|
risk management
Hessel van Bruggen
FRAUDEBEHEERSING: HET MOET ANDERS De aanpak van fraudepreventie moet anders, getuige het aantal en de aard van de incidenten die in de financiële sector aan het licht komen. Regelgeving, governance codes en toezichtmodellen, hoe effectief ook gepercipieerd, hebben de incidenten in de afgelopen jaren niet kunnen voorkomen en een schijnzekerheid gecreëerd. Daar ligt dus niet de oplossing. Het moet anders. Dit ‘anders’ moet zitten in een overtuiging, in een missie. In het met hart en ziel werken aan een gezamenlijke aanpak, van een ieder die net als Holland Integrity Group van mening is dat dit soort incidenten en de gevolgen voor stakeholders en maatschappij onacceptabel zijn.
O
nze onderzoeks- en adviespraktijk geeft ons inzichten die we graag delen om fraudebeheersing en daarmee fraude echt anders aan te pakken. Die inzichten gaan over leiderschap, samenwerking en integratie, inzet van specifieke deskundigheid en gericht investeren in effectieve maatregelen. Een overtuigende en effectieve invulling van een duidelijk antifraude beleid zal uiteindelijk leiden tot lagere kosten voor fraude risicomanagement en minder schade door incidenten. Stimuleren van gewenst gedrag en snel, doortastend en zorgvuldig ingrijpen bij ongewenst gedrag draagt bovendien sterk bij aan een goede reputatie en het vertrouwen in financiële instellingen. Kansen die de sector nu vaak laat liggen.
Leiderschap Ons eerste inzicht betreft leiderschap. Over leiderschap zijn nog nooit zoveel boeken, artikelen en uitingen verschenen als de afgelopen jaren. In het kader van overtuiging, integriteit en vertrouwen kan leiderschap vooral gezien worden als het uitzetten van een duidelijke lijn en het daar zichtbaar naar handelen. In de praktijk zien wij nogal eens een zogenaamd ‘zero tolerance’-beleid bij antifraude. Dat onderschrijven wij volledig, maar dat gaat vooral over de momenten dat daadwerkelijk sprake is van een (vermoeden van) fraude en de response daarop. Leiderschap op ‘zero tolerance’ is juist ook het voorkomen en ontmoedigen
sep13 Banking & Finance
van fraude door een duidelijk en stevig preventief beleid, zichtbaar goed voorbeeldgedrag en een mandaat -inclusief budget- waaruit dezelfde overtuiging spreekt. Ontmoedigen is pas effectief als sprake is van een aanzienlijke pakkans en het daadwerkelijk toepassen van een streng maar rechtvaardig sanctiebeleid bij incidenten, ongeacht de betrokken persoon. Bij leiderschap past ook openheid en kwetsbaarheid. Bij incidenten is nogal eens de vraag: gaan we hiermee naar buiten of (nog) niet. Dat is een dilemma. Er spelen vaak grote belangen. Duidelijk is wel dat het tijdig naar buiten treden en uitleggen waarom de dingen zijn zoals ze zijn, het enige is dat uiteindelijk vertrouwen wekt. Hoe pijnlijk dat soms ook is voor de eigen positie. Maar ook dat is leiderschap.
Samenwerking en integratie Een tweede inzicht heeft betrekking op samenwerking van disciplines en integratie van maatregelen in de dagelijkse processen. In de praktijk zien wij dat taken en verantwoordelijkheden vaak versnipperd over de organisatie liggen. Compliance, Internal Audit, Investigations, Legal, Operational Risk Management, lijnmanagement en andere afdelingen hebben preventieve en/of repressieve deeltaken. Deze versnippering gaat ten koste van de effectiviteit en efficiency. Samenwerking tussen
BIj SoMMIgE oRgaNISaTIES IS ER SpRakE VaN FRaudERISICoBELEId op BaSIS VaN SCHIjNzEkERHEId.
