Forensic Services Magazine

www.pwc.nl

Forensic Services Magazine Winter 2012

Voorwoord Voor u ligt een nieuwe editie van ons Forensic Services Magazine. Dankzij uw positieve reacties op onze eerdere publicaties en op de door ons georganiseerde seminars weten we dat er een grote behoefte is aan openhartige, betrouwbare en leesbare informatie over het brede spectrum van de economische criminaliteit. Want dit grote maatschappelijke en economische probleem vraagt om voortdurende (management)aandacht en wordt allang niet meer gepercipieerd als een bedrijfsrisico dat alleen te scherp aan de wind varende organisaties en individuen kan treffen. Steeds meer bedrijven en instellingen zijn zich bewust van de continuïteitsdreiging die hiervan uitgaat en nemen preventiemaatregelen. Klokkenluiderregelingen worden opgetuigd en code of (proper) conducts afgesproken. Maar dat alleen blijkt niet voldoende te zijn. Integriteitinbreuken komen immers steeds vaker voor en criminelen worden steeds inventiever. Ook in dit nummer weer worden de bewijzen daarvoor aangeleverd. Zo kunt u uw eigen zaakjes ogenschijnlijk op orde hebben, in tweederde van de geconstateerde fraude- en corruptiegevallen blijkt een zakenpartner de achilleshiel te zijn. In het artikel wordt aangegeven hoe u meer grip kunt krijgen op de integriteit van uw netwerk van zakenpartners. En ook al heeft u een klokkenluiderregeling, in een ander stuk wordt aangetoond dat als u niet ook zorgdraagt voor een goede nazorg van de meldingen en het professionaliseren van het opsporingsmanagement u kwetsbaar blijft. Dan zijn er natuurlijk nog de ‘nieuwe’ fraudegebieden die zich aandienen. De laatste tijd stuiten we als PwC steeds vaker op groene fraudevormen. Daarmee bedoelen we meest gemanipuleerde of ronduit valse duurzaamheidclaims. Maar ook moest deze zomer de Europese handel in emissierechten al tijdelijk worden stilgelegd omdat cybercriminelen hadden ingebroken in de registers. Nu is cybercrime toch de snelst groeiende vorm van economische criminaliteit. Helaas blijkt nog lang niet iedereen in de bestuurskamer daarvan doordrongen, aldus de door ons geïnterviewde cybersecurity expert Chris Verhoef. Al met al denk ik dat ik u weer een informatief en verhelderend uurtje kan beloven als u deze wintereditie 2012-2013 van FS-magazine van PwC Forensic Services doorleest. Uiteraard zijn we graag bereid om u persoonlijk van advies te dienen als één of meer artikelen vragen bij u oproepen over uw persoonlijke situatie of die van uw organisatie.

André Mikkers, partner van PwC Forensic Services

2

Forensic Services Magazine

Inhoud Voorwoord

2

Inhoud

3

Beveiliging IT kan simpel beter’

4

Een besmettelijke fraude

6

Het zwarte gat van uw integriteitbeleid

9

Groene fraude

11

Nazorg voor uw klokkenluiderregeling

13

Kort nieuws

15

Bij PwC in Nederland werken ruim 4.700 mensen met elkaar samen vanuit 12 vestigingen. PwC Nederland helpt organisaties en personen de waarde te creëren waarnaar zij op zoek zijn. Wij zijn lid van het PwC-netwerk van firma’s in 158 landen met meer dan 180.000 mensen. Wij zien het als onze taak om kwaliteit te leveren op het gebied van assurance-, belasting- en adviesdiensten. Vertel ons wat voor u belangrijk is. Meer informatie over ons vindt u op www.pwc.nl.

Forensic Services Magazine 3

Hoogleraar informatica Chris Verhoef:

Beveiliging IT kan simpel beter’ Onwetende bestuurders nemen hun verantwoordelijkheid voor IT-beveiliging niet, waarschuwt IT-hoogleraar Chris Verhoef. ‘Daarom zijn organisaties zo kwetsbaar voor digitale criminaliteit.’ IT-deskundigen en beslissers spreken niet dezelfde taal. Alarmboodschappen die van onderaf in de organisatie - op het niveau van de beheerders van informatiesystemen - worden verzonden, worden niet begrepen in de bestuurskamer of zijn onderweg naar boven zo verminkt dat ze niet kúnnen worden begrepen. Dat vraagt om wat hoogleraar informatica Chris Verhoef een bit-to-board aanpak noemt. De filterwerking moet worden weggenomen, zodat ook in voor bestuurders begrijpelijke taal de soms venijnige wereld van IT transparant wordt. Dat het daar vaak aan ontbreekt is volgens Verhoef een belangrijke reden dat organisaties nog zo kwetsbaar zijn op het gebied van digitale criminaliteit. ‘Er is sprake van een fundamentele achterstand in kennis en inzicht bij de hoogste beslissers in organisaties over IT, onder andere over vraagstukken met betrekking tot cyberveiligheid en privacybescherming. ‘Dat is een ernstige omissie, want ik overdrijf niet als ik stel dat een verkeerde beslissing of nalatigheid op dit vlak de continuïteit van een organisatie in gevaar kan brengen. Bij ondernemen draait het immers allang niet meer om het succesvol combineren van arbeid, kapitaal en grondstoffen alleen, nee, de factor IT bepaalt hoe concurrerend je dat doet, of je transparant en toegankelijk genoeg bent voor partners en of wel voldoende

4

Forensic Services Magazine

efficiënt en kosteneffectief wordt gewerkt. IT is het belangrijkste productiemiddel aan het worden, zeg maar het centrale zenuwstelsel van de organisatie. Elke manipulatie daarvan of inbreuk daarop heeft dan ook grote gevolgen voor de organisatie en haar omgeving. ‘Daarom moeten belangrijke aspecten als beveiliging, beschikbaarheid, betrouwbaarheid en toegankelijkheid van de zo vitale systemen en databestanden niet langer worden overgelaten aan de ITers. Het is een strategisch vraagstuk waar ook raden van bestuur en commissarissen zich mee bezig moeten houden en beleidsverantwoordelijkheid voor moeten nemen. Pas dan zijn de condities geschapen om organisaties minder kwetsbaar te maken op dit punt.’

