Fraude: een uitdaging voor de internal auditfunctie

Kwaadwillende medewerkers maken steeds meer gebruik van technologie bij het plegen van fraudes. KPMG onderzocht door middel van vragenlijsten en rondetafelbijeenkomsten in hoeverre internal auditfuncties in staat zijn om fraude te voorkomen, te detecteren en op te volgen. De conclusie: internal auditors hebben moeite met het structureel adresseren van fraude.

Bij bijna twee derde van de interne fraudegevallen spelen slechte interne beheersmaatregelen een rol.¹ Het is in dat opzicht logisch dat de internal auditor een belangrijke rol vervult bij de voorkoming, detectie en opvolging van fraude. De vraag is in hoeverre de internal auditor invulling kan geven aan de aan fraude gerelateerde werkzaamheden, gezien de steeds dynamischere en complexere wereld waarbinnen hij werkzaam is.

In die snel veranderende wereld, waarin het gebruik van technologie bij fraude een steeds grotere rol speelt, is het voor internal auditors uitdagend om de laatste ontwikkelingen op dit terrein bij te houden. Zo blijkt uit een recente vragenlijst van KPMG dat slechts bij 3% van de organisaties waarbij fraude plaatsvond proactieve anti-fraude data-analyse werd toegepast. Dit terwijl inmiddels al bijna een kwart van de fraudeurs gebruik maakt van technologie.

De internal auditfunctie is zich er nog onvoldoende bewust van dat het gebrek aan een goede cultuur op zichzelf ook een groot risico is

Naast technologie speelt ook de organisatiecultuur een grote rol bij het voorkomen van fraudes. Tijdens de rondetafelbijeenkomsten kwam naar voren dat de internal auditfunctie er zich nog onvoldoende bewust is dat het gebrek aan een goede cultuur op zichzelf ook een groot risico is. Dit artikel gaat over wat de verantwoordelijkheid is van de internal auditor op het gebied van fraude, in hoeverre internal auditors zelf vinden dat zij daar invulling aan geven en hoe zij zich verder kunnen professionaliseren.

Wat zeggen de IIA Standaarden?

Het IIA heeft de verantwoordelijkheden van de internal auditor ten aanzien van fraude opgenomen in verschillende standaarden. Zo wordt bijvoorbeeld vakbekwaamheid afgebakend: er moet voldoende kennis zijn om frauderisico’s te beoordelen, maar er wordt niet verwacht dat de internal auditor de expertise bezit van een persoon wiens voornaamste verantwoordelijkheid het ontdekken en onderzoeken van fraude is. Daarnaast dient een internal auditor bij zijn werkzaamheden rekening te houden met de waarschijnlijkheid van fraude, dient hij regelmatig te evalueren wat de kans is op het bestaan van fraude en hoe de organisatie frauderisico’s beheerst. Tot slot dient het hoofd van de internal auditfunctie bij de periodieke rapportage aan het seniormanagement en bestuur ook de frauderisico’s te rapporteren.²

Internal auditors zijn zoekende

Hoewel de verantwoordelijkheden staan beschreven in de IIA Standaarden ervaart KPMG dat veel organisaties de vertaling naar de praktijk lastig vinden. Daarom organiseerde KPMG verschillende vragenlijsten en rondetafelbijeenkomsten onder 69 internal auditfuncties van financiële instellingen en corporate organisaties, om te inventariseren welke preventieve, detectieve en responsmaatregelen op het gebied van fraude zijn ingericht.

Om fraude te kunnen voorkomen is het van belang inzicht te hebben in frauderisico’s. Uit de vragenlijst komt naar voren dat slechts 16% van de ondervraagden een specifieke analyse uitvoert, gericht op het in kaart brengen van frauderisico’s (zie figuur 1).