disciplines is noodzaak. Helaas ontbreekt het daar nogal eens aan, door bijvoorbeeld verschillende belangen, verborgen agenda’s, ego’s en verkokering. Dit doorbreken, begint met de vraag: wie is eigenaar van het onderwerp integriteit- en fraudebeheersing? Het creëren van een centrale functie direct onder de Raad van Bestuur geeft duidelijkheid over de verantwoordelijkheid en het eigenaarschap voor integriteit en fraude. Bovendien krijgt het bestuur zo de mogelijkheid deze gevoelige en complexe taak eenduidig te beleggen, met een helder mandaat. Dat moet dan wel stevig en onafhankelijk genoeg zijn om waar nodig acties af te dwingen. De uitvoering daarvan is doorgaans namelijk belastend voor de business en stafafdelingen en staat op gespannen voet met andere prioriteiten, zoals commercie. De mandaten die wij in de praktijk meestal zien zijn hiervoor te beperkt. Invoering van bijvoorbeeld wet- en regelgeving op het gebied van Customer Due Diligence en het melden van ongebruikelijke transacties verloopt daardoor moeizaam.
deskundigheid Zoals bij elk specialisme, valt of staat de effectiviteit van de antifraudeaanpak met de inzet van de juiste deskundigheid, ons derde inzicht. Voor onze gezondheid vinden we het volstrekt logisch dat alleen een medisch specialist de juiste diagnose stelt en met een effectief behandelplan komt. Voor het analyseren van frauderisico’s blijkt dat helemaal niet zo vanzelfsprekend. Met het gevolg dat er bij organisaties sprake is van frauderisicobeleid op basis van schijnzekerheid. Het is cruciaal dat organisaties zich daarvan bewust zijn. Voor een echt effectieve frauderisicoanalyse is de
deskundigheid en professioneel kritische instelling van specialistische onderzoekers nodig. Zij hebben immers veel fraudegevallen van dichtbij gezien en herkennen daardoor de signalen, patronen en risico’s. Maar vooral ook de combinatie van processen en menselijk gedrag waarbij sprake is van opzet en misleiding. Anders gezegd, wanneer interne controlemechanismen opzettelijk worden omzeild of doorbroken en documenten en rapportages bewust worden vervalst, moet je daar doorheen kunnen kijken. Of zoals Cruijff het zegt: “je gaat het pas zien als je het door hebt”. Kortom, voor een effectieve en efficiënte aanpak van fraudebeheersing is het essentieel dat: 1. de risicoanalyse wordt uitgevoerd door een deskundig team waarin in ieder geval een fraudespecialist is opgenomen; 2. de analyse centraal en gecoördineerd wordt uitgevoerd en de kennis en ervaring van verschillende disciplines optimaal met elkaar wordt gedeeld.
Investeren in effectiviteit en efficiency Het vierde inzicht betreft de effectiviteit en efficiency van fraudeaanpak. Het eerder genoemde ‘zero tolerance’ antifraude beleid betekent uiteraard niet dat voor elk risico een maatregel moet worden ingevoerd. Het gaat bij de operationele inzet van beheersmaatregelen om het maken van de juiste keuzes. De effectiviteit en efficiency van die keuzes hangt samen met twee dingen. Het inrichten van een proces om vast te stellen dat maatregelen doen waarvoor ze bedoeld zijn en het investeren in maatregelen die het meest bijdragen aan de beheersing. Effectiviteit van de maatregelen Maatregelen zíjn effectief als ze aantoonbaar doen waarvoor ze bedoeld zijn. Veel organisaties worstelen met deze aantoonbaarheid. Ze bedenken tal van antifraude maatregelen en werken dat keurig uit op papier. Bij het implementeren ontstaan de eerste uitdagingen en aantoonbaar de effectiviteit vaststellen is vaak een stap te ver. Dat zit bijvoorbeeld in vragen als: “Hoe toon ik aan dat onze gedragscode effectief is?”, “Wanneer heb ik vastgesteld dat de meldstructuur effectief is?” “We hebben een integere organisatie, er komen nooit meldingen”, is een regelmatig terugkerende opmerking. Dat is een doelredenering die geen oplossing biedt. Om de effectieve werking te kunnen Banking & Finance sep13
