introductie gebeurde gradueel door een bekende (al dan niet persoonlijk of professioneel) van de respondent. Deze aanpak staat in schril contrast met de (voorgaande beschreven) directe methode via e-mail, door een onbekende (hier: de onderzoekster) voor een mogelijke respondent. Mét 30
Bijlage 5: Contact email
31
Six degrees of Seperation is een conceptuele term dat er tussen 2 individuen, eender waar ter wereld, er zich maximum zes schakels bevinden (Cortner, 2015).
48
daarenboven onmiddellijk een groot verzoek: medewerking verlenen aan het onderzoek en een uur vrijmaken in de agenda over een gevoelig onderwerp (interne fraude) om deze medewerking te verlenen. Het netwerk kan een te directe vraag omzeilen, via een eerste vraag te polsen naar de interesse en eventuele bereidwilligheid van mogelijke respondenten. Op een later moment kan er hier op terug gekomen met de introductie van de onderzoekster en de effectieve vraag tot medewerking. Het eerste contact met de onderzoekseenheden verliep via e-mail32. Er werd een beknopte voorstelling gegeven van de onderzoekster, het doel en opzet van het onderzoek van deze eindverhandeling, alsook een bijlage met een gedetailleerde beschrijving33. Na een positief antwoord werd er verder gecommuniceerd via SMS, telefoon of e-mail. In totaal hebben er tien respondenten hun medewerking verleend aan dit onderzoek. Naast acht respondenten van financiële instellingen, zijn er eveneens twee additionele interviews afgenomen met externen/experten. Van de 22 gecontacteerde financiële instellingen heeft dus net iets minder dan de helft, tien respondenten, hun medewerking verleend. Beide experten werden op dezelfde wijze gezocht als de respondenten van financiële instellingen. De eerste poging bij deze aanpak, was meteen de geschikte methode. Aan de hand van Google en daaropvolgend LinkedIn werd contact opgenomen met een bedrijfsrevisor34 actief in de financiële Belgische markt en met een expert betreffende fraudeaudit in verschillende contexten, dus niet enkel binnen de financiële wereld. Het interview met de externe auditor werd afgenomen om een duidelijke onderscheid en vergelijking te maken tussen interne en externe audit en deze praktijkkennis aan de theorie te toetsen. Een andere respondent, als onafhankelijke expert, werd gecontacteerd met het doel om een volledige gegevensverzameling te verkrijgen over het functioneren van Interne Audit en de rol die die deze speelt in de mogelijke preventie en/of detectie van interne fraude binnen financiële instellingen.
32
Bijlage 3: Voorbeeld E-mail eerste contactopname
33
Bijlage 4: Informed Consent
34
Externe audit (Dries et al., 2011).
49
4.5. Interviewsetting Alle interviews werden quasi telkenmale afgenomen op de (hoofd)zetel van de financiële instelling of organisatie, met uitzondering van een interview. Deze laatste werd afgenomen in een brasserie onder de vorm van een lunchmeeting. Voor elk interview werd er 45 minuten voorzien met het maximum van één uur. Het semigestructureerd interview zal beantwoorden aan de principes van het informed consent (Decorte & Zaitch, 2010; Kvale, 2007). Gezien de gevoelige materie van het te onderzoeken fenomeen zal er bij de start van het interview een verbale, geïnformeerde toestemming (Decorte & Zaitch, 2010) worden gevraagd. Er wordt geen specifiek, apart document voorzien ter akkoordstelling van deelname aan het onderzoek. Het zetten van een handtekening zou immers kunnen leiden tot een te ingrijpend, groot verzoek en enige vorm van herkenning (Maso & Smaling, 2004). De onderzoekster voorzag bij de introductie van het interview een brief 35 voor de respondenten met de doelstelling van het onderzoek en de contactgegevens van de onderzoekster. Deze brief werd eveneens overgemaakt bij het eerste contact via e-mail om de respondenten uit te nodigen voor medewerking aan het onderzoek. Bij aanvang van het interview werd er allereerst overgegaan tot de verbale vraag of het gesprek, al dan niet mocht worden opgenomen, met het oog op de verwerking van de verkregen data in een later stadium. Acht van de tien respondenten gingen akkoord met de opname van het interview. Naast de data-analyse, maakt een geluidsopname het eveneens mogelijk voor de onderzoekster om zich volledig op het verloop van het interview, de vragenlijst en de respondent te concentreren. Aan de hand van aantekeningen was het mogelijk om belangrijke noties te onthouden en bij een latere vraag eventueel op terug te komen, alsook het noteren van een extra vraag zonder het verloop van het interview te storen of de respondent te onderbreken (Decorte & Zaitch, 2010). Opeenvolgend werd er een korte introductie gegeven over de persoonlijke insteek van de onderzoekster omtrent het te onderzoeken domein, gekaderd binnen de opleiding Criminologie. Er werd stilgestaan bij de doelstelling van het onderzoek en het verloop en
35
Bijlage 4: Informed Consent
50
opzet van het interview. Verder werd er nogmaals (cf. informed consent) de nadruk gelegd op de
volledige anonimiteit van de respondent en de organisatie en de vertrouwelijke
behandeling van de verkregen data. Eveneens deelde de onderzoekster mee dat indien een respondent niet wenst te antwoorden op een vraag wanneer deze bijvoorbeeld te gevoelig of te direct of is, dit absoluut geen probleem is en er wordt overgegaan op de volgende vraag. Het interview werd afgesloten met de afspraak dat deze eindverhandeling, na afronding van het onderzoek, via elektronische weg zal worden opgestuurd. Van nagenoeg alle respondenten heeft de onderzoekster, contactgegevens van de respondenten via hun professionele visitekaartje verkregen. Mét de boodschap dat de respondenten zich bereidwillig stelden om gecontacteerd te worden via elektronische of telefonische weg ingeval verdere vragen, bepaalde onduidelijkheden en/of mogelijke lacunes. Tot slot voorzag de onderzoekster in een bedankingspresentje onder de vorm van “Merci Chocolade”.
4.6. Data-analyse Het verzameld datamateriaal bestaat uit opgenomen mondelinge gesprekken en nota’s. Acht van de tien respondenten hebben hun akkoord gegeven om het gesprek op te nemen. De twee interviews waar het gesprek niet werd opgenomen, werden er nota’s genomen met behulp van kernwoorden. Om de dataverzameling zo min mogelijk verloren te laten gaan, werd meteen na afloop van deze interviews, de volledige vragenlijst met nota’s overlopen en elektronisch meer in detail aangevuld, aan de hand van de genoteerde kernwoorden. Na uitvoer van de interviews, werd er zo spoedig mogelijk een samenvatting van het gesprek gemaakt met belangrijke aandachtspunten. Op een later moment werden de opgenomen gesprekken, integraal getranscribeerd. Bij het analyseren van de gegevens werd een codeboom36 gebruikt. De codeboom vertrekt vanuit de centrale onderzoeksvraag en bijvragen. De data wordt gecodeerd per topic onder de vorm van hoofd- en subcodes (Casier, 2013). Een codeboom laat het toe om de grote hoeveelheid aan data op een gestructureerde manier te groeperen en op te delen in verschillende thema’s (Decorte & Zaitch, 2010). De gecodeerde transcripten worden
36
Bijlage 8: Codeboom.
51
vervolgens samen gelegd teneinde de data te interpreteren en eventuele gelijkenissen en verschillen waar te nemen volgens een thick analysis (Decorte & Zaitch, 2010). Deze analyse wordt uitgevoerd volgens de techniek beschreven door Lecompte & Schensul (1999): analysis from the top down. Deze analyse vertrekt van de theoretische grondslagen en de centrale onderzoeksvragen uit dit onderzoek. De theorieën, zoals beschreven in het theoretisch luik, kunnen getoetst worden aan de verkregen data, zodoende de hypothese te bevestigen of te verwerpen. Deze theoretische triangulatie kan de interne validiteit van het onderzoek vergroten, daar er diverse inzichten en ideeën worden toegepast op de verzamelde gegevens (Van Straa & Evers, 2010). De analysis from the top down heeft een duidelijke deductieve inslag omdat het vooropgesteld theoretisch raamwerk de basis vormt. Maso & Smaling (2004) stellen echter dat data-analyse nooit louter deductief of inductief is. Er wordt vertrokken vanuit een theoretisch kader (deductief) en de verdere data wordt via een open geest (inductief) geïnterpreteerd. In de bespreking van de onderzoeksresultaten in het volgende hoofdstuk, wordt er gewerkt met citatenweergaves. Deze weergave wordt verkozen om de draagkracht van bepaalde onderwerpen additioneel in de verf te zetten. Eveneens omdat een reproductie of parafrasering afbreuk zou kunnen doen aan de precieze betekenis of de intentie van de respondenten (Decorte & Zaitch, 2010; Billiet & Waege, 2010). Tot slot is een weergave van citaten te verkiezen om aan te tonen hoe de onderzoekster te werk is gegaan bij de data-analyse. De onderzoekster heeft per slot van rekening autonoom de gegevens verwerkt en geanalyseerd. Een citaatweergave kan de controleerbaarheid, en bijgevolg de validiteit en betrouwbaarheid, van het onderzoek vergroten (Van Zwieten & Willems, 2004).
4.7. Besluit Dit hoofdstuk heeft de gebruikte methodologie voor dit kleinschalig empirisch onderzoek beschreven. De voordelen en beperkingen van de kwalitatieve onderzoeksmethode, de gebruikte strategie, het onderzoeksinstrument en de setting werden toegelicht en beschreven. Het volgende hoofdstuk worden de onderzoeksresultaten toegelicht en besproken.
52
HOOFDSTUK 5: ONDERZOEKSRESULTATEN 5.1. Inleiding Dit hoofdstuk behandelt de onderzoeksresultaten teneinde een antwoord te verkrijgen op de centrale onderzoeksvraag van deze masterproef: Kan een Interne Audit bijdragen aan de preventie van interne fraude binnen financiële instellingen in België? De onderzoeksresultaten wordt opgesplitst in drie secties: Interne Audit, interne fraude en tot slot de koppeling van beide concepten, Fraudit. De eerste paragraaf –Interne Audit- geeft duiding bij de primaire en secundaire werking van de Interne Audit. Verder wordt het wettelijk kader nader bekeken. Als laatste worden diverse controlemechanismen uitvoerig besproken. De tweede paragraaf, interne fraude, staat stil bij de prevalentie en het bewustzijn van interne fraude binnen financiële instellingen. Vervolgens worden de trends behandeld alsook het gewicht van de interne fraude: groot vs. klein. De tweede paragraaf wordt afgesloten met de diverse sancties en de mogelijke communicatie van deze sancties. De derde en laatste rubriek, Fraudit, staat stil bij de forensic auditor, de preventie en de bekamping van interne fraude. Tot slot behandelt de onderzoekster de toegevoegde waarde van Interne Audit in intern fraudeonderzoek. De onderzoeksresultaten worden geïllustreerd aan de hand van citatenweergaves uit de verschillende interviews. Het aantal respondenten (n) die de stelling delen worden eveneens weergegeven. Zoals reeds duidelijk gemaakt in het voorgaande hoofdstuk (cf. supra) streeft dit kwalitatief onderzoek geen generaliseerbaarheid na. Wel poogt deze verhandeling de bestaande preventie initiatieven met betrekking tot Interne Audit en interne fraude binnen financiële instellingen te analyseren. De lezer mag er vanuit gaan dat het gebruik van de termen “Interne Audit” en “interne fraude” betrekking hebben op de Interne Audit en interne fraude binnen financiële instellingen in België, daar dit het onderwerp is van deze masterproef. In de bespreking van de onderzoeksresultaten zal dit echter niet steeds opnieuw geëxpliciteerd worden. 53
Bovendien dient de lezer rekening te houden dat de analyse en de interpretatie van de onderzoeksresultaten beperkt is tot het onderwerp van deze masterproef. Wegens confidentialiteitsredenen zijn niet alle onderzoeksresultaten in de analyse opgenomen. De aangehaalde voorbeelden, opsommingen, maatregelen zijn niet-exhaustief. Het is de weergave en verwerking van de afgenomen interviews.
5.2. Interne Audit 5.2.1. Doelstelling Interne Audit 5.2.1.1. Primaire doelstelling Interne Audit heeft als primaire doelstelling de controle en optimalisatie van processen. Alle respondenten (n=10) legden de nadruk op het vermijden van lacunes, fouten, risico’s en inefficiënties. Centraal kernelement uit Interne Audit zijn de processen. “Wij willen vooral lacunes dichtrijden en processen optimaliseren.” Interview 8. “Fraude is maar een heel klein aspect van de zaak die we identificeren hé. Fouten of inefficiënties dat zijn eerder de voornaamste aandachtspunten waaraan wij werken.” Interview 3. Tweede primaire functie van Interne Audit is de onafhankelijke, neutrale en objectieve functie die vervuld wordt. Dit vertaalt zich onder meer naar een advies verlenende bevoegdheid en het formuleren van aanbevelingen. 5.2.1.2 Secundaire doelstelling Preventie Quasi alle respondenten (n=9) hebben aangegeven dat Interne Audit gericht is op het vermijden van allerhande risico’s, waaronder het frauderisico. Vermijden van interne fraude impliceert in se het voorkomen van enig mogelijk misbruik of misleiding en anticiperen op mogelijke fraudegevoeligheden door de instelling van controlemechanismen (n=4). Evident wordt er een preventieve dimensie toegekend aan de secundaire werking van Interne Audit. “Dat fraudeluik zit er altijd achter. En bij de analyse van de processen zit dat er dus in. Want waarom willen wij confirmaties van dealingrooms, waarom willen de juiste 54
prijs op een product… Altijd hetzelfde, vermijden dat mensen fouten maken en vermijden dat mensen misbruik maken.(…) Interne Audit heeft in eerste instantie een impact omdat ze als dusdanig georganiseerd is om kansen op fraude te minimaliseren en dat is meteen dé preventie van audit. We bouwen mee aan de interne controle en stel dat er dan toch iets gebeurd, dat we het meteen detecteren, zodat de gevolgen minimaal
zijn.” Interview 2.
“Wij kijken inderdaad naar de processen, maar eigenlijk als je dat tot het laagste niveau gaat uitvlooien waarom, dan zijn er eigenlijk maar twee redenen waarom je naar die processen gaat kijken. Om te vermijden dat er fouten gemaakt worden die rampzalig kunnen zijn voor de bank. Maar het tweede is weldegelijk om te vermijden dat er fraude is. Auditors zijn ook opgeleid om fraude te detecteren, 50% van de auditors hier hebben een CIA. Dus op zich een audit ter preventie van fraude: ja uiteraard.” Interview 4.
“Als audit kan je in principe alles voorkomen, dat is uiteindelijk de betekenis van risk management.” Interview 7. Ondanks bovenstaand standpunt heerst er toch enigszins verdeling voor de specifieke, actieve rol die Interne Audit zou moeten innemen bij preventie van interne fraude (n=4). Preventie is breder
dan
enkel
het
inbouwen
van
(meetbare)
controlemechanismen.
De
fraudeopportuniteiten dienen zo miniem mogelijk zijn en de pakkans zo groot mogelijk. Uit het standpunt van Interne Audit wordt dit bewerkstelligd door de pure controle en optimalisering van processen en procedures. “In het dagdagelijkse preventieve aspect komt interne audit niet tussen en in fraude onderzoeken ook niet. Wat we wel gaan doen vanuit Interne Audit is kijken naar de processen die uitgewerkt zijn: Zijn er voldoende controles om externe en dus ook interne fraude te vermijden?” Interview 5.
55
De preventieve werking van Interne Audit begint wezenlijk bij de eerste lijn. Respondenten (n=8)
geven
aan
dat
het
3LoD-model
effectief
positief
werkt
en
dit
goede
samenwerkingsverbanden tussen verschillende departementen creëert. Heb je de juiste werknemers op de correcte plaats, kun je in principe “alles” voorkomen. “We hebben nood aan echte kritische bankiers die een gezonde nieuwsgierigheid aan de dag leggen. Dan heb je meestal nog tijd genoeg om het zelf te onderzoeken of door te spelen aan Interne Audit en dus te voorkomen.” Interview 10. Detectie Interne Audit is zo georganiseerd, dat aan de hand van controlemechanismen, de fraudeopportuniteiten zo klein mogelijk zijn of zouden moeten zijn (n=5). Indien er toch fraude wordt gepleegd –intern of extern- rekent men op de controlemechanismen om dit risico te detecteren (n=3). Doch is detectie eerder uitzonderlijk voor Interne Audit, maar er worden af en toe wel zaken gedetecteerd, net door de persistentie van procesoptimalisatie. Indien Interne Audit fraude detecteert, zal dit op reactieve wijze gebeuren. “Detectie hangt er van af. Meestal laten we detectie over aan compliance, maar nu is het wel zo dat we voor sommige zaken meer in detail kunnen gaan. Bijvoorbeeld om voor een bepaalde periode een werkelijk risico te kunnen weergeven en hoe die in verhouding staat. Dan proberen we eerder aan detectie te doen. Dat is beperkt, maar we doen het wel. Soms is dat op basis van samples of van performance, voor zoverre het mogelijk is voor onze analytische
tools.” Interview 3.
