Fraude is niet aan mij besteed…

Zoals bij veel nefaste ontwikkelingen of abrupte ernstige voorvallen, reageert het merendeel van de mensen steeds vanuit een natuurlijke reflex: “dit overkomt mij niet”. De doorsnee mathematicus zal je bovendien reeds vanuit de simpelste statistiek met een behoorlijk nauwkeurigheidsinterval volledig bijtreden! Echter, vanuit het risicomanagement onderscheiden we twee grote factoren die als multiplicator op elkaar inspelen: de impact van een risico mocht het zich voordoen en de waarschijnlijkheid dat het zich voordoet. Net daar schuilt het gevaar, omdat er grote onduidelijkheid is over de kans dat een frauderisico zich voordoet. Om die reden is het belangrijk voldoende maatregelen te nemen en de gezonde reflex van “going concern” te ondersteunen door voldoende zekerheid in te bouwen. Beschouw het als een autoverzekering, waarbij men evenmin uitgaat van een ongeval bij het starten van de motor, maar waarbij we toch goed verzekerd zijn “voor het geval dat”! 

Begrip en concept fraude
Zodra de belangen significant genoeg worden, loert het frauderisico om de hoek. De toenemende werkdruk als gevolg van immer uitbreidende regelgeving, de noodzaak om steeds sneller te moeten werken, allemaal factoren die een gebrek aan controle in de hand werken. Niemand ontspringt de dans als voldoende factoren aanwezig zijn om fraude te veroorzaken. Maar wat zet een individu aan tot de uiteindelijke daad? Het antwoord is zeker niet eenduidig “hebzucht” of “winstbejag”, maar een combinatie van factoren. De forensische vakliteratuur spreekt in dit kader over de zogenaamde fraudedriehoek. Dit theoretisch kader stelt dat er steeds drie factoren aanwezig moeten zijn alvorens iemand overgaat tot het plegen van fraude: 1° Opportuniteit, 2° Druk en 3° Rationalisatie. Een fraudeur zal dus steeds een opportuniteit gevonden hebben om fraude te plegen (het fraudegeval op zich is hier het bewijs van), zal een bepaalde druk ervaren hebben (financiële problemen, noodgevallen, druk van leidinggevenden, enz…) en zal dit vervolgens rationaliseren (rechtvaardiging zoeken voor de gestelde daden, ‘het bedrijf heeft genoeg geld en kan dat wel missen’, ‘iedereen doet dit’, enz…).

Verder is het belangrijk een onderscheid te maken tussen interne en externe fraude. Er is sprake van externe fraude zodra er fraude plaatsvindt van buitenaf. De tweede, overigens erg onderschatte maar waarschijnlijk de meest voorkomende, vorm is de interne fraude. Hierbij zijn er steeds medewerkers vanuit de eigen organisatie betrokken.

Welke maatregelen kunnen we nemen?
Het antwoord is Interne Controle. Zonder al teveel in detail te willen treden, dringt een korte definitie zich op: “Een raamwerk van controlemaatregelen ten behoeve van de leiding en uitgevoerd door of namens de leiding op alle bestuurlijke (strategische), financiële, compliance en operationele activiteiten van een organisatie en gericht op het optimaal realiseren van de doelstellingen van de organisatie”. Deze maatregelen verschaffen het management een redelijke zekerheid over:

  • het bereiken van de doelstellingen;
  • het naleven van wetgeving en procedures;
  • de beschikbaarheid van betrouwbare financiële en beheersinformatie;
  • het efficiënt en economisch gebruik van middelen;
  • de bescherming van activa;
  • het voorkomen van fraude.

Een groot misverstand is het feit dat men interne controle beschouwt als een soort politiefunctie, waarbij de nadruk ligt op het controleren van handelingen. Echter, ligt de nadruk niet op het controleren, maar op het onder controle hebben. Derhalve duikt ook vaak de term “organisatiebeheersing” op als alternatief voor dezelfde inhoud. Niet controleren, maar onder controle hebben. We kunnen dus stellen dat het Interne Controlesysteem erop gericht is de processen dusdanig in te richten dat deze maximaal risico’s voorkomen. Een degelijke organiatiebeheersing zal dus steeds de nadruk leggen op preventieve en directieve controles, dan wel op detectieve of curatieve controles.

