Rijksbreed zicht op frauderisico’s

Rijksbreed zicht op frauderisico’s

Auteurs: Nando Aafjes en Ceriel Spaaij
Beeld: Adobe Stock
4 min

Weinig meldingen van fraude en corruptie klinkt geruststellend. Maar is het dat ook? Die vraag speelde een belangrijke rol in een onderzoek dat de Auditdienst Rijk (ADR) uitvoerde bij de vijftien kerndepartementen van de Rijksoverheid. De lessen die eruit volgen, zijn relevant voor elke organisatie en elke auditor die zich bezighoudt met integriteitsrisico’s.

Uit jaarlijks onderzoek door Allianz Trade onder organisaties in Nederland en België blijkt dat het aandeel organisaties dat te maken heeft met fraude ook afgelopen jaar verder is gestegen van 78% naar 89%. Vooral interne fraude waarbij eigen medewerkers betrokken zijn neemt sterk toe. De achterliggende oorzaken zijn bekend: financiële problemen, ontevredenheid over beloning en simpelweg gelegenheid.

Fraude: een onderschat risico

Toch is er in veel organisaties een hardnekkig gevoel dat het met interne fraude wel meevalt. Zeker als het aantal meldingen laag is. Maar een laag aantal meldingen is geen bewijs dat fraude en corruptie nauwelijks voorkomen. Het kan evengoed duiden op een beperkte meldcultuur, onvoldoende bewustwording of het ontbreken van goede meldkanalen. Organisaties die geen gestructureerde aanpak hebben voor de beheersing van fraude- en corruptierisico’s, missen de basis om te beoordelen of ze een probleem hebben. Laat staan om het te beheersen.

Gestructureerde aanpak vereist

Het onderzoek gebruikte het COSO-raamwerk als referentiekader en onderzocht vijf samenhangende elementen die van belang zijn voor de beheersing van fraude- en corruptierisico’s: de interne beheersomgeving (beleid en governance), risicobeheersing, beheersactiviteiten, informatie en communicatie, en monitoring (zie figuur 1). Op elk van deze onderdelen werden tekortkomingen geconstateerd, die zich vermoedelijk niet beperken tot de Rijksoverheid.

Figuur 1. Vijf elementen voor de beheersing van fraude- en corruptierisico’s

Meer dan integriteitsbeleid

Veel kerndepartementen verwijzen voor de beheersing van fraude- en corruptierisico’s naar hun integriteitsbeleid. Dat is begrijpelijk, maar het schiet tekort. Integriteitsbeleid is normatief en waardengedreven. Fraude- en corruptiebeleid is regelgestuurd en handhavingsgericht. De twee zijn complementair, maar geen vervanging voor elkaar. Het verschil zit niet alleen in de doelstelling, maar ook in de aanpak. Integriteitsbeleid richt zich op gedragsnormen en cultuur voor de hele organisatie. Fraude- en corruptiebeleid is specifieker: het benoemt concrete risico’s, koppelt daar beheersmaatregelen aan en beschrijft wie waarvoor verantwoordelijk is.

Eigenaarschap: wie is aan zet?

Een veelvoorkomend knelpunt is onduidelijkheid over eigenaarschap. De primaire verantwoordelijkheid voor risicobeheersing ligt formeel in de lijn, maar wie heeft het totaaloverzicht? Wie stuurt op samenhang? Wie escaleert als risico’s onvoldoende worden opgepakt? Zolang dat niet expliciet is belegd op bestuurlijk niveau, blijft fraude- en corruptiebeheersing versnipperd. Het toewijzen van eindverantwoordelijkheid aan één senior leidinggevende is daarin een cruciale stap. Niet als bureaucratische maatregel, maar als signaal van bestuurlijke betrokkenheid en als waarborg voor centrale regie.

Risicoanalyse concreet maken

Zoals de meeste organisaties, voeren ook de kerndepartementen risicoanalyses uit. Maar fraude- en corruptierisico’s worden daarin niet altijd expliciet benoemd. Als ze worden geïdentificeerd, blijven ze abstract en zonder koppeling aan specifieke processen, functies of scenario’s. Corruptierisico’s krijgen daarbij structureel minder aandacht dan frauderisico’s. Terwijl de dreiging vanuit georganiseerde criminaliteit gericht op het corrumperen van medewerkers met toegang tot gevoelige informatie of besluitvorming juist toeneemt.

Een effectieve risicoanalyse stelt concrete vragen: waar in onze processen is er gelegenheid voor fraude? Welke functies hebben toegang tot waardevolle middelen of informatie? Zijn er signalen van externe druk of verleiding? Het blijven stellen van die vragen is de basis voor gerichte beheersing.

De eerste stap naar betere beheersing is simpel maar wezenlijk: erkennen dat het risico reëel is, ook als er geen meldingen zijn

Laagdrempelige meldpunten

Uit het onderzoek bleek dat geen kerndepartement beschikte over een specifiek meldpunt voor fraude en corruptie. Hoewel er wel meldpunten zijn voor integriteitsschendingen, moeten medewerkers met een vermoeden van fraude dit zelf als een integriteitsschending herkennen. Die stap blijkt in de praktijk niet voor iedereen vanzelfsprekend.

Uit internationaal onderzoek van de Association of Certified Fraud Examiners (ACFE) blijkt dat in 43% fraudegevallen worden ontdekt door een tip. Toegankelijke en herkenbare meldmogelijkheden zijn daarmee geen bijzaak, maar een kernonderdeel van een effectief beheersingssysteem. Data-analyse als detectiemiddel voor fraude en corruptie wordt door de meeste kerndepartementen nauwelijks structureel toegepast. Op dit terrein kunnen nog stappen worden gezet.

Van bewustzijn…

De beheersing van fraude- en corruptierisico’s kan alleen effectief worden ingericht als er binnen de organisatie voldoende kennis en bewustzijn aanwezig is over hoe deze risico’s zich manifesteren. Dat klinkt vanzelfsprekend, maar is het in de praktijk vaak niet. Zonder inzicht in hoe fraude en corruptie zich voordoen, in hoe fraudeurs en criminelen te werk gaan en welke signalen daarbij horen, blijven risico’s onzichtbaar en maatregelen te generiek. Kennis en bewustwording zijn daarmee niet het sluitstuk van een beheersingssysteem, maar het fundament ervan. In het bijzonder bij leidinggevenden en proceseigenaren, die als eersten signalen kunnen opvangen.

… naar systeem

Gerichte trainingen en bewustwordingssessies met praktijkcasussen zijn effectiever dan een verwijzing naar een algemene gedragscode. Vanuit die basis kan het beheersingssysteem verder worden opgebouwd. Dat begint met specifiek fraude- en corruptiebeleid, los van het integriteitsbeleid, met helder eigenaarschap op bestuurlijk niveau.

Vervolgens moeten fraude- en corruptierisico’s een vaste plek krijgen in de reguliere risicoanalyses en de planning- en controlcyclus. Niet als een losstaand traject, maar als integraal onderdeel. Geïdentificeerde risico’s moeten worden vertaald naar concrete, toetsbare beheersmaatregelen, waarvan de effectiviteit periodiek wordt geëvalueerd. Risico’s benoemen zonder ze te verbinden aan actie is immers halve beheersing.

Ten slotte verdient detectie structurele aandacht. Meldstructuren moeten helder en laagdrempelig zijn en specifiek gericht op fraude en corruptie, zodat medewerkers weten waar ze terechtkunnen. En data-analyse verdient een vaste plek als detectiemiddel.

Samen vormen deze elementen een samenhangend systeem dat niet alleen reageert op incidenten, maar ook bijdraagt aan het voorkomen van fraude en corruptie.

Een boodschap die verder reikt

De bevindingen van het onderzoek gaan verder dan de Rijksoverheid. Voor iedere organisatie (publiek of privaat) geldt dat de beheersing van fraude- en corruptierisico’s een gestructureerde, samenhangende aanpak vraagt. Integriteitsbeleid is een waardevolle basis, maar geen substituut.

Het ADR-onderzoek legt een blinde vlek bloot die voor veel organisaties herkenbaar zal zijn: de geruststelling van het onbekende. De eerste stap naar betere beheersing is dan ook simpel, maar wezenlijk: erkennen dat het risico reëel is, ook als er geen meldingen zijn.

Dit artikel is gebaseerd op het rapport Beheersing fraude- en corruptierisico’s van de Auditdienst Rijk, gepubliceerd op 2 oktober 2025.

 

Over
Nando Aafjes en Ceriel Spaaij zijn operational auditors bij de Auditdienst Rijk en gespecialiseerd in fraude en corruptie. De auteurs waren betrokken bij het onderzoek.

 

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.