Het huidige tijdsgewricht leent zich er uitermate goed voor om de bakens te verzetten. De financiële drama’s bij bedrijven, instellingen, banken en zelfs sectoren en landen stapelen zich op. Hebben wij dan met zijn allen zitten slapen? En niet alleen wijzelf, maar ook onze adviseurs, die ons hadden moeten ondersteunen om dergelijke risico’s het hoofd te bieden. Die adviseurs hebben modellen ontwikkeld, waarvan we de vragen van achter de computer beantwoorden met vinkjes in kolommen. Als er een fraude-incident is, halen we dit te voorschijn als bewijs dat we er alles aan hebben gedaan. Schrikbeeld?
Om een beeld te krijgen van volwassenheid van een organisatie op het gebied van risicomanagement, kun je beginnen bij de documentatie die daarvan in de organisatie aanwezig is. U kunt daarbij denken aan handboeken, procedures, formulieren, et cetera. Bij veel organisaties is dat in de basis redelijk goed geregeld. Bij de afwikkeling van transacties worden de procedures doorlopen, de richtlijnen gehanteerd en de voorschriften nageleefd. Ten minste, als je blijft stilstaan bij de administratieve kant van de zaak. Al snel ontstaat dan het gevoel dat de zaken redelijk goed op orde zijn. De opzet van het systeem geeft een solide beeld en de indruk bestaat dat de noodzakelijke maatregelen ook daadwerkelijk zijn doorgevoerd. Een paar gesprekken met hoofden van afdelingen en wat lijncontroles laten zien dat er wordt gewerkt volgens het boekje. En daarmee hebben we onze risico’s afgedekt. Of toch niet…?
Waarom klinkt een dergelijke aanpak toch zo aantrekkelijk? Wel, het eerste voordeel van een dergelijke systeemaanpak is, dat het zo aangenaam overzichtelijk is. De regels liggen vast, vanuit een statische positie gaan we een aantal generieke risico’s benoemen en van achter de ‘tekentafel’ wordt een aantal controls ontworpen die deze risico’s zouden moeten afdekken. Deze werkwijze brengt daarnaast de aangename eigenschap met zich mee dat het relatief eenvoudig te auditen is. Specifieke genormeerde controls zijn beschreven als een vaste waarde, en als deze in opzet bestaan en werking aanwezig zijn, mogen we weer een vinkje zetten.
We worden ingehaald door de dagelijkse realiteit. De hierboven beschreven systeembenadering blijkt niet te werken. De controls die zo mooi waren afgevinkt, blijken niet afdoende. Er voltrekken zich economische rampen die zich onttrekken aan alle controls die we met zijn allen hadden ontwikkeld. En toch ligt in de dagelijkse realiteit de sleutel tot een compleet andere aanpak.
Het is tijd voor een visie op fraude-risicomanagement die fundamenteel anders is. Dat begint met een concreet idee waar de organisatie mee bezig is en wat de reële frauderisico’s zijn die er worden gelopen. Welke ongewenste scenario’s op gebied van organisatie-gerelateerde criminaliteit kunnen zich in een organisatie afspelen? Deze scenario’s staan niet in de boeken, maar die vindt u in de praktijk, op de werkvloer. Uw medewerkers weten vaak heel goed wat er zoal mis kan gaan en dus (af en toe) ook misgaat. Medewerkers laten meedenken over mogelijke fraudescenario’s is een vruchtbare stap naar het herkennen van de echte risico’s die een organisatie loopt.
Nadat een aantal scenario’s is geïdentificeerd en uitgewerkt, komt de volgende stap: de realistische scenariotest. Dat werkt als volgt. Er wordt een scenario geselecteerd dat getest gaat worden. Vervolgens wordt een draaiboek gemaakt van de test. Aan de hand van dit draaiboek wordt in gecontroleerde vorm het scenario, of onderdelen daarvan, ‘losgelaten’ op de organisatie. Daarmee wordt in de praktijk getest of het geselecteerde scenario kans van slagen heeft om zich in een organisatie voor te doen. De maatregelen die zijn genomen in de vorm van procedures, handboeken en voorschriften blijken dan ineens in de echte wereld niet altijd zo te werken als men voor ogen had. Medewerkers zijn ook mensen, die het niet moeilijk gaan doen als het ook makkelijk kan. Dat kunt u ze niet kwalijk nemen. U doet dat zelf toch immers ook?
Deze vorm van testen levert een schat aan informatie op over de werkelijke organisatieweerstand tegen fraude of andere vormen van criminaliteit. De te nemen maatregelen zijn direct gerelateerd aan de echte risico’s die u dagelijks loopt. Deze werkwijze lijkt omslachtig, omdat je moeilijk alle mogelijke scenario’s kunt testen. Maar het is wel effectief. Ten eerste blijken veel maatregelen een bredere werking te hebben dan alleen het specifieke scenario dat ze afdekken. En ten tweede kun je beter vissen met een goede haak dan met een slecht net.
Wilt u meer weten over onze dienstverlening neem dan contact op met een van onze specialisten:
