Veel fraude wordt gepleegd in de financiële administratie. Hoe ontwikkelt u een systeem voor integriteitsbeheersing? Dat gaat over gedragsbevordering, preventie en detectie.
Fraude is een verzamelnaam voor allerlei strafbaar gestelde gedragingen, zoals oneerlijkheid, valsheid in geschrifte, diefstal, verduistering, oplichting, computerfraude of andere te kwader trouw verrichte handelingen. Fraude betreft het feit dat zaken anders worden voorgesteld dan ze in werkelijkheid zijn. Er wordt van fraude gesproken als er sprake is van een zekere mate van doelbewust handelen. Als er sprake is van een fout, een misverstand of onbewust handelen, wordt dit geen fraude genoemd. Door het frauderisico te beheersen wordt een stimulans gegeven aan het voorkomen van eventueel tekortschieten en wordt het streven tot excelleren gestimuleerd. Fraudebeheersing wordt daarom gelijkgesteld aan integriteitsbeheersing.
Elementen van integriteitsbeheersing
Een systeem van integriteitsbeheersing bestaat uit drie elementen: gedragsbevordering, preventie en detectie. Dit systeem dient te zijn ingebed in een omgeving waar het doel van de organisatie, de strategie waarmee dat doel bereikt dient te worden en de regelgeving die bij die strategie past, helder zijn en aan iedereen adequaat zijn gecommuniceerd. In feite kan die inbedding als onderdeel van de gedragsbevordering worden beschouwd.
Gedragsbevordering voorwaardelijk voor succes
Het eerste element, gedragsbevordering, is voorwaardelijk voor het succes van de beide andere elementen, preventie en detectie. De mate waarin het management van een organisatie blijk geeft dat ze het navolgen van gemaakte afspraken serieus neemt, en het voorbeeldgedrag dat daarbij hoort, is bijvoorbeeld uitermate bepalend voor het succes van de beheersingsomgeving. Als het management zelf afspraken niet nakomt, werkt dat in de hand dat anderen niet-nakomen als norm gaan zien. Ook is het dan moeilijk om handhaving door het management serieus te nemen.
10 voorbeelden van maatregelen
Voorbeelden van gedragsbevorderende maatregelen om het frauderisico te beperken zijn:
- Het vaststellen, vastleggen en aanvaarden van normen en waarden (gedragscode).
- Het hanteren van gedragsregels voor leveranciers.
- Een open cultuur bevorderen waarbij fraude bespreekbaar is.
- Het management geeft op alle niveaus een voorbeeldfunctie.
- Een zorgvuldig personeelsbeleid (begint bij aannemen van personeel).
- Toepassen van specifieke controlemaatregelen.
- Referenties nagaan en eventueel een screening laten verrichten.
- Hanteren van een duidelijk en scherp handhavings- en sanctiebeleid.
- Het houden en opvolgen van functionerings- en beoordelingsgesprekken.
- Interne meldingsplicht van fraude met sancties op het niet melden.
Preventie is een essentiële link in integriteitsbeheersing
Preventie is een essentiële link in integriteitsbeheersing en dient vooraf te gaan aan detectie. Preventieve maatregelen geven aan wat als ongewenst gedrag wordt beschouwd, waardoor ook gewenst gedrag wordt bevorderd.
De belangrijkste maatregelen van administratieve organisatie en interne controle zijn:
- Controletechnische functiescheidingen.
- Toewijzen van taken, bevoegdheden en verantwoordelijkheden.
- Autorisatie.
- Volgen van de geld-goederenbeweging.
- Fysieke waarborgen.
Bij het voorkomen van fraude spelen de interne beheersingsmaatregelen een belangrijke rol. 100 procent garantie tegen fraude is daarbij niet te geven. De menselijke factor staat immers centraal in het naleven van interne beheersingsmaatregelen, terwijl juist deze menselijke factor de grondslag vormt van de frauduleuze praktijken.