De pure proactieve detectie van interne fraude wordt hoofdzakelijk gerealiseerd door de tweedelijnsactor uit het 3LoD-model (n=6). Departementen zoals Compliance, Investigations, Inspections behoren tot deze tweede lijn. Naast proactieve detectie, gaat de tweede lijn ook op reactieve wijze op zoek naar mogelijke fraudes, zowel intern als extern. “Audit dient in eerste instantie niet om fraude te detecteren. Dat zit bijvoorbeeld bij Inspection en Compliance. Bijvoorbeeld, Forensic Audit gaat gericht fraude elementen detecteren binnen de processen, anderzijds heb je Investigations en die gaan echt gericht in de systemen zoeken naar fraudesignalen, die signalen oppikken 56
en uiteraard gerichte onderzoeken uitvoeren naar die signalen. Nu in sommige instellingen zit dat samen omdat er een grote verwevenheid is. Maar het is sowieso een
heel
erg
belangrijk
luik
van
Interne
Audit.” Interview 5.
De tweedelijns- en derdelijns controle hebben enigszins veel raakvlakken en in sommige (kleinere) instellingen kunnen departementen zoals Compliance en Inspection (n=2) actief samenwerken of een geheel zijn met de Interne Audit.
5.2.2. Controlemechanismen 5.2.2.1. Hard controls Geautomatiseerde processen Financiële instellingen worden heel sterk ondersteund door automatisering, dit behoort tot de essentie van het bankwezen (n=7). Elk proces in een bank wordt geautomatiseerd en aan de hand van specifieke tools, kan Interne Audit, in elke schakel verschillende controles uitbouwen (n=4). “De kern van harde controle zit vervat in geautomatiseerde processen. Neem nu een commerciële functie, de verkoop van een krediet, de financieel adviseur zal alle stappen via de software en IT-tools moeten volgen vooraleer een krediet te kunnen finaliseren. Natuurlijk kan de persoon bepaalde gegevens van de klant aanpassen om het systeem te manipuleren naar een gunstige kredietbeslissing, maar sowieso komt zoiets uit en zal dat op de kop van die mens vallen.” Interview 5. Functiescheiding Alle functies in het bankwezen worden van elkaar afgescheiden (n=3). Een werknemer die een commerciële functie uitoefent, zal ook niet nog een centrale beheersfunctie bekleden. Het risico wordt beperkt door de activiteiten van de bank, in zoveel mogelijk diverse schakels te kappen. “Er is een duidelijke functiescheiding op te merken. Je mag nooit monopoliseren he.” Interview 8.
57
“Ik denk dat je geen enkel proces hebt waar functiescheiding en in het verlengde daarvan, duale controle, niet aanwezig is. Als wij bureaustoelen moeten aankopen of een schilder moeten engageren, dat zal dat altijd door meerdere mensen van de schakel bekeken worden. Dat is de basismechaniek van een bank eigenlijk. Om fraude te voorkomen.” Interview 2. Duale controle Door medewerkers van de financiële instellingen Heel veel activiteiten worden in de eerste lijn direct gecontroleerd door collega’s. Overschrijvingen vanaf een bepaald bedrag –meestal vanaf 2500€ in de kantoren van verschillende financiële instellingen-
moeten gecontroleerd worden door minstens een
collega. Aan de hand van geautomatiseerde processen zal de collega die de controleactiviteit uitvoert, dienen in te loggen en zijn akkoord te geven (n=4). Natuurlijk moet men in dergelijke gevallen eveneens waakzaam zijn. Tussen collega’s ontstaat er immers spoedig vertrouwen in wat de ander doet. Bijgevolg kan men in nefaste gewoonten vervallen, die deze controle aan waarde doet inboeten. Het is bijvoorbeeld mogelijk om de login in het systeem in te geven en simpelweg het akkoord tot uitvoer van de transacties inbrengen zonder de transacties effectief na te kijken in een minuut (n=3). Zo kan een controlemechanisme totaal zijn toegevoegde waarde verliezen. Om dergelijke praktijken te vermijden, kan Interne Audit additionele, geautomatiseerde controles toevoegen. “Daarom moeten we ook processen hebben die zo’n zaken kunnen oppikken, als er bijvoorbeeld tien transacties in tien seconden worden goedgekeurd, ja, dan weten we dat dit niet klopt en kunnen we dichterbij de reden onderzoeken van het waarom..” Interview 5. De soft controls kunnen een andere complementaire controle bieden en een significante meerwaarde betekenen in wisselwerking met de hard controls (n=3). “Controles worden gemaakt met bedoeling om zo fraudeproof mogelijk te zijn. Maar we hebben natuurlijk beperkingen. Een verrichting die uitgaat, die transactie kan gecontroleerd worden door een ander persoon, maar daar stopt het dan ook.” Interview 2. 58
Op de tweede lijn wordt de controle vorm gegeven door geautomatiseerde processen. Dit wordt aangevuld met “menselijke aspecten”. Een departement zoals Compliance bijvoorbeeld, rekent voor een aanzienlijk deel op de meldingsplicht van werknemers, ingeval twijfels, malafide praktijken of onregelmatigheden. Interne Audit, de derdelijns actor, organiseert zijn controleactiviteiten eveneens, voor het overgrote deel, op basis van geautomatiseerde processen. Indien een onregelmatigheid via deze wijze de aandacht trekt, kan dit aanleiding geven tot verder, doorgedreven en specifiek onderzoek (n=5). Duale controle mag ruim geïnterpreteerd worden. Het aantal geïmplementeerde controles –in verschillende schakels door meerdere personen- is afhankelijk van het risico die is verbonden aan de activiteit (n=3). “Er zijn bijvoorbeeld zaken die niet kunnen gebeuren zonder het 6-eyes principle. Dus 2-eyes voor een activiteit met risico die peanuts is, 4-eyes met 2 mensen et cetera. Hoogste zaak is eigenlijk acht ogen en dat principe wordt ook toegepast.” Interview 4. Door de klanten zelf van de financiële instelling Naast controle door de werknemers van de financiële instellingen, maakt het bankwezen in België tevens gebruik van een andere vorm van duale controle: controle door de klanten zelf (n=3). Deze controle is een heel erg sterke verificatie, omdat de klant rechtstreeks wordt gecontacteerd en alle transacties zelf kan nakijken. “We voeren ook duale controles uit bij overschrijvingen voor klanten als het om een bedrag gaat hoger dan 50000€. Dan wordt de klant opgebeld om de overschrijving te verifiëren.” Interview 8. “Wat we ook wel soms doen is een brief sturen naar de klant en zeggen beste klant, dit zijn uw producten, deze zijn de verrichtingen van het afgelopen jaar, kunt u ons laten weten of dat dit klopt?.” Interview 2.
59
Two week holiday rule Afhankelijk van de financiële instellingen bestaan er verschillen in de benadering van de two week holiday rule. Een respondent uitte zijn twijfel over de hedendaagse mogelijkheden om doorlopend aan het werk te blijven, ook in verlofperiodes. Iemand die fysisch afwezig is op kantoor, kan via andere middelen, zijn aanwezigheid laten gelden. Het is kinderspel om vanop afstand op kantoor in te loggen en de dagdagelijkse werkactiviteiten uit te oefenen of op z’n minst de emails na te lezen. “Men is verplicht van blok-holidays te nemen. Dat wil zeggen, twee weken verplicht fysisch niet aanwezig zijn binnen de bank. Maar eerlijk gezegd begin ik te denken dat dat niet meer voldoende is. Want ja, je kan aan de andere kant van de wereld zitten en met de moderne communicatie toch nog redelijk present zijn. Daarom niet fysisch, maar je kan wel alles zien, volgen, mails lezen, rerouten, bewerken, forwarden. Dus ik denk dat we eens moeten nadenken om dat email- en internetverkeer ook een tijd stil te leggen.” Interview 10. Een andere respondent volgt de denkwijze van de collega en benadrukt dat de filosofie van de betrokken instelling een volledige afsluiting voorziet voor bepaalde gevoelige departementen. Alle toegangen worden gedurende een vastgestelde periode afgesloten, zodat de uitoefening van de job in de vakantieperiode van de werknemer onmogelijk wordt gemaakt. “De two week holiday rule, die is er en we gaan zelfs nog verder. In bepaalde gevoelige departementen mogen de mensen dus ook geen contact meer houden met de bank via de toegangen thuis uit. Want tegenwoordig, het is niet omdat mensen thuis zitten dat ze niet kunnen werken. Die twee weken zijn echt volledig afgesloten, geen mailverkeer
en
die
dingen.” Interview 5.
Nog een andere respondent erkent het bestaan van deze regel in de betrokken instelling, maar afhankelijk van welke functie de werknemer bekleed, kan er van deze richtlijn worden afgeweken. Dit is het geval bij onder meer personal bankers. Doorverwijzing naar collega’s gedurende een korte periode is mogelijk. Evenwel voor urgente zaken of naargelang de wensen van de klant, dient de personal banker wezenlijk altijd beschikbaar te zijn, 24/7. Een 60
denkbare oplossing is bijvoorbeeld meer dan een relatiebeheerder per klant aanwijzen, zodat de
two
week
holiday
rule
gerespecteerd
kan
worden.
In gevallen waar een werknemer theoretisch gezien dus altijd ter beschikking is, moet de Interne Audit zich bewust zijn van een potentieel verhoogd frauderisico. Via extra, doorgedreven controlemechanismen op andere niveaus, kan Interne Audit evenzeer het hoofd bieden aan mogelijke fraudeopportuniteiten. “De two week holiday rule die is er wel, maar dat ligt moeilijk, bijvoorbeeld in de sector van private banking. Een personal banker moet wel aanwezig zijn voor de klant als deze belt, ook al is die dan op vakantie. Er kan bijvoorbeeld wel voor twee tot drie dagen doorverwezen worden naar een collega, maar de klant staat centraal en als de klant
de
personal
banker
wil
spreken,
dan
kan
dat.”
Interview 8. 5.2.2.2. Soft controls Zoals al reeds aangehaald (cf. supra) is het belangrijk om de harde controles te integreren met de soft controls tot een efficiënt controle-instrument. Het is geen of/of verhaal. Om een effectieve controle en bijgevolg een preventieve kracht te realiseren, dienen deze twee mechanismen zowel samen als op elkaar in te werken (n=7). Een respondent ziet een duidelijk causaal verband tussen de wereldwijde financiële crisis van 2008 en de sindsdien verhoogde aandacht voor soft controls. De controlemechanismen waren toen immers ook al actief aanwezig: Interne Audit, externe audit, interne controle en de wettelijke toezichthouder (NBB). Deze stelling kan uitgebreid worden tot de bovengenoemde (cf.
supra)
fraudecasussen
(klein
en
groot)
in
deze
masterproef.
Verschillende controlemechanismen waren actief én toch heeft er zich interne fraude voor gedaan. Misschien hadden enkele van deze zaken vermeden kunnen worden, door een effectief gebruik van de soft controls. “Er is meer en meer aandacht voor de soft controls én terecht. Het gaat over samenwerkingsverbanden. In een organisatie ben je niets meer en niets minder dan de som van alle werknemers die met elkaar samenwerken. Soft control is dus heel erg lastig. Dat vraagt discussie en interactie met betrokkenen, een beeld krijgen van hoe de mensen samenwerken en of die samenwerking wel optimaal is. Dat vraagt dus ook 61
meer van de Interne Auditor.” Interview 7. Corporate Culture De cultuur binnen een onderneming is essentieel om een open werkomgeving te creëren en om preventie te plaatsen als prominente actor, in de dagdagelijkse werking van een financiële instelling. Alles vertrekt vanuit de bedrijfscultuur (n=6). Heerst er een open cultuur? Zijn er samenwerkingsverbanden? Streeft iedereen hetzelfde doel na? Een open en positieve cultuur vergt echter veel van het bestuur. Tevens kan de Interne Audit hier een belangrijke rol bekleden. “Een open bedrijfscultuur is noodzakelijk he en in geval van audit, dat vergt veel van de mensen. Hoe gaat een leidinggevende om mee onregelmatigheden en vooral ziet die persoon dat? Vervolgens, hoe kritisch is zo’n tweede lijn daar om heen? En wat is de indruk die audit daarvan als derde lijn krijgt. Het is heel veel bewustzijn.” Interview 7. Sociale controle Het merendeel van de respondenten geven te kennen dat sociale controle een sterk gebruikt en relatief eenvoudig controlemechanisme is (n=5). Zo’n sociaal model heeft echter zijn restricties. In theorie kunnen er solide processen worden uitgetekend, maar deze moeten nog steeds uitgevoerd worden door mensen. Het menselijk aspect is een onzekere factor. Er is bijvoorbeeld collusie denkbaar. Mogelijke alternatieven om zo’n voorvallen te vermijden of te beperken is de functiescheiding en het opdelen van verantwoordelijkheid. Indien er collusie aanwezig zou zijn, zou deze door de opdeling van de processen vroeg of laat aan het licht moeten komen. Hoe lager de collusie zich bevindt in de hiërarchie, hoe waarschijnlijker de pakkans dus. Collusie op het niveau van het bestuur daarentegen, is gevaarlijk. Door middel van andere mechanismen kan men trachten om bedreigingen tegen te gaan (n=2). “Je hebt ook een stuk sociale controle. Buiten het feit dat je je automatisering hebt (…) Je hebt collega’s, er is sociale controle. Wat zeer moeilijk tegen te gaan is, is collusie. Vandaar dat het zo belangrijk is om je proces in stukken te kappen.” Interview 4. 62
De wijze waarop de sociale controle wordt ingevuld en welk belang hieraan wordt gehecht is afhankelijk van de bedrijfscultuur (cf. supra). Daarom wordt er, des te meer, de nadruk gelegd op het implementeren van extra procesmatige controles ter aanvulling voor taken die in se enkel door de eerste lijn zouden kunnen worden uitgevoerd (n=2). “In welke mate kun je beroep doen op sociale controle en kun je rekening houden met de managers? Bijvoorbeeld iemand die nooit congé neemt, dat is aan de manager om zo’n dingen te zien. Maar de manager kan het ook zien als: amai, dat is een harde werker, die zit hier van ‘s morgens tot ‘s avonds.” Interview 5. Ethiek Het ethisch kader waarin een persoon opereert is een cruciaal element inzake fraudepreventie en –bestrijding (n=2). Hoe de ethische waarden van een persoon kunnen worden onderzocht is nog maar de vraag. Doorgaans zal HR dit voor zijn rekening nemen bij de selectie van potentiële kandidaten, aan de hand van de afname van psychologische enquête. Belangrijk om voor ogen te houden is, dat zo’n survey een momentopname is en naargelang verschillende situaties kan variëren. “Ethics
speelt
mee
vanaf
de
eerste
euro,
in
theorie
althans.”
Interview 2. Een respondent benadrukte dat werknemers, die zich bijvoorbeeld identificeren met diverse ethische waarden, door factoren zoals prestatie- en tijdsdruk, kunnen evolueren naar het vertonen van risicogedrag. Indien een instelling risicogedrag, ten gevolge van bovenstaande factoren, tot een minimum wenst te beperken, is er nood aan een bedrijfscultuur die een goede werk-leef balans omvat. Begrip, bewustzijn en erkenning vanuit het bestuur zijn cruciale factoren. “Vaak doen mensen zaken vanuit een correcte integere insteek, maar onder tijdsdruk, werkdruk, noem maar op, worden er shortcuts gemaakt en die shortcuts kunnen allerhande risico’s opleveren. Een groot foutrisico, maar het frauderisico valt niet te onderschatten.” Interview 7.
63
Profielscreening Een tweedelijns actor, zoals HR, kan een beduidende rol spelen bij het realiseren van ethische waarden binnen een instelling. In het kader van selectie en rekrutering van potentiële werknemers, kan HR uitvoerige screenings toepassen (n=5). Doorgaans worden dergelijke, gedetailleerde screenings enkel toegepast voor risicovollere jobs of functies met veel verantwoordelijkheid. In se is het bijgevolg meerdere controles uitvoeren op evidente zaken: onregelmatigheden qua jaartallen, mogelijke lacunes en referenties nakijken. Kortom, is het CV waarheidsgetrouw? Helaas zijn diepgaande controles niet steeds mogelijk, omwille van de welbekende werk- en tijdsdruk om de openstaande vacatures op tijd ingevuld te krijgen. “Zo kijken er in de UK gespecialiseerde HR diensten echt alle data van een CV na op correctheid. Iemand waarvan alles klopt, wijst op een sterker proefiel qua deontologie en ethiek. Zo’n systeem is ook nodig in België. Nu gebeurd dat slechts in beperkte mate voor risicovollere functies.” Interview 9. Een aantal respondenten (n=3) geloven in de meerwaarde van Interne Audit in dergelijke gevallen. Er bestaan samenwerkingsverbanden tussen HR en Interne Audit, wanneer er bijvoorbeeld een nauwkeurige en intensieve achtergrondcheck uitgevoerd, dient te worden. Interne Audit gaat in zo’n casussen actief op zoek naar fraudegevoelige triggers. Denk aan iemand met een negatieve melding op de NBB37 of iemand met een extravagante levensstijl die niet past bij hun actuele functie. Onder bepaalde omstandigheden is de kans zeer groot dat deze zullen frauderen. Deze backgroundchecks zijn een positief preventiemechanisme voor een financiële instelling om zich te wapenen tegen mogelijk frauduleus risicogedrag. “Voor sommige risicovolle jobs of waar we echt zeker moeten zijn dat we met de juiste persoon zitten, wordt er aan ons gevraagd om backgroundchecks te doen. Nakijken of er bijvoorbeeld iemand met schulden zit behoort daar toe. Dat is natuurlijk een van dé grote triggers.” Interview 10. Dergelijke achtergrondchecks zijn echter geen onfeilbaar instrument –wanneer is een preventiemechanisme dit wel?-. Iemands financiële (en persoonlijke) situatie kan van de een 37
Wordt aanzien als een wanbetaler. Wanneer alle schulden zijn terug betaald is de situatie geregulariseerd en staat men nog een jaar negatief gemeld op de NBB.
64
op de andere dag veranderen. Toch wordt er op deze wijze getracht om de risico’s te beperken tot het minimum (n=2). “Je weet natuurlijk nooit echt wie je in huis haalt he. Iemand zijn reële financiële en persoonlijke situatie kan je nooit volledig weten he, ge kunt harde feiten opzoeken en aanvullen met veronderstellingen. Maar bon, stel dat er dan iets fout gaat, hebben we het op z’n minst geprobeerd.” Interview 8. Whistleblower policy De klokkenluidersprocedure38 is in elke Belgische financiële instelling geïmplementeerd. Elke melding die binnenkomt via dit medium, wordt onderzocht door Interne Audit. Vaak wordt er onderzoek gevoerd in samenwerking met de tweede lijn zoals Compliance en Investigations (n=6). “Een proces waar er fraude is of geen fraude of er is geen enkele aanduiding op dat moment, maar als er een melding komt dan wordt dat onderzocht. Krijgen we een melding binnen wordt er gekeken naar de aanleiding, oorzaak en zo kan een onderzoek opgestart worden.” Interview 4. Afhankelijk van de grootte van de financiële instelling, kan de melding van mogelijke vermoedens van malafide praktijken, rechtstreeks worden gemeld aan de tweede en derde lijn. “Er is een whistleblower procedure, maar in de praktijk wordt het rechtstreeks gemeld via
interne
audit of
compliance.” Interview 9.
Volgens enkele respondenten (n=3) werkt de klokkenluidersprocedure zeer positief voor relatief kleine fraudes, die de controleorganen op geen enkele, andere manier hadden kunnen zien. Deze stelling bevestigd dat delinquent gedrag door de mazen van het net glipt. Zonder de instelling van de klokkenluidersprocedure zou er derhalve geen fraudedetectie hebben plaatsgevonden. Er zijn uiteraard klokkenluiders voor grotere fraudes, maar dit is eerder de
38
Stelt werknemers in staat om anonieme melding te doen ingeval van bijvoorbeeld vastgestelde onregelmatigheden.
65
uitzondering. Het lijkt logisch dat “grotere” fraudes via harde controles op een gegeven zichtbaar zullen worden, bijvoorbeeld door de instelling van geautomatiseerde processen. Elke melding die binnenkomt wordt verplicht onderzocht. De melding hoeft geen precieze aanleiding te vatten. Dit is een van de sterktes van de klokkenluidersprocedure: het stelt werknemers in staat om onregelmatigheden te melden die nooit of toch niet onmiddellijk de controleactoren bereikt. Tegelijkertijd is dit eveneens een valkuil. Iedereen kan een feit melden en in het overgrote deel van de meldingen moet het kaf van het koren gescheiden worden (n=4). Nu zijn er natuurlijk ook een aantal afrekeningen he, bijvoorbeeld mensen die problemen hebben met elkaar en die misbruik maken van de procedure.” Interview 5. “Er zijn van die anonieme toestanden, waar iemand niet gelukkig is met de promotie van iemand anders of eender welke reden en dan komt er een anonieme brief binnen.” Interview 10. 5.2.2.3. Effectiviteit van controlemechanismen Het staat, zonder twijfel vast, dat controlemechanismen essentieel zijn voor de werking van een bank. Zoals blijkt uit de best practices van de respondenten (n=8) zijn controlemechanismen doeltreffend voor interne fraudedetectie en –bestrijding. Een combinatie van beide controlemechanismen – hard en soft- zijn cruciaal om interne fraude efficiënt en effectief te detecteren en te bestrijden. Fraudepreventie sluit hier bij aan (n=5). De onderzoekster stelt zich de vraag of een werknemer die alle controles goed in kaart heeft door bijvoorbeeld ervaring, deze toch zou kunnen omzeilen. Daarom is het doorslaggevend voor de derde lijn om de processen in zoveel mogelijk afzonderlijke delen te kappen, diverse controles in verschillende schakels van de keten in te stellen, de controles te diversifiëren en in te zetten op een doorgedreven automatisering (n=6). “Mensen die echt willen frauderen gaan altijd een goed zicht hebben op de controles. Die gaan inderdaad proberen om buiten al die controles te vallen en soms lukt dat. Maar natuurlijk ja, hoe meer controles er zijn, hoe moeilijker om al die controles juist te duiden waar dat ze in het proces zitten en dan zie je toch wel vaak dat er wordt geanticipeerd op drie-vier controles, maar ze vergeten misschien wel de vijfde uit het 66
oog
en
daar
worden
ze
gepakt.” Interview 2.
Een overkill van controles is evenzeer mogelijk. Door net verschillende controles in te zetten op alle processen in de diverse schakels van de keten, kunnen deze controlemechanismen leiden tot inefficiënties. Dergelijk gegeven is vooral nefast betreffende het foutrisico en werkt een grotere laksheid in de hand. “Wat is het probleem van duale controle bijvoorbeeld, het neemt voor een stuk de verantwoordelijkheid weg van een van de twee personen. Omdat als ik iets moet doen, maar ik weet dat het gecontroleerd wordt door een ander, ja dan zal ik minder nauwgezet
te
werk
gaan.” Interview 3.
De gebruikte controlemechanismen zijn echter een rigide gegeven en zijn in se redelijk beperkt. Er zijn slechts een beperkt aantal alternatieven (n=2).
5.3. Interne fraude 5.3.1. Prevalentie interne fraude binnen financiële instellingen Het gros van de respondenten (n=7) stellen dat er binnen financiële instellingen op een gegeven moment interne fraude present zal zijn. Of ten minste pogingen tot interne fraude zullen worden ondernomen. Niettegenstaande het frauderisico nooit volledig kan worden uitgesloten, dienen de directie permanente aandacht te besteden aan riskmanagement. Een groeiend bewustzijn omtrent preventie draagt hier aan bij. “Geld en fraude zijn co substantieel of wezen eens. Dus als er geld of financiën bij betrokken zijn, ga je vroeg of laat fraude hebben of pogingen tot fraude hebben. Gevaarlijk
voor
een
bank
natuurlijk.” Interview 7.
De basis voor bovenstaande stelling vindt men terug in de principes van de normaalverdeling. Toegepast op (interne) fraude stelt de Gausscurve dat 5% van de populatie nooit zal frauderen, 5% van de populatie zal altijd zoeken naar opportuniteiten om te frauderen en 90% van de populatie zal frauderen onder bepaalde omstandigheden (Cressey, 1953) (N=5). 67
“Neem nu de Gausscurve, die stelt dat mensen altijd zullen frauderen als er zich bepaalde opportuniteiten voordoen en dat er slechts 5% is van je mensen die nooit gaan frauderen. Maar dat wil wel zeggen dat je 95% van je mensen in het oog moet houden. Dat
is
gigantisch
veel
he.” Interview 10.
“Als je naar de normaalverdeling kijkt, heb je mensen die zullen gebruik maken van de
opportuniteit
als
die
zich
voordoet” Interview 2.
Ongeacht bovenstaande citaten, gaan nagenoeg alle respondenten (n=9) akkoord dat de interne fraude binnen financiële instellingen lijkt te dalen. De gelegenheden worden immers steeds beperkter. Men dient voorzichtig te zijn met de interpretatie van dergelijke uitspraken, rekening houdend met het dark number. En wie weet, misschien zijn interne fraudeurs net beter geworden in het verbergen van hun illegitieme praktijken. “Als ik zo naar de statistieken kijk, heb ik de indruk dat er minder interne fraude is omdat
de
kansen
beperkter
en
beperkter
worden.” Interview 3.
5.3.1.1. Profiel (interne) fraudeur Enkele respondenten (n=3) geven aan dat het profiel van de interne fraudeur afhankelijk is van de omvang van de fraude. Voor relatief kleine fraudes is het eerder een kwestie van de gestelde opportuniteiten. Ingeval systematische interne fraude ligt het profiel complexer en kan er een samenhang gevonden worden tussen het superioriteitsgevoel en de “grotere” fraudes. Een respondent licht toe dat in dergelijke cases –miljoenenfraudes- de fraude gradueel groeit en de aanpak veel systematischer is dan wanneer men enkel leunt op een opportuniteit en/of een lacune. “Ik denk als er iemand fraude pleegt wegens ontevredenheid in het bedrijf of als die niet genoeg verdient, dat de fraude wel groter en georganiseerder kan zijn. Maar dan moet het ook echt al diep zitten en moet die persoon met die stress kunnen omgaan. Nu zo’n fraudes bouwen ook gradueel op he en neemt toe in omvang als men al een tijdje bezig is. Neem nu een Jerome Kerviel, ik denk dat bij hem het een gedachte was van: 68
‘ze pakken mij niet’ en dan steeds verder gaan om te kijken wanneer ze u wel gaan pakken.
Een
beetje
het
systeem
testen
he.”
Interview 2. “De ervaring leert ons toch dat de ‘gewone’ fraudes binnen de bank eerder gebeuren omdat die persoon een lacune heeft gevonden of dat toch denkt tenminste, te kijken of die er mee weg kan komen en niet zozeer omdat iemand met misnoegde gevoelens zit tegenover de
organisatie.” Interview 10.
5.3.1.2. Motivatie (interne) fraude Het merendeel van de respondenten (n=7) verwijzen naar de fraudedriehoek (Cressey, 1953), als antwoord op de vraag naar de mogelijke motieven tot het plegen van delinquent gedrag binnen financiële instellingen. De ervaring leert hen dat de opportuniteit vaak de doorslaggevende factor is. Eenmaal er een opportuniteit wordt vastgesteld, is het relatief eenvoudig
om
over
te
gaan
tot
illegitieme
praktijken.
Het onderhouden van een bepaalde (luxe) levensstijl of het hebben van financiële problemen zijn voorbeelden van concrete motivaties. “Als het makkelijk is om te frauderen of als ze echt het water aan de lippen hebben staan
of
als
ze
denken
dat
ze
niet
gepakt
zullen
worden.”
Interview 10. “Er zijn veel mensen die niet met geld kunnen omgaan. En het is niet omdat je in een bank
werkt,
dat
je
dan
wel
met
geld
kunt
omgaan.” Interview 5.
Er heerst verdeling tussen de respondenten inzake het rationeel mensbeeld. Het klopt dat er in veel gevallen een kosten-batenanalyse wordt gemaakt inzake de baten en de negatieve gevolgen. “Wat er daar in het achterhoofd speelt is altijd hetzelfde: is dit materieel genoeg om mij te verrijken? Kan ik het voor mijzelf deontologisch maken, maar vooral wat is de pakkans? Interview 4.
69
Dit impliceert echter een effectief rationele denkwijze (n=4). Doch
kampen veel intern
fraudeurs met een superieur gevoel en is er een soort van vertekend rationeel mensbeeld. “Ik weet in een aantal fraudegevallen die wij hier hebben gezien, zitten die mensen met een superioriteitsgevoel he. Ze denken echt dat ze slimmer zijn dan het systeem en dat
we
hen
niet
zullen pakken.” Interview 5.
5.3.2. ‘Grote’ vs. ‘kleine’ interne fraudes De omvang van de interne fraude is een betekenisvolle factor voor Interne Audit in het opmaken van de jaarlijkse risicoanalyse (n=8). Het draait allemaal om de kostenbatenanalyse. Het belang en het gewicht van de mogelijke fraude dient bepaald te worden. Is het delinquent gedrag significant genoeg om te onderzoeken? Indien de controle duurder – financieel, tijd consumerend, technologische innovaties, beperkingen, aantal werknemers- is dan de gepercipieerde fraude, is de kans klein dat er effectief controlemechanismen zullen worden ingesteld.
“De grote vraag is altijd: waar begint de fraude en waar eindigt het? Bijvoorbeeld, een stylo meenemen en thuis vergeten, ja… Een bak van 100 stylo’s meenemen daarentegen, is van een ander niveau. Dat is zeer moeilijk om daar de grens te leggen. Hoeveel ga je investeren om te controleren en hoeveel gaat het je kosten om het op te volgen?” Interview 4. “Diefstal van, bijvoorbeeld een koffiepot, wordt niet echt hard gecontroleerd door Interne Audit. Dat is het ook niet waard, dat wordt ingerekend in de marginal rate.” Interview 8. Naast de koste n-batenanalyse, wordt er eveneens gekeken naar de berokken schade en/of winst die een persoon kan maken (n=4). Denkbare schade en winst worden dus opgenomen in het gewicht toegekend aan frauderisico’s. Een “kleine” fraude, zoals weergegeven in onderstaand citaat, behoort tot de verantwoordelijkheid van de eerste lijn. Het is aan de directe supervisie om controles uit te voeren en indien nodig, op te treden tegen dergelijke praktijken. 70
“Een bloempot meenemen bijvoorbeeld, is nu niet echt schade berokkenen. Zoiets behoort eigenlijk tot de corporate culture en de sociale controle en dus voor de directe manager.” Interview 9. “Kleinere” fraudes, zoals (eenmalige) diefstal, worden moeilijker geïdentificeerd door de derde lijn (n=7). In zo’n gevallen steunt men op de eerste en de tweede lijn en niet zozeer op de geautomatiseerde processen. De soft controls, zoals de klokkenluiderprocedure, kan een betekenisvolle rol spelen in gelijksoortige aangelegenheden. Systematische diefstal daarentegen, zou op een gegeven moment toch ontdekt moeten worden door de geautomatiseerde processen van Interne Audit. “Als diefstal wordt opgemerkt, zal dit waarschijnlijk wel gemeld worden en zal er hier op worden
aangesproken.” Interview 8.
“Iemand die systematisch papier meeneemt naar huis, nu dat gaan we vreemd vinden ja, maar er wordt daar geen onderzoek naar gestart, tenzij we daar een specifieke melding van ontvangen.” Interview 2. Ondanks de moeilijkheid van de kosten-batenanalyse en de noodzakelijke keuze om niet bij elk denkbaar (fraude)risico controlemechanismen te implementeren, zijn quasi alle respondenten akkoord dat in “kleine(re)” kwesties een prominente rol is weggelegd voor de soft controls: corporate culture, sociale controle, deontologie en ethiek (n=8). Indien een instelling deze factoren niet erkent, bestaat de kans op normvervaging, die nefast is op oneindig veel vlakken van een onderneming. “Het meenemen van een bureaulamp, dat is diefstal. Ik ben daar heel duidelijk in en je moet daar heel duidelijk in zijn. Anders is dat normvervaging. Dat is cultuur. Ondersteun je als organisatie een cultuur waarop je elkaar daar op aanspreekt of vind je het allemaal gewoon
doodnormaal?” Interview 7.
