Acht oorzaken waarom fraude niet wordt ontdekt
Regelmatig haalt ‘de accountant’ het nieuws als er een grote fraudezaak binnen het eigen bedrijf of binnen het bedrijf van een controleklant aan het licht komt. Zoek op internet op ‘accountant +fraude’ en u vindt talloze spraakmakende verhalen over fraude. Vaak zult u zich daarbij afvragen hoe het mogelijk is dat de organisatie en de controlerend accountant de fraude niet veel eerder hebben ontdekt. Hieronder behandel ik acht veelvoorkomende oorzaken waardoor fraude niet direct aan het licht komt. Ik belicht daarbij zowel de rol van de financieel professional in de organisatie als die van de controlerend accountant.
De mindset
De financiële kolom in de organisatie en de externe accountant zijn vaak primair gericht op terugkijken en op controle. Daarnaast speelt het belang relaties goed te houden een rol. Dat geldt voor de financieel professional die binnen de organisatie werkzaam is, en misschien nog wel veel sterker voor de extern accountant, waarbij ook opdrachtgeverschap van belang is. Het stellen van vragen die verder gaan dan normaal behoort, naar mening van veel van mijn gesprekspartners binnen organisaties en controlerend accountants, niet tot de controletaak die finance vervult. “Als ik moeilijke vragen stel, vindt mijn gesprekspartner dat niet oké en beschadig ik de relatie die ik heb, hoe leg ik dat uit?” is een vaak gehoorde reactie. Deze houding is de reden dat men wel controleert of A gelijk is aan B, maar men zich niet hardop afvraagt hoe dat mogelijk is. Om te kunnen meten moet je vooral veel weten. Een doorvragende financieel professional is fundamenteel en situaties naar eigen believen bagatelliseren is ongewenst. Zowel voor de organisatie als voor de eigen reputatie.
De cultuur
Wat weet u eigenlijk echt van de bedrijfscultuur van uw klant of uw eigen bedrijf? Hoogleraar Muel Kaptein van KPMG heeft veel onderzoek gedaan naar de effecten van cultuur op integriteit. Waarom zou u dit als financieel professional moeten weten? Deze vraag is regelmatig door mij gesteld aan financieel professionals op diverse bijeenkomsten. De reactie is vaak dat kennis van de cultuur geen toegevoegde waarde heeft voor het functioneren. Financieel professionals hebben een rotsvast geloof in procedures. Men ziet dan ook geen reden om de intensiteit van de controle op bepaalde afdelingen of sectoren te verhogen op basis van de specifieke cultuur die daar heerst. Dat is een gemiste kans. Want als u weet waar onder hoge druk wordt gepresteerd, dan weet u ook waar de kans het grootst is dat integriteit vloeibaar wordt onder druk van die cultuur. En laat dat nou juist dé plek zijn om intensief te controleren of sprake is van integer handelen of van inbreuk op processen of procedures. Ken daarom de cultuur van de (verschillende onderdelen van de) organisatie.
Onbekendheid met het begrip fraude, fraudekenmerken en de fraudeur
Als het de taak van de financiële kolom en de extern accountant is fraude te herkennen en aan het licht te brengen, dan is kennis van signalen die duiden op de mogelijke aanwezigheid van fraude een absolute must. Fraude is een containerbegrip. Het delict ‘fraude’ bestaat niet als zodanig in het Wet van Strafrecht. Bijna iedereen weet wat er wordt bedoeld, maar als een definitie wordt gevraagd blijkt dat lastig. Volgens de Dikke van Dale is fraude ‘het opzettelijk geven van een valse voorstelling van zaken, meestal in een administratieve context’. Een financieel professional die als taak heeft fraude te voorkomen of te onderkennen moet dus weten wat ‘het gezicht’ van die administratieve context is. Hij of zij moet weten wat voor soorten fraude er bestaan en waarom tot dan toe integere medewerkers kennelijk ineens kunnen kantelen naar niet integer gedrag. Wanneer komt de fraudedriehoek tot stand? Wat is de specifieke psyche van ‘de fraudeur?’ Het is ook zaak inzicht te verkrijgen in het totaal van het fraudepotentieel zodra een vermoeden van fraude bestaat. Als u wilt voetballen is het zaak dat u de spelregels kent. Als u moet controleren is het zaak dat u weet hoe ‘de tegenpartij’ werkt en denkt.