Kwetsbaarheid Als hoogleraar informatica aan de Vrije Universiteit Amsterdam en wetenschappelijk adviseur bij beveiligingen andere forensische vraagstukken, heeft Chris Verhoef een goed zicht op de kwetsbaarheid van organisaties. Dat kan op het gebied van digitale fraudes en gegevensmanipulatie zijn, maar ook wat de continuïteit en toekomstvastheid van het IT-landschap betreft. Hij verbaast zich hoe onwetend marktpartijen hier soms mee omgaan. Recente krantenberichten onderschrijven

zijn constatering. Het aantal inbraken in systemen en vertrouwelijke gegevensbestanden groeit dagelijks en de reactie van organisaties op zulke incidenten is vaak van: ach, tegen hackers is nu eenmaal niets bestand. ‘Veel organisaties kiezen na een incident haast automatisch voor de slachtofferrol. Maar ze zijn in veel gevallen medeverantwoordelijk. Door de vaak ontoereikende organisatorische inbedding is nagelaten om proactief maatregelen te nemen die noodzakelijk zijn voor een beveiligingsniveau dat in een digitaal tijdperk nodig is. Het is alsof je de achterdeur hebt opengelaten tijdens je vakantie en bij terugkeer verbaasd bent dat het huis is leeggeroofd.’ PwC: verwijt u dat de bestuurders? ‘Je hoeft als bestuurder geen inhoudelijke of technische kennis te hebben. Maar je moet wel iets vinden van aspecten als beveiliging, garanties voor de beschikbaarheid van vitale data en systemen, en de noodzaak om uiterst zorgvuldig en terughoudend om te gaan met aan jou organisatie toevertrouwde persoonlijke gegevens. IT kan niet langer iets complex en cryptisch blijven, de bekende vooroordelen waar veel bestuurders zich altijd achter verschuilen. Met wat extra kennis en het inzicht dat je er als bestuurder ook over blijkt te gaan, kom je al een heel eind.’

Kennis- en cultuurkloof PwC: Hoe kan men de kennis- en cultuurkloof overbruggen? ‘De grote uitdaging is om de in de organisatie aanwezige feiten rond de IT-huishouding te aggregeren naar het begripsniveau van bestuurders. Vanuit

de maximale boetes zijn nog veel hoger. Een voorhoede van ondernemingen heeft overigens al begrepen welke risico’s ze hier lopen. Die hebben intern de oekaze afgekondigd dat persoonlijke gegevens alleen nog versleuteld mogen worden verwerkt en verstuurd.’ PwC: een goede bescherming begint bij de voorbeeldfunctie van de top. ‘Klopt. Daarom is het ook zo belangrijk dat IT en beveiliging een structureel agendapunt wordt van bestuurders. Een betere bewustwording over het belang van een goede beveiliging begint daar.’

Chris Verhoef het feitenmateriaal kun je de beveiliging-, compliance- en privacyrisico’s vertalen naar strategische vraagstukken. Wat gebeurt er als de kern van mijn organisatie wordt lamgelegd? Realiseert u zich dat persoonlijke gegevens het nieuwe goud zijn, en dat diefstal van data niet alleen voor reputatieschade maar ook voor grote economische schade kan zorgen? Op deze wijze bouw je begrijpelijke businesscases. ‘Maar beveiliging blijft moeilijk. Een bestuurder moet iets doen om iets te voorkomen waarvan het onzeker is dat het ooit zal gebeuren. En dat kost ook nog eens tijd, energie en managementaandacht. Dat

krijgt daarmee een lage prioriteit, zeker in crisistijd.’ PwC: er ligt een wetsvoorstel om de Wet Bescherming Persoonsgegevens uit te breiden. Op het niet melden van een datalek kan een boete tot 200.000 euro worden opgelegd en in extreme gevallen zelfs tot 10 procent van de omzet. Een goede zet van de wetgever? ‘Ja. Zeker als straks de eerste boetes zijn uitgedeeld, helpt het om beslissers bij de les te krijgen. In de VS gaan ze trouwens nog een stap verder. Voor ieder persoonlijk gegeven dat door nalatigheid op straat komt te liggen, staat daar een boete van minimaal honderd dollar. Dat kan aardig oplopen en

PwC: wat raad je organisaties nog meer aan om de kans op digitale inbraken en manipulaties te verkleinen? ‘Ga om te beginnen alleen in zee met IT-ers met een echte opleiding. Ga het pad van de certificering op, bijvoorbeeld met een ISO27001 certificaat. In het algemeen is het zo dat organisaties met een professionelere aanpak hun beveiligingrisico’s aanzienlijk kunnen reduceren. Dan word je niet achteraf op enorme kosten gejaagd als er een incident is geweest. Laat periodieke penetratietests uitvoeren. Kijk wie er toegang tot de broncode van de programmatuur heeft en of en waarom eventuele wijzigingen zijn uitgevoerd. Houd natuurlijk ook de kosten in de gaten. Een goede forensische onderzoeker is in staat om uit al het te onderzoeken materiaal een gerichte keus te maken, zodat de costof-auditing lager is dan dat men maar at random alles boven water probeert te halen.’ Wilt u reageren? [email protected]

Forensic Services Magazine 5

Hoe voorkom je het slachtoffer te worden van faillissementsfraude?

Een besmettelijke fraude Het aantal faillissementen dat wordt uitgesproken neemt in hoog tempo toe. Bij een derde van alle faillissementen is sprake van onregelmatigheden. Faillissementsfraude begint dan ook een besmettelijk probleem te worden dat een hele keten kan infecteren. ‘Daarmee wordt een tot nu toe verwaarloosd integriteitvraagstuk steeds belangrijker.’ Met de verontrustende toename van bankroete organisaties neemt ook het aantal meldingen van faillissementsfraude toe. Neem de oogst van een herfstmaand in 2012. De rechter gelastte in september een strafrechtelijk onderzoek tegen de exdirecteuren van een drukkerij in NoordHolland. Ze worden ervan verdacht 19 miljoen te hebben onttrokken aan de boedel door middel van een aanvechtbare aandelenverkoop. Ongeveer tegelijkertijd moest de directeur-eigenaar van een failliet transportbedrijf in Diemen zich voor de rechter verantwoorden voor een vergelijkbaar vergrijp. En dan was er nog de rechtszaak tegen de opkopers van 123 lege BV’s. Deze werden op naam gezet van een katvanger, geregistreerd op een postbusadres (meestal in het buitenland) en vervolgens met schulden overladen. Als schuldeisers eindelijk het spoor gevonden hadden, werd het faillissement aangevraagd. Functionarissen van de faillissementfraude unit van het Functioneel Parket schatten dat op deze manier minstens enkele tientallen miljoenen aan vorderingen niet inbaar zijn.