De respondenten (n=5) onderstrepen het belang om als instelling te reageren, indien er een fraudesignaal wordt opgemerkt. Volgt er geen reactie, kan dit leiden tot diverse negatieve 71
gevolgen. Denk maar aan escalatie van interne fraude of een steeds groter deel van de populatie die “kleinere” fraude pleegt. Nét omdat er niet gereageerd wordt.
5.3.3. Trends 5.3.3.1. Technologische innovatie Zoals alles, is ook interne fraude onderhevig aan technologische innovaties. Onder interne fraude valt niet meer het pure stelen, het wordt gesofisticeerder en genuanceerder. Technologische vooruitgang is een positieve evolutie, maar onderhevig aan (snelle) verandering. Bijgevolg ontstaat er ruimte voor lacunes, waar fraudeurs gebruik van kunnen maken om nieuwe opportuniteiten te identificeren (n=4). Bij de implementatie van een technologische innovatie is het mogelijk dat er nood is aan nieuwe controlemechanismen of dat controlemechanismen nog niet op punt staan bij de invoer ervan. “De manier waarop interne fraude en fraude tout court worden uitgevoerd zijn steeds technologische gericht. Vandaar ook de stijging van de ITaudits.” Interview 9. “Het wordt doordachter dan vroeger, het is niet meer direct stelen.” Interview 2. 5.3.3.2. Dematerialisatie Met dematerialisatie wordt bedoeld dat, onder meer, het chartaal geld en papieren effecten verdwijnen en omgezet worden in girale vorm: onzichtbaar, ontastbaar en beweegt zich in de vorm van informatiestromen (Febelfin, 2012). De respondenten (n=5) zijn het erover eens dat geld minder tastbaar wordt. Er zijn natuurlijk nog steeds werknemers die autorisaties tot die rekeningen moeten hebben om hun job uit te oefenen. Het instellen van extra uitvoerige controlemechanismen spreekt voor zich. “Er zijn geen papieren effecten en kasbons meer. Maar rekeningen zullen er nog altijd zijn en daar kan nog altijd mee geschoven worden. De fraude verlegt zich.” Interview 3.
72
5.3.3.3. Nauwe klantenrelatie In het verleden werden te nauwe klantenrelaties vermeden door middel van rotatie39. Enkele respondenten (n=2) gaven echter aan dat dit ontevreden klanten met zich meebracht. Een intense (vertrouwens)relatie is voor velen een basiscriterium voor een goede dienstverlening. Rotatie is daarom quasi onbestaand geworden en wordt enkel nog vervuld door de vliegende ploeg40. Bijgevolg zijn er actueel meer commerciële medewerkers die te dicht bij een klant staan (N=3). Misbruik van het klantenvertrouwen is geen unicum. “Er zijn commerciële medewerkers die zeer dicht bij klanten staan. Het is ook een dunne lijn, je moet iemands situatie, zowel demografisch, financieel, noem maar op, goed
kennen
om
een
kwalitatieve
dienstverlening
te
leveren.”
Interview 2. 5.3.3.4. Casussen
“De beste fraudes zijn de simpelste.” Interview 10. Kasfraude De meerderheid van de respondenten (n=9) neemt een duidelijke daling van de kasfunctie –in de enge zin van woord- gewaar, om de logische reden dat er steeds minder cash aanwezig is in de kantoren. Sommige financiële instellingen hebben zelfs volledig cashvrije kantoren. “Het zit wel iets ingewikkelder in elkaar om te zeggen van ja er is geld uit de kas genomen.” Interview 4. “Iemand kan met zijn handen in de kas zitten, maar dat gebeurd minder en minder, omdat er veel minder cash aanwezig
is”. Interview 10.
39
Commerciële medewerkers die roteren tussen verschillende kantoren.
40
De vliegende ploeg in het bankwezen zijn commerciële medewerkers die de tekorten in verschillende kantoren opvangen.
73
“Banken zijn tegenwoordig zo goed beveiligd en hebben zo weinig geld in kas.” Interview 7. Kasfraude, in de brede zin van het woord, kan gezien worden als het schuiven met of het manipuleren van rekeningen in de kantoren (n=5). Zoals besproken in de alinea over dematerialisatie (cf. supra) zijn er steeds werknemers, die toegangen tot rekeningen nodig hebben in de dagdagelijkse werking van de bank. “Slapende rekeningen zijn ook gevaarlijk. Als er weinig beweging is en die mensen komen nooit fysisch langs, is de kans groter dat er mee gesjoemeld wordt he. Daarom hebben we processen ingesteld die getriggerd worden als er dan toch beweging is en gaan we
dit
controleren.” Interview 8.
Het komt er dus op neer om steeds waakzaam te zijn op zowel de eerste, tweede als derde lijn en in elke schakel van de keten verschillende controles te implementeren. Diefstal van activa Ondanks de steeds meer inventievere invulling van (interne) fraude, is de meest voorkomende vorm nog steeds interne fraude met de vaste activa (n=7). Diefstal detecteren hangt sterk van de organisatie van het proces -want ook dat is een proces- en dat is volledig het terrein van Interne Audit. Waardevolle(re) objecten, zoals computers en pc-schermen, worden geïnventariseerd en gelabeld. Aan de hand van een themacontrole kan er nagekeken worden of elk waardevol actief staat waar ze hoort te staan. “Iemand die zegt: ik pak morgen die koffiezet en de bijhorende capsules mee. Dat is waarschijnlijk wel op hetzelfde niveau als vroeger, maar gaat dan vaak om lage bedragen. Maar we hebben ook een inventaris voor alle waardevolle objecten he, wij willen weten waar welk waardevol actief staat.” Interview 2. Opnieuw is het dus van nodig dat, zowel hard en soft controls, samen worden geïntegreerd. Zoals onderstaand citaat illustreert, winnen de soft controls aan belang in “kleinere” fraudes. “Bij de catering, iemand die nooit betaald voor zijn maaltijd, dat wordt wel opgemerkt door collega’s en dat kan voor wrevel zorgen en op een gegeven moment zal iemand
74
dat wel komen melden, rechtstreeks of via de procedures.” Interview 10. Hiernavolgend citaat is een voorbeeld van een variant van diefstal. Het is geen diefstal pur sang, maar de werknemer verrijkt er zich door: er is een duidelijke winstmarge. “Directiekaders krijgen bijvoorbeeld een leasingwagen en dus een tankkaart en er was er eens .. Echt een dommerik. Ja, je moet je kilometers ingeven in een programma en als je een wagen hebt die 40 liter per 100 km verbruikt en ja er wordt elke week getankt voor 60 euro. Dat directielid had een handeltje opgericht in diesel en benzine.” Interview 10. Dealerfraude Onder deze noemer behoren de grote fraudeschandalen die de pers halen. Enkelen werden in het theoretisch luik van deze masterproef besproken: Nick Leeson en Jerome Kerviel. De respondenten zijn het over eens dat interne fraude van immens kaliber zelden voorkomt of op tijd gesignaleerd en/of gedetecteerd wordt (n=4). “Je hebt natuurlijk de grote zaken, die gekend zijn vanuit de pers, bijvoorbeeld een Nick Leeson… Dat zijn traditionelen die een bank wel volledig onderuit kunnen halen. Dat zijn echt high-risks fraud, met gelukkig weinig probability”. Interview 9. Misbruiken van de Gift-policy De deontologische code van het bankwezen legt strikte regels op met betrekking het ontvangen van (relatie)geschenken (n=7). Het niet respecteren van deze code kan aanzien worden als een vorm van interne fraude. De norm voor de waarde van een geschenk ligt op maximum 100€ en er is telkens een verplichte meldingsprocedure. Misbruiken kunnen immers leiden tot belangenconflicten met nefaste gevolgen. Vertrouwensmisbruik bijvoorbeeld of een te nauwe klantenrelatie. “Een doos pralines moet een commerciële medewerker niet afslaan, maar er is natuurlijk een verschil tussen het ontvangen van een doos pralines of een zeldzame fles Bordeaux die 500€ waard is.” 75
Verzekeringsfraude Verzekeringsfraude is het klassiek schoolvoorbeeld voor externe fraude. Doch komt interne verzekeringsfraude meer dan eens voor (n=3). Daarom zijn een expertises noodzakelijk, zowel voor externe als interne fraude. “Bijvoorbeeld een verzekeringsagent die zijn cliënt adviseert om de verzekering op te lichten,
zo
zijn
er
veel.” Interview 4.
Afpersing Afpersing kan gezien worden als een soort van oplichting en bijgevolg als fraude. Daden als deze, blijken doorgaans van een lage deontologie en ethische waarden. In combinatie met opportuniteit en motivatie is dit nefast voor een financiële instelling. Interne Audit werkt in deze casussen nauw samen met de politie (n=3) wegens verscheidene redenen: vermijden van procedurefouten, politie heeft logischerwijs meer bevoegdheden dan Interne Audit en kan dus meer onderzoeksdaden stellen. ”Je hebt natuurlijk ook afpersing. Bijvoorbeeld een werknemer met gevoelige discrete informatie over klanten kan dreigen dit te publiceren in de media, indien er geen bepaalde som wordt overgeschreven. In zo’n gevallen werken we samen met politie.” Interview 10.
5.3.4. Sanctionering interne fraude De sanctionering van interne fraude of de beslissing welk soort sancties tout court, worden gegeven, behoort niet tot de bevoegdheden van Interne Audit. Vaak wordt dit beslist door HR in samenspraak met de eerste lijn. Ter volledigheid van het empirisch onderzoek heeft de onderzoekster deze vraag gesteld, met de doelstelling om de stappen na de detectie van delinquent gedrag te volgen en zodoende de mogelijke sanctioneringg. De effectiviteit van de (interne) sanctionering wordt niet verder onderzocht, wegens de afbakening van het onderzoek, beperkte data evenals pragmatische redenen. Doch is de onderzoekster zich bewust van de boeiende onderzoeksmogelijkheden die deze aanvulling met zich meebrengt.
76
5.3.4.1. Interne sanctionering Sanctionering kan zowel volgen op effectieve interne fraudegevallen als op pogingen tot interne fraude. Blaambrief De respondenten geven aan dat een blaambrief wordt gestuurd in geval van minder ernstige zaken (n=3). De werknemer dient door deze brief zijn fout te erkennen en heeft een waarschuwende kracht naar de toekomst toe. De werknemer wordt immers op de hoogte gesteld van de mogelijke sancties, indien deze het illegitiem gedrag nogmaals stelt. Deze reactieve sanctie rekent op een preventieve werking naar de toekomst toe. De werknemer weet wat deze kan verliezen en logischerwijs verwacht men dat er afgestapt wordt van de malafide gebruiken. Deze blaambrief is enkel geldig ingeval kleine zaken. “Het simpelste is een blaambrief met een waslijst van mogelijke sancties.” Interview 10. Demoties Een werknemer degraderen van een hogere functie naar een lagere functie is een ander mogelijke sanctie. “Het is al voorgevallen dat we een teammanager hebben gedegradeerd omwille van interne fraude gepleegd door iemand in zijn team. In principe had die mens zelf de fraude niet gepleegd, maar hij was wel nalatig in zijn functie. De manager moet zoiets opmerken.” Interview 5. Het voorbeeld in bovenstaand citaat is geen alleenstaand feit. Wordt er interne fraude opgemerkt, is het heel erg waarschijnlijk dat zijn hiërarchisch overste ook een sanctie zal ontvangen (n=4). De concrete sanctie hangt af van de interne fraude. Een manager kan evengoed ontslagen worden door nalatigheid of een fout niet (willen) op te merken. Verlies van vakantiedagen Een respondent merkte op dat de financiële instellingen toch trachten –in de mate van het mogelijke- individuele sancties op te leggen, zodat de sanctie een zeker en positief effect naar de toekomst toe kan bewerkstelligen. Zo blijkt ook uit onderstaand citaat. 77
“Het bankwezen is gekend voor de vele vakantiedagen en voor sommige werknemers zijn die vakantiedagen een van de redenen waarom ze bij de bank werken. Dan kan je bijvoorbeeld
als
sanctie
een
inperking
op
deze
vakantiedagen
leggen.”
Interview 7. Inperking van het variabel loon De inperking van het variabel loon is een effectieve sanctie en kan toegepast worden in verschillende zaken, waaronder ook in (interne) fraudezaken of –vermoedens (n=5). “De bonus is voor een commerciële medewerker een mooie plus op het gewoon loon he. Als er daar aan wordt geraakt, wordt er toch een duidelijk signaal gegeven.” Ontslag De respondenten (n=10) geven allen aan dat de meest ingrijpendste sanctie het ontslag is en indien nodig, zal deze dwangmaatregel toegepast worden. In het merendeel van de gevallen is dit ontslag met dwingende redenen. Afhankelijk van de situatie is er eveneens ontslag mits onderlinge toestemming mogelijk, al dit blijkt eerder een uitzondering. “Als het fraude is, fraude in de zin van ontvreemding of fraude van: ik heb onrechtmatig geschenken ontvangen. Ja dan is het, ongeacht het bedrag, ontslag.” Interview 2. Er heerst wat onenigheid tussen de respondenten wanneer ontslag nodig is. Nemen we de voorbeelden uiteengezet in het theoretisch luik van dit werkstuk, spreek het voor zich dat er (dwingend) ontslag volgt. Sommigen (n=3) zijn eerder voorzichtig in het uitspreken van de noodzaak tot ontslag. Anderen (n=4) zijn zeer resoluut en wijzen op het belang van de ethische waarden, de deontologie en de corporate culture die je als instelling naar de buitenwereld wil overbrengen, zowel voor de werknemers als voor de klanten. We kunnen dus stellen dat het situatie- en contextafhankelijk is. “Vermoeden tot fraude is vanaf de eerste centiem hé, dat is hier zero tolerance.” Interview 10. “We hebben ooit wel iemand buitengezet omdat ze op kosten van de bank een kunstkerstboom gekocht hadden en die thuis gezet hadden. Nu, we zoeken niet actief naar dat soort fraudes he, maar als je dat signaal krijgt of vaststelt moet je overgaan 78
tot actie. Uw ethiek begint dan te spelen en niet zozeer uw materialiteit he.” Interview 2. Bovendien kan de lezer aan de hand van bovenstaand citaat, zich nog maar eens een beeld vormen (en misschien ook verbazen) over de oneindig vele vormen die (interne) fraude kan aannemen. Geen enkele interne fraude is ondenkbaar, zoveel is duidelijk. 5.3.4.2. Strafrechtelijke sanctionering Indien er strafrechtelijke inbreuken zijn vastgesteld, hevelt Interne Audit het dossier over aan het parket. Deze zorgt voor de verdere afhandeling en eventuele (strafrechtelijke) vervolging (n=6). Naargelang de berokken schade, kan de financiële instelling en de benadeelde(n), zich burgerlijke partij stellen.
5.3.5. Communicatie interne fraude en sanctionering 5.3.5.1. Communicatie van interne fraudecasussen Grosso modo alle respondenten (n=8) lichtten toe dat zowel interne fraude als pogingen tot, summier worden gecommuniceerd binnenin de financiële instelling. Deze kennisgeving is belangrijk om een soort van algemeen bewustzijn –awareness- te creëren binnen de financiële instelling en dit op alle niveaus: van de onderste laag tot de directie. Het merendeel van de communicatie gebeurd via het intranet of een periodieke e-mail. De casussen worden telkens geanonimiseerd en is beschikbaar voor iedereen binnen de onderneming. “Pogingen tot fraude, verhalen waarin fraude verijdeld wordt worden zeker gecommuniceerd. De case wordt beschreven met andere namen. Er wordt geprobeerd om een awareness te creëren in het bedrijf.” Interview 2. “Er wordt een korte (anonieme) omschrijving gegeven van wat er gebeurd is, wat er is misgelopen en welke sanctionering die persoon heeft gekregen .” Interview 9. 5.3.5.2. Communicatie als preventiesignaal De communicatie van interne fraudegevallen en de mogelijke daaropvolgende sanctionering, zorgt voor onenigheid bij de respondenten. Enkelen (n=3) zien in dergelijke communicatie geen preventieve werking. Een eerste reden die wordt aangehaald door twee respondenten is 79
het ondertussen welbekende superioriteitsgevoel waar sommigen mee kampen. Door het lezen van zo’n kennisgeving kan het superioriteitsgevoel tevens aangesterkt worden; het is nogmaals de bevestiging dat zij slimmer zijn dan de rest, zij worden immers (nog) niet betrapt. “Het niet communiceren is zeker geen optie, maar ik denk dat een aantal mensen zich daar
niet
door
laten
afschrikken,
want
mij
zullen
ze
niet
pakken.”