Blindheid voor signalen
Binnen de organisatie is kennis van de cultuur van belang. Dit schreven we al eerder. Binnen de organisatie kan, al dan niet op onderdelen, bijvoorbeeld sprake zijn van een angstcultuur. Klokkenluiders manifesteren zich meestal als zodanig omdat men binnen de eigen organisatie geen gehoor krijgt. Uw rol is tevens het open te staan voor signalen van niet integer gedrag, alhoewel deze vaak subtiel worden gegeven. U moet naar het niveau van de integriteit binnen de organisatie vragen en daarover (indringend) doorvragen bij uw gesprekspartners. Tijdens een feitenonderzoek binnen een woningcorporatie werd bijvoorbeeld bekend dat de administrateur precies wist hoe de directie zichzelf verrijkte ten koste van de corporatie. Hij hield jarenlang overzichten bij. In de boekhouding zorgde hij actief voor het bewust niet nakomen van de vereiste procedures in de hoop dat zijn leidinggevenden, of de extern accountant hem vragen zou stellen over zijn ‘slordigheden’. Dan had hij zijn hart kunnen luchten. Maar dit gebeurde nooit omdat de slechts werd gekeken of A gelijk was aan B. Tijdens een lang interview vertelde de administrateur de exacte details van zijn lijst, maar wel acht jaar te laat!
Geen AO/IC voor ogenschijnlijk onbeduidende processen
In veel organisaties en bij veel audits ligt de focus op belangrijke processen en procedures. Regels worden gemaakt en tot Administratieve Organisatie verheven en Interne Controle controleert de naleving. De meeste fraude ontstaat omdat ‘iemand’ een gat in de AO/IC vindt, daar op ‘verkenning’ gaat en daar uiteindelijk zijn voordeel mee doet. Vaak ‘domme gaten’ die een fraude soms kinderlijk eenvoudig maken, zoals dit voorjaar bij het Rotterdams Havenbedrijf. Wat een blamage als een kinderlijk eenvoudige fraude niet door de eigen financiële kolom wordt ontdekt. Anderzijds, ter verdediging, is dit nou precies zo’n situatie waar een procedure niet nodig werd gevonden. Misschien niet eens geschreven. Misschien niet gecontroleerd. Tijdens een feitenonderzoek dat ik deed naar aanzienlijke derving bij een bedrijf, kwam het gesprek met een getuige onverwacht op pallets. Een redelijk laaggeprijsd bulkartikel, waarbij het niet nodig werd geacht om de inslag van nieuwe pallets en de uitslag van pallets met gereed product te vergelijken en te borgen binnen de AO/IC. Hierdoor kon een warehousemanager 10 (!) jaar lang zelfstandig pallets inkopen, en eenmaal aangekomen binnen het bedrijf voor eigen rekening onderhands doorverkopen. Waarom controleren, het ging maar om pallets. Maar ‘massa maakt kassa’, resulterend in een schade van ver boven de miljoen euro. Eerste reactie van de directie: waarom hebben wij en met ons de accountant dit niet gezien? Elk bedrijf kent dit soort ondergewaardeerde, maar voor fraudeurs lucratieve gaten. Vindt ze en maak ze dicht!
Onvoldoende invoelend vermogen en ontoereikende interviewvaardigheid
Om fraude te kunnen ontdekken of om inzicht te krijgen in de cultuur van de organisatie zijn communicatieve vaardigheden en invoelend vermogen van groot belang. Praat met de contactpersonen en stel ‘open’ in plaats van ‘gesloten’ vragen. Geef hen de ruimte om mee te delen wat men werkelijk kwijt wil. Heb een sterk luisterend oor voor wat men probeert te zeggen zonder het daadwerkelijk te zeggen. Denk aan de administrateur bij de woningcorporatie die expres fouten maakte! Denk aan de bijzin die leidde tot oplossing van de palletcasus die uiteindelijk veel groter was dan de problematiek rond de derving. Dit goed luisteren is verder net zo belangrijk om ook de persoon die je spreekt te kunnen lezen, namelijk diegene die leugenachtig gedrag laat zien. Wat hoort u en wat wordt er tegen u gezegd? Leugenachtig gedrag manifesteert zich verbaal en non-verbaal en het is goed om eens te beluisteren wat die indicatoren zijn en wat het bijbehorende gedrag is. Een mooi voorbeeld is als er tegen u wordt gezegd dat u onderdeel X niet hoeft te controleren. Want dat heeft de gesprekspartner zelf al gedaan. Sturend en manipulatief gedrag herkennen is van belang, want dit brengt u juist op die plek waar controle nodig is. ‘U behoeft deze documenten niet te controleren, want ik zie er zelf op toe dat we een strak 4 of zelfs 6 ogen beginsel hanteren’. Alle lichten moeten nu op rood gaan. Fraude is democratisch. Het komt vroeg of laat in elke organisatie voor en het manifesteert zich binnen alle lagen van het bedrijf, waarbij de schade navenant stijgt naarmate de fraude zich hoger binnen de organisatie nestelt. Des te meer reden om die 4 of 6 ogen dooddoener extra te controleren!