6

Forensic Services Magazine

Maar toch is dit nog slechts een fractie van wat er echt in de faillissementspraktijk wordt gefraudeerd. Tijdens haar inauguratierede als (eerste) hoogleraar faillissementsfraude in Nederland, stelde Tineke Hilverda vast dat in minstens een derde van het totale aantal faillissementsdossiers (in 2012 11.000) sprake is van ‘onregelmatigheden’ en/of fraude. Ze doelt op het oneigenlijk onttrekken van bezittingen uit de boedel (paulianeus handelen) of het bewust failliet laten gaan van opgekochte BV’s met achterlating van vaak hoge schulden. De totale schade die het economische verkeer zo wordt berokkend, schat Hilverda op 1,5 miljard euro per jaar of meer. Maar dat is niet alles, vertelde ze in een eerder interview met FS magazine. ‘Dit delict richt forse economische én maatschappelijke schade aan. Denk aan het aantal mensen dat hun baan kwijtraakt en bedrijven die in problemen komen doordat een grote debiteur niet meer betaalt. Een faillissement kan een inktvlekeffect hebben op een keten. Belangrijke klanten of leveranciers vallen weg en het betalingsvertrouwen neemt af. De immateriële effecten van een bankroet zijn

ook heel groot. Een fraude versterkt dit nog, zeker als het faillissement zonder dit vergrijp niet nodig was of voorkomen had kunnen worden.’ En hoewel de opsomming in de aanhef van dit verhaal anders doet vermoeden, is de pakkans maar klein. Op basis van haar inaugurele onderzoek concludeert Hilverda dat hoogstens twee procent van in aanleg verdachte dossiers strafrechtelijk wordt vervolgd. De verklaring is simpel en gezien het grote maatschappelijke belang van een effectieve bestrijding van deze vorm van economische criminaliteit eigenlijk ook wel onthutsend.

Het OM, de Fiod, de belastingdienst en de overige partijen die zich beroepshalve met de preventie en opsporing van faillissementsfraudes bezighouden, beschikken over te weinig menskracht, kennis en capaciteit om verdachte zaken aan te pakken en tot een goed einde te brengen. Maar de grootste weeffout zit bij de curator. Deze is voor zijn vergoeding vrijwel volledig afhankelijk van wat nog resteert in de boedel. Dat is in veel gevallen onvoldoende om diepgravende fraudeonderzoeken uit te kunnen financieren. Weliswaar bestaat er een voorschotregeling voor curatoren van het ministerie van Financiën, maar deze is meestal al vroeg leeggehaald. Al met al is faillissementsfraude voor kwaadwilligen een vorm van economische criminaliteit die zeer goed rendeert terwijl de pakkans gering is.

Belangrijk integriteitvraagstuk Met deze sombere constatering dient zich ook een belangrijk, en tot dusver nog goeddeels verwaarloosd integriteitvraagstuk

aan. Hoe kan een onderneming of instelling voorkomen dat men het slachtoffer wordt van een faillissement, dan wel faillissementsfraude verderop in de keten? Ofwel, hoe kunnen we ervoor zorgen dat de kans dat ook onze organisatie besmet raakt door faillissementsfraudes bij zakenpartners zo klein mogelijk wordt? ‘Dat is een steeds belangrijker vraagstuk, zeker in een nog wel enkele jaren aanhoudende crisisperiode waarin de statistische kans dat ketens en netwerken van ondernemingen getroffen zullen worden door een bankroet (frauduleus of niet) heel groot is,’ vinden Ellen van Nimwegen en Christine Manders, faillissementsonderzoekers van PwC. ‘Een bankroet is een complexe en onoverzichtelijke situatie, die opeens in een stroomversnelling kan geraken. Zeker als er malversaties in het spel zijn. Maar toch zijn er preventieve maatregelen mogelijk om eerder (en vaak op tijd) signalen op te vangen van naderend onheil bij bedrijven met wie men zaken doet. Daardoor kun je de banden met een in problemen

verkerende onderneming op tijd verbreken of in ieder geval de economische en reputatieschade beperken.’ Van Nimwegen en Manders adviseren hun klanten om ten alle tijden plausibiliteitonderzoeken te laten verrichten, niet alleen naar klanten maar ook naar leveranciers die door de omvang van hun account of het belang voor de eigen bedrijfsprocessen vitaal zijn voor de eigen continuïteit.

Plausibiliteitonderzoek ‘Alvorens een plausibiliteitonderzoek uit te voeren dient eerst een goede analyse plaats te vinden om te bepalen welke partijen daar nu precies voor in aanmerking komen. Heel vaak blijkt deze strategische informatie niet aanwezig te zijn of verouderd. In dat opzicht is dit dus sowieso al een goede investering. Bovendien helpt het om de organisatie bewust(er) te maken van welke partijen de eigen organisatie medeafhankelijk is. Dat maakt dat medewerkers alerter zullen zijn op eventuele misstanden, of beter nog, op afwijkingen van het normale

Forensic Services Magazine 7

gedragspatroon in deze dossiers en het helpt om de noodzakelijke focus aan te brengen in de preventie inspanningen. Het is immers ondoenlijk om dit voor iedere klant- of leverancierrelatie te doen. Voor een exposure van enkele duizenden euro’s per jaar loont dit niet en wordt het geheel ook onbeheersbaar.’ Zo’n plausibiliteitonderzoek kan bestaan uit een antecedentenonderzoek aangevuld met actuele financiële en compliance gegevens. Doel van het antecedentenonderzoek is om na te gaan of de relatie eigenlijk nog wel is die ze zegt te zijn. ‘We hebben binnen PwC een systematiek ontwikkeld om daar een meerdimensionaal beeld van te kunnen schetsen. Eerst speuren we in openbare registers over wat daar zoal over de onderneming en haar bestuurders bekend is. Hoe ziet hun recente verleden eruit, zijn er opvallende mutaties de laatste jaren geweest in de bezetting of de eigendomsverhoudingen, welke ondernemingen staan er eventueel nog meer op hun naam en kan er sprake zijn van belangenverstrengeling? Je zult versteld staan hoeveel je uit openbare bronnen kunt halen als je weet waar je moet zoeken en hoe je dwarsverbanden moet leggen.’ Ten aanzien van het verkrijgen van actuele financiële en compliance gegevens is een goede oplossing door met prefered suppliers en grote afnemers op krediet contractueel het recht vast te laten leggen dat eens in de zoveel tijd een scan mag worden gemaakt van de zorgvuldigheid van hun financiële administratie en dat onderbouwde (want door een neutrale derde partij

onderschreven) kerncijfers moeten worden overlegd. Als dat wordt geweigerd, is het een reden om extra alert te zijn.’

Monitoring Naast het uitvoeren van een plausibiliteitonderzoek is een ander preventiemiddel het goed monitoren van het betalingsgedrag en de bestelpatronen, om vast te stellen of zich daarin afwijkingen voordoen. ‘Zorg ook dat je eens in de zoveel tijd bij je belangrijkste zakenpartners op bezoek gaat om te kijken hoe of het er nu voorstaat. Hoe ziet het wagen- en machinepark eruit, zijn de voorraden nog op peil, hoe is de stemming in het bedrijf en wordt nog geïnvesteerd in bijvoorbeeld het assortiment? Als daar twijfels over zijn, breng deze ter sprake. Maak afspraken dat voortaan alleen nog franco wordt geleverd en zorg dat de kredietpositie zo snel mogelijk wordt afgebouwd. Bij faillissementen is de tijdfactor toch essentieel. Een fraudeur heeft er zelf alle belang bij om zijn ‘problemen’ zo lang mogelijk stil te houden en zal veel moeite doen om de eerste schuldeisers die zich melden tevreden te stellen - voorzover dat ten minste nog mogelijk is. Intern zorgt deze benadering er ook voor dat het betalingen leveringsrisico zo klein mogelijk wordt gehouden.’ Ook de interne bewustwording over het frauderisico bij faillissementen moet in veel gevallen worden opgekrikt. Met name aan de verkoopkant. Maak met uw verkopers daarom de afspraak dat alleen betaalde omzet voortaan geldt bij het vaststellen van hun bonussen. ‘Dat maakt dat zij scherp

Ex-eigenaar draait op voor schade door bv-fraude De verkoper van een lege BV kan aansprakelijk worden gesteld voor de schade die door deze BV later wordt aangericht. Bijvoorbeeld door bewust niet te voldoen aan uitstaande schulden en te vluchten in een faillissement. In vier verschillende zaken kwamen de rechters tot de conclusie dat de verkopende partij een zorgplicht heeft en ‘behoorlijk onderzoek’ moet doen naar de achtergronden en beweegredenen van de koper. Laat men dit na dan kunnen gedupeerden oud-bestuurders en oud-eigenaren van zo’n BV later aanspreken op nog openstaande schulden. Buiten de curator om.

8

Forensic Services Magazine

blijven of de tegenpartij nog wel kan betalen en te goeder trouw is.’ In alle gevallen geldt dat een organisatie die zich bewust is van haar kwetsbaarheid op dit punt, dit risico voor een belangrijk deel kan mitigeren. ‘Een faillissement is altijd een trieste zaak, en het is extra triest als fraude hiervan de oorzaak is, ’ besluiten Manders en Van Nimwegen. ‘Maar het wordt pas echt akelig als je eigen organisatie daardoor in de problemen komt. Dat moet je voor alles zien te voorkomen.’ In dit artikel werd ingegaan op het vraagstuk hoe je (c.q. een onderneming) kunt voorkomen zelf het slachtoffer te worden van faillissement(sfraude). In een volgend artikel zal nader worden ingegaan op het onderzoek naar fraude in geval van faillissement. Wilt u meer informatie?ellen.van.nimwegen@ nl.pwc.com of [email protected]

PwC’s Business Partner Compliance programma: weet hoe integer uw zakenpartners zijn

Het zwarte gat van uw integriteitbeleid Uw zakenpartner kan wel eens uw achilleshiel blijken te zijn. Veel fraude- en corruptiegevallen beginnen daar. ‘Je mag gerust stellen dat dit het zwarte gat is van het integriteitbeleid’

De groei moet de komende jaren vooral van buiten de grenzen komen. De internationalisering van bedrijfactiviteiten is dan ook de trend. Maar daarmee dienen zich bijzondere en in veel gevallen nieuwe integriteitrisico’s aan. Eén van de belangrijkste is wel dat ondernemingen ook aansprakelijk gesteld kunnen worden voor fraude of corruptie door zakenpartners. En de meeste partijen zijn daar zich daar nog onvoldoende van bewust. Voorbeelden te over. Een groot baggerconcern werd partij in een justitieel onderzoek omdat een zakenpartner zich in een West-Afrikaans land schuldig zou hebben gemaakt aan omkoping. Dichterbij huis is er het voorbeeld van een milieubedrijf dat vervolging moest afkopen nadat een in opdracht werkende afvalverwerker illegaal schadelijk vuil in Polen bleek te hebben gedumpt. En dan is er nog de internationaal aansprekende Panalpina casus. Een agent van het zeevrachtbedrijf zou namens Panalpina en tien van haar klanten clandestiene betalingen hebben gedaan in ruil voor gunsten van overheidsambtenaren in Nigeria, Kazachstan en Saoedi-Arabië.

De betrokken persoon viel formeeljuridisch onder de verantwoordelijkheid van de Amerikaanse dochter van de Zwitserse onderneming, en daardoor zijn dit dochterbedrijf en tenminste één van haar klanten aangeklaagd wegens overtreding van de Amerikaanse Foreign Corrupt Practices Act. De sancties kunnen buitengewoon zwaar zijn; in het kader van de FCPA zijn al boetes van tientallen miljoenen en meer uitgedeeld, terwijl bestuurders persoonlijk aansprakelijk kunnen worden gesteld en mogelijk zelfs een gevangenisstraf in de VS boven het hoofd hangt.

Achilleshiel De achilleshiel van het integriteitbeleid van een hedendaagse netwerkorganisatie is in veel gevallen de business partner. Terwijl steeds meer organisaties zich bewust zijn van het grote risico dat ze lopen op het gebied van fraude en corruptie, weten ze opvallend weinig af van hoe hun netwerk van zakelijke partners aankijkt tegen integriteitkwesties, of men daar überhaupt een integriteitbeleid voert en zo ja, hoe dit is vorm gegeven en of het wel aansluit bij de eigen pogingen om zoveel mogelijk vormen van economische

criminaliteit buiten de deur te houden. Een pijnlijke omissie, want in de jongste versie van PwC’s tweejaarlijkse Global Economic Crime Survey (editie 2011) wordt geschat dat bij zeker een derde van de geconstateerde overtredingen een business partner direct of indirect een (kwalijke) rol speelt. En dat nog slechts een kleine minderheid van in het onderzoek bevraagde ondernemingen hun onderaannemers, agenten, handelsgevolmachtigden en adviseurs betrekt bij pogingen om het fraude- en corruptierisico te verkleinen dan wel uit te sluiten. ‘Je mag rustig stellen dat dit het zwarte gat is van het integriteitbeleid van veel organisaties,’ constateert Sujatha Iyer, preventiespecialist van PwC. ‘Over de hele linie constateren we een grote belangstelling voor fraude- en corruptiebestrijding en het belang van preventie, maar op dit punt blijft het stil. Daarom hebben we het Business Partner Compliance programma ontwikkeld.’

Ontkenning Nu is de ontkenning van het business partnerrisico ook wel begrijpelijk, vindt Sujatha Iyer. Ondernemingen hebben de afgelopen jaren hun handen meer dan vol gehad aan het op koers blijven in een kennelijk nimmer eindigende crisis en natuurlijk aan het integrity-proof maken van het eigen huis. Daardoor is er tot nu toe minder (of geen) aandacht geweest voor de integriteit van het netwerk van partners. Maar in de huidige zakelijke omgeving zijn organisaties daar juist extra kwetsbaar