Interview 9. “Als we daar nu inderdaad vanaf morgen zeer open over communiceren, met hoeveel procent zou het dan dalen? Dat weet ik niet. Kun je zoiets nota bene weten?” Interview 5. Tevens heerst er ook discussie tussen de respondenten betreffende preventie en de voorbeeldfunctie die deze stelt ingeval een ontslag. De achterliggende reden, is volgens een respondent, vooral de bescherming van de persoonlijke levenssfeer. “Als iemand bijvoorbeeld ontslagen worden, gaan we dat niet rechtstreeks intern communiceren. Er wordt natuurlijk wel altijd in de wandelgangen gepraat, informeel. Daar
zit
je
weer
met
de
controle.
sociale
Maar
qua
privacy…” Interview 8.
Een andere respondent stelt dat zo’n kennisgeving een duidelijk signaal geeft naar de rest van de werknemers binnen de instelling, en wel degelijk (angstvallig) preventief kan werken. Door zo openlijk mogelijk te communiceren over de gevolgen van interne fraude is iedereen op voorhand op de hoogte van de gevolgen. Bovendien worden de werknemers geregeld herinnerd aan de regels. “Ik herinner mij een moment in het verleden waar de CEO een toespraak kwam houden en haalde enkele voorbeelden van fraude aan en zei letterlijk, wij hebben de persoon zelf, zijn rechtstreekse baas, de baas daarboven én de baas daarboven ontslagen.
Zo
creëer
je
een
cultuur
waarin
iedereen
weet
dat
fraude niet past in dit huis. Het is een harde maatregel, maar zo weet iedereen dat we daar
onherroepelijk
in
zijn.
En
dat
vind
ik
gezond.” Interview 4.
80
Opmerkelijk (en evenzeer logisch) is dat de banken onderling communiceren over interne fraudegevallen. Dit kan gezien worden als preventie in de ruime zin van het woord. Op deze wijze kunnen concurrerende instellingen significante informatie bekomen over het illegitiem gedrag van de persoon in kwestie, indien deze zou solliciteren bij hen. “Het kan wel naar andere banken worden gecommuniceerd dat die ontslagen is bij ons om die, die en die reden. Dat wordt allemaal vertrouwelijk behandeld” Interview 8. 5.3.5.3. Communicatie naar de media Indien er berichten over interne fraudegevallen in de media worden gemeld, is dit vaak bij casussen die een strafrechtelijk gevolg kennen. De betrokken financiële instelling zal een neutrale verklaring voorleggen, indien er hierom gevraagd wordt (n=2). De banken zullen zelden, op autonome wijze, interne gevallen in de pers bekend maken. Indien de zaak een interne afhandeling kent, zal er weinig tot niet over gecommuniceerd worden naar de buitenwereld toe. Commerciële belangen spelen uiteraard een rol, maar de menselijke belangen worden zeker niet genegeerd (n=5). Wanneer je als financiële instelling dergelijk geval op autonome wijze naar buiten brengt, raak je rechtstreeks aan de persoonlijke levenssfeer. “Over het algemeen is men voorzichtig om dit soort dingen naar buiten te communiceren. Interne Audit en de bank op zich is niet angstig om te communiceren dat men heel kritisch is en dat men toezicht houdt. Maar uiteindelijk gaat het om personen. Er wordt geprobeerd om daar altijd op de zo zorgvuldig mogelijke manier mee om te gaan. Je moet heel erg voorzichtig zijn om bepaalde zaken naar buiten te communiceren.” Interview 8. “Da’s de schandpaal. Dan kom je aan de privélevenssfeer. Is dat het waard? Misschien maak je iemand zijn leven kapot.” Interview 6 – Extern.
81
5.4. Fraudit 5.4.1. Opleiding forensic auditor Er bestaan specifieke opleidingen ter vorming van een forensisch (Intern) Auditor. Het IFA biedt, onder meer vormingsprogramma’s aan, betreffende fraude- preventie, bestrijding, en detectie. Zo is er de masterclass Fraud Auditing (n=2). De keuze tot bijscholing is persoonlijk -naast de verplichte 40-uren vorming-, maar de instellingen ondersteunen wel de vrijblijvende opleidingen (n=3). Ongeveer de helft van de respondenten (n=4) hebben een of meerdere forensic auditors in huis. “Uw CIA, daar staat een heel erg specifieke beschreven en uitgelegd wat juist een fraude audits zijn en hoe je daaraan moet beginnen, red flags om fraude te identificeren. Er is dus een goeie voeling met fraude, enerzijds door de ervaring hier en het concrete proces nagaan en de risico’s in acht nemen, anderzijds door heel erg specifieke
opleidingen..” Interview 3.
Twee respondenten (n=2) stellen enkele vragen bij de nood om als Interne Auditor (puur) fraudeonderzoek te voeren. Een intern auditor dient op de hoogte te zijn van fraudeopportuniteiten binnen zijn instelling, maar voor het effectieve fraudeonderzoek wordt er beter beroep gedaan op een externe forensische auditor. “De forensische accountancy. Die zijn uiteindelijk heel erg gespecialiseerd om verdachte patronen
te
onderzoeken en
dat
soort zaken.” Interview 7.
5.4.2. Preventie interne fraude Interne fraude voorkomen, hoe doe je dit? De vraagstelling bevat het antwoord al: voorkomen en dat betekent in se aan preventie doen; het grote buzzwoord. Maar hoe doen de financiële instellingen nu concreet aan preventie om interne fraude te vermijden? De respondenten (n=7) zijn ervan overtuigd dat een groot deel van de preventie vervat zit in de corporate culture, in het beleid, in de ethiek. Deze is de basis voor het preventiekader. 82
Enkele respondenten (n=3) vullen dit aan met de afschrikwekkende (preventieve) kracht van consequente sanctionering. Detectie heeft dus een duale functie: detectie sec en de implicaties die volgen. “Duidelijke richtlijnen stellen in het begin. Een soort van screening op ethisch niveau, soort van cultuur binnen uw bedrijf. Ofwel is die er, ofwel is die er niet. En als je dan al eens een geval hebt, zware maatregelen treffen.” Interview 4. De overgrote meerderheid van de respondenten (n=5) leggen de nadruk op de wil van het bedrijf om aan preventie te werken en om een omgeving te creëren waar preventie mogelijk is. Aansluitend, dient er een helder en vooral herkenbaar beleid geïmplementeerd te worden, die vertrouwen inboezemt, zowel naar de werknemers toe als de klanten. “Er moet eigenlijk een omgeving gecreëerd worden waarin je aan preventie kunt werken. Maar dat kun je enkel in een bedrijf dat écht aan preventie wil doen. Als er daar ergens invloed is van een malafide actor, dan is de ketting zo zwak als de zwakste schakel. Dat is net de betekenis van corporate governance en het betonneren van je preventiekader.” Interview 6 – Extern. Het merendeel van de respondenten (n=6) beklemtonen het belang van de eerste lijn als preventieactor betreffende interne fraude. Daarom dient de eerste lijn zich bewust te zijn van het bestaan van interne fraude, dienen deze in staat te zijn triggers te herkennen en onmiddellijk op te treden ingeval fraudevermoedens door middel van onderzoek in samenwerking met de tweede en derde lijn. 5.4.2.1. Voorstel wetsontwerp ‘Privaat Onderzoeker’ (Milquet, 2013) In deze fase van het empirisch onderzoek kunnen we (voorzichtig) aannemen dat Interne Audit een preventiedimensie bevat. Het wetsontwerp van Joëlle Milquet (2013) doet echter volledig afbreuk aan de preventie die vervat zit in de werking van Intern Audit. Quasi alle respondenten (n=9) hebben ernstige vragen bij het wetsontwerp. De meldingsplicht, die in dit wetsontwerp wordt voorgesteld, heeft als gevolg dat wanneer er een fraudevermoeden heerst, de controledepartementen de betrokken persoon eerst dienen te informeren. “Meneer/mevrouw, u wordt verdacht van fraude en wij stellen een onderzoek 83
naar u in.” Het is glashelder dat dergelijke praktijk afbreuk doet aan de fundamenten van preventie. Daarenboven vervalt de volledig proactieve werking eveneens inzake interne fraude en is er enkel nog maar een reactief onderzoek mogelijk. “Dat wetsvoorstel zou onze taak ten zeerste bemoeilijken, omdat die meldingsplicht er is. Je hebt kans op procedurefouten van A tot Z.” Interview 10. “Als die wet er door komt staan wij met onze rug tegen de muur en kunnen wij eigenlijk niets meer doen qua fraudeonderzoek. Deze wetgeving is gewoon een flagrante aanfluiting van de praktijk, hoe dat de fraude, van binnen de financiële wereld, wordt bekeken. Dus we moeten eigenlijk wachten totdat er fraude gebeurd, tot dat er een feit is en dan kunnen we een onderzoek doen. Dit is een vrijkaart voor iedereen die fraude wil plegen. Dat is gewoon een aanfluiting van fraudeprotectie, preventie en detectie.” Interview 4. Bovendien wordt er geen onderscheid gemaakt tussen interne en externe fraude. Interne fraude heeft evident een andere aanpak –preventie, detectie, bestrijding- nodig dan externe fraude. “Die wet slaat op niets voor het bankwezen. De gedachtegang is te volgen, maar de regelgevers zijn precies vergeten dat privédetectives vooral op externe fraude (klanten) gaat nakijken. Interne fraude door werknemers is een ander niveau he.” Interview 9. Een andere respondent wijst op de pijnpunten in het actueel wettelijk kader inzake fraude aan de hand van volgende quote: “Better
to
write
rougher
than
to
write
exactly
wrong.”
Interview 6- Extern. Deze stelling toont de noodzaak aan van een nieuw algemeen wettelijk kader voor fraude, in al zijn aspecten, met specifieke aanvullingen naargelang de betrokken sector. Momenteel is er een serie aan wetten: een voor fraudepreventie, een andere wet voor fraudedetectie en nog een andere voor fraudeonderzoek. Verder regelt een andere wet alles voor de economische
84
beroepen, bijvoorbeeld over het anti-witwasaspect. Concreet is er nood aan een nieuw wettelijk kader, die de fraudebestrijding regelt in de private sector in België.
5.4.3. Toegevoegde waarde Interne Audit inzake interne fraude Volgens alle respondenten (n=10) heeft Interne Audit een onmiskenbaar toegevoegde waarde inzake de preventie en detectie van interne fraude. De derde lijn is in staat om door de volledige keten heen te kijken. Deze vrije –onafhankelijk, neutrale en objectieve- rol die de audit inneemt, wordt gewaarborgd door het auditcharter. Audit kan zijn uiterste best doen om een doorgedreven risicoanalyse uit te voeren en bijgevolg alle nodige controles in kaart te hebben. Men zal echter nooit alles kunnen voorkomen. Er zijn beperkingen. Interne Audit kan trachten het frauderisico tot 99.9% te uit te sluiten, 100% is nu eenmaal een illusie. “Heeft audit heeft een rol? Ja. Heeft audit een bijdrage? Ja. Kan audit alles voorkomen? Neen. En dat laatste is heel simpel, heeft bijvoorbeeld ook veel met technologie te maken. Je hebt de wijze waarop je bent georganiseerd en welk beleid je al hebt. Dan heb je een stukje vertaling hoe willen we zijn, de cultuur top-down of bottum-up, you name it. Vervolgens richt je processen in en ondersteun je die processen met procedures, werkinstructies en daar kan je vervolgens hard controls implementeren.” Interview 7. De grote tool en waarde van audit ligt in het sensibiliseren van de organisatie en deze te triggeren (n=5). Via de doorlichting van processen kunnen er lacunes in het proces opgemerkt worden. Uiteindelijk gaat het altijd om de discussie tussen procesverbetering en risicominimalisatie. De essentie van Interne Audit is risk, het riskmanagement en de interne beheersing van deze risico’s.
5.5. Besluit Er werd gepoogd om de centrale begrippen in dit werk, in zijn integraliteit te benaderen om een helder en onderbouwd antwoord te formuleren op de centrale onderzoeksvraag in het sluitstuk van deze masterproef. 85
Procescontrole en –optimalisatie is de primaire doelstelling van Interne Audit. De secundaire doelstelling
omvat
een
onbetwistbare
preventie-
en
detectiedimensie.
Er heerst onenigheid tussen de respondenten inzake de specifieke rol die Interne Audit precies dient in te nemen. Enkelen zijn voorstander van een eerder ondersteunende rol door de creatie van een globale omkadering en de instelling van controlemechanismen. Deze visie legt een actieve rol weg voor de eerste lijn, door rechtstreeks op te treden en in te grijpen waar nodig. Andere respondenten geloven dat Interne Audit een actievere rol kan vervullen, indien de instelling zich dynamisch organiseert met aandacht voor een heldere bedrijfscultuur. Naast preventie, kan Interne Audit een beperkte, reactieve rol spelen qua detectie. De tweedelijnsactoren –Compliance, Investigations, Investigations- nemen de proactieve detectie voor hun rekening. Interne Audit ademt controle. Dit toezicht wordt gerealiseerd aan de hand van doorgedreven controlemechanismen. Er kan een onderscheid gemaakt worden tussen hard en soft controls. De hard controls zijn meetbare, tastbare en geautomatiseerde controles. Voorbeelden zijn functiescheiding, duale controle en de two week holiday rule. Soft control daarentegen heeft te maken met corporate culture, sociale controle en bedrijfsethiek. Deze controlemaatregelen zijn noodzakelijk om een effectieve fraudebestrijding en –detectie te bewerkstelligen. Vervolgens werd interne fraude binnen financiële instellingen dieper geëxploreerd. De meeste respondenten melden dat onze Belgische financiële instellingen, helaas, het slachtoffer worden van interne fraude. In het beste geval worden de pogingen vroeg genoeg verijdeld
of
de
effectieve
interne
fraude
bij
aanvang
gedetecteerd.