|
risk management
Hessel van Bruggen
evalueren zijn andere maatregelen nodig. Deze kan de organisatie prima integreren in bestaande processen en cycli. Vragen over de mate waarin medewerkers bekend zijn met een gedragscode en meldstructuur en of men bereid is om ongewenst gedrag te melden worden gesteld én vastgelegd in dagelijkse bilaterale gesprekken, jaargesprekken, exitgesprekken of in personeel tevredenheidonderzoeken. Als dan blijkt dat medewerkers bekend zijn met gedragsregels en meldstructuren, bereid zijn om ongewenst gedrag te melden en vertrouwen hebben in een zorgvuldige behandeling van hun meldingen kan de organisatie aantonen dat deze maatregelen effectief en het aantal meldingen betrouwbaar zijn. Het registreren en analyseren van gesignaleerde incidenten kan daarnaast een beeld geven van de herkomst van gemelde incidenten. Een tendens over achterblijven van meldingen per afdeling, regio of land ten opzichte van ‘peers’ kan aanleiding zijn voor een nadere analyse.
de naam ‘Report to the nations on occupational fraud and abuse’. Het meest recente rapport is van 2012 en heeft betrekking op een waarneming van 1.388 gerapporteerde fraudegevallen uit meer dan 100 landen en zes continenten. Hiervan hebben 229 gevallen (16,7%) betrekking op financiële instellingen. In aantal het meeste van alle sectoren. Met een gemiddeld schadebedrag per incident van $232.000 neemt de sector een vijfde plek in op de ranglijst. In totaal is de financiële sector daarmee in het onderzoek vertegenwoordigd voor ruim $ 53 miljoen aan fraude. De beelden over implementatie van antifraude maatregelen die uit de onderzoeken voor 2012 en 2010 naar voren komen, zijn in de hierna volgende tabel opgenomen. Nr. % geïmplementeerde anti2012 en fraude maatregelen genoemd (2010) in rapporten
2012
2010
Externe audit van de jaarrekening
80,1%
80,9%
2 (2)
Gedragscode
78,0%
74,8%
3 (6)
Management goedkeuring van de jaarrekening
68,5%
67,9%
4 (3)
Interne audit afdeling
68,4%
68,2%
5 (4)
Externe audit controle op totstandkoming jaarrekening
67,5%
65,4%
6 (9)
Controle door management
60,5%
58,8%
7 (7)
Onafhankelijke audit committee 59,8%
58,4%
8 (5)
Ondersteuning programma’s werknemers
57,5%
54,6%
9 (8)
Meldstructuur/hotline
54,0%
51,2%
10 (10)
Fraude training voor management en hoger
47,4%
46,2%
11 (11)
Fraude training voor medewerkers
46,8%
44,0%
12 (12)
Anti-fraude beleid
46,6%
42,8%
13 (-)
Formele fraud risk assessments
35,5%
-
14 (13)
Surprise audits
32,2%
32,2%
15 (14)
Verplichte roulatie werkzaamhe16,7% den of verplichte vakantie
16,6%
16 (15)
Beloning voor klokkenluiders
8,6%
1 (1)
