Niet voorbereid. En niet weten hoe te handelen. Fraude ‘overkomt’ CEO’s en CFO’s. Terwijl de impact voor het concern enorm is.
Nationale en internationale onderzoeken tonen jaarlijks aan dat fraude bij veel organisaties voorkomt. Recente fraudegevallen bevestigen dat dit óók bij gerenommeerde ondernemingen plaatsvindt. De lijst is lang. Van Imtech, Fugro, Philips Pensioenfonds tot aan Petrobas en Siemens. Niet in alle gevallen is fraude te voorkomen. Maar we constateren wel een gebrek aan bewustzijn van het frauderisico. Dat is een van de belangrijkste oorzaken dat fraude niet effectief wordt voorkomen en ontdekt. Zonder dit bewustzijn wordt fraude niet of te laat geconstateerd.
Zie ook: Blaft de fraudewaakhond zodra hij iets ruikt?
Alleen bij de buurman
Regelmatig horen wij bestuurders verklaren dat fraude bij hen niet voorkomt. Dat in tegenstelling tot hetgeen onderzoeken en de praktijk uitwijzen. Kennelijk gaan ze er in overwegende mate vanuit dat fraude bij de buurman plaatsvindt. Vooral niet bij henzelf. Een mogelijke verklaring hiervoor is dat fraude wordt beschouwd als iets heel bijzonders. Daardoor krijgt het een status aparte. Het wordt losgetrokken van de overige bedrijfsrisico’s en krijgt daardoor vaak geen aandacht meer. Dat is een vergissing.
Fraude- en integriteitsrisico’s kunt u niet los zien van de overige bedrijfsrisico’s van de onderneming. Ieder proces kent risico’s en tekortkomingen. Deze bieden fraudeurs de mogelijkheid gebruik te maken van de specifieke kenmerken en de tekortkomingen van deze processen. Een voorbeeld zijn de fraudegevallen bij de uitvoering van belastingtoeslagen. Daarbij heeft de Belastingdienst – waarschijnlijk bewust – de controle naar de achterkant van het proces verschoven. In het specifieke geval lag veel politieke druk op het proces, omdat de uitvoering zéér efficiënt en snel moest zijn. De door de fraudeurs toegepaste methode was even eenvoudig als doeltreffend.
Zij maakten dankbaar gebruik van de leemtes en risico’s die zij in het proces zagen. Als bij de vormgeving van de regeling en bij de opzet van het uitkeringsproces uitdrukkelijk (meer) aandacht was besteed aan de (fraude)risico’s, had deze fraude voorkomen kunnen worden. De inschatting van de kans op fraude moet onderdeel zijn van regulier risicomanagement. Omdat bij fraude onder andere sprake is van opzet en misleiding is het frauderisico wel een specifiek risico. Daarom is het van essentieel belang dat de risicoanalyse wordt uitgevoerd door een deskundig team. Gebeurt dit niet, dan kan dit leiden tot frauderisicobeleid op basis van schijnzekerheid.
Beleid niet beleefd
Wij zien dat ondernemingen vaak zoekende zijn. Hoe om te gaan met geconstateerde fraude en/of integriteitsinbreuken? Vaak is er in deze gevallen vanuit de board geen duidelijke visie neergelegd over integriteit. Weliswaar hebben de meeste organisaties tegenwoordig een integriteitsbeleid opgesteld (inclusief klokkenluidersregeling). Maar dit zijn in de praktijk vaak documenten die zijn ontleend aan voorbeelden van sectorgenoten of brancheorganisaties. In sommige gevallen worden bestaande formats letterlijk overgenomen. Het kopiëren of implementeren van bestaand integriteitsbeleid heeft als risico dat de inhoud van het beleid niet wordt beleefd. Het beleid is niet ontsproten uit de eigen overwegingen en visie van de onderneming.
Het houdt onvoldoende verband met de eigen bedrijfsprocessen. Verder is er geen noodzaak of ruimte om een eigen visie neer te leggen, terwijl dit juist zo belangrijk is. Deze visie vormt het morele kompas van de onderneming. De visie bepaalt wat de onderneming toelaatbaar vindt en wat niet. En hoe men moet handelen bij dilemma’s of bij constatering van mogelijke integriteitsinbreuken.