De organisaties zijn zich bewust van dit fenomeen en bijgevolg bestaat er een groot draagvlak, en bijhorende preventie, met betrekking tot interne fraude. Om een effectief preventiebeleid uit te werken is het noodzakelijk dat een financiële instelling, eenmaal als organisatie, andermaal als Interne Audit, de motieven voor interne fraude begrijpt. Quasi alle respondenten grijpen naar de fraudedriehoek (Cressey, 1953) inzake motivatie met mogelijke opportuniteiten als doorslaggevende factor. Enkele respondenten merken een kanttekening op bij het rationeel mensbeeld van Bentham (Pauwels, 2012). Deze stelt dat men duidelijk kiest voor delinquent gedrag aan de hand van een kosten-batenanalyse. Echter, uit de ervaring van de respondenten, blijkt dat de intern fraudeurs vaak kampen met een superioriteitsgevoel. Ze zijn ervan overtuigd dat ze slimmer 86
zijn dan het systeem en dat hun malafide gedrag niet opgemerkt zal worden. In tegendeel, ze voelen zich aangesterkt als anderen worden betrapt en zij door de mazen van het net glippen. De respondenten voelen weinig affiniteit met het economische gedachtegoed van Jensen & Meckling (1976) –Agency theorie- voor het plegen van interne fraude. Indien intern fraudeurs deze denkwijze toepassen speelt er een significant persoonlijk motief en houdt men minder rekening met de opportuniteiten en/of de pakkans. Enkele respondenten vermoeden dat er in dergelijk geval eerder systematische interne fraude gepleegd zal worden, die veel grotere proporties zal aannemen dan de actuele gepercipieerde “kleine” fraudes. De omvang zal dus verschillend zijn dan wanneer iemand fraudeert omdat er zich louter een opportuniteit stelt. Bovendien dient de organisatie ook aandacht te besteden aan het profiel van de delinquent. Betreft het een systematische fraude of eenmalige fraude? Voelt men zich superieur of heeft men fraude gepleegd omdat de opportuniteit zich voordeed? Er vallen enkele trends aangaande interne fraude op te merken. Zo is er de technologische innovatie, de dematerialisatie zet zich steeds verder door en ten gevolge van een dalende rotatie in kantoren, kunnen (te) nauwe klantenrelaties ontstaan. Wanneer de respondenten concrete voorbeelden van fraude aanhalen wordt er in eerste instantie verwezen naar de klassieke kasfraude. Hoewel er steeds minder cash aanwezig is in de kantoren, kunnen werknemers eveneens malafide gedrag stellen ten opzichte van het giraal geld. Giraal geld overschrijven van een klantenrekening naar de eigen rekening kan dus ook geïnterpreteerd worden als kasfraude, in de brede zin van het woord. Andere schoolvoorbeelden zijn de diefstal van activa en misbruiken met betrekking tot de gift policy. Enkelen halen ook de traditionele dealerfraudes aan, al komen dergelijke cases zelden voor in de Belgische context. Opmerkelijk is dat verzekeringsfraude ook wordt aangehaald als voorbeeld van interne fraude en dus niet enkel in de context van externe fraude kan geplaatst worden. Sanctionering van interne fraude kan zowel een intern als een strafrechtelijk gevolg krijgen. De blaambrief, demotie, verlies van vakantiedagen, een inperking van het variabel loon en de meest ingrijpendste sanctie; ontslag, zijn enkele voorbeelden van interne sancties. Indien er een strafrechtelijke inbreuk wordt vastgesteld, hevelt Interne Audit de zaak over aan de bevoegde gerechtelijke instanties. 87
Financiële instellingen blijken transparant te communiceren over interne fraudegevallen binnen de organisatie. De casussen worden telkens geanonimiseerd. In het merendeel van de gevallen wordt er een summiere omschrijving gegeven van het voorval. Aan de hand van dergelijke kennisgevingen hoopt men een (groeiend) bewustzijn te creëren met betrekking tot interne fraude binnen de instellingen. De respondenten reageren verdeeld op de preventieve werking van sanctionering naar de rest van de organisatie toe. Een respondent wijst zelfs op de mogelijke tegenstrijdige werking die zo’n filosofie met zich meedraagt. Zoals voorheen al uiteengezet kampen (intern) fraudeurs dikwijls met een superioriteitsgevoel, die via deze weg nogmaals wordt bevestigd. Ontslag en de preventieve voorbeeldfunctie die dit teweegbrengt, voert ons terug naar de Middeleeuwen, volgens een respondent. Iemand op de vingers tikken als toonbeeld voor de rest van de organisatie is volgens meerdere respondenten nefast voor de cultuur die je op deze wijze creëert. Er bestaan andere constructieve werkwijzen om werknemers te sensibiliseren. Een tweede element die in acht wordt genomen door de financiële instelling, is het respecteren van de Privacywet (1992). Tevens is het menselijk aspect ,naast commerciële belangen, een verklaring waarom financiële instelling interne fraude niet in de media naar buiten brengen. De enige preventieve werking die kan toegeschreven worden aan de communicatie van interne sanctionering is het effect naar andere banken die dit bij andere banken teweegbrengt. Niettemin dient deze preventie ruim geïnterpreteerd te worden. Het is een reactieve respons ter bescherming van concurrerende financiële instelling, zodat een mogelijke kandidaat niet nogmaals dezelfde feiten kan plegen. Betreffende de vraag om de forensische audit te integreren met Interne Audit zijn de respondenten het over het algemeen eens. Interne Audit dient fraudetriggers te registreren om adequate controles in te stellen alsook reactief onderzoek te voeren. Wenst men louter proactief onderzoek te voeren, steunt men beter op de eerste en de tweede lijn net als de forensische audit. Beide controleactoren kunnen hun krachten bundelen tot constructieve samenwerkingsverbanden om fraudepreventie, -detectie, -bestrijding en –erkenning te maximaliseren. De majoriteit van de respondenten accentueert het belang van een organisatie en de rol die het wenst te spelen in preventie. Een dragend preventiekader kan gerealiseerd en ondersteund 88
worden via de corporate culture, ethische waarden en een helder, herkenbaar beleid. Zoals bovenstaand aangestipt, kan een effectieve preventie enkel verwezenlijkt worden door middel van zowel preventie op de eerste, de tweede als op de derde lijn. Grosso modo uiten alle respondenten hun ongenoegen over het voorstel tot wetsontwerp ter hervorming van de wet op privédetective (1991) (Milquet, 2013). Het wetsontwerp zal preventie nagenoeg onmogelijk maken of tenminste ontzettend bemoeilijken. Politiek is echter een slingerbeweging en naar de toekomst toe, is het plausibel dat dit wetsontwerp opnieuw op de tafel komt. De private sector kan enkel maar hopen dat de actuele vorm van het ontwerp, het voorwerp van een grondige herziening wordt. De respondenten besluiten unaniem dat Interne Audit een onmiskenbare toegevoegde waarde uitoefent inzake fraudepreventie, -bestrijding en –detectie. De derdelijns actor biedt een integrale kijk doorheen alle schakels in de processen. Via sensibilisering, het formuleren van aanbevelingen, opleggen van (nieuwe) controles, poogt Interne Audit de risico’s zo veel als mogelijk te minimaliseren. We leven echter niet in een ideale wereld en Interne Audit dient hun beperkingen onder ogen te zien. Het is helaas niet mogelijk om alles te voorkomen, doch kan er op de zo best mogelijke manier aan risicobeheer worden gedaan om de opportuniteiten zo goed mogelijk af te zwakken.
89
CONCLUSIE EN AANBEVELINGEN Internationaal onderzoek (KPMG, 2013; ACFE, 2014; PWC, 2014) wees uit dat de financiële sector, de gevoeligste sector is qua interne fraude en fraude tout court. De wereldwijde, bekende zaken, waaronder Nick Leeson (Greener, 2006) en Jerome Kerviel (Van Erp et al., 2008), aangevuld met nationale krantenkoppen, bewees dit standpunt eens te meer. De prevalentie van interne fraude binnen financiële instellingen is een vaststaand gegeven. Om het hoofd te bieden aan alle risico’s die het bankwezen met zich meebrengt, is er nood aan riskmanagement en Interne Audit als controleorgaan. Het 3LoD-model werd in 2010 geïmplementeerd door Bazel III. Dit model impliceert een verdediging, die financiële instellingen van binnenuit, in de kern van hun activiteiten dragen. Op de eerste lijn situeert zich de rechtstreekse controle door de onmiddellijke hiërarchie. De tweedelijnscontrole omvat departementen die de eerste lijn ondersteunt en controleert. Tot de derde lijn behoort Interne Audit, die de controle over de eerste en de tweede lijn uitvoert (Dries et al., 2011). Deze drie actoren werken samen tot realisatie van adequate controlemechanismen en het realiseren van een preventiebeleid. Hard en soft controls behoren tot de controlemaatregelen die Interne Audit implementeert over de algehele organisatie. Hard controls zijn de meetbare en tastbare initiatieven. (Weber, 1999). Functiescheiding, duale controle en een arsenaal aan geautomatiseerde controles die bepaalde risico’s meteen de kiem in smoren, behoren onder meer tot deze rubriek. Soft controls zijn de eerder abstracte voorschriften (Hartig & De Korte, 2003). Sociale controle, corporate culture en ethische waarden behoren tot de soft controls. Het staat vast dat beide controlemechanismen dienen gecombineerd te worden, teneinde een integraal preventiebeleid uit te stippelen. Het theoretisch raamwerk werd onderbouwd aan de hand van drie paradigma’s. De fraudedriehoek van Cressey (1953) stelt dat het frauderisico het grootst is wanneer er een motief, opportuniteit en rationalisatie aanwezig is. Indien deze drie factoren samen aanwezig zijn, is het zeer waarschijnlijk dat de betrokkene overgaat tot het plegen van malafide gedrag. Cornisch en Clarke (1986) passen een rationeel mensbeeld toe aan de hand van de RKT. Zij nemen aan dat een individu een weloverwogen keuze maakt, om de stap te zetten tot illegitieme praktijken (Initial Involvement Model). Na deze eerste keuze, dient men te kiezen 90
welk delinquent gedrag ze wensen te plegen en in welke situatie (Criminal Event model). Het moreel risico en opportunisme (Wells, 2011) zijn cruciale factoren in het economisch gedachtegoed van Jensen en Meckling (1986). Zijn beide elementen aanwezig, wordt de kans tot delinquent gedrag groter. Internationaal onderzoek (ACFE, 2014) stelde een typologie op van “de Interne Fraudeur”. Geslacht, leeftijd, anciënniteit, positie binnen de organisatie, opleidingsgraad en de beklede functie zijn betekenisvolle elementen die mogelijks delinquent gedrag mogelijks kunnen beïnvloeden. Voorgaande ingrediënten, in combinatie met het onderhoud van een bepaalde (luxe) levensstijl of het hebben van financiële problemen (KPMG, 2013), vermeerderd het risico op interne fraude. Owolabi (2010) voegt “de tijdelijke werkkracht” eveneens toe als derde, mogelijke risicofactor. Interne Audit dient zich bijgevolg bewust te zijn van dergelijke karakteristieken en motiverende factoren om fraudetriggers te registreren en te voorkomen. Het onderzoek werd gerealiseerd aan de hand van een kwalitatieve onderzoeksmethode. Deze keuze werd gemaakt om een studie in de diepte te verwezenlijken, eerder dan in de breedte. De open en flexibele gegevensverzameling (Maso & Smaling, 2004), biedt plaats aan de nodige nuances en details. Via het semigestructureerd interview41 werd het onderwerp van deze masterproef bevraagd. Het halfopen interview heeft als voordeel dat er kan afgeweken worden van de vragenlijst, wanneer dit nodig is (Decorte & Zaitch). De vragenlijst kan gedurende de loop van het onderzoek gewijzigd worden; het is een iteratief-cyclisch proces (Van Staa & Evers, 2010). De doelgerichte steekproef (Billiet & Waege, 2010) werd, in een latere fase van de respondentenverzameling, aangevuld met een sneeuwbalsteekproef (Decorte & Zaitch, 2010). De respondenten, die deel uitmaken van dit onderzoek zijn deskundigen en experten aangaande het studiedomein van deze scriptie. De afbakening van het fenomeen zorgde evenwel voor een beperkte onderzoekspopulatie. Aan de hand van twee externe deskundigen werd er getracht om variatie aan te brengen, zodoende de validiteit en betrouwbaarheid te garanderen (Billiet & Waege, 2010). De data-analyse van het kwalitatief onderzoek wordt bewerkstelligd aan de hand van een codeboom42 (Casier, 2013). Deze techniek laat toe, om een grote hoeveelheid aan kwalitatieve 41
Bijlage 5.
42
Bijlage 8.
91
data, op een gestructureerde wijze te analyseren. Via de centrale onderzoeksvraag en bijvragen, wordt de data gecodeerd volgens topic, met behulp van hoofd- en subcodes (Casier, 2013). In een volgend stadium worden de gecodeerde transcripten samen gevoegd en de resultaten geïnterpreteerd via een thick analysis (Decorte & Zaitch, 2010). Door middel van een analysis from the top down (Lecompte & Schensul, 1999) tracht men theoretische triangulatie te realiseren, ter maximalisatie van de interne validiteit. De onderzoeksresultaten worden weergegeven aan de hand van citaten. Deze keuze werd gemaakt door de onderzoekster om zo min als mogelijk afbreuk te doen aan de originele context. Reproductie of parafrasering zou mogelijks de precieze betekenis verloren kunnen laten gaan (Decorte & Zaitch, 2010; Billiet & Waege, 2010). .
Centrale onderzoeksvraag Aan de hand van kwalitatief onderzoek met experten werd gepoogd de centrale onderzoeksvraag te beantwoorden. Kan een Interne Audit bijdragen aan de preventie van interne fraude binnen financiële instellingen in België? Uit de onderzoeksresultaten bleek een positief antwoord op deze vraag. Procescontrole, efficiëntie en –optimalisatie behoren tot de primaire finaliteit van Interne Audit. Preventie maakt deel uit van de secundaire focus van de derdelijns actor. Detectie behoort hier eveneens toe, slechts in beperkte mate. De bevindingen leggen een belangrijke nadruk op het 3LoD-model (Bazel, 2010). Deze bottom-up
benadering
is
volgens
de
respondenten
essentieel
om
degelijke
preventiemaatregelen te realiseren. Men verwacht een ijverige preventie en detectie van de eerste lijn. De tweede lijn is verantwoordelijk voor een proactieve detectie. De derde lijn tenslotte, zorgt voor een toegevoegde waarde, wegens de instelling van diverse controlemechanismen. De onderzoeksresultaten hechten belangrijke waarde aan hard controls. Wegens de instelling van meetbare en tastbare processen worden talrijke frauderisico’s onmiddellijk belemmerd. Onder meer automatisering, functiescheiding en de two week holiday rule zijn voorbeelden van
hard
controls. 92
Het is echter een utopie om alle risico’s te weren en te voorkomen. De soft controls vormen, volgens Interne Audit, derhalve een cruciale meerwaarde in de preventie van interne fraude. Denk aan corporate culture, sociale controle, een klokkenluidersprocedure en een deontologisch beleid. Wenst een organisatie een effectief bestuur qua fraudepreventie, bestrijding en –detectie te realiseren, is er nood aan een constructief samenwerkingsverband tussen hard en soft control. Zoals bleek uit het theoretisch luik, is interne fraude aanwezig binnen (Belgische) financiële instellingen. De onderzoeksresultaten bevestigen deze stelling en wijzen uit dat er een permanent bewustzijn bestaat aangaande interne fraude. Volgens de principes van de Gausscurve, veronderstellen de respondenten dat er slechts 5% van de organisatiepopulatie onder geen beding zal frauderen. 90% zal frauderen wanneer de opportuniteit zich voordoet en de overige 5% zal consequent zoeken naar fraudemogelijkheden. De evolutie lijkt echter dat interne fraude steeds meer daalt, net omdat men de opportuniteiten zo goed mogelijk minimaliseert en aan de hand van preventiemaatregelen. De bevindingen bevestigen overigens enkel het theorema van Cressey (1953). De onderzoeksresultaten rapporteren opportuniteit steevast als de doorslaggevende factor. In een beperkt aantal gevallen speelt er persoonlijk motief mee (Jensen & Meckling, 1976), waar er bovenop weinig rekening wordt gehouden met de pakkans. Het rationeel mensbeeld (Cornisch & Clarke, 1986) is niet in elke casus relevant. De majoriteit van de intern fraudeurs kampt immers met een superieur mensbeeld en is ervan overtuigd alle controles te kunnen omzeilen. Deze motieven hebben een invloed op de omvang van de interne fraude. Het is plausibel aan te nemen dat indien er zich louter een opportuniteit stelt, de gepercipieerde fraude kleiner zal zijn. Persoonlijk motief en superioriteitsgevoelens geven vaak aanleiding tot grote en systematische interne fraude. Niettegenstaande
de
daling
van
interne
fraude,
preventiemaatregelen
en
controlemechanismen, is interne fraude nog present binnen het bancaire landschap. De onderzoeksresultaten wijzen uit dat interne fraude almaar genuanceerder en gesofisticeerder wordt. Het is niet meer het direct, zichtbaar stelen. Technologische innovatie, dematerialisatie en dalende rotatie zijn enkele merkbare trends. Er heerst veel discussie omtrent sanctionering als voorbeeldfunctie, zodoende als preventiemaatregel naar anderen toe. Enkele respondenten beschouwen sanctionering als een 93
effectieve preventiemaatregel, daar waar anderen eerder vrezen voor tegenstrijdige effecten: de bevestiging van het superioriteitsgevoel. Hoe dan ook wordt er transparant gecommuniceerd over de vastgestelde en verijdelde fraudegevallen binnenin de instellingen. Via geanonimiseerde gevallen poogt men een groter draagvlak te creëren betreffende interne fraude, waar er al dan niet een preventieve werking aan kan worden toegeschreven. De communicatie van interne fraudecases naar de buitenwereld toe, wordt niet ondersteund door de organisaties. Hoofdreden is de bescherming van de persoonlijke levenssfeer. Indien dergelijke gevallen toch bekend raken in de pers, zal dit vermoedelijk ten gevolge van het strafrechtelijk onderzoek zijn. De onderzoeksresultaten gaven echter wel aan dat er tussen de banken wordt gecommuniceerd over interne fraudegevallen om hen te wapenen en mogelijke lacunes te dichten. Indien de persoon in kwestie zich kandidaat stelt ten gevolge een vacature, kan de financiële instelling maar informatie vragen bij de andere financiële instelling ten aanzien van mogelijke aanwerving. Dit
kan gezien worden als
een reactieve
preventiemaatregel. De mogelijke integratie van fraudit, de forensische interne audit, is volgens de onderzoeksresultaten niet opportuun. De meerwaarde bevindt zich in de samenwerking van beide actoren. Interne Audit dient wel in staat te zijn om fraudetriggers te herkennen en alle risico’s, waaronder het frauderisico, adequaat te managen. We leven echter niet in een ideale wereld en Interne Audit dient hun beperkingen onder ogen te zien. Het is helaas niet mogelijk om alles te voorkomen. Via sensibilisering, het formuleren van aanbevelingen, opleggen van (nieuwe) controles, poogt Interne Audit, de risico’s zo veel als mogelijk te minimaliseren. Doch kunnen we besluiten dat Interne Audit een toegevoegde waarde heeft betreffende de preventie van interne fraude. De combinatie van hard en soft controls stellen de derde lijn in, om een uitgebouwd arsenaal aan controles op te leggen. In samenwerking met de eerste en de tweede lijn, kan er bijgevolg een effectief preventiebeleid uitgestippeld worden. Door middel een integrale kijk aan de dag te leggen, en dit op alle niveaus doorheen het gehele proces, kan Interne Audit een preventiekader opleggen aan de rest van de organisatie.