Specifiek naar fraudepreventie verwijzen we vervolgens naar een van de belangrijkste basisprincipes in elke controleomgeving: de functiescheiding (de zogenaamde Segregation Of Duties – SOD, volgens het vakjargon). Volgens dit principe moeten bedrijfsprocessen dusdanig worden ingericht dat geen enkele onverenigbare handeling door dezelfde persoon wordt uitgevoerd. In theorie is dit een mooie vuistregel, maar voor de doorsnee KMO is het geen sinécure om dit enigszins werkbaar te organiseren. Dit brengt ons tot de zogenaamde “mitigating controls” die erop gericht zijn bepaalde tekortkomingen van het Interne Controlesysteem te ondervangen, te mitigeren als het ware. Het is vanzelfsprekend dat men met de beperkingen in tijd en capaciteit onmogelijk beroep kan doen op verschillende functies om sequentiële taken uit te voeren. Om die reden is het aangewezen om de residuele onverenigbare taken apart te gaan monitoren en onafhankelijk te laten goedkeuren.  Het vierogen (of bijvoorbeeld dubbele handtekening) principe is hierin de meest voorkomende remedie.  

Hoe kunnen we meer zekerheid verkrijgen?
We hebben onze organisatie geëvalueerd op vlak van risico’s, we hebben een intern controlesysteem opgezet volgens de regels van de kunst en we steken van wal…. Op welke manier zijn we zeker dat dit alles naar behoren functioneert? Werkt ons controlesysteem wel? Interne audit fungeert hier als het spreekwoordelijke alarm. Men kan dus stellen dat interne audit dient om beter te slapen en niet om van wakker te liggen! In veel organisaties breekt de mensen het angstzweet uit als interne audit een afspraak boekt. Niets is echter minder waar. Interne audit is erop gericht de effectiviteit van het interne controlesysteem te verifiëren en de organisatie bij te staan in het versterken ervan. Door het toepassen van een gedegen systematisch onderzoek, zal de Interne Audit nagaan of de organisatie zich voldoende heeft gewapend tegen alle mogelijke risico’s waaraan ze is blootgesteld. 

Onderscheid: wat is dan het verschil tussen interne audit en fraude audit?
Het antwoord hierop is vrij eenvoudig: interne audit is een preventieve activiteit, daar waar de forensische audit ten tonele verschijnt als het kwaad is geschied. Een forensische audit vindt meestal plaats bij de vaststelling van een fraudegeval of bij ernstige vermoedens (waarbij de kans reëel is, maar de bewijzen vaak ontbreken). Een omstandige fraude audit kost veel moeite en vindt pas plaats indien de fraude daadwerkelijk aan het licht komt. Indien (door toeval of onafhankelijke controle) de fraude alsnog ontdekt wordt, gaan we over tot een fraude onderzoek. Dit is een omvangrijk onderzoek dat alle details tracht bloot te leggen en bovendien volledig tegensprekelijk wordt gevoerd (“à charge et à décharge”).

Conclusie: van onschatbare waarde
Hoewel interne audits ook weldegelijk hun impact en kostprijs hebben, zijn ze van onschatbare waarde in vergelijking met de mogelijke gevolgen van een gebrek aan organisatiebeheersing. Bovendien verhoogt de aanwezigheid van interne audit de controle cultuur en biedt ze bijkomende zekerheid aan de zaakvoerder en Bestuurders.

Interne audit heeft dus maar weinig te maken met de spreekwoordelijke politiefunctie, maar wil veelal een luisterend oor zijn (audit komt van het Latijnse Audire – horen) om op pragmatische wijze te vertalen hoe de organisatie zich het best kan indekken tegen alle mogelijke risico’s waaraan ze wordt blootgesteld.

Wenst u meer informatie over dit topic? Geert De Rouck staat u graag te woord.

Geert De RouckGeert De Rouck
Director Governance, Risk & Assurance
geert.derouck@moorestephens.be

Hoe aftrekbaar zijn uw restaurantkosten?Download de fiscale gids

Schrijf u in voor onze nieuwsbrief