100 procent garantie tegen fraude is niet te geven
Detectieve maatregelen, tijdig signaleren
Detectieve maatregelen dienen om tijdig te signaleren of bepaalde bijstellingen in een proces noodzakelijk zijn, zonder dat de gebeurtenissen waarop wordt toegezien op zich worden voorkomen. Goede detectie beperkt zich niet tot zaken die fout of onjuist zijn, maar omvat ook het toezicht op het adequaat uitvoeren van het proces. Op die wijze stimuleert detectie de behoefte van medewerkers om verantwoording af te leggen. Detectieve maatregelen werken meestal ook afschrikkend en zijn daardoor bevorderlijk voor gewenst gedrag.
Voorbeelden van detectieve maatregelen zijn:
- Screening bij personeelsaanname en -promotie.
- Frauderisicosessies.
- Monitoring red flags; waaronder transactiemonitoring met behulp van software die speciale analyses maakt en het analyseren van cijfers.
- Klachtenmeldingssysteem.
- Klokkenluiderfaciliteit.
- Personeeltevredenheidsonderzoek.
- Houden van exitgesprekken.
- Functieroulatie en verplichte vervanging bij vakanties en ziekte.
- Onafhankelijke controle.
4 fasen in bestrijding fraude
Forensic auditing is het vakgebied dat zich bezighoudt met fraudebestrijding, een specialisme binnen het vakgebied auditing. De bestrijding van fraude bestaat uit een viertal fasen:
- Inventarisatiefase
In de inventarisatiefase wordt bepaald met welke soorten fraude de organisatie te maken kan krijgen. In de vorm van een op fraude gerichte risicoanalyse kunnen de risicovolle processen, systemen en functies in kaart worden gebracht. Voor de inventarisatie kan van bestaande gevallen en branchespecifieke voorbeelden gebruik worden gemaakt. Kennis van de organisatie en bijbehorende fraude-indicatoren is in deze fase van belang.
-
Preventiefase
In de preventiefase worden medewerkers opgeleid en getraind. Een hoger bewustzijn over fraudesignalen kan eraan bijdragen dat ‘het kwaad’ wordt voorkomen. Andere preventieve maatregelen zijn het screenen van mogelijk toekomstige medewerkers en het hanteren van een fraudeprotocol, waarbij de medewerkers een integriteitsverklaring moeten ondertekenen. Ook functiescheiding en toegangscontrole horen bij de preventiefase.
-
Detectiefase
In de detectiefase wordt onderzocht of er sprake is van frauduleus handelen.
- Onderzoeksfase
In de onderzoeksfase wordt een indicatie gegeven voor een mogelijke fraude die nader moet worden onderzocht. Er wordt dan bijvoorbeeld gekeken naar het internet, de kas, naar nevenactiviteiten of naar het verloop van een aanbesteding.
Forensic auditing richt zich primair op de eerste drie beheersingsfasen van fraude. Het betreft hier vooral proces- en functiegericht onderzoek met aandacht voor gelegenheidsfactoren achter frauderisico’s. Daarnaast ligt de focus op de organisatiecultuur, -beleid en -strategie, leiderschap en soft controls, met daaraan gekoppelde risico’s van druk en rechtvaardiging. Interne medewerkers kunnen in deze drie beheersingsfasen een belangrijke signaal- of adviesfunctie vervullen, mits zij zich ervan bewust zijn wat specifieke fraudesignalen zijn en weten wat van hen wordt verwacht. In relatie tot forensic auditing wordt doorgaans vooral ook gedacht aan de vierde beheersingsfase, het onderzoek.
Met een fraudeonderzoek wordt tot in detail achterhaald welke fraude er is gepleegd en wie erbij betrokken waren. Veel fraude wordt gepleegd in de financiële administratie. Daarom bestaat een fraudeonderzoek vaak uit het doorspitten van alle onderdelen van de administratie. Denk aan de debiteuren- en crediteurenadministratie, de in- en verkoopadministratie, de personeelsadministratie en het ICT-beheer. Na het achterhalen van de beschikbare informatie, wordt deze geanalyseerd en geïnterpreteerd. Dit resulteert in een onderzoeksverslag. Dit onderzoeksverslag kan in een arbeidsrechtelijke of civielrechtelijke procedure of aangifte bij een opsporingsinstantie worden gebruikt.
Drs. R.M. Kieft RA is zelfstandig gevestigd onder de naam Bureau voor Administratie en Controle Kieft in Hoofddorp.
Wilt u meer weten over fraude? Volg dan een van de cursussen over fraude op The Finance Academy.