Forensic Services Magazine 9

voor. Ondernemingen ontwikkelen zich meer en meer tot netwerkorganisaties, die een steeds groter deel van hun activiteiten uitbesteden aan partners en daardoor afhankelijker worden van hen. De globaliseringtrend zorgt er voor dat dit netwerk steeds onoverzichtelijker wordt en dat de samenstelling ervan voortdurend verandert. Daardoor wordt de kans op culturele tegenstellingen groter, moet vaker een beroep worden gedaan op onbekende lokale vertegenwoordigers en strekt het zakendoen zich uit over steeds meer landen met elk hun eigen jurisprudentie. Daar komt nog eens bij dat door al deze ontwikkelingen de wet- en regelgeving op het gebied van fraude en corruptie dwingender wordt en dat nationale wetgevers proberen om ook greep te krijgen op overtredingen buiten de eigen landsgrenzen. De grensoverschrijdende jurisprudentie van de Amerikaanse FCPA en de Britse Anti Bribery Act zijn er de bekendste voorbeelden van. Als een gevolg van dit alles loopt de schade op die bij integriteitovertredingen door business partners dreigt. Zoals in de aanhef van dit artikel al bleek, kunnen opdrachtgevers medeaansprakelijk worden gesteld voor overtredingen begaan in hun opdracht. Gedupeerde klanten zouden een class action law suit (zeker in de VS) kunnen overwegen, en kiezen dan natuurlijk om deze aanhangig te maken bij de partij waar het meeste te halen is. Zelfs gezonde bedrijven kunnen door de vaak torenhoge sancties in problemen worden gebracht, en door de reputatieschade verliezen ze ook nog eens business en wel integere partners. De in- en externe onderzoeken zorgen daarnaast nog eens voor jarenlange onzekerheid en hoge juridische kosten. ‘Maar misschien wel de grootste schadepost is dat men bij uw organisatie intern het geloof kwijtraakt dat fraude of corruptie wel degelijk met succes kan worden bestreden. En dat vergroot de kwetsbaarheid nog.’

10 Forensic Services Magazine

Informatieverzoeken Logisch dus dat Sujatha Iyer en haar collega’s veel informatieverzoeken krijgen voor het nieuw opgezette complianceprogramma voor businesspartners. ‘Het lijkt inderdaad in een vraag te voorzien,’ erkent ze bescheiden. De aanpak van PwC verschilt per opdrachtgever en diens specifieke situatie, maar in grote lijnen zijn drie verschillende stadia te onderscheiden. De eerste is dat PwC samen met de klant een dataverzameling aanlegt van diens netwerk van partners en op basis daarvan een goed onderbouwde risico-inschatting maakt. ‘De logische eerste vraag die je moet stellen is: wie zijn eigenlijk mijn business partners? Heel vaak ontbreekt het overzicht. Daarnaast beschikken wij over de kennis, de expertise en de technologie om eventuele onderlinge dwarsverbanden bloot te leggen en om hun trackrecord op het gebied van integriteitvraagstukken boven water te krijgen.’ ‘Op basis daarvan kun je een goed onderbouwde risico-inschatting maken. Bij welke van onze business partners lopen we meer kans dat er eens iets misgaat, gezien de omgeving waarin ze actief zijn, de status van hun integriteitbeleid, de voorbeeldfunctie van hun bestuurders en managers en natuurlijk van de bedrijfscultuur? Achten we dat risico hoog, medium of klein? ‘In beginsel kun je zo een heel betrouwbaar risicoprofiel maken van de gehele groep van business partners, waardoor je je preventie-inspanningen heel gericht kunt doen. Komt er uit dat een bepaalde partner een extreem hoog fraude- of corruptierisico vertegenwoordigt, dan raden we aansluitend aan om daar een integrity due diligence te laten verrichten. Voor risicogevallen moet je je bovendien contractueel beter indekken (door bijvoorbeeld een clausule op te nemen dat de eventuele onderzoekskosten voor jouw organisatie op de partner kunnen worden verhaald als deze tegen de overeengekomen

code of conduct heeft gehandeld) en ervoor zorgen dat iedereen binnen de organisatie met contacten met deze partij van dit risico op de hoogte is. Bij elke twijfel moet dan gerapporteerd worden.’ Daarnaast moet natuurlijk een voor alle partijen binnen het netwerk geldende code of conduct worden opgesteld en voor iedereen van toepassing verklaard. Voorts moet de bewustwording van de eigen kwetsbaarheid voor ontsporingen bij zowel de eigen organisatie als die van de zakenpartners naar een hoger niveau worden getild. ‘Dat is de belangrijkste preventiemaatregel. Daarom organiseren we in het kader van ons Business Partner Compliance programma ook workshops voor opdrachtgevers en hun belangrijkste zakenpartners. Daarin doen we aan dilemmatrainingen en hebben we een soort van realitycheck ingebouwd, om alle aanwezigen nog eens met de neus op de feiten te drukken dat ook zij geconfronteerd kunnen worden met een uitglijder. In iedere organisatie zit ten slotte wel een rotte appel. Levert dat doorgaans al veel discussiestof op en de opluchting dat dit eindelijk bespreekbaar is gemaakt, het grootste voordeel is nog wel dat je elkaar beter leert kennen en dat het uitspreken van vermoedens en zwakheden makkelijker wordt. En dat is het begin van een succesvolle preventie.’ Wilt u meer weten over het Business Partner Compliance programma? sujatha.iyer@ nl.pwc.com

Hoe fraudegevoelig zijn uw duurzaamheidclaims?

Groene fraude Groene fraude rukt op. Het stelen, vervalsen of manipuleren van data over duurzaamheidprestaties is in korte tijd een zeer serieuze bedreiging geworden. ‘Dit is dé groeimarkt van de economische criminaliteit.’ Deze zomer lag het belangrijkste instrument om de CO2-uitstoot in Europa te reduceren tot de afgesproken 14 procent in 2020, een weeklang noodgedwongen stil. Door digitale inbraken en fraude. Een bende van vermoedelijk gespecialiseerde cybercriminelen had in de voorafgaande maanden ingebroken bij verschillende landenregisters van emissierechten en bestanden gekopieerd en gemanipuleerd. Al vergeven rechten werden vervolgens in andere landen doorverkocht aan nietsvermoedende partijen (double selling), wat het fundament van het systeem ondermijnt. Tegelijkertijd werden rechten bij handelspartijen digitaal ontvreemd. Een Tsjechische makelaar in emissierechten werd op deze manier voor miljoenen benadeeld.

Nieuw in het fraudelandschap Het is een snel groeiend fenomeen in het toch al rijke assortiment van de economische criminaliteit. Groene of duurzaamheidfraude. Ging het vroeger bij milieuovertredingen nog vooral om illegale stortingen of misbruik van subsidies, tegenwoordig kent deze fraudevorm veel meer verschijningsvormen. Het misbruiken van duurzame keurmerken valt er onder, net als gesjoemel met de herkomst van her te gebruiken materialen of het vervalsen van asbestcertificaten. Kortom, alle activiteiten, die gericht zijn op het ontvreemden, vervalsen of manipuleren van informatie over en processen voor het verduurzamen van natuur, economie en samenleving, moeten tot groene fraude worden gerekend.

