Begin met de waarom-vraag: wat is de business case van frauderisicomanagement? Uit internationaal onderzoek blijkt dat de schade door fraude en ongewenst gedrag gemiddeld zo’n vijf procent van de bedrijfsomzet bedraagt. Frauderisicomanagement betaalt zich dan ook terug. Verder beperkt het de aansprakelijkheid van de organisatie en haar bestuurders. En last-but-not-least: het beschermt de reputatie van de onderneming. De business case van frauderisicomanagement is sterk.
Het is belangrijk om scherp te zijn op alle vormen van fraude. Fraude onderscheidt zich van andere risico’s omdat het opzettelijk gebeurt en verborgen wordt gehouden. Tien veel voorkomende fraudevarianten zijn:
Daarnaast kennen we de zogenaamde verticale fraudes, gericht tegen de nationale schatkist, zoals vormen van belastingfraude, witwassen en zorgfraude.
Fraude kan gebeuren wanneer aan drie voorwaarden is voldaan: gelegenheid, motief en rationalisatie. Uit internationale onderzoeken blijkt dat bedrijven die antifraudemaatregelen nemen, aantoonbaar minder schade door fraude lijden dan andere bedrijven. Preventiemaatregelen werken ontmoedigend. Detectiemaatregelen zorgen voor vroegtijdige ontdekking. Breng in kaart welke fraudevarianten voorkomen in uw sector en in vergelijkbare bedrijven. Externe benchmarking kan geruststellen of juist aanmoedigen om in actie te komen.
Hoe kun je de kans op fraude en de bijbehorende schade beperken? De in het vorige punt vermelde onderzoeken wijzen op een tiental operationele maatregelen waarvan is bewezen dat ze succesvol zijn. Aansluitend op de internationale standaarden van COSO, IIA en ACFE betreft het de volgende terreinen:
Dergelijke maatregelen kunnen je schadeprofiel enorm verbeteren.
Zo’n 40 procent van fraudes in bedrijven wordt ontdekt door tips van tipgevers, waarmee dit de belangrijkste detectiebron is. Toch heeft maar een fractie van alle bedrijven een behoorlijk meldsysteem opgezet. Voor de kosten hoeven ondernemers het niet te laten – er bestaan meldsystemen die voldoen aan alle eisen en toch eenvoudig en doeltreffend zijn. We hebben in Nederland weliswaar de wet Huis voor Klokkenluiders, maar de Europese regels worden over een jaar strenger, dus is het een goed moment om hier meer aandacht aan te geven.
De data in de bedrijfssystemen en op het internet bieden een uitstekende basis om fraude te voorkomen of te detecteren. Een investering hierin verdien je terug omdat het aantal risicovolle klanten en transacties vermindert en schade afneemt door vroegtijdige ontdekking van fraude. Forensic tooling begon ooit met eenvoudige checks, zoals op dubbele betaling van facturen, betaling op een verkeerde bankrekening of aan een ghost-on-the-payroll. Inmiddels zijn er ook meer verfijnde controles en met de opkomst van AI is het einde nog niet in zicht.
Diverse eenvoudige en doeltreffende antifraudemaatregelen betreffen het interne toezicht. Telkens weer blijkt dat je geen taken moet delegeren zonder een minimum van toezicht. Pas op wanneer het management hele dagen op pad is voor de groei van het bedrijf. Een betrokken management maakt regelmatig zelf zijn handen vuil; verantwoordelijkheid kun je immers niet delegeren. De focus moet daarbij liggen op de belangrijkste contracten, posities, transacties en rapporten.
Het zakendoen moet ook juridisch in orde zijn om risico’s en schade door fraude te beperken. De volgende aspecten strijden daarbij om voorrang:
De juridische kant van fraude risicomanagement verdient een regelmatige review.
Een uitgeschreven antifraudebeleid, met aanduiding van een verantwoordelijke op directieniveau, is een must. Werk met een rampenplan voor wanneer het onverhoopt fout loopt, zo’n plan is 90 procent standaard en 10 procent maatwerk. Vermoedelijk hebt u laatste jaren wel een fire-drill gehouden. Maar ik durf te wedden dat uw eerste fraud-drill nog moet plaatsvinden. Zet de belangrijkste zaken op papier en test de werking ervan, u zult er veel van leren.
Een zelftest is een handig hulpmiddel om vast te stellen in welke mate uw bedrijf succesvolle antifraudemaatregelen heeft getroffen. De voorwaarde is wel dat u voldoende expertise in huis hebt om dit te kunnen beoordelen. Zo niet, dan laat u zich begeleiden door een expert. De uitkomst van zo’n test zou er als volgt kunnen uitzien, met in elke categorie gemiddeld een tiental deelaspecten om voldoende diepgang te bereiken:
Bent u trouwens verzekerd tegen fraude? Cybercrimeverzekeringen kennen een groeiende populariteit terwijl fraudeverzekeringen in Nederland geen gewoonte zijn. Kortom, als we spreken over frauderisicomanagement hebben we het over heel concrete maatregelen, veelal eenvoudige.
Drs Evert Jan Lammers RA is forensisch accountant bij EBBEN Partners, hij adviseert bedrijven en accountants op het gebied van frauderisicomanagement.
Op 17 december heeft Accountancy Vanmorgen een deel van bovenstaand artikel gepubliceerd.
Voor alle vragen over forensische accountancy oplossingen in accountantsorganisaties of fraud riskmanagement in bedrijven kunt u contact opnemen met drs. Evert Jan Lammers RA: 035-2057575
Bel met Evert-Jan Mail met Evert-Jan