94
Beperkingen Elk wetenschappelijk onderzoek kampt met beperkingen en zoals reeds aangehaald in het methodologisch luik, is dit bij deze masterproef niet anders. Ten gevolge van een begrensde onderzoekspopulatie en bijgevolg gering aantal respondenten, dient men rekening te houden met een beperkte representativiteit. Dit werkstuk pretendeert geen generaliseerbare verklaringen, statistische representativiteit causale verbanden aan te reiken (Billiet & Waege, 2010). De interpretatie van de onderzoeksresultaten en de conclusies dienen daarom met enige voorzichtigheid benaderd te worden. Niettemin wordt er wel gestreefd naar validiteit en betrouwbaarheid (Decorte & Zaitch, 2010). Kwantitatief onderzoek naar de toekomst kan fungeren als een significante aanvulling. De fenomenen van sociaal wenselijkheid en confidentialiteit dienen eveneens erkent te worden (Decorte & Zaitch, 2010). Gezien het gevoelig onderzoeksthema -interne fraude- is het denkbaar dat er niet altijd waarheidsgetrouw wordt geantwoord of dat er werd gevraagd om sommige (vertrouwelijke) elementen niet te vermelden Daarenboven is er gevaar voor subjectiviteit bij de interpretatie van onderzoeksresultaten. De onderzoekster heeft gepoogd een kritische houding in te nemen en via de toepassing van inter rater reliability de externe betrouwbaarheid te maximaliseren (Billiet & Waege, 2010). Naast methodologische restricties is de onderzoekster zich ook bewust van enkele algemene begrenzingen. Zo heeft de strikte afbakening, mede wegens pragmatische redenen, van dit onderzoek als gevolg dat er boeiende facetten en mogelijks merkwaardige inzichten onderbelicht blijven. Zowel aanvullend (kwantitatief) academisch als praktijkgericht onderzoek is nodig om dit studiedomein in zijn integraliteit te benaderen. Denk onder meer aan een vergelijkende studie tussen de private en publieke sector. De opname van actoren uit de eerste en de tweede lijn in de onderzoekspopulatie en derhalve de respondenten. Of nog, de potentiële effecten van interne sanctionering op de intern fraudeur specifiek en de rest van de werknemers algemeen.
95
Conclusie Interne audit is de onafhankelijke derdelijns actor binnen de hiërarchie en staat als hoogste actor op het echelon inzake procescontrole en optimalisering (Dries et al., 2011). De pure interne audit uit de literatuur is niet gemaakt om fraude te detecteren, maar vooral om fouten te vermijden en bijgevolg alle mogelijke risico’s te minimaliseren. Zodoende is er een duidelijk preventieve inslag op te merken aan Interne Audit. Het 3LoD-model (Basel, III) onderscheid
tussen
de
biedt een significante betekenis aan preventie via een
eerste,
tweede
en
derde
lijn.
Via
een
constructief
samenwerkingsverband verdedigt de financiële instelling, zich van binnenuit tegen potentiële bedreigingen en risico’s. Zodoende is het mogelijk om een algeheel preventiekader in te stellen doorheen alle schakels van de financiële instelling. De eerste lijn is verantwoordelijk voor directe supervisie. De tweede lijn ondersteunt de eerste lijn en focust zich op de proactieve detectie en derhalve preventie. De derde lijn implementeert controlemechanismen op het niveau van de volledige organisatie en ziet de activiteiten van de eerste en tweede lijn na. Interne Audit kan oneindig veel procedures voorzien om interne fraude te voorzien, maar weet dat dit niet voldoende is. De uittekening van theoretische en solide processen, dienen op het einde van de dag, steevast uitgevoerd worden door mensen. Het menselijk aspect is een onzekere factor en vormt een bedreiging voor de geïmplementeerde processen. Constante oplettendheid is een must. Aan de hand van verder wetenschappelijk onderzoek en best practices, dient de derdelijns actor zich bewust te zijn van individuele belangen, mogelijke motieven en denkbare lacunes in de processen die fraudeopportuniteiten kunnen bewerkstelligen. De directie en bijgevolg de integrale organisatie, dienen blijvende aandacht te besteden aan fraudepreventie, -detectie, -bestrijding en –erkenning. Het risico op (interne) fraude kan immers nooit absoluut worden uitgesloten.
96
Aanbevelingen Enkele controlemechanismen kunnen verder uitgewerkt worden door Interne Audit. Denk aan de two week holiday rule. Het gros van de financiële instellingen hebben aangegeven dat maatregel bestaat, doch niet in een vorm die het hoofd biedt aan de hedendaagse, technologische en geconnecteerde maatschappij. Men kan er dus over nadenken om het gestelde voorbeeld te volgen en in verlofperiodes alle autorisaties af te sluiten, zodat men niet vanop afstand aan het werk kan blijven. Een andere uitbreidende maatregel is de uitvoerige controle door HR, bij de aanwerving van een kandidaat. Risicovolle jobs vereisen een dubbele controle. Doch bleek er uit internationaal onderzoek dat de majoriteit van intern fraudeurs zich op het niveau van bedienden en middenkader bevinden (ACFE, 2014). Voor elke job dient er dus in se een adequate CV-check uitgevoerd te worden. Verder wetenschappelijk onderzoek is aangewezen, zowel vanuit de academische wereld als het beleidswezen. De effecten van interne en strafrechtelijke sanctionering dienen onderzocht te worden en verder onderzoek naar de overeenkomsten en/of verschillen van de publieke en private sector.
97
BIBLIOGRAFIE AMERICAN ACCOUNTING ASSOCIATION. (1973). Studies in Accounting Research: A statement of basic Auditing concepts. Sarasota: American Accounting Association. ASSOCIATION OF CERTIFIED FRAUD EXAMINERS. (2014). Global fraud study, Report to
the
Nations
on
Occupational
Fraud
Abuse.
http://www.acfe.com/uploadedFiles/ACFE_Website/Content/images/rttn/2014/profile-of-afraudster-infographic.pdf [6/06/2014]. AUTORITEIT FINANCIELE MARKTEN. (2015). Verkenning naar kritisch vermogen auditcommissies bij verslaggeving en accountantscontrole. BASEL COMMITTEE ON BANKING SUPERVISION. (2014). External audits of banks. https://www.ibr-ire.be/nl/het_instituut/actualiteit/nationaal/Documents/Brief-NBB-BaselCommittee.pdf [25/01/2014]. BEERTEN, G. & VAN LOOCK, T. (2012). Interne controle in de praktijk (2e druk). Berchem: De Boeck. BILLIET, J. & WAEGE, H. (red). (2010). Een samenleving onderzocht. Methoden van sociaal-wetenschappelijk onderzoek (2e druk). Berchem: De Boeck. BOEIJE, H. (2005). Analyseren in kwalitatief onderzoek: denken en doen, Amsterdam: Boom. CASIER, I. (2013). Verlies jezelf niet in de data: het handboek Qualitative Content Analysis van Margrit Schreier. Kwalon, 18 (2), 113 – 117. CENTERS INTERNAL AUDIT. (2009). Internal Audit support to financial fraud, prevention and
detection.
http://www.cgiar.org/www-
archive/www.cgiar.org/pdf/iau/iau_manual_section_h3.pdf [11/11/2014]. CLAERHOUT, P. (2014, 20 september). 738 coöperanten dagvaarden Arco en Belfius. Knack. Geraadpleegd op 4 december 2014, van http://trends.knack.be/economie/beleid/738cooperanten-dagvaarden-arco-en-belfius/article-normal-433299.html COMER, M. (1998). Corporate fraud (3rd ed). Aldershot: Gower.
98
CONDIJTS, J. GERARD, P. & THOMAS P-H. (2009). La chute de la maison Fortis. Paris: Lattès. COOLS, M., PONSAERS, P., VERHAGE, A. & HOOGENBOOM, B. (2005). De andere rechtsorde: demonopolisering van het fraude-onderzoek. Brussel: Politeia. CORNISCH, D.B. & CLARKE, R.V. (1986). The reasoning criminal: rational choice perspective on criminal offending. New York: Springer. CORTNER, J.M. (2013). Staying Connected – in the Right Way. Instrumentation & Measurement
Magazine,
IEEE,
18
(1),
p.
39.
http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=7016680 [9/04/2014]. CROALL, H. (2001). Understanding white collar crime. Buckingham: Open University Press. CRESSEY, D. (1953). Other people’s money. Montclair: Patterson Smith. DARRAGAS, P. (2007, 20 oktober). Kantoorhouders pluimt spaarders. De Standaard. van http://www.standaard.be/cnt/u71isf1h [5/05/2015]. DAVIA, H. (2000). FRAUD 101: Techniques and strategies for detection. New York: John Wiley & Sons. DAVIA, H., COGGINS, P., WIDEMAN, J. & KASTANTIN, J. (2000). Accountant’s guide to fraud detection and control (2nd ed). New York: John Wiley & Sons. DECORTE, T. & ZAITCH, D. (red.) (2010). Kwalitatieve Methoden en technieken in de criminologie (2e druk). Den Haag/Leuven: Acco. DRIES, R., VAN BRUSSEL, L. & WILLEKENS, M. (2011). Handboek auditing (2e druk). Antwerpen:
Intersentia. .
DE BEELDE, I. (2002). Financiële audit. Academia Press: Gent DEN HARTIGH, N.J. (2007). Frauditing, routeboek bij fraudeonderzoek. Deventer: Kluwer. DEN HARTIGH, N.J. (2012). Frauditing: wat is het en wat kunt u ermee winnen? Management, Control & Accounting, 16 (6), 34 – 40.
99
EICHENGREEN, B., MODY, A., NEDELJKOVIC, M. & SARNO, L. (2012). How the subprime crisis went global: Evidence from bank credit default swap spreads. Journal of International
Money
and
Finance,
31
(5),
1299-1318.
http://ac.els-
cdn.com/S0261560612000435/1-s2.0-S0261560612000435-main.pdf?_tid=8dadee10-93fb11e4-94a6-00000aacb35f&acdnat=1420367115_6d4d8f5759ddfcb219fdd32185d61255 [4/12/2014]. FEBELFIN. (2012). Gespecialiseerde opleiding ‘Bank- en beleggingswezen’. Febelfin Academy: Brussel. FEBELFIN. (2014). MiFid in de Praktijk,
of wat er verandert voor de retailklanten.
https://www.febelfin.be/nl/beleggingen/mifid [13/04/2015]. FOUBERT, B. (2011, 31 mei). Frauderende bankdirecteur riskeert veertig maanden cel. Gazet van
Antwerpen.
http://www.gva.be/cnt/aid1051793/frauderende-bankdirecteur-riskeert-
veertig-maanden-cel [5/05/2015]. GRAY, I. & MANSON, S. (2005). The audit process: principles, practice and cases (3rd ed). London: Thomson. GREENER, I. (2006). Nick Leeson and the Collapse of Barings Bank: Socio-technical networks
and
the
‘Rogue
Trader.
Organization,
13
(3),
421
–
441.
http://search.proquest.com/docview/218635405?accountid=11077 [3/11/2014]. HARTIG, P. & DE KORTE, R. (2003). Soft controls, object van de auditor. http://www.acs.nl/wp-content/uploads/Soft-controls-object-van-de-auditor.pdf [3/07/2014]. HEALY, P. & PALEPU, K. (2003). The fall of Enron. Journal of Economic Perspectives, 17 (2), 3 – 26. HEBBRECHT, P. (2012). Cursus Criminaliteitspreventie. Niet-gepubliceerde cursus. Gent: Universiteit Gent: Vakgroep Strafrecht en Economie. HOOGENBOOM, A. B., MUL, V. & WIELENGA, A. (red.) (1995). Financiele integriteit. Arnhem: Gouda Quint. HOUWEN, J. (2015, 25 april). Bankier stal jarenlang van rijke weduwe. Het Laatste Nieuws. http://www.hln.be/regio/nieuws-uit-veurne/bankier-stal-jarenlang-van-rijke-weduwea2298945/ [25/04/2015]. 100
INSTITUTE
OF
INTERNAL
AUDITORS.
(2000).
Code
of
Ethics.
van
http://www.auditvlaanderen.be/sites/default/files/codeia.pdf [7/12/2014]. INSTITUTE OF INTERNAL AUDITORS. (2004). Definition of internal auditing. https://na.theiia.org/standards-guidance/mandatory-guidance/pages/definition-of-internalauditing.aspx [15/11/2014]. INSTITUTE OF INTERNAL AUDITORS. (2008). Sarbanes-Oxley Section 404: A guide for management
by
internal
control
practitioners.
https://na.theiia.org/standards-
guidance/Public%20Documents/Sarbanes-Oxley_Section_404_-_A_Guide_for_Management_2nd_edition_1_08.pdf [25/01/2014]. INSTITUTE OF INTERNAL AUDITORS. (2013). The Three Lines of Defense in Effective Risk
Management
and
Control.
https://na.theiia.org/standards-
guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%2 0Effective%20Risk%20Management%20and%20Control.pdf [8/04/2014]. JENSEN, M.C. & MECKLING, W. (1976). Theory of the Firm: Managerial Behavior, Agency Costs and Ownership Structure. Journal of Financial Economics, 3 (4), 305 – 306. KAGERMANN, H., KINNEY, W., KUTING, K. & WEBER, C-P. (2008). Internal Audit Handbook: Management with the SAP®-Audit Roadmap. Berlin Heidelberg: Springer-Verlag. Published Online. http://link.springer.com.ezproxy.vub.ac.be:2048/book/10.1007%2F978-3540-70887-2 [12/11/2014]. KONINKLIJK BESLUIT van 5 juli 2015 tot goedkeuring van het reglement van de Nationale Bank van België van 19 mei 2015 betreffende de interne controle en de interne auditfunctie, B.S. 10 juli 2015. KPMG.
(2011).
Who
is
the
typical
fraudster?
https://www.kpmg.com/US/en/IssuesAndInsights/ArticlesPublications/Documents/who-isthe-typical-fraudster.PDF [5/12/2014]. KPMG. (2013). Global profiles of the fraudster. White-collar crime –present and future. https://www.kpmg.com/Global/en/IssuesAndInsights/ArticlesPublications/global-profiles-ofthe-fraudster/Documents/global-profiles-of-the-fraudster-v2.pdf [5/12/2014]. KVALE, S. (2007) Doing interviews. Thousand Oaks: Sage Publications. 101
JACKSON, R. A. (2014). When Executives Go Bad. https://iaonline.theiia.org/whenexecutives-go-bad [16/11/2014]. LEE, T-H., & AZHAM, M., A. (2008). The Evolution of Auditing: an analysis of the historical development. Journal of Modern Accounting and Auditing, 4 (12), 1 – 8. http://www.davidpublishing.com/davidpublishing/upfile/12/2/2012/2012120283233169.pdf [16/11/2014].
LECOMPTE, M. & SCHENSUL, J. (1999). Designing and conducting ethnographic research. Walnut Creek: Altamira Press. O’GARA, J.D. (2004). Corporate fraud: Case studies in detection and prevention. Hoboken: John Wiley and Sons. OGIEN, D. (2008). Comptabilité et audit bancaires (2e éd). Paris: Dunod. OWOLABI, S.A. (2010). Fraud and Fraudulent Practices in Nigeria Banking Industry. African Research Review. 4 (3b), 240 -256. file:///C:/Users/User/Downloads/60263-1109161-PB.pdf [6/6/2015]. MASO, I. & SMALING, A. (2004). Kwalitatief onderzoek : praktijk en theorie. Amsterdam: Boom. MAY, T. (ed.) (2003). Qualitative research in action. Londen: Sage Publications. MILQUET, J. (2013). Voorontwerp van wet tot wijziging van de wet van 10 april 1990 tot regeling van de private en bijzondere veiligheid en tot opheffing van de wet van 19 juli 1991 tot regeling van het beroep van privédetective. Brussel. MINISTERIEEL BESLUIT van 21 december 2012 tot goedkeuring van het reglement van de Nationale
Bank
van
België
betreffende
de
erkenning
van
revisoren
en
revisorenvennootschappen, B.S. 9 juli 2013, 42661. NATIONALE
BANK
VAN
BELGIE
(2014)
Financiële
instellingen.
http://www.nbb.be/pub/stats/institutes/institutes.htm?l=nl [7/12/2014]. NOBLES, T., MATTISON, B. & MATSUMARA, E.