Dagelijks komen er bovendien nog nieuwe fraudevormen bij, constateren forensische onderzoekers van PwC in een eerste grensoverschrijdende verkenning van het probleem*. Ook in Nederland. Zo waarschuwden inspecteurs van de AID onlangs voor het gevaar van fraude bij biogasinstallaties. Steekproeven wijzen uit dat niet alleen duurzaam afval op deze wijze wordt hergebruikt. Er wordt gesjoemeld met afvalpapieren om ook niet-duurzame stoffen te kunnen verbranden. Daarmee worden onterecht subsidiegelden opgestreken en wordt milieufraude gepleegd. Ook is bekend dat op mondiale schaal wordt geknoeid met de oorsprongcertificaten van biologisch geteelde groenten en duurzaam gevangen vis en bijvoorbeeld met de energieprestaties van auto’s die van wegenbelasting zijn vrijgesteld. ‘Het is nog maar het topje van de ijsberg,’ vindt André Mikkers, één van de managing partners van PwC Forensic Services en beroepshalve geïnteresseerd in wat

De dreiging van deze groene vorm van cybercriminaliteit was genoeg reden voor de verantwoordelijke Europese milieucommissaris om de handel in emissierechten tijdelijk op te schorten, in afwachting van een onderzoek naar de oorzaken en aanbevelingen over hoe herhaling kan worden voorkomen. Maar vooralsnog laten zowel het onderzoek als de oplossing op zich wachten, terwijl de voor de reductie van kwalijke uitstoot noodzakelijke emissiehandel alweer op volle toeren draait.

* download het rapport ‘How to assess your green fraud risks? Op: www.pwc.co.uk/ fraudacademy

Forensic Services Magazine 11

hij dé groeimarkt van de economische criminaliteit noemt. ‘Neem bijvoorbeeld het asbestverhaal. Nu al gaat er in het inventariseren en verwijderen van asbesthoudende stoffen ruim 1,5 miljard euro per jaar om. De schatting is dat alle gebouwen van vóór 1993 in principe ‘asbest-verdacht’ zijn. Tegelijkertijd zie je dat de normen voor het asbestniveau, dat acceptabel wordt geacht voor woonhuizen en openbare gebouwen, worden aangescherpt en dat steeds vaker een plicht wordt opgelegd om asbest te verwijderen. En dat terwijl nog altijd geen eenduidigheid bestaat over hoe je nu precies moet inventariseren en aan welke voorwaarden een asbestverwijdering bedrijf moet voldoen om zich gecertificeerd te mogen noemen. In zo’n omgeving is het wachten op frauduleuze uitglijders.’

Eenvoudig te verklaren groei De komende jaren zal groene fraude alleen nog maar in belang en omvang toenemen. Met de bewustwording bij het grote publiek dat fossiele bronnen eindig zijn en dat we voor een alsmaar groeiende wereldbevolking steeds schaarser wordende grondstoffen en basismaterialen wel zullen moeten gaan hergebruiken, neemt de druk op publieke en private organisaties toe om hun processen en producten te verduurzamen. De wet- en regelgeving wordt op dit punt bovendien steeds verder aangescherpt en uitgebreid en er worden grensoverschrijdende oplossingen bedacht om bijvoorbeeld de uitstoot van kwalijke stoffen te beperken. De Europese emissiehandel is er een voorbeeld van (waar inmiddels 100 miljard euro in omgaat) en dan is er nog het Clean Development Mechanism. Door duurzaamheidprojecten (bijvoorbeeld wind- of zonneparken) op te zetten in ontwikkelingslanden kunnen bedrijven hun milieuschade in eigen land deels compenseren. ‘Maar zulke trajecten zijn natuurlijk slecht te overzien en daardoor extra fraude- en corruptiegevoelig,’ constateert Mikkers. ‘In dit soort zaken is toch vaak sprake van ketenafhankelijkheid. Partijen zijn in hoge mate afhankelijk van elkaar integriteit en

12 Forensic Services Magazine

één rotte appel corrumpeert de rest. Daar komt bij dat er nog veel imperfecties zitten in controlesystemen, deze zaken geen prioriteit hebben bij opsporingsinstanties (zo ze zich er al van bewust zijn), wet- en regelgeving en meetsystemen steken laten vallen of elkaar tegenspreken, en dat organisaties zelf zich nog onvoldoende bewust zijn van hun kwetsbaarheden en verantwoordelijkheden op dit punt. Samen met het feit dat overheden hergebruik van afvalstromen en de inzet van herwinbare bronnen ruimschoots subsidiëren, is zo wel een heel vruchtbare voedingsbodem ontstaan voor steeds meer incidenten.’ De schade door groene fraude kan bovendien fors zijn. Niet alleen in materiële zin, maar met name op het gebied van reputatieschade en de dreiging van het stilleggen van processen of zelfs het sluiten van het bedrijf. ‘Een onderneming die tegenwoordig in het nieuws komt door het niet naleven van milieuvoorschriften – of het daar nu iets aan kan doen of niet – verliest het vertrouwen van haar afzetmarkten en leveranciers en van de wet- en regelgevers. Die schade is groter én moeilijker te herstellen dan de schade door het fraude- of corruptiegeval zelf.’

Preventie Maar wat kunt u doen om te voorkomen dat ook uw organisatie slachtoffer wordt van een vorm van groene fraude? Of tenminste het effect ervan te minimaliseren? Allereerst moeten volgens Mikkers overheden en wet- en regelgevers zich bewuster worden van het groene fraudeen corruptiegevaar. Er moet haast worden gemaakt met het ontwikkelen van internationale standaarden voor de wet- en regelgeving op het gebied van milieu- en MVO-zaken, met name op het gebied van de verantwoording van duurzaamheidclaims. Er moet een centraal register komen voor het beheer van emissierechten. Voorts moeten er EU-richtlijnen komen voor wat onder herwinbaar afval moet worden verstaan en eenduidige afspraken gemaakt over de fiscale behandeling van afval binnen

de Europese zone. ‘De bestaande wetten en regels spreken elkaar op deze punten tegen en zijn eenvoudig te omzeilen of te manipuleren.’ Maar omdat er nog wel enkele jaren voorbij zullen gaan voor het zover is, moeten bedrijven en instellingen zich vooralsnog vooral zelf wapenen tegen groene fraude. ‘Zoals altijd bij fraudepreventieprogramma’s, begint het met het bewust maken van de eigen organisatie dat risico’s worden gelopen. De tone at the top is daarbij van doorslaggevend belang. Straal als verantwoordelijke bestuurders uit dat je weet dat de organisatie op dit punt kwetsbaar is en dat iedereen alert moet zijn op mogelijke vergrijpen. Laat met enige regelmaat de systemen controleren of ze nog wel afdoende beschermd zijn tegen cyberaanvallen, en behandel duurzaamheiddata net zo zorgvuldig als uw bankinformatie of stam- en standgegevens.’ Daarnaast is het van belang om de dreiging van groene fraude en corruptie mee te nemen bij het uitstippelen van uw integriteitbeleid. ‘Ken je zakenpartners. Trek hun credentials na, ga steekproefsgewijs na of uw afval nu wel echt op de eindbestemming terecht komt en in welke vorm, en maak afspraken met leveranciers en afnemers over hoe onderling wordt gerapporteerd en volgens welke standaarden. En voor alles geldt wat voor elke fraudevorm geldt: wees u bewust van de eigen kwetsbaarheid en blijf dus alert.’ Voor meer informatie: andre.mikkers@ nl.pwc.com

