Zorg dat de interne controls op orde zijn
De coronacrisis zorgt voor een nieuwe dynamiek binnen organisaties. Veel medewerkers werken thuis, nieuwe digitale tools worden ingezet en processen lopen net even anders dan ‘normaal’. Juist in deze situatie neemt het risico op fraude toe. Wat kun je als organisatie doen om hierop voorbereid te zijn? En hoe kan een commissaris hierop toezicht houden? Dirk de Hen is Partner Forensics & Technology bij BDO praat u bij.
Coronacrisis: voedingsbodem voor fraude?
Door de huidige crisis hebben veel organisaties te maken met andere werkwijzen. Dat kan volgens De Hen zorgen voor een verhoogd frauderisico: ‘Mensen werken op afstand en digitaal samen. De standaardprocedures die er waren, zijn soms niet meer volledig te volgen. Ook zijn de soft controls die in veel organisaties aanwezig zijn en vaak een belangrijke rol vervullen, minder effectief. Dat heeft impact op de beheersing van de frauderisico’s omdat de gelegenheid fraude te plegen, toeneemt. Daarnaast speelt ook mee dat er onzekerheid heerst. Er zijn zorgen over de cijfers van een organisatie en of bijvoorbeeld een beroep gedaan kan worden op steunmaatregelen als dat nodig is. Dat kan leiden tot druk om de verslaggeving van de onderneming anders te kleuren.’
Vormen van fraude
Grofweg zijn een aantal vormen van fraude te benoemen die in deze tijd allemaal een verhoogd risico met zich meebrengen. De Hen: ‘Er is de klassieke fraude waarin een medewerker gelden of goederen ontvreemdt van de werkgever. Daarnaast kennen we de verslagleggingsfraude waarbij cijfers beter of juist slechter worden uitgelegd dan ze in werkelijkheid zijn. Maar denk ook aan frauderisico’s die nu met het werken op afstand op de loer liggen zoals phishing e-mails. Tenslotte moeten organisaties, zeker nu er weinig direct contact is, waken voor CEO-fraude waarbij een indringer zich voordoet als een medewerker of klant en om een betaling verzoekt’, vertelt De Hen.
De fraudedriehoek
Aan de hand van de fraudedriehoek legt De Hen uit hoe de huidige crisis kan leiden tot een hoger frauderisico. ‘De fraudedriehoek is het speelveld waarbinnen fraude plaatsvindt met op de drie punten de elementen: gelegenheid, druk en rationalisatie. Enerzijds moet er uiteraard de gelegenheid zijn voor een fraudeur om fraude te plegen. Het frauderisico neemt verder toe naarmate de druk op een organisatie of medewerker toeneemt. Dan kan zakelijke druk zijn om bepaalde resultaten te behalen of persoonlijke (financiële) druk. Tot slot gaat rationalisatie over de manier waarop een fraudeur zijn handelen voor zichzelf probeert goed te praten. Je ziet dat al deze elementen bij de coronacrisis duidelijk aanwezig zijn. Er is bijvoorbeeld de gelegenheid doordat men op afstand werkt en er minder direct contact mogelijk is. Neem bijvoorbeeld facturen die goedgekeurd moeten worden voordat ze betaald worden. Door de beperktere aanwezigheid van medewerkers kan het lastig zijn om vast te stellen of goederen of diensten daadwerkelijk geleverd zijn. Druk kan er vanuit de onderneming zijn om bepaalde financieringscriteria te behalen en de cijfers er beter uit te laten zien dan ze in werkelijkheid zijn. Of juist slechter, om in aanmerking te komen voor de steunmaatregelen die in het leven geroepen zijn. Ook kan er druk op een medewerker ontstaan, bijvoorbeeld wanneer hij een reorganisatie ziet aankomen en daarom nog een appeltje voor de dorst denkt in te kunnen slaan.’
Frauderisico neemt toe
Bij het rationaliseren van frauduleuze handelingen is eigenlijk van alles te bedenken. De Hen: ‘Bijvoorbeeld mensen die zich jarenlang voor de organisatie inzetten en nu hun baan dreigen te verliezen en dat onterecht vinden. Dat is in het verleden voor medewerkers reden genoeg geweest om zich op een frauduleuze manier middelen van de werkgever toe te eigenen. Of zakelijk gezien: wanneer een ondernemer denkt problemen met financiers te voorkomen door nu even de cijfers bij te plussen en ervan uitgaat dit in het volgende kwartaal wel weer in te lopen. In deze uitzonderlijke situatie rondom corona zie je dat de basis voor het plegen van fraude, het frauderisico, toeneemt.’
Inbreuk op interne controle
Hoe beheers je als organisatie nu dit toenemende frauderisico en zorg je ervoor dat de kans op een geval van fraude zo klein mogelijk blijft? De Hen: ‘Ik denk dat het heel belangrijk is om de interne procedures, de controls, tegen het licht te houden. De standaard functiescheidingen en routing van processen zijn momenteel doorbroken en het is goed om na te gaan of daar maatregelen getroffen moeten worden. Afhankelijk van de omvang van de organisatie is dit een taak voor de CFO of de interne auditafdeling. Uiteraard is het ook voor risk managers een belangrijk aandachtspunt. In deze onstuimige periode is niet altijd tijd om direct uitgebreid onderzoek te doen naar de interne beheersing. Organisaties doen er in die situatie goed aan om in ieder geval na te gaan hoe de back-up en retentieprocedures zijn ingeregeld. Als gegevens, zoals financiële data maar ook logging van e-mails en systemen, goed bewaard blijven, kan in het ergste geval adequaat onderzoek worden gedaan ná een incident. Wanneer het bewaren van die gegevens nu niet goed geregeld is, zijn ze naderhand niet meer terug te halen. Dat bemoeilijkt niet alleen het opvolgen van een incident maar ook de dan benodigde versterking van de interne beheersing om incidenten in de toekomst te voorkomen.’
Geen overbodige luxe
Dat het goed op orde hebben van deze beheersing geen overbodige luxe is, blijkt volgens De Hen uit de toename van het aantal incidenten. ‘We zien in de praktijk al dat het aantal casussen stijgt. Dat is bijvoorbeeld het geval bij phishing e-mails, die recent weer in het nieuws zijn, maar denk ook aan CEO-fraude. Normaal kon je even langs de CFO lopen op kantoor om te checken of een factuur juist was en de betaling uitgevoerd kon worden. Dat is nu niet mogelijk en daarnaast zitten veel bestuurders de hele dag in calls, waardoor ze minder bereikbaar zijn. Dat vormt een inbreuk op je interne controle.’
Wijs als commissaris op beheersingsmaatregelen
Hoe moet een commissaris omgaan met het toegenomen risico op fraude in organisaties? Volgens De Hen moet de commissaris hier voortdurend de aandacht op vestigen. ‘Door uiteraard aan het bestuur te vragen of het stijgende frauderisico de aandacht heeft. Vraag ook welke beheersingsmaatregelen getroffen zijn en hoe het bestuur dit risico beheersbaar probeert te houden. Ook mag een commissaris verlangen regelmatig op de hoogte te worden gehouden door het crisisteam of incident response team van de organisatie.’
==
Meer informatie:
Heeft u naar aanleiding van dit artikel vragen of wenst u meer informatie? Neem dan contact op met Dirk de Hen, Partner Forensics & Technology bij BDO, via dirk.de.hen@bdo.nl of 030 6336 271. Dirk de Hen is in de praktijk betrokken bij het uitvoeren van fraudeonderzoeken bij organisaties en het ondersteunen van curatoren bij faillissementen.