BDO Nederland gebruikt cookies en trackingtechnologieën om het browser-gebruik op onze site te verbeteren, gepersonaliseerde content te tonen en traffic te analyseren. Door het gebruik van onze website, stemt u in met het gebruik van functionele cookies. Door op onderstaande button te klikken, stemt u in met analytische cookies. Lees meer over ons cookiebeleid en privacybeleid.
Artikel:

Fraude in tijden van corona: zorg dat de interne controls op orde zijn

02 juni 2020

De coronacrisis zorgt voor een nieuwe dynamiek binnen organisaties. Veel medewerkers werken thuis, nieuwe digitale tools worden ingezet en processen lopen net even anders dan ‘normaal’. Juist in deze situatie neemt het risico op fraude toe. Wat kun je als organisatie doen om hierop voorbereid te zijn? En hoe kan een commissaris hierop toezicht houden?

Dirk de Hen is Partner Forensics & Technology bij BDO. Hij is in de praktijk betrokken bij het uitvoeren van fraudeonderzoeken bij organisaties en het ondersteunen van curatoren bij faillissementen. In dit artikel vertelt hij waarom het juist nú belangrijk is dat commissarissen van organisaties bestuurders erop wijzen de interne fraudebeheersingsmaatregelen nog eens goed tegen het licht houden.

Coronacrisis: voedingsbodem voor fraude?

Door de huidige crisis hebben veel organisaties te maken met andere werkwijzen. Dat kan volgens De Hen zorgen voor een verhoogd frauderisico: “Mensen werken op afstand en digitaal samen. De standaardprocedures die er waren, zijn soms niet meer volledig te volgen. Ook zijn de soft controls die in veel organisaties aanwezig zijn en vaak een belangrijke rol vervullen, minder effectief. Dat heeft impact op de beheersing van de frauderisico’s omdat de gelegenheid fraude te plegen, toeneemt. Daarnaast speelt ook mee dat er onzekerheid heerst. Er zijn zorgen over de cijfers van een organisatie en of bijvoorbeeld een beroep gedaan kan worden op steunmaatregelen als dat nodig is. Dat kan leiden tot druk om de verslaggeving van de onderneming anders te kleuren.”

Grofweg zijn een aantal vormen van fraude te benoemen, die in deze tijd allemaal een verhoogd risico met zich meebrengen. “Er is de klassieke fraude, waarin een medewerker gelden of goederen heeft ontvreemd van de werkgever. Daarnaast kennen we de verslagleggingsfraude, waarbij cijfers beter of juist slechter worden uitgelegd dan ze in werkelijkheid zijn. Maar denk ook aan frauderisico’s die nu met het werken op afstand op de loer liggen zoals phishing e-mails, waar het Nationaal Cyber Security Centrum (NCSC) al voor waarschuwde. Tenslotte moeten organisaties, zeker nu er weinig direct contact is, waken voor CEO-fraude, waarbij een indringer zich voordoet als een medewerker of klant en om een betaling verzoekt”, vertelt De Hen. 

De fraudedriehoek: gelegenheid, druk en rationalisatie

Aan de hand van de fraudedriehoek legt De Hen uit hoe de huidige crisis kan leiden tot een hoger frauderisico. “De fraudedriehoek is het speelveld waarbinnen fraude plaatsvindt met op de drie punten de elementen ‘gelegenheid’, ‘druk’ en ‘rationalisatie’. Enerzijds moet er uiteraard de gelegenheid zijn voor een fraudeur om fraude te plegen. Het frauderisico neemt verder toe naarmate de druk op een organisatie of medewerker toeneemt. Dan kan zakelijke druk zijn om bepaalde resultaten te behalen of persoonlijke (financiële) druk. Tot slot gaat rationalisatie over de manier waarop een fraudeur zijn handelen voor zichzelf probeert goed te praten. Je ziet dat al deze elementen bij de coronacrisis duidelijk aanwezig zijn.”

Hoe zit dat dan precies?