Om fraude op structurele wijze te adresseren is een analyse van digitale gegevens een vereiste. Meer dan de helft van de internal auditfuncties geeft aan weinig tools en templates tot zijn beschikking te hebben, waardoor het lastig is fraude structureel inzichtelijk te krijgen (zie figuur 2). Naast het gebruik van technologie is het voor een internal auditor van groot belang de juiste vragen te stellen en doortastend te zijn. Dit is een randvoorwaarde om fraudes te kunnen ontdekken. Hierbij is het belangrijk dat ook rekening wordt gehouden met de cultuur in de organisatie en het gedrag van medewerkers. Uit de rondetafelbijeenkomsten komt naar voren dat internal auditors de afgelopen jaren bekend zijn geraakt met het belang van cultuur en gedrag, maar dat zij het nog steeds lastig vinden deze aspecten te auditen dan wel hierover te rapporteren.

Uit de vragenlijst blijkt dat slechts 25% van de respondenten het afgelopen jaar digitale bronnen heeft betrokken bij het uitvoeren van een fraudeonderzoek. De belangrijkste reden hiervoor is een gebrek aan tooling, gevolgd door gebrek aan kennis over data privacy (zie figuur 3). Opvallend is dat veel minder vaak de hoge kosten of het gebrek aan mankracht als reden wordt genoemd. De internal auditor is nog zoekende naar de geschikte tools die hem op structurele wijze kunnen helpen fraudeonderzoeken uit te voeren. De conclusie is derhalve dat internal auditors zich wel bezighouden met de preventie en detectie van en respons op fraude, maar dat dit voornamelijk op ad-hocbasis gebeurt.

Hoe verder te professionaliseren?

Ondanks dat vrijwel alle respondenten van de vragenlijst (98%) aangeven dat er binnen hun internal auditfunctie aandacht is voor het onderwerp fraude, is slechts 14% van mening dat het onderwerp goed belicht is binnen hun functie. Uit de respons op de vragenlijsten en uitkomsten van de rondetafelbijeenkomsten blijkt dat internal auditfuncties zich nog verder kunnen professionaliseren op het gebied van fraude.

Allereerst door fraude actiever te benaderen. Dat kan bijvoorbeeld door het invoeren van een periodieke frauderisicoanalyse. Hiermee worden frauderisicofactoren en frauderisico’s structureel inzichtelijk en ontstaat tevens inzicht in hoeverre de frauderisico’s zowel preventief als detectief gemitigeerd worden.

Hoe sterk interne beheersmaatregelen ook zijn ingeregeld, het voorkomen van fraude valt of staat met het hebben van een gewenste cultuur. Fraude ontstaat namelijk vaak doordat interne beheersmaatregelen worden omzeild. Een internal auditor moet daarom ook rekening houden met de naleving van de normen en de beleving van de waarden binnen de organisatie. In hoeverre is er een open cultuur, spreekt men elkaar aan op ongewenst gedrag en is er het juiste voorbeeldgedrag vanuit het management? Dit zijn elementen die de internal auditor daadwerkelijk periodiek kan meten.

Een internal auditor moet ook rekening houden met de naleving van de normen en de beleving van de waarden binnen de organisatie

Bovenal is de digitale fraudeur bezig met een opmars die niet meer te stoppen is. Het is noodzakelijk dat de internal auditor digitale bronnen en data-analyse gaat benutten bij het bepalen van frauderisico’s en het detecteren en afhandelen van incidenten. De laatste jaren is er veel software ontwikkeld die toegankelijk is zowel qua prijs als gebruik. Het is essentieel voor de internal auditfunctie dat de internal auditor meegaat in dergelijke technologische ontwikkelingen.

Internal auditfunctie en fraude: het is van nature geen vanzelfsprekende match. Toch kan de internal auditor een belangrijke rol spelen bij de preventie en detectie van en respons op fraude. We zien dat periodieke frauderisicoanalyses en aandacht voor cultuur en digitalisering bijdragen aan een sterkere positie van de internal auditor inzake fraude.

Noten

1. KPMG International, Global profiles of de fraudster. Technology enables and weak controls fuel the fraud, 2016.
2. IIA, International standards for the professional practice of internal auditing, Standards, 2017.