Efficiency van de maatregelen Wij zijn ervan overtuigd dat fraude met prioriteit en overtuiging bestreden moet worden en dat de daarvoor beschikbare middelen nu nog te weinig worden ingezet. Onduidelijkheid over de toegevoegde waarde maakt dat de inzet van de meest effectieve maatregelen achterblijft. Dit gaat ten koste van de efficiency. Duidelijk is wel dat er maatregelen bestaan die verschillend bijdragen aan de effectieve beheersing van fraude. Sommige zijn heel specifiek op fraude gericht, bijvoorbeeld fraudetrainingen voor management. Andere zijn algemener van aard, zoals de externe audit van de jaarrekening of interne audits met een operationeel karakter. Over de algemene maatregelen is veelal onduidelijk in welke mate deze bijdragen aan de antifraude doelstellingen. Discussies op dit gebied gaan bijvoorbeeld over de rol van de interne of externe accountant ten aanzien van fraude. Ervaringscijfers over de mate waarin antifraude maatregelen in organisaties zijn doorgevoerd zijn terug te vinden in internationaal onderzoek naar fraude. De Association of Certified Fraud Examiners (ACFE) brengt elke twee jaar een rapport uit onder
sep13 Banking & Finance
9,4%
Bron: ACFE Report to the Nations 2012 en 2010 kleurenlegenda Minder specifieke anti-fraude maatregelen Meer specifieke anti-fraude maatregelen
Uit het onderzoek komt ook naar voren op welke wijze fraudegevallen zijn gesignaleerd. Dat zegt iets over de effectiviteit van detectiemaatregelen. In de tabel hierna is per maatregel het signaleringspercentage voor 2012 en 2010 weergegeven: % Signalering fraude per maatregel
2012
2010
Tips
43,3%
40,2%
Management review
14,6%
15,4%
Interne audit
14,4%
13,9%
Per ongeluk
7,0%
8,3%
Interne controle
-
-
Rekening vergelijking
4,8%
6,1%
Documenten onderzoek
4,1%
5,2%
Externe audit
3,3%
4,6%
Politie tip
3,0%
1,8%
Monitoring
1,9%
2,6%
Bekentenis
1,5%
1,0%
IT Controls
1,1%
0,8%
Anders
1,1%
-
Bron: ACFE Report to the Nations 2012 en 2010 De uitkomsten in deze tabellen onderschrijven ons inzicht dat de meer specifieke en meest effectieve antifraude maatregelen te beperkt zijn geïmplementeerd. De eerste drie detectiemaatregelen, te weten (1)Tips, (2) Management review en (3) Interne audit leveren volgens de tweede tabel gezamenlijk tweederde van de signaleringen op. De resterende tien maatregelen signaleren gezamenlijk ‘slechts’ een derde. De uitkomsten in de eerste tabel laten echter zien dat de maatregelen die deze signalering moeten faciliteren relatief beperkt zijn geïmplementeerd. Dit inzicht benadrukt dat het gericht investeren op een beperkt aantal specifieke antifraude maatregelen, de effectiviteit van fraudebeheersing al aanmerkelijk zal vergroten. De uitkomsten zijn niet absoluut en kunnen elkaar beïnvloeden; Als de primaire signalering door management verbetert, zal de signalering door interne audit en door tips naar verwachting afnemen. De juiste combinatie van maatregelen is belangrijk.
Meldstructuur of hotline In de praktijk signaleren wij regelmatig discussie over meldstructuren. Angst voor misbruik, beperkte bereidheid om te ‘klikken’ zijn terugkerende argumenten. Deze bezwaren zijn goed te ondervangen door een opzet waarbij een ieder vertrouwen heeft in de structuur, goed gebruik wordt gestimuleerd en misbruik wordt gesanctioneerd. Een goed fraudebeleid vergt draagkracht. Ook daarin moet worden geïnvesteerd. Linksom of rechtsom, uiteindelijk is het dit soort regelingen die het melden van (vermoedens van) onregelmatigheden bij leidinggevende, management of een separate functie laagdrempelig maakt en het beste scoort op detectie. Uit het onderzoek blijkt overigens ook dat bij organisaties met een meldstructuur veel vaker daadwerkelijke fraudegevallen aan het licht komen door tips (51%) dan bij organisaties die een dergelijke regeling niet hebben (35%).
Management review Uit het onderzoek blijkt dat ook het tijdig onderkennen van fraudesignalen door managers een belangrijke rol speelt met een signaleringspercentage van 14,6%. We zagen in de eerste tabel al dat implementatie van fraudetrainingen voor management en hoger onder de 50% ligt. Daar liggen dus duidelijke kansen. Gericht investeren in trainingen op het gebied van fraude en het herkennen van signalen door management geeft de detectie een impuls en is tegelijk een krachtig signaal van de overtuiging waarmee het antifraude beleid wordt neergezet. Deze trainingen kunnen in bestaande management trainingen worden geïntegreerd en op die manier ook periodiek worden herhaald en/of naar een volgend niveau worden gebracht. Uit het onderzoek blijkt vanuit een ander perspectief bovendien dat in 18,7% van de gevallen (in 2012) een tekortschietende management review het element is dat het meest heeft bijgedragen aan het voortbestaan van de fraude. Dat sterkt ons nog meer in onze overtuiging dat het hier beter kan en moet. De toegevoegde waarde van fraudetrainingen voor management is misschien moeilijk te meten of vast te stellen, maar wel goed voor te stellen. De Banking & Finance sep13
|
risk management
Hessel van Bruggen
manager heeft een voorbeeldrol voor zijn of haar directe medewerkers. Een getrainde manager signaleert eerder fraude en zal ongewenst gedrag en dilemma’s sneller signaleren en bespreekbaar maken. Op deze manier is integriteit in de basis verankerd.
Interne audit Interne audit heeft met een signaleringspercentage van rond de 14 % een belangrijke rol bij de signalering van mogelijke fraude. Uit fraudeonderzoeken, ondersteuning aan auditafdelingen, trainingen en ondersteuning van studenten blijkt dat specifi eke afspraken over fraude audits met het management vaak ontbreken. Veel interne auditors hebben behoefte aan meer verdieping op het gebied van fraude, herkenning van signalen en het ondersteunen of doen van onderzoek naar (vermoedens van) fraude. Bij een adequate invulling van deze behoefte zal de functie nog meer bijdragen aan detectie en zelf ook een rol kunnen spelen in het trainen en adviseren van het management en medewerkers.
|
Tenslotte Een stroom aan incidenten en discussies in een sterk gereguleerde fi nanciële wereld maakt duidelijk dat de aanpak van fraudebeheersing anders moet. Weg van de schijnzekerheid. Is het beleid binnen uw organisatie een papieren tijger of wordt het met overtuiging uitgedragen? Het is een kwestie van kiezen. Door weloverwogen te investeren in de juiste maatregelen – óók in het draagvlak daarvoor- en door gericht personen met mandaat te positioneren, kan met een beperkt aantal acties al veel worden bereikt.
•
De auteur, Hessel van Bruggen, is directeur bij Holland Integrity Group.
books Richard Neve
GEVEN EN NEMEN De verborgen dynamiek van succes
Er is veel aandacht voor individuele voorwaarden voor succes: passie, inzet, talent en geluk. Vandaag is de kans van slagen steeds meer afhankelijk van hoe we ons verhouden tot anderen. Geven en nemen laat zien wat effectief netwerken, samenwerken, invloed uitoefenen, onderhandelen en leiderschap met elkaar gemeen hebben. Je vraagt je af waarom sommige mensen zoveel voor elkaar krijgen. Hoogleraar psychologie Adam Grant strekt een eenvoudige conclusie: er zijn mensen die geven, mensen die nemen en mensen die matchen. Nemers proberen zo veel mogelijk te krijgen van anderen, matchers de meesten van ons streven naar een zeker evenwicht, maar gevers zijn die zeldzame mensen die anderen helpen zonder iets terug te verwachten. Opmerkelijk genoeg zijn de mensen die het meeste bereiken geen nemers of matchers, het zijn gevers. Grant combineert onderzoeksresultaten en persoonlijke verhalen. De meeste mensen zijn geen geboren
sep13 Banking & Finance
gevers, dus legt Grant uit hoe die gevers het doen; dat geven en winnen.
Adam Grant Uitgeverij Balans € 19,95 ISBN 978-94-600-3664-4