“Always look for the second gun”
Fraude start altijd in het verlengde van de dagelijkse verantwoordelijkheid van een medewerker, ongeacht diens plaats binnen de organisatie. Waar gezocht moet worden is dus afhankelijk van de primaire taak van de medewerker of de afdeling. Of het nu gaat om financiële-, materiële- of informatieve fraude of fraude op het gebied van inzetbaarheid. Bedenk dat waar gestart wordt met de initiële fraude dit slechts het startpunt is. Iemand die start met fraude, om welke reden dan ook, gaat over de drempel van de integriteit. Het is toch zo dat iemand integer is of niet integer? Men is toch niet uitsluitend frauduleus met geld als men ook de kans heeft om materiële fraude te plegen door bijvoorbeeld goederen te stelen? Daarom is het belang van die ‘second gun’ zo groot. Want bedenk dat hetgeen u vindt misschien maar het topje van de ijsberg is omdat de expansiedrift van de fraudeur, eenmaal begonnen, geen einde kent. Neem nooit genoegen met de gedachte ‘dat was het dan’ zonder diepgaande controle op de aanwezigheid van mogelijke andere fraudevormen. Het zou immers erg zuur zijn als u achteraf hoort dat u de ‘second gun’ heeft gemist, terwijl u vanaf nu van dit fenomeen afweet!
De ontwikkeling van digitale fraude en de noodzaak om in control te zijn
In 2011 was schade door digitale fraude voor het eerste groter dan fysieke fraude. Sindsdien is digitale fraude blijven groeien. We kennen er de voorbeelden van en als we even niet opletten worden we gespamd door oplichters uit alle hoeken en gaten van onze aarde. Binnen uw eigen bedrijf of dat van uw klant is aandacht voor niet integer gedrag met informatie van toenemend belang. De meeste bedrijven zijn nog steeds niet in staat om real time vast te stellen of geautoriseerd of ongeautoriseerd informatie wordt ge-upload of gedownload. Terwijl dit een van de grootste risico’s is dat bedrijven momenteel lopen. Kennis is macht en in toenemende mate stellen medewerkers, vaak op cruciale posities, informatie veilig voor toekomstige doelen bij andere werkgevers. Dit zonder dat de signalen binnen het bedrijf op rood gaan. Men weet het niet tijdig, want controles zijn vaak reactief. Inmiddels bestaan er gelukkig protective intelligence tools, die real time op de aanwezigheid van anomalieën monitoren. Zodoende kan real time actie worden ondernomen als iemand zijn toekomst probeert veilig te stellen. Door de aanwezigheid van zo’n protective intelligencetool bleek op een gegeven moment dat een HR-manager drie ‘ghost employees’ in het leven had geroepen en daardoor vier keer per maand salaris ontving. Al drie (!) jaar lang. Pas met de protective intelligence tool werden de HR-databank en die van Finance gekoppeld en bleek er sprake van deze fraude. Het is daarom zaak tijdens controle specifiek door te vragen hoe de informatie is beveiligd en hoe mogelijke inbreuk wordt gemonitord.
Oud rechercheur Gert van Beek werkt en adviseert al tientallen jaren als fraudebestrijder (particulier onderzoeker; bedrijfsrechercheur; forensisch feitenonderzoeker; Register Security Expert en Certified International Investigator), zowel binnen de publieke- als de private sector, voor een brede Nederlandse- en buitenlandse kring van opdrachtgevers.