Gekopieerd beleid is géén beleid
Het succes van het fraude- en integriteitsbeleid is onder meer afhankelijk van de reikwijdte van dit beleid. Is het beleid gestoeld op ticking the box of op een intrinsieke ethische drive? Is het beleid beperkt tot het louter voldoen aan wet- en regelgeving (creative of technical compliance)? Of is het beleid ook gericht op het handelen in de geest van de wet- en regelgeving (ethical of responsible compliance)?
Vanuit wet- en regelgeving zijn woningcorporaties in specifieke situaties verplicht de achtergrond van kopers van vastgoed in kaart te brengen en de herkomst van het geld na te gaan. Maar de bestaande wet- en regelgeving over de verkoop van vastgoed geeft in dit geval niet aan hoe de corporatie moet handelen. Die afweging moet zij zelf maken. Dit is vergelijkbaar met de risk based-benadering van financiële instellingen. De toezichthouders willen geen verantwoording dragen voor een tick the box-exercitie. Dat zou het wel worden als een bepaalde methodiek of een bepaald beleidskader wordt voorgeschreven. Als een visie over integriteit ontbreekt, moet het bestuur ad hoc zonder moreel kompas of beleidskader beslissen. Het risico is groot dat dan beslissingen worden genomen waar men later van vaststelt dat dit niet de juiste waren.
Eigen werkelijkheid scheppen
Uit onze onderzoeken blijken fraudeurs een geheel eigen werkelijkheid te scheppen. Dat gebeurt door middel van gefingeerde verkoop- en inkoopfacturen, producten, huurcontracten, administraties enzovoort. Alles om de situatie mooier of juist slechter voor te stellen. Niets bleek wat het leek. Alsof de verantwoordelijke functionarissen in de organisaties jarenlang naar de gedrevenheid, geslepenheid en bekwaamheid van de fraudeurs nauwelijks kwalijk nemen. Er is een opvallend patroon herkenbaar. Wanneer de eerste problemen of signalen van mogelijke fraude zich voordoen, hebben diezelfde functionarissen de neiging de signalen te negeren en de fraudeurs zelfs tegemoet te komen.
Waarom negeren betrokkenen de fraudesignalen? In onze ervaring spelen daar twee dingen: het niet herkennen en het niet erkennen van fraudesignalen. Om fraude te kunnen herkennen, moet men zich bewust zijn van het frauderisico. Daarnaast moet men de frauderisico’s kennen en de mogelijke manieren waarop fraudeurs fraude plegen. Dit vereist kennis van de interne bedrijfsprocessen en van de specifieke frauderisico’s hierin. Maar óók van de fraude-indicatoren. De hiervoor benodigde fraude-expertise is vaak niet in de organisatie aanwezig en moet extern worden betrokken. Of door de betrokken medewerkers eigen gemaakt worden, bijvoorbeeld door middel van training.
Vrees voor gevolgen
Het erkennen dat de organisatie slachtoffer is van onregelmatigheden blijkt bij bestuurders nog steeds gevoelig te liggen. Door ons geconstateerde redenen om fraude (in eerste instantie) niet te erkennen, zijn met name vrees. Er bestaat vrees voor reputatieschade voor de organisatie en de bestuurder in kwestie. En er is vrees voor de gevolgen van de fraude. Denk aan het ingrijpen door de interne en/of externe toezichthouder(s), impact op beurskoers en mogelijk strafrechtelijke consequenties. De vrees is begrijpelijk en deels ook terecht. De gevolgen van fraude kunnen ingrijpend en vergaand zijn. Maar laat deze vrees niet de koers van het handelen bepalen. Onze ervaring is dat vroeg of laat de fraude toch uitkomt. En dat het handelen van de direct verantwoordelijken, niet in de laatste plaats de bestuurders, op dat moment zeer kritisch wordt bekeken.
Bestuurders worden op dat moment afgerekend op een passieve en naïeve houding. Toezichthouders trekken het initiatief eerder naar zich toe, waardoor de bewegingsvrijheid van de onderneming wordt beperkt. Een effectieve aanpak komt uitsluitend van de grond als het bestuur zich bewust is van de frauderisico’s en een eigen visie heeft op fraude en integriteit. Alleen dan wordt fraude herkend en – belangrijker nog – erkend. De bestuurder die onvoldoende aandacht geeft aan frauderisico’s, krijgt bij constatering van fraude al snel het verwijt naïef te zijn geweest. De reputatieschade voor zowel de organisatie als de bestuurder is dan per definitie hoog. Want de boze buitenwereld heeft nu eenmaal weinig begrip voor naïviteit in de boardroom.