“Er is bijvoorbeeld de gelegenheid doordat men op afstand werkt en er minder direct contact mogelijk is. Neem bijvoorbeeld facturen die goedgekeurd moeten worden voordat ze betaald worden. Door de beperktere aanwezigheid van medewerkers kan het lastig zijn om vast te stellen of goederen of diensten daadwerkelijk geleverd zijn. Druk kan er vanuit de onderneming zijn om bepaalde financieringscriteria te behalen en de cijfers er beter uit te laten zien dan ze in werkelijkheid zijn. Of juist slechter, om in aanmerking te komen voor de steunmaatregelen die in het leven geroepen zijn. Ook kan er druk op een medewerker ontstaan, bijvoorbeeld wanneer hij een reorganisatie ziet aankomen en daarom nog een appeltje voor de dorst denkt in te kunnen slaan.”

Bij het rationaliseren van frauduleuze handelingen is eigenlijk van alles te bedenken. De Hen: “Bijvoorbeeld mensen die zich jarenlang voor de organisatie inzetten en nu hun baan dreigen te verliezen en dat onterecht vinden. Dat is in het verleden voor medewerkers reden genoeg geweest om zich op een frauduleuze manier middelen van de werkgever toe te eigenen. Of zakelijk gezien: wanneer een ondernemer denkt problemen met financiers te voorkomen door nu even de cijfers bij te plussen en ervan uitgaat dit in het volgende kwartaal wel weer in te lopen. In deze uitzonderlijke situatie rondom corona zie je dat de basis voor het plegen van fraude, het frauderisico, toeneemt.”

Inbreuk op interne controle

Hoe beheers je als organisatie nu dit toenemende frauderisico en zorg je ervoor dat de kans op een geval van fraude zo klein mogelijk blijft? “Ik denk dat het heel belangrijk is om de interne procedures, de controls, tegen het licht te houden. De standaard functiescheidingen en routing van processen zijn momenteel doorbroken en het is goed om na te gaan of daar maatregelen getroffen moeten worden. Afhankelijk van de omvang van de organisatie is dit een taak voor de CFO of de interne auditafdeling. Uiteraard is het ook voor risk managers een belangrijk aandachtspunt.”

“In deze onstuimige periode is niet altijd tijd om direct uitgebreid onderzoek te doen naar de interne beheersing. Organisaties doen er in die situatie goed aan om in ieder geval na te gaan hoe de back-up en retentieprocedures zijn ingeregeld. Als gegevens, zoals financiële data maar ook logging van e-mails en systemen, goed bewaard blijven, kan in het ergste geval adequaat onderzoek worden gedaan ná een incident. Wanneer het bewaren van die gegevens nu niet goed geregeld is, zijn ze naderhand niet meer terug te halen. Dat bemoeilijkt niet alleen het opvolgen van een incident maar ook de dan benodigde versterking van de interne beheersing om incidenten in de toekomst te voorkomen.”

Dat het goed op orde hebben van deze beheersing geen overbodige luxe is, blijkt volgens De Hen uit de toename van het aantal incidenten. “We zien in de praktijk al dat het aantal casussen stijgt. Dat is bijvoorbeeld het geval bij phishing e-mails, die recent weer in het nieuws zijn, maar denk ook aan CEO-fraude. Normaal kon je even langs de CFO lopen op kantoor om te checken of een factuur juist was en de betaling uitgevoerd kon worden. Dat is nu niet mogelijk en daarnaast zitten veel bestuurders de hele dag in calls, waardoor ze minder bereikbaar zijn. Dat vormt een inbreuk op je interne controle.”

Wijs als commissaris op de fraudebeheersingsmaatregelen

Hoe moet een commissaris omgaan met het toegenomen risico op fraude in organisaties? Volgens De Hen moet hij hier voortdurend de aandacht op vestigen: “Door uiteraard aan het bestuur vragen of het stijgende frauderisico de aandacht heeft. Vraag ook welke beheersingsmaatregelen getroffen zijn en hoe het bestuur dit risico beheersbaar probeert te houden. Ook mag een commissaris verlangen regelmatig op de hoogte te worden gehouden door het crisisteam of incident response team van de organisatie.”

Meer informatie

Heeft u naar aanleiding van dit artikel vragen of wenst u meer informatie? Neem dan contact op met Dirk de Hen, Partner Forensics & Technology bij BDO, via [email protected] of 030 6336 271.