(2014). Horngren’s Financial &
Managerial Accounting. Boston: Pearson Prentice Hall. 102
PAAPE, L. (2007). Corporate Governance. The Impact on the Role, Position and Scope of Services of the Internal Audit Function. Rotterdam: Erasmus Research Institute of Management. PAAPE, L. (2013).Internal Auditing: Rabo en het Three Lines of Defence Model. MCA Tijdschrift voor Financial Executives, 17 (6), 28 – 29. PAAPE, L. (2014). Internal Auditing: Three Lines of Defence Model Revisited. MCA Tijdschrift voor Financial Executives, 18 (2), 34 – 35. PAUWELS., L. (2012). Op zoek naar de oorzaken van criminaliteit? Een inleiding in de etiologische criminologie. Gent: Academia Press. POLLOCK, J.M. & Sumner, D.W. (2009). The New Fraud Detectives. Internal Auditor, 66 (5), 44 – 49. PORTER, B., SIMON, J. & HATHERLY, D. (2008). Principles of external auditing (3rd ed). Chichester: John Wiley and sons. PRICEWATERHOUSE & COOPERS. (2014). The Global Economic Crime Survey: Economic
Crime,
a
Threat
to
Business
Globally.
http://www.pwc.be/en/publications/2014/global-economic-crime-survey-2014.pdf [11/11/2014]. PRICEWATERHOUSE & COOPERS. (2009). The Global Economic Crime Survey: Economic
Crime
in
a
downturn.
https://www.pwc.com/en_GX/gx/economic-crime-
survey/pdf/global-economic-crime-survey-2009.pdf [11/11/2014]. RAMOS, M. (2004). How to comply with Sarbanes-Oxley section 404: assessing the effectiveness of internal control. Hoboken: Wiley. RENARD, J. (1994). Théorie et pratique de l’audit interne. Paris: Les Editions d’organisation. ROSQUIN, J. (2011, 27 juni). Frauderende bankdirecteur gaf geld van klanten uit aan coke en hoertjes.
Het
Belang
van
Limburg.
http://www.hbvl.be/cnt/aid1059332/frauderende-
bankdirecteur-gaf-geld-van-klanten-uit-aan-coke-en-hoertjes-2 [5/05/2015].
103
SARENS, G., DE BEELDE, I.,& EVERAERT, P. (2009). Internal Audit: A Comfort Provider to the Audit Committee. The British Accounting Review, 41 (2), 90 - 106. http://ac.elscdn.com/S0890838909000067/1-s2.0-S0890838909000067-main.pdf?_tid=c4c018ce-6de011e4-9add-00000aab0f6c&acdnat=1416177466_bca3b4e5d5136841cc641f53bc085a88 [16/11/2014]. SAWYER, L., DITTENHOFER, M. & SCHEINER, J. (2003). Sawyer’s Internal Auditing: The Practice of Modern Internal Auditing. Altamonte Springs: Institute of Internal Auditing. SCHIMMEL, P. J. (2011). Fraudebeheersing, een leidraad van preventie tot detectie. Deventer: Kluwer. SIRUGUET, J., FERNANDEZ, E. & KOESSLER, L. (2006). Le contrôle interne bancaire et la fraude. Paris: Dunod. STEWART, J. & SUBRANANIAM, S. (2009). Internal Audit Independence and Objectivity: a review of current literature and opportunities for future research. Discussion Papers Accounting, 2009 (1), 3 – 38. TEMMERMAN, J. (2014, 7 juli). Aandeel Ageas verliest fors. De Standaard. http://www.standaard.be/cnt/dmf20140729_01196019 [4/12/2014]. TURNER, J.L., MOCK, T.J. & SRIVASTAVA, R.P. (2003). An analysis of the fraud triangle.
The
University
of
Memphis
Working
Paper.
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.101.4380&rep=rep1&type=pdf [3/07/2015]. VERHAGE, A. & DE BAETS, P. (red.) (2010). Meervoudige fraude. Mechelen: Kluwer uitgevers. VROOMAN, J.C. (red.) (2001). Netwerken en sociaal kapitaal. Amsterdam: Nederlandse Sociologische Uitgevers VAN ERP, J.G., HUISMAN. W., VAN DE BUNT, H.G. & PONSAERS, P. (2008). Toezicht en compliance. Nederlands tijdschrift voor criminologie: Criminele sociologie, criminele psychologie, forensische psychiatrie, penologie, jeugddelinquentie, reclassering, 50 (8), 83 – 95. http://repub.eur.nl/pub/12746/ [6/06/2015].
104
VAN STAA, A. & EVERS, J. (2010). Thick Analysis: strategie om de kwaliteit van kwalitatieve data-analyse te verhogen. Kwalon, 15 (1), 5 – 12. VAN ZWIETEN, M. & WILLEMS, D. (2004). De waardering van kwalitatief onderzoek. Huisarts en Wetenschap, 47 (13), 631 – 635. VAN DER AUWERA, K. & OSAER, B. (2013, 22 november). Economische crisis duurt zeker nog zes jaar. Knack. http://trends.knack.be/economie/finance/economische-crisis-duurtnog-zeker-zes-jaar/article-normal-255143.html [4/12/2014]. VERMEULEN. G. (2006). Strafrecht. Strafwetboek, Wetboek van strafvordering, Bijzondere wetten (25e druk). Antwerpen/Apeldoorn: Maklu. WEBER, R. (1999). Information Systems Control and Audit. Upper Saddle River, NJ: Prentice Hall., WELLS, J.T. (2001). Why Employees Commit Fraud. Journal of Accountancy, 191 (2), 89 91. WELLS, J.T. (2003). Let Them Know Someone is Watching. Journal of Accountancy, 193 (5), 106 – 110. WELLS, J.T. (2011). Principles of fraud examination (3rd ed). Hoboken: John Wiley & Sons. Issues in Accounting Education, 19 (1), 101 – 117. WET van 17 juli 1975 met betrekking tot de boekhouding van de ondernemingen, B.S. 4 september 1975. 10847. WET van 19 juli 1991 tot regeling van het beroep van privédetective, B.S. 2 oktober 1991. 21604. WET van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van de persoonsgegevens, B.S. 18 maart 1993. 5801. WET van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme, B.S. 9 februari 1993. 2828. WET van 22 april 1999 betreffende de boekhoudkundige en fiscale beroepen, B.S. 11 mei 1999. 16290. 105
WET van 2 augustus 2002 betreffende het toezicht op de financiele sector en de financiele diensten, B.S. 4 september 2002. 39121. WET 17 december 2008 inzonderheid tot oprichting van een auditcomité in de genoteerde vennootschappen en de financiële ondernemingen, B.S. 29 december 2008. 68568. WILL, S., HANDELMAN, S. & BROTHERTON, D. (2013). How they got away wih it: white collar criminals and the financial meltdown. New York: Columbia University Press. WILLEKENS, M. (2008). De toegevoegde waarde van de audit. Brugge: Die Keure. ZEKANY, K., BRAUN, L. & Warder, Z. (2004). Behind Closed Doors at WorldCom: 2001. Filiaalhouders Dexia verduisteren geld van klanten. (2008, 28 oktober). De Standaard. van http://www.standaard.be/cnt/2o228p6f [5/05/2015]. Frauderende bankdirecteur ontkomt met milde straf. (2008, 19 november). De Standaard. http://www.standaard.be/cnt/cd232hi2 [5/05/2015]. Bedrijfswereld kant zich tegen nieuwe detectivewet. (2013, 28 juni). De Standaard. http://www.standaard.be/cnt/dmf20130628_00639696 [25/01/2015]. Fortis bankier steelt 3 miljoen van klant. (2013, 28 november). Het Laatste Nieuws. http://www.hln.be/hln/nl/942/Economie/article/detail/1748333/2013/11/28/Fortis-bankiersteelt-3-miljoen-van-klant.dhtml [5/05/2015]. 15.414 burgerlijke partijen maken aanspraak op schadevergoeding in zaak Lernaut & Hauspie. (2014, 2 juni). De Morgen. http://www.demorgen.be/economie/15-414-burgerlijkepartijen-maken-aanspraak-op-schadevergoeding-in-zaak-lernout-hauspie-a1905971/ [4/12/2014]. 17 werknemers van luchthaven Charleroi verdacht van grootschalige diefstal. (2014, 22 november).
Knack.
Geraadpleegd
op
22
november
2014,
van
http://www.knack.be/nieuws/belgie/17-werknemers-van-luchthaven-charleroi-verdacht-vangrootschalige-diefstal/article-normal-512965.html [22/11/2014]. 700
spaarders
voor
miljoenen
opgelicht.
(2015,
7
april).
De
Morgen.
http://www.demorgen.be/binnenland/700-spaarders-voor-miljoenen-opgelicht-a2278170/ [7/04/2015]. 106
BIJLAGEN BIJLAGE 1: Three Lines of Defence model (IIA, 2013)
“The Three Lines of Defence in effective risk management and control”’ (IIA, 2013).
x
BIJLAGE 2: Tabellen (ACFE, 2014) Tabel 1: Fraudegevoelige sectoren
Tabel 2: Geslacht van de dader
xi
Tabel 3: Financiële verliezen naargelang gender
Tabel 4: Leeftijd van de dader
xii
Tabel 5: Financieel verlies naargelang leeftijd
Tabel 6: Anciënniteit
xiii
Tabel 7: Financieel verlies naargelang anciënniteit
Tabel 8: Positie van de dader binnen de onderneming
xiv
Tabel 9: Financieel verlies naargelang positie
Tabel 10: Voorkomen van collusie
xv
Tabel 11: Opleidingsgraad
Tabel 12: Fraudegevoelige sectoren binnenin de organisatie
xvi
Tabel 13: Financieel verlies naargelang departement
Tabel 14: Triggers ter herkenning van fraude
xvii
BIJLAGE 3: Eerste contactopname respondenten
Vakgroep Strafrecht en Criminologie
Geachte X, Ik ben een studente aan de Universiteit Gent en dit jaar finaliseer ik mijn thesis binnen de opleiding Master in de Criminologische Wetenschappen.
Mijn onderzoek gaat na of er al dan niet een mogelijke correlatie is tussen de uitvoering van een interne audit en de preventie en/of detectie van interne fraude binnen financiële instellingen in België. Dit onderzoek gebeurt aan de hand van een persoonlijk, geanonimiseerd face-to-face interview.
Concreet is mijn vraag: Zou U als deskundige in het vakgebied bereid zijn om uw medewerking te verlenen aan dit onderzoek?
In de bijlage kunt u een gedetailleerde opdrachtomschrijving terug vinden, alsook mijn contactgegevens.
Bij verdere vragen, aarzel niet om mij te contacteren.
Alvast bedankt.
Met vriendelijke groet, Delphine Goudesone
xviii
BIJLAGE 4: Informed Consent
Vakgroep Strafrecht en Criminologie
“Fraudit. Een kwalitatieve studie naar de eventuele mogelijkheden die een audit kan bieden in de preventie van (interne) fraude binnen financiële instellingen binnen België.
In het kader voor mijn masterproef binnen de opleiding Criminologische Wetenschappen aan de Universiteit Gent voer ik onderzoek naar ‘Frauditing’. Of hoe een audit, al dan niet, kan bijdragen tot de preventie van interne fraude binnen financiele instellingen. Graag had ik uw expertise geraadpleegd alsook uw persoonlijke mening omtrent dit fenomeen. De audit in het algemeen, gekoppeld aan fraude en dit zowel intern als extern. Ik verwacht absoluut geen toegang tot confidentiele informatie en tot dossiers. Het doel van dit onderzoek is vooral om na te gaan in welke mate een audit, al dan niet, kan bijdragen tot preventie en/of detectie van interne fraude. Het is een exploratieve studie met als voornamelijk doel een algemeen zicht te krijgen op de verschillende mechanismen van het audit fenomeen. De wijze van onderzoek zal gebeuren door middel van een interviewafname. Uiteraard wordt uw
anonimiteit
gegarandeerd,
alsook
de
anonimiteit
van
uw
werkgever.
Het interview zal worden opgenomen, teneinde mij toe te laten een degelijke analyse uit te voeren, na het gesprek. Na de analyse van het interview wordt het opgenomen materiaal vernietigd. Ik wil graag benadrukken dat dit onderzoek geheel anoniem wordt uigevoerd. Ik sta persoonlijk garant voor uw anonimiteit en die van uw werkgever. Hebt u verdere vragen? Aarzel niet om mij te contacteren voor meer informatie. xix
Hebt u interesse om uw medewerking te verlenen? Dan zoeken we een datum en uur wanneer het u het beste past. Ik kijk uit naar uw reactie, hopend op een positief antwoord.
Delphine Goudesone Tarwestraat 9, 8600 Diksmuide
[email protected] [email protected] 0477.79.89.22
xx
BIJLAGE 5: Onderzoeksinstrument
Vakgroep Strafrecht en Criminologie
Vragenlijst “Fraudit” 1. Welke is de frequentie van het uitvoeren van een interne audit? Is dit afhankelijk van departement tot departement? 2. Welke is de relatie tussen interne en externe audit binnen jullie organisatie? (Wettelijk kader) 3. Is er een samenwerking tussen het fraude departement en audit departement binnen uw onderneming? Zo ja, hoe verloopt deze samenwerking concreet? 4. Werkt de audit ook als een preventie en/of detectie mechanisme? 5. Welke is de relatie intern auditor – forensisch auditor? Opleiding? 6. Is er een algemeen (groeiend) bewustzijn met betrekking preventie en/of detectie van (interne) fraude binnen het audit departement? 7. Welke controlemechanismen neemt uw financiële instelling om interne fraude te bekampen? 8. Welke soorten interne fraude komen volgens u het vaakste voor in financiële instellingen? 9. Kunt u een voorbeeld geven met welke soorten interne fraude u en uw instelling in aanraking komt? 10. Hoe wordt interne fraude gesanctioneerd? 11. Zou u ooit overwegen om beroep te doen op reguliere handhavingsdiensten? In welk geval zou u beroep doen op reguliere handhavingsdiensten? Denkt u dat dit zinvol is?
xxi
BIJLAGE 6: Gebruikte kanalen bij contactopname
Websites
Google & HR LinkedIn43 Departement
Netwerk
Gecontacteerde respondenten
1
7
10
6
Bereikte respondenten
/
3
2
6
24 (N)
11 (n)
N: Onderzoekspopulatie = 24 ( 22 financiële instellingen + 2 externen/experten) n: Bereikte respondenten = 11 (9 financiële instellingen + 2 externen/experten)
43
Via de hedendaagse media (Google & LinkedIn) werden zowel financiële instellingen gecontacteerd als twee externen/experten. Van de zeven gecontacteerde onderzoekseenheden, waren er vijf financiële instellingen en twee experten. De bereikte respondenten bestaan uit een financiële instelling en twee externen.
xxii
BIJLAGE 7: Afgenomen interviews Datum
Duurtijd
Interview 1
5 Maart 2015
43min15sec
Interview 2
13 Maart 2015
47min22sec
Interview 3
20 Maart 2015
34min55sec
Interview 4
24 Maart 2015
53min10sec
Interview 5
24 Maart 2015
38min26sec
Interview 6
24 Maart 2015
48min00sec
Interview 7
31 Maart 2015
55min39sec
Interview 8
31 Maart 2015
35min30sec
Interview 9
2 April 2015
37min10sec
Interview 10
7 April 2015
41min41sec
xxiii
BIJLAGE 8: Codeboom FRAUDIT
→ Interne audit -
Doelstelling
Primaire doelstelling
Secundaire doelstelling o Preventie o Detectie
-
Wettelijk kader
Relatie interne – externe audit
Three Lines of Defence o Eerste lijn o Tweede lijn o Derde lijn
-
Controlemechanismen
Hard controls o Geautomatiseerde processen o Functiescheiding o Duale controle o Two week holiday rule o Melding van belangenconflicten
Soft controls o Sociale controle o Corporate culture o Ethiek o Whistleblower policy
Effectiviteit van controlemechanismen
→ Interne fraude -
Aanwezig binnen financiële instellingen?
Motivatie interne fraude xxiv
-
Profiel intern fraudeur
Voorbeelden, cases
Trends
-
“Grote” vs. “kleine” interne fraudes
-
Sanctionering
-
Intern
Strafrechtelijk
Communicatie
Melden van de gevallen binnen onderneming
Melden van (mogelijke) sancties
→ Wisselwerking interne audit – interne fraude -
Opleiding forensic auditor
-
Preventie interne fraude
-
Voorstel wetsontwerp ‘privaat onderzoeker’
Toegevoegde waarde interne audit
xxv