Zes kernelementen voor frauderisicobeheer

Frauderisicomanagement verdient meer aandacht

Ruim driekwart van de Nederlandse bedrijven en organisaties is de afgelopen twee jaar geconfronteerd met een vorm van fraude. Nieuwe manieren om te frauderen komen voort uit de pandemie, markt- en toeleveringsketenverstoringen en de wereldwijde instabiliteit, met soms aanzienlijke schade voor bedrijven en organisaties én de samenleving als gevolg. Desondanks geven bedrijven en organisaties frauderisicomanagement (nog) niet de aandacht die het verdient. Veel organisaties besteden er nog onvoldoende tijd en middelen aan, terwijl een robuust raamwerk voor frauderisicobeheer cruciaal is voor de algehele risicobeheerstructuur van een organisatie en voor het succes van haar activiteiten.

Belang van frauderisicobeheer

Vertrouwen en geloof in het bedrijfsleven zijn van cruciaal belang voor een bloeiend ondernemingsklimaat. Frauderisicobeheer is van belang om waarde te beschermen, mogelijke problemen op te sporen en vertrouwen in bedrijven mogelijk te maken. Bedrijfsgedrag en rapportages die fraude en financiële criminaliteit krachtig tegengaan, zijn cruciaal voor het opbouwen van vertrouwen.

Element 1: governance

Tekortkomingen op het gebied van corporate governance liggen aan de basis van veel geruchtmakende bedrijfsfraudes. ‘Hoewel alle bestuurders verantwoordelijk zijn voor het nemen van voldoende maatregelen om fraude te voorkomen en op te sporen’, zegt Kranenburg, ‘verschilt hoe dit wordt ingeregeld van organisatie tot organisatie en kunnen bepaalde bestuurders specifieke verantwoordelijkheden hebben. Houd bij het opzetten van de governance rond het kader voor frauderisicobeheer onder meer rekening met welke leden van de raad van bestuur rechtstreeks verantwoordelijk zullen zijn voor het beheer van en de rapportage over frauderisico's. Ga na of deze bestuurders de nodige capaciteiten en ervaring hebben om deze rol te vervullen. En waarborg hoe de organisatie frauderisico’s effectief identificeert, controleert, bespreekt en rapporteert op directieniveau.’

Element 2: risicobeoordeling

Een uitgebreide risicobeoordeling is van fundamenteel belang om de belangrijkste frauderisico's vast te leggen, de gevolgen ervan voor de organisatie te beoordelen en na te gaan welke controles zijn ingesteld om fraude te voorkomen en op te sporen. ‘Denk onder meer aan een gedetailleerde beschrijving van het fraudeschema - relevant voor het geïdentificeerde risico - en identificatie van relevante processen en proceseigenaren’, zegt Mes. En beoordeel de waarschijnlijkheid en de impact (financieel en niet-financieel) voor de organisatie als het frauderisico zich zou manifesteren. Breng belangrijke controles, inclusief een beoordeling van hun ontwerp en operationele effectiviteit in kaart. Wat ons betreft is de voor frauderisico's verantwoordelijke vertegenwoordiger van de raad van bestuur ook verantwoordelijk voor het risicobeoordelingsproces, en moeten organisaties de beoordeling van het frauderisico ten minste jaarlijks herzien, of – als de omstandigheden erom vragen – op kortere termijn.’

Element 3: preventie

Goed opgezette en operationele controles beschermen een organisatie tegen interne en externe fraude. Volledig inzicht in de bestaande controles in de organisatie (ook op groepsniveau) is nodig. Mes: ‘Zorg dat het duidelijk is wie verantwoordelijk is voor de werking en de herziening van deze controles. Beoordeel de controles regelmatig op hun effectiviteit. En ondersteun ‘harde controles’ (beleid en procedures, systemen en structuur) met ‘zachte controles’, zoals waarden, communicatie, openheid en verwachtingen). Ga hierbij na welk effect tekortkomingen in de zachte controles hebben op de harde controles.’

Element 4: detectie

Zorg voor controles, processen en systemen die mede op basis van innovatieve technologie actief zoeken naar fraude op belangrijke risicogebieden. ‘Onze ervaring is dat organisaties onvoldoende gebruikmaken van technologische vooruitgang om fraude op te sporen, zoals gegevensanalyse en visualisatietools’, vertelt Kranenburg. ‘Naarmate de technologie voortschrijdt, wordt ook de fraude geraffineerder en moeilijker op te sporen. Hoewel er geen universele oplossing bestaat om een organisatie tegen alle soorten fraude te beschermen, zou een organisatie zich kunnen concentreren op instrumenten voor fraudepreventie en -detectie die het meest relevant zijn voor haar activiteiten.’

Element 5: onderzoek en maatregelen

Organisaties moeten snel en doeltreffend aanwijzingen of vermoedens van fraude kunnen onderzoeken. ‘Denk aan duidelijke procedures en communicatiekanalen voor het melden van mogelijke fraudegevallen binnen de organisatie’, aldus Kranenburg. ‘Is er een adequaat triageproces om alle gemelde zaken aan te pakken, inclusief de verantwoordelijkheid binnen de organisatie en een besluitvormingsproces voor mogelijke inschakeling van partijen buiten de organisatie? En heeft de organisatie een herstelplan voor als zij geconfronteerd wordt met fraude?’

Element 6: monitoring en toezicht

Regelmatige effectieve monitoring en toezicht zijn essentieel voor een correcte toepassing van het frauderisicobeheersingskader. Organisaties kunnen daarmee ook tijdig zwakke punten verhelpen. ‘Zorg dat er een interne auditfunctie is die een derde verdedigingslinie vormt, inclusief het testen van preventieve en detectieve fraudecontroles’, adviseert Kranenburg. ‘En check of belangrijke elementen van het frauderisicobeheersingsprogramma opgenomen zijn in het jaarlijkse interne auditplan. Test belangrijke controles die de belangrijkste frauderisico’s aanpakken met een passende frequentie en steekproefgrootte. En maak duidelijk hoe de organisatie geconstateerde tekortkomingen – vooral op belangrijke frauderisico's – signaleert, oplost er erover rapporteert aan haar belanghebbenden. Laat de frauderisicobeoordeling en de maatregelen ter voorkoming van fraude terugkomen in het jaarverslag.’