Fraude voorkomen kan, maar de menselijke factor blijft van grote invloed

Maar liefst 1 op de 3 bedrijven heeft te maken met economische criminaliteit. De financiële gevolgen kunnen voor organisaties enorm zijn. Per jaar wordt de bedrijfsfraude ingeschat op enkele miljarden. Veel fraude vindt plaats in de administratie, waarbij er verschillende vormen zijn waar te nemen. Er zijn medewerkers die onrechtmatig geldbedragen overmaken naar hun eigen bankrekening of zaken doen met leveranciers die niet bestaan en daar met een omweg ook geldelijk gewin aan overhouden. Maar fraude kan ook voorkomen in een andere vorm, zoals het verstrekken van vertrouwelijke (digitale) informatie aan de concurrent.

Door ontwikkelingen op het gebied van automatisering en digitalisering kan fraude zich verder verspreiden, hoewel dit tegelijkertijd ook weer mogelijkheden biedt om fraude te bestrijden.

Het is niet voor niets dat het voorkomen van fraude hoog op de agenda staat bij organisaties. Maar wat is er eigenlijk nodig om fraude te voorkomen of in ieder geval het frauderisico tot een aanvaardbaar niveau terug te brengen? Wat kan een organisatie zelf organiseren om het frauderisico beheersbaar te maken? En vooral: wat kan de Administratieve Organisatie & Interne Controle (AO/IC) in dit kader voor de organisatie betekenen.

 Wat is fraude eigenlijk?

Fraude is een opzettelijke handeling door 1 of meer personen van binnen of buiten de organisatie, waarbij misleiding wordt gebruikt om een onrechtmatig of onwettig voordeel te behalen. Bij fraude zijn veelal 3 kenmerken te onderscheiden, waarvan sprake is op het moment dat er fraude plaatsvindt (de zogeheten fraudedriehoek). Er is een gelegenheid om fraude te plegen, bijvoorbeeld door het ontbreken van adequate beheersmaatregelen in de organisatie. Daarnaast is er sprake van druk die persoonlijk ervaren wordt (bijv. een slechte financiële situatie in de persoonlijke levenssfeer) of de druk is organisatorisch van aard (zoals druk om positieve cijfers te presenteren). Het goed praten van de fraude, ook wel rationalisatie genoemd is het 3de kenmerk van fraude (de fraudeur vindt bijvoorbeeld dat hij te weinig wordt beloond voor zijn werkzaamheden en dat het daarom valide is om de fraude te plegen). Van deze 3 fraudekenmerken is gelegenheid het kenmerk dat het best beïnvloed kan worden door het treffen van interne beheersmaatregelen in de organisatie.

Er zijn indicatoren te bedenken (ook wel “red flags” genoemd), waarbij er mogelijk sprake kan zijn van fraude. Zo is een werknemer die gedurende langere periode weigert om vakantie te nemen of een promotie niet accepteert een typische red flag. Een onverklaarbare verbetering van de lifestyle en sociale status van de werknemer is een andere red flag, die nader onderzocht zou moet worden. Maar er bestaan ook red flags op organisatieniveau, waarbij de presentatie van financiële rapportages met hoge winsten opvallend is in een markt die zich in een recessie bevindt.

Hoe kan de Administratieve Organisatie & Interne Controle (AO/IC) het frauderisico beperken?

Een organisatie kan het risico op fraude flink reduceren door het inrichten van een adequate AO/IC. Zo zijn er een aantal randvoorwaarden te benoemen die je minimaal mag verwachten bij een goed ingerichte AO/IC. Zo mag een degelijke scheiding van functies in de organisatie (ook wel controle technische functiescheiding genoemd) niet ontbreken. Een absoluut ongewenste combinatie van functies is die van de functionaris die zowel het geld kan beheren (dus kan bepalen waar het aan uitgegeven wordt) en zelf ook kan muteren in de boekhouding. Een andere belangrijke randvoorwaarde is het toewijzen van heldere taken, bevoegdheden en verantwoordelijkheden aan de juiste personen. Hiermee worden de personen bedoeld die de kennis en vaardigheden hebben om deze toegewezen taken naar behoren te kunnen uitvoeren. Te veel macht bij personen op kwetsbare posities maakt dat fraudeurs hun kans grijpen. Zonder deze heldere taken, bevoegdheden en verantwoordelijkheden ontstaat onduidelijkheid (over wat iemand mag en niet mag) en wordt ruimte (lees: gelegenheid) gecreëerd voor fraudeleus gedrag. De autorisaties die in de systemen worden toegekend op basis van deze bevoegdheden en verantwoordelijkheden is een 3de belangrijke randvoorwaarde (ook wel logische toegangsbeveiliging genoemd). Is de persoon die inlogt op het systeem wel echt die persoon (te controleren via identificatie (invoeren gebruikersnaam) en authenticatie door het invoeren van het wachtwoord behorende bij die gebruikersnaam) én welke rechten zijn toegekend aan deze persoon (het autoriseren)? Deze rechten zijn vaak in een zogenaamde autorisatietabel en een competentietabel vastgelegd. (Voor meer informatie over gegevensbeveiliging, zie onze publicatie Beveiliging van uw gegevens? ..logisch toch?)