Maak fraudemeldpunt effectief: allegation reporting & investigation management

Nazorg voor uw klokkenluiderregeling Veel klokkenluiderregelingen zijn weinig effectief. Het ontbreekt aan goede nazorg en een invulling van hoe het onderzoek zal worden vormgegeven. ‘Door dat na te laten maak je van een klokkenluiderregeling een bot instrument.’ Het goede nieuws is dat inmiddels meer dan de helft van de ondernemingen met een beursnotering zegt over een klokkenluiderregeling te beschikken. Het slechte nieuws is dat de twijfel over de effectiviteit ervan net zo wijdverbreid is. Uit verkennend onderzoek blijkt dat slechts een klein deel (de schattingen lopen uiteen van 8 tot 14 procent) van de ingediende klachten en meldingen bij een klokkenluiderregeling uiteindelijk tot concrete acties leiden. Dat is pijnlijk voor de waarheidsvinding en ons rechtsgevoel. Maar het betekent ook dat voor betrokkenen onduidelijk blijft wat de organisatie vindt van onethisch en grensoverschrijdend gedrag en waar men de grens trekt. Bovendien weerhoudt het veel potentiële klokkenluiders ervan om hun nek uit te steken. Als hun klacht of melding onvoldoende serieus wordt genomen door hun bedrijf of instelling, vinden ze het risico voor hun persoonlijke situatie domweg te groot. Veel klokkenluiderregelingen zijn dan ook te hoogdrempelig en te weinig transparant over wat met een melding gebeurt, vinden Sujatha Iyer en André Mikkers, fraude- en corruptieonderzoekers van PwC. ‘Een klokkenluiderregeling staat of valt met

vertrouwen en transparantie. In zijn ideale vorm staat zo’n regeling open voor alle verdenkingen van ongewenst gedrag. Door daar adequaat en alert op te reageren, kunnen mogelijke misverstanden vaak nog op tijd uit de weg worden geruimd of kan worden voorkomen dat vergrijpen de continuïteit van de organisatie aantasten. ‘Maar in de praktijk verloopt het heel anders. Op papier is er dan wel een regeling, maar er is nauwelijks aandacht besteed aan de feitelijke invulling van het vervolgonderzoek en van de nazorg. Het ontbreekt aan duidelijkheid over wat er nu eigenlijk gebeurt als men dan toch de grote stap heeft gezet en besloten heeft om die fraude- of corruptieklok te luiden. Wat gebeurt er verder met mijn melding? Wie gaan er naar kijken, wie worden er zoal gehoord, en wat wordt er gedaan met de uitkomsten ervan? Welke garanties zijn er dat de buitenwereld snel en correct wordt geïnformeerd over de vorderingen van het onderzoek en de conclusies die daaruit getrokken worden? Door dat na te laten maak je van een klokkenluiderregeling een bot instrument. Het is alleen effectief als duidelijk is wat of er met een melding wordt gedaan, tot welke stappen dit zoal leidt en wanneer.’

Hot topic Het vergroten van de effectiviteit van de klokkenluiderregeling is een hot topic in ondernemend en politiek Nederland. Nu iedereen het er over eens is dat zo’n regeling onmisbaar is in het huidige fraude- en corruptielandschap, neemt de belangstelling toe voor het vraagstuk hoe we dit vertrouwelijke meldpunt eindelijk van het papier kunnen tillen. Ook de politiek bemoeit zich er intussen al mee. Eerder dit jaar werd een wetsvoorstel ingediend dat pleit voor de oprichting van een Huis voor Klokkenluiders. Een onafhankelijk onderzoeksplatform waar mensen met klachten over overheden en bedrijfsleven in vertrouwen terecht zouden moeten kunnen. In aanleg een sympathiek idee, vinden Mikkers en Iyer, maar bij de juridische en praktische uitwerking ervan moeten vraagtekens worden geplaatst. Ze wijzen erop dat in het nu voorliggende voorstel anoniem melden niet mogelijk is en dat alleen reguliere werknemers (en dus geen uitzendkrachten, ZZP-ers of bijvoorbeeld leveranciers) een klacht mogen indienen over een ‘ernstige misstand’. Bovendien is onduidelijk wat met de onderzoeksresultaten gebeurt. ‘Dit is de verkeerde weg. Het probleem van de hoogdrempeligheid vergroot je hiermee juist. Daar komt bij dat de effectiviteit van een klokkenluiderregeling gebaat is bij een snelle en zorgvuldige reactie door de betrokken organisatie zelf. Bij het bestrijden van vormen van economische criminaliteit is de reactiesnelheid minstens zo belangrijk als de zorgvuldigheid van

Forensic Services Magazine 13

het onderzoek en de uiteindelijke sancties. Vooral medewerkers willen hun gevoel van ‘organisatorische rechtvaardigheid’ zo snel mogelijk bevredigd zien; ze willen bevestigd worden in hun overtuiging dat ze werken voor een organisatie die niets zal nalaten om onethisch of crimineel gedrag zo snel mogelijk aan de kaak te stellen en buiten de deur te houden. Bovendien schrikt een snelle en adequate reactie kwaadwillende lieden af en beperk je reputatieschade.’ Liever adviseren Iyer en Mikkers hun klanten om een eigen responsesysteem voor klokkenluidermeldingen op te zetten. Door PwC Forensic Services is daar ook een concept voor ontwikkeld: allegation reporting & investigation management. ‘Als een onderneming of instelling slachtoffer dreigt te zijn van een vorm van economische criminaliteit ontstaat een paniekreactie. Niemand weet precies hoe te reageren en welke aanpak de beste is. Onze onderzoeksstandaard geeft dan houvast over wat te doen. Vanaf het moment dat de eerste melding binnenkomt tot men met de uiteindelijke resultaten naar buiten moet. Ook verloopt het onderzoek gestructureerd en is de kans op een sneller en bevredigend eindresultaat groter.’

Onderscheid Zoals de naam al suggereert, maakt allegation reporting & investigation management een duidelijk onderscheid tussen de meld- en de onderzoeksfase. ‘Als er een melding binnenkomt, moet deze eerst worden gecategoriseerd en geëvalueerd. Past deze melding in een trend, in de zin dat we eerder vergelijkbare rapportages hebben binnengekregen? Hoe fraude- of corruptiegevoelig is de omgeving waaruit de melding komt? Wat is bekend over de klokkenluider zelf en diens omgeving? Door je al vroeg deze vragen te stellen, kun je meer focus aanbrengen in de onderzoeksopdracht en al veel zaken tevoren uitsluiten,’ vindt Sujatha Iyer, die mede aan de wieg stond van de ontwikkeling van het instrument. ‘Vervolgens informeer je direct betrokkenen over de eerste bevindingen en

14 Forensic Services Magazine

hoe het eigenlijke onderzoek zal worden vormgegeven. Ook probeer je een termijn aan te geven waarbinnen resultaten verwacht mogen worden en wordt een onderzoeksteam samengesteld. Zo beperk je de sluimerende onvrede en onrust in de organisatie. ’ Als gebleken is dat sprake is van een probleem moeten - indien nodig noodverbanden worden aangelegd. ‘Dat is de triagefase. Het ergste bloeden moet worden gestelpt om te voorkomen dat de patiënt doodbloedt. Daarna wordt het feitelijke onderzoek gepland. Welke expertise hebben we daarvoor nodig, welke hebben we in huis en welke moeten we extern inhuren? Bovendien wordt een voorlopige lijst van bij het onderzoek te betrekken personen en instanties opgesteld, en bepaald wie in deze fase nog meer moeten worden gewaarschuwd. ‘Het grootste voordeel van deze benadering is dat je als gedupeerde organisatie het onderzoeksinitiatief behoudt. Of het in ieder geval voor een groot deel naar je toe trekt. Dan kan je regie blijven voeren en voorkomen dat tijdens het onderzoek grote delen van de organisatie of van de processen tijdelijk stil komen te liggen. Vaak is deze schade namelijk groter dan die van het feitelijke probleem zelf.’ Aansluitend is het natuurlijk zaak om het eigenlijke onderzoek in goede banen te leiden en zo effectief mogelijk in te richten. De belangrijkste opdracht in deze managementfase is het opstellen van een onderzoeksplan. Interviews moeten worden gepland, er moet een datakluis worden opgezet voor verdachte gegevens en relevante bestanden en onderzoeksstrategieën moeten op elk gewenst moment kunnen worden bijgestuurd. Bij dat alles is het zaak om overzicht te houden over de gebeurtenissen en in control te zijn. De (functionele leiders) in de organisatie moeten voortdurend over de voortgang op de hoogte worden gehouden, en als de verdachtmakingen verdachte feiten blijken te zijn, moeten

er rapportages worden opgesteld voor bestuurders en toezichthouders over hoe te handelen. Uiteindelijk moet het eindrapport worden opgesteld, en wel zo dat het eventueel ook te gebruiken is als basis voor justitiële onderzoeken en overeind blijft in de rechtszaal. Ten slotte moet er een goed communicatieplan zijn om de binnen- en buitenwereld op de hoogte te brengen. ‘Het managen van het onderzoek is vaak specialistisch werk. Als professionele forensische onderzoekers hebben we veel knowhow over hoe een onderzoeksplan moet worden opgesteld en hoe het onderzoek zelf zo snel mogelijk tot gewenste resultaten kan leiden. We zijn in staat om snel dwarsverbanden tussen feiten en interviewresultaten aan te tonen en om relevante databestanden te identificeren. Dat is onze toegevoegde waarde.’ Tot slot wil André Mikkers nog kwijt dat het hem opvalt dat klokkenluidermeldingen zelden of nooit bekend zijn bij het topmanagement noch weet men hoe daarop is gereageerd. ‘Dat is een pleidooi voor het aanstellen van een functionaris die als vertrouwenspersoon optreedt voor alle betrokkenen na een melding en zorgvuldig registreert welke stappen zoal genomen zijn.’ Wilt u meer weten over allegation reporting & investigation management? sujatha.iyer@ nl.pwc.com en [email protected]

Kort nieuws Financieel-economische delicten zwaarder bestraft Financieel-economische delicten zullen zwaarder worden gestraft. Een wetsvoorstel met deze strekking werd door het vorige kabinet opgesteld en zal naar verluid worden overgenomen door de huidige regering. Op het niet melden van ongebruikelijke transacties en het misbruik maken van subsidies komt een maximumstraf van vier jaar te staan, net als voor het negeren van milieuvoorschriften. Op witwassen en corruptie staat straks zes jaar cel. Bedrijven kunnen bij bewezen corruptie of witwaspraktijken een boete opgelegd krijgen tot 10 procent van de jaaromzet. Na goedkeuring door het parlement zal de wetverzwaring in 2013 van kracht worden.

AFM mag niet langer per brief alle e-mails en databestanden opeisen Het is de AFM door de rechter verboden om per brief niet nader gespecificeerd onderzoeksmateriaal op te vragen. De rechtbank van Rotterdam oordeelde in een door een woningcorporatie aangespannen zaak dat de financiële toezichthouder niet meer ongericht kopieën van alle e-mails en computerbestanden van een onderzochte organisatie mag opeisen. Ook mag de AFM voortaan alleen nog ter plekke deze gegevens claimen. Daarmee lijkt een voorlopig einde te zijn gekomen aan de lang bekritiseerde praktijk dat onderzoek naar het ene probleem soms leidde tot vervolging van andere, voorheen nog onbekende zaken.

Richtlijnen bestrijding witwassen scherper

Datalekken binnen 24 uur gemeld

De richtlijnen voor landen om witwassen en het financieren van terrorisme tegen te gaan, zijn aangescherpt. Zo zijn er strenge standaarden ontwikkeld voor informatieuitwisseling en moeten verzoeken om illegale bezittingen te volgen, te bevriezen of te confisqueren door bij de Financial Action Task Force aangesloten landen met voorrang worden uitgevoerd. De richtlijnen moeten uiterlijk in 2013 in de Nederlandse wet- en regelgeving zijn overgenomen. In een begeleidend schrijven constateert de FATF dat economische criminaliteit jaarlijks 2 tot 5 % van het mondiale BBP omvat.

De recent voorgestelde wijziging van de Wet Bescherming Persoonsgegevens gaat het College Bescherming Persoonsgegevens nog niet ver genoeg. De daarin opgenomen meldplicht voor bedrijven en overheden moet volgens het CBP worden uitgebreid. Zo moet een datalek door gedupeerde organisaties binnen 24 uur worden gemeld bij de privacywaakhond, en moeten alle lekken worden gerapporteerd. Deze verplichting zou organisaties motiveren om gevoelige informatie beter te beschermen. Op overtreding van de ‘datalekmeldverplichting’ staat een maximumboete van twee ton.

Forensic Services Magazine 15

© 2012 - PricewaterhouseCoopers Advisory N.V. (KvK 34180287) Alle rechten voorbehouden. 2011.12.14.01.43. In dit document wordt met ‘PwC’ bedoeld PricewaterhouseCoopers Advisory N.V., die een member firm is van PricewaterhouseCoopers International Limited. Niet bestemd voor verdere openbaarmaking zonder toestemming van PwC. ‘PwC’ is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op www.pwc.com/structure voor meer informatie.