Dit betreft het vijfde artikel in onze reeks van Governance, Risk & Compliance. Met de publicatie van vorige week over cultuur sloten we het subonderdeel over governance af. De komende weken zullen we in de publicaties van de reeks stilstaan bij het onderdeel Risk.
Volgens de COSO Fraud Risk Management Guide bestaat een raamwerk voor fraude uit de volgende onderdelen:
1. Fraud Risk Governance
2. Frauderisicoanalyse
3. Frauderisicobeheersing
4. Fraudedetectie
5. Onderzoek en correctie.
Sterke governance begint bij de top. Dit betekent een duidelijke “tone at the top”, integriteitsbeleid, en een betrokken raad van bestuur of toezichthouder. FRM moet worden ingebed in de governance-structuur. Hier hebben wij in de publicatie Fraude: voorkomen is beter dan genezen in deze reeks bij stilgestaan.
Organisaties moeten actief risico’s inventariseren, analyseren en prioriteren.
Het analyseren van frauderisico’s begint met het identificeren van frauderisicofactoren: elementen binnen en buiten een organisatie die kunnen leiden tot fraude.
De Association of Fraud Examiners (ACFE) doet iedere twee jaar onderzoek naar fraudegevallen onderzocht door haar leden. Zij maakt een onderscheid tussen drie verschijningsvormen van fraude: corruptie, oneigenlijke toe-eigening van activa en verslaggevingsfraude. Hoewel in de praktijk de verschillende vormen in elkaar overlopen biedt dit onderscheid een goed denkkader.
Een manier om inzicht te krijgen in frauderisicofactoren is uitvragen op de werkvloer waar mogelijkheden worden gezien tot frauderen. Medewerkers zijn over het algemeen goed op de hoogte waar de potentiële lekken in een organisatie zitten. Een voorbeeld hiervan betreft een magazijn wat afgesloten zou moeten zijn, maar wat om praktische redenen tijdens werktijden openlijk toegankelijk is. Of denk aan een controller die niet alleen toegang heeft tot de crediteurenadministratie, maar ook betalingen kan uitvoeren voor het geval de directeur afwezig is.
Een andere manier om inzicht te krijgen in frauderisico’s is weten wat er speelt in de sector. Een bekende fraude bij een concullega kan ook bij jou voorkomen. Een voorbeeld hiervan betreft de fraude in de zorgsector. Meerdere gemeenten hebben te maken met zorgbedrijven die niet geleverde zorg declareren of het aanbieden van te dure zorg. Dit is een voorbeeld van een frauderisico wat zich niet beperkt tot één gemeente.
Nadat de frauderisicofactoren in kaart zijn gebracht kunnen deze geanalyseerd en geprioriteerd worden.
Allereerst zal het frauderisico gewogen moeten worden op kans (hoe waarschijnlijk is het dat het zich voordoet) en impact (wat zijn de (financiële) gevolgen van dit risico). Deze weging helpt bij het bepalen van maatregelen voor de frauderisicobeheersing. Hoe hoger de kans en de impact, hoe meer aandacht aan dit risico besteed moet worden.
In het voorbeeld van het magazijn kan de analyse zijn dat de kans groot is dat er goederen worden meegenomen, maar dat de impact ervan klein is als het gaat om goederen met een kleine waarde. In het voorbeeld van de controller met betaalbevoegdheden kan de kans klein zijn omdat de betaalbevoegdheden van de controller zijn beperkt tot een maximum bedrag per week. De zorgfraude geeft aan dat de impact niet alleen financieel is, maar ook het vertrouwen in de zorg aantast.
Preventie begint bij cultuur, maar vergt ook praktische maatregelen.
Dit begint bij interne beheersingsmaatregelen, de zogenoemde hard controls. Interne beheersingsmaatregelen kunnen preventief van aard zijn. Denk hier bij aan functiescheiding in het betaalproces, toegangsbeperkingen in systemen of het afsluiten van (delen van het) magazijn. Beheersingsmaatregelen kunnen ook detectief van aard zijn. In het voorbeeld van die controller die in afwezigheid van de directeur betalingen uitvoert kan een beheersingsmaatregel zijn dat de directeur achteraf de betalingen controleert.
De zachte kant van interne beheersing, de soft controls, vormen de randvoorwaarde voor het functioneren van interne beheersingsmaatregelen. In de volgende publicatie gaan wij verder in op de soft controls.
Omdat fraude nooit 100% te voorkomen is, zijn detectiemechanismen nodig. Hiervoor kan data-analyse worden ingezet. In de publicatie Het proces van data-analyse zijn wij al ingegaan op de inzet van data-analyse in onderzoek. Data-analyse kan ook preventief worden ingezet voor het detecteren van fraude. Dit wordt bijvoorbeeld in de bancaire sector veelvuldig toegepast om ongebruikelijke transacties te herkennen. Dit is een vorm van continious auditing en kan ook in andere sectoren worden ingezet.
Het hebben van een goede klokkenluidersregeling en een kanaal om te melden zorgt ervoor dat onregelmatigheden snel kunnen worden gesignaleerd. Wij besteden na de publicatie over soft controls aandacht aan het inrichten beheren van een meldkanaal.
Als fraude optreedt, moeten organisaties adequaat reageren. Dit vraagt een goede voorbereiding van een organisatie. Na de publicatie over het meldkanaal gaan wij verder in op hoe je als organisatie voorbereid kan zijn op incidenten.
Een onafhankelijk onderzoek kan een respons zijn op onregelmatigheden. In een eerdere artikelenreeks hebben wij al eens aandacht besteed aan onafhankelijk onderzoek.
In dit artikel hebben wij stilgestaan bij het stelsel van frauderisicomanagement. In de komende weken gaan wij in op soft controls, het inrichten van een meldkanaal en de juiste voorbereiding op een incident.
Vanuit EBBEN Partners ondersteunen wij organisaties met het inrichten van frauderisicomanagement of het evalueren van frauderisicomanagement. Neem voor vragen contact op met één van onze professionals Cosmo Schuurmans of Kim Scholten.