Het inrichten van fysieke waarborgen (zoals een afgesloten magazijn) is een andere randvoorwaarde die thuishoort in de AO/IC van elke organisatie. Hiermee kan je het risico op ontvreemding en fraude drastisch inperken.

Deze 4 randvoorwaarden zijn enkele, maar cruciale onderdelen van een adequate Administratieve Organisatie en Interne Controle in organisaties.

 Beperkingen van de AO/IC

Kan fraude met een goed ingerichte Administratieve Organisatie & Interne Controle  worden voorkomen? Nee, zeker niet! Het risico op fraude blijft altijd bestaan, maar met de juiste beheersmaatregelen kan de organisatie dit risico wel aanzienlijk verminderen. Er zijn echter een aantal duidelijke beperkingen te noemen, die er voor zorgen dat de AO/IC aan kracht moet inboeten. Management override is zo’n beperking, waarbij het management de ingerichte functiescheiding op eigen initiatief kan doorbreken met alle gevolgen van dien. Goede voorbeelden van fraude door management override zijn de boekhoudschandalen bij Ahold, Worldcom en Satyam.

Samenspanning is een andere factor, waarbij medewerkers onderling of met een derde (bijv. de leverancier) samenspannen om daarmee aan het bedrijf goederen of geld te onttrekken.

Ook door menselijke fouten, zoals slordigheid, kunnen de maatregelen van interne controle zelf niet goed werken. Dit kan wel opgevangen worden door het toepassen van een combinatie van interne beheersmaatregelen. Tot slot speelt de kosten-baten afweging ook een rol bij het wel of niet gebruiken van interne controlemaatregelen. Er zal telkens een afweging gemaakt moeten worden tussen de baten van de controlemaatregelen (verlaging risico, verlies aan waarden) en de kosten die deze maatregelen met zich meebrengen. Met andere woorden er zullen altijd risico’s blijven bestaan die niet zijn afgedekt.

De menselijke factor

Andere factoren zijn ook van invloed op het risico of het voorkomen van fraude. Zo heeft de “control environment” van een organisatie veel invloed op het gedrag van de medewerkers. Kent de organisatie bijvoorbeeld een gedragscode of integriteitscode, waar periodiek door het management aandacht aan wordt besteed? Is het voor elke medewerker volstrekt duidelijk wat wel én wat zeker niet is toegestaan, oftewel, wat is toelaatbaar gedrag en wat niet? Wat is “the Tone at the Top” oftewel het voorbeeldgedrag van de directie? Als de directie zelf gemaakte afspraken niet nakomt, werkt dat in de hand dat de medewerkers dit zelf ook niet gaan doen en misschien zelf het “niet-nakomen” als norm gaan zien. Ook is het dan moeilijk om handhaving door het management serieus te nemen. Een cultuur waarbij het gebruikelijk is om elkaars passwords te gebruiken, bijvoorbeeld om vertraging in de werkstroom te voorkomen, creëert gelegenheid om fraude te plegen zonder dat er samenspanning met andere collega’s nodig is. Ook een cultuur waarbij het als normaal gezien wordt, dat je contracten met gunstiger voorwaarden dan gebruikelijk afsluit met familie en vrienden, is zeer schadelijk voor de organisatie. Iets wat niet altijd makkelijk opgevangen kan worden met een goed ingerichte en werkende AO/IC.

De organisatiecultuur, leiderschap en aandacht voor druk onder de medewerkers zijn belangrijke factoren die niet uit het oog verloren mogen worden. In combinatie met de menselijke beperkingen van interne controle (management override, samenspanning, menselijke fouten), zorgt dit ervoor dat de menselijke factor steeds centraal staat in het naleven van interne beheersingsmaatregelen en het ontwikkelen van een gezonde cultuur. Dit terwijl juist deze menselijke factor de grondslag vormt van de frauduleuze praktijken!

“Niet alleen de gelegenheid, maar vooral de behoefte schept de fraudeur”

De kwaliteit van de AO/IC van uw organisatie versterken? Volg dan onze Cursus Administratieve Organisatie en Interne Controle (AO/IC).

26 van 32