Visie op Actuele Zaken – Control en Fraude

Samenvatting

Binnen Financial Control vinden wij: Fraude kan niet door uitsluitend controls worden voorkomen.

De derivaten ramp bij woning corporaties ging afgelopen weken een verdere fase in. Het lijkt erop dat er ook nog fraude gepleegd werd door te hoge commissies te verdelen tussen betrokkenen. Had het business control framework daaraan iets kunnen of moeten doen? Wij denken dat fraude, die gepleegd wordt door het doorbreken van functiescheiding of door management override, niet is te voorkomen met controls alleen. Met het goed opzetten van de overige elementen van het Business Control Framework: dus ondernemingsbeheer, risicomanagement en assurance, verhoog je wel de kans dat fraude wordt voorkomen of tijdig wordt gesignaleerd. Maar het probleem dat de controls niet werken of worden doorbroken valt vrijwel niet te repareren. Wat vind u daar van? Wij zijn benieuwd.

Even over woningcorporaties

In de afgelopen weken hebben woningbouw corporaties vaak het nieuws gehaald. De meest recente ontwikkeling betreft een vermeende fraude. Dus: het opzettelijk benadelen van de corporatie. Er schijnen te hoge commissiekosten berekend te zijn door de banken aan de woningcorporatie die daarvan weer een deel heeft teruggesluisd (zgn. retourprovisie) aan de tussenpersoon die de derivaten contracten regelde. De laatste stap in deze opzet is dan de verdeling van het ontvangen geld tussen de medewerker(s) van de corporatie en de tussenpersoon.

In de media is de afgelopen tijden veel aandacht besteed aan de detectie van fraude tijdens de accountants controle, door de toezichthoudende organen zoals de Raad van Commissarissen, door de Financiële afdeling in de onderneming, en uiteraard door het Management.

Sinds de invoering van SOX404 in de VS wordt fraude expliciet genoemd in de opzet van het Business Control Framework. Daarmee wordt aangenomen dat beheersmaatregelen fraude kunnen aanpakken, dus zowel preventief als repressief. Bovengenoemden kunnen derhalve steunen op de controls en als is vastgesteld dat deze afdoende hebben gewerkt, concluderen zij dat fraude niet heeft plaatsgevonden. Dit alles natuurlijk binnen de grenzen van redelijke zekerheid.

Maar is dit nu wel zo? Kan men een degelijk ontworpen en in de dagelijkse praktijk functionerend business control framework deze zekerheid bieden? Binnen Financial Control vinden wij dat hier een materieel voorbehoud moet worden gemaakt. Als wij ons goed herinneren werd dit voor het eerst al gememoreerd door de grote Limperg. Ook binnen instituten als het COSO wordt hierop ingegaan. Wij durven wel de stelling aan: Fraude die gepleegd wordt middels het doorbreken van  functiescheidingen (ofwel: samenspanning) op de relevante controls, wordt door het business control framework niet opgemerkt.

Laten we deze stelling verduidelijken met het voorbeeld van de woningcorporatie. We nemen aan dat binnen de organisatie controls zijn ingericht die het business proces “afsluiten van derivaten contracten” in de greep houden. Een van die controls zal toezien op de hoogte van de kosten. De treasury afdeling die hiervoor de verantwoordelijkheid draagt, geeft aan de controllers’ afdeling de verwachte kosten door, zijnde de norm. De policy binnen de treasury afdeling zal richting geven aan type en aantal contacten dat kan worden afgesloten. De uitbestedingspolicy zal bepalen met welke tegenpartijen contracten mogen worden afgesloten, en dergelijke. Met andere woorden: zonder doorbreking van de functiescheiding of management override, zullen de controls hun werk doen en zullen eventuele verdachte transacties door de mand vallen. Maar, als de aangebrachte functiescheiding wel wordt doorbroken, dan kan het volgende gebeuren:

  • De provisie van 10% is dan de norm geworden, in plaats van de gebruikelijke 3 %,
  • In plaats van direct met bijvoorbeeld ABN of ING zaken te doen, gaat dat nu via het kantoor van een tussenpersoon,
  • In plaats van contracten voor bestaande leningen wordt nu ook voor mogelijke toekomstige leningen derivaten aangeschaft.

Ernstige zaken zoals hier te berde gebracht voor het woningcorporatie voorbeeld, gebaseerd op recente berichten in de media, leiden achteraf tot veel discussie. Maar het feit blijft: het control framework, hoe goed het ook is opgezet en hoe goed ook uitgevoerd, kan altijd doorbroken worden of door het management ter zijde worden geschoven. Dat heet dus fraude. Onze definitie van fraude is dan ook: het opzettelijk benadelen van de organisatie bijvoorbeeld door het doorbreken van de aangebracht functiescheiding of door het management terzijde schuiven van de controls, zgn. management override.

Kan het Business Control Framework helpen?

Is hier dan helemaal niets aan te doen, en moeten we fraude dan maar als een soort onvolkomenheid  accepteren? Zoals gezegd is tegen samenspanning weinig te doen en voorkomen de controls de fraude niet. Maar er is nog hoop. Wij zetten nog andere middelen in bij het opzetten van een business control framework. De controls vormen maar één onderdeel van het totaal. Weliswaar een zeer belangrijk onderdeel maar het ondernemingsbeheer, het risicomanagement en de assurance vormen integrale onderdelen van het framework en helpen bij het voorkomen en eventueel opsporen van fraude. Enkele voorbeelden op andere gebieden van het Business Control Framework? Denk bijvoorbeeld aan internal audit die met een gericht audit programma dit soort risico gebieden kan afdekken, de Assurance Evaluatie Commissie (AEC) waarin het gehele Management Team minstens per kwartaal risico’s en controls bespreekt, het creëren en bijhouden van het risico register en risico matrix, die het resultaat zijn van de risico workshop en uiteraard de risico analyse. En uiteraard de gedragscode of ‘code of conduct’ en het uitdragen hiervan door het management, de ‘tone-at-the-top’. Integriteit en het goede voorbeeld geven (‘walk the talk’) vormen nog steeds een van de fundamenten van goed ondernemingsbeheer of corporate governance. De best practices van Tabaksblat en Frijns geven hiervoor duidelijke richtlijnen.

Eens te meer benadrukt dit verhaal weer het belang van de tone at the top. Hierbij geeft de leiding het voorbeeld en draagt de normen van de organisatie uit. Handhaving en duidelijke communicatie als onderdeel van ondernemingsbeheer zijn hier een belangrijk onderdeel van. Ook op dit onderdeel van het business control framework wordt helaas niet overtuigend goed gepresteerd.

Meer informatie? Kijk op www.financial-control.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *