What lies beneath
Bias & Co (1)
Algemene situering van het probleem
Alvorens we kunnen weten wat we moeten vinden, moeten we eerst weten waarnaar we moeten zoeken. Dat is lapidair gezegd de kern van elk fraud risk assessment (FRA). Ruw gesteld komt een dergelijk assessment neer op het identificeren en schatten van frauderisico’s. In de praktijk houdt men zich in een dergelijk assessment bezig met het beoordelen van de kans en de impact van fraude. Wat die begrippen precies inhouden – en welke waarde we eraan moeten hechten, wordt uitgelegd in dit deel over systematische vertekeningen van de werkelijkheid (biases).
De geraadpleegde literatuur leert echter dat we niet goed weten wat we moeten zoeken, want we vinden het kennelijk niet. Of misschien zien we de fraude gewoon niet omdat we niet weten wat we moeten zien. Het vorenstaande volgt uit de vaststelling dat, alle gesofisticeerde technieken van fraudedetectie ten spijt, zo weinig fraudes worden ontdekt door zowel interne als externe auditoren. Maar er is meer.
Volgens het tweejaarlijkse frauderapport van de Association of Certified Fraud Examiners (ACFE) blijft ook in 2016 de ‘tip’ met 39,1% de belangrijkste ‘methode’ om bedrijfsfraude in eerste instantie te detecteren. Bovendien blijkt – paradoxaal genoeg – dat fraude minder wordt opgemerkt naarmate de detectiemethode vernuftiger wordt. State-of-the-art informaticacontroles behalen immers met 1,3% het op één na slechtste resultaat; alleen de bekentenis doet het nog slechter.
Een andere markante vaststelling in het rapport 2016: in 81,7% van de gedupeerde organisaties was externe audit de meest frequente vorm van controle terwijl via die weg slechts 3,8% van de gerapporteerde fraudes werd gedetecteerd. Deze observaties suggereren dat niet te zeer mag vertrouwd worden op externe audits als instrument van fraudedetectie.
Wat betekent dit nu voor de veelal externe fraudeauditoren? En wat voor de bedrijfsrevisoren die bij wet onafhankelijke externe auditoren zijn? Echter, ook de detectiecapaciteiten van interne auditoren moeten in vraag gesteld worden, ook al vonden zij toch 16,5% van de gerapporteerde fraudes.
Een grootschalig onderzoek van de Vrije Universiteit Brussel dat op 21 mei 2014 in Tallinn, Estland, werd voorgesteld op het jaarcongres van de European Accounting Association leert dat bedrijfsrevisoren niet in staat blijken om het one-year risk of business failure in te schatten, terwijl dat wel tot hun wettelijke taken hoort. Deze bevindingen liggen in lijn met eerdere onderzoeken die aantonen dat ruim driekwart van de grootste Europese beursdebacles niet door de commissaris was gesignaleerd. Volgens die studies zit er iets structureel verkeerd in het bedrijfsrevisoraat, waardoor continuïteitsproblemen en fraude onontdekt blijven.
Hoe dan ook, we zullen zien dat het probleem niet alleen bij de revisoren zit maar dat ook de interne en forensische auditoren vaak dezelfde methodische fout of structuurfout maken. Kortom, de drie disciplines zijn in hetzelfde bedje ziek. De vraag moet dus zijn: Waar zit de structuurfout en hoe kan eraan verholpen worden?
De structuurfout wijten aan de leeftijd of nog, de onvolgroeidheid, van de auditing disciplines zou te kort door de bocht zijn. Het bedrijfsrevisoraat bestaat in zijn huidige vorm al sinds de wet van 22 juli 1953 en het Institute of Internal Auditors (IIA) werd in 1941 opgericht. De discipline van de forensische audit of fraud auditing bestaat in de Lage Landen weliswaar nog maar ruim 20 jaar maar we vonden niettemin geen aanwijzingen dat de leeftijd van de discipline op zich de reden zou zijn dat er niet meer fraudes worden opgespoord via (proactieve) forensische detectiemethodes.
Nee, de fout zit elders. Sterker nog: ze situeert zich in de drie disciplines op dezelfde plek.
Blinde vlekken
De geraadpleegde literatuur leert dat auditoren over het algemeen geconfronteerd worden met een aantal beperkingen – blinde vlekken – ten aanzien van het vaststellen van fraude. Hieronder wordt een aantal van die blinde vlekken opgelijst. Het zijn allemaal mogelijke verklaringen waarom bepaalde fraudes niet tijdig werden gezien maar het zijn tegelijkertijd allemaal verklaringen achteraf, toen de fraudes zich al hadden voltrokken. Auditoren kunnen ze in hun arsenaal aan mogelijkheden opnemen maar ze zijn zo uiteenlopend en bovendien vaak zo vaag en oppervlakkig geformuleerd dat het maar de vraag is of ze ook in de dagelijkse praktijk bruikbaar zijn.
De blinde vlekken van de interne en externe auditor (niet-limitatieve opsomming) zijn (a) de bedrevenheid van de fraudeur, (b) de frequentie van de manipulatie, (c) de omvang van de manipulatie, (d) de relatieve omvang van individueel gemanipuleerde bedragen (veel kleine manipulaties kunnen één materiële vormen), (e) de anciënniteit van de fraudeur, (f) het daderniveau: hoe hoger het niveau, des te moeilijker de detectie¹ , (g) beoordelingsfouten bij het nemen van beslissingen (zijn geen fraude maar kunnen erop lijken), (h) externe en interne factoren: we weten niet wat we niet weten, (i) beperkingen inherent aan bijvoorbeeld steekproeven als controletechniek, (j) de commissaris focust zich voornamelijk op wettelijk geregelde formele controletaken (controle op de Boekhoudwet en het Wetboek Vennootschappen), (k) de hoeveelheid aan wet –en regelgeving met betrekking tot alle aspecten van een bedrijfsvoering is te uitgebreid voor de commissaris om te kunnen overzien.
Een ommetje rond de fraudedriehoek
Wij kunnen ons niet van de indruk ontdoen dat ook de fraudedriehoek als model om fraude te voorspellen schromelijk te kort schiet in dat opzet; anders zou het immers wel beter gesteld zijn met de successen van (externe) auditoren om fraude te detecteren; we zagen al dat de rapporten van de ACFE het tegendeel aantonen. Nochtans is de fraudedriehoek alomtegenwoordig in de vakliteratuur en wordt hij ingezet bij de identificatie van mogelijke frauderisico’s tijdens fraud risk assessments.
Het is weliswaar zinvol om bij de analyse van fraudes te kijken naar de motieven van de fraudeur maar volgens ons gaat het dan vooral om de analyse achteraf. We durven dan ook te beweren dat de fraudedriehoek in het geheel geen voorspellend karakter heeft, zoals geen enkel model, omdat modellen niets anders zijn dan versimpelde voorstellingen van de realiteit anno nu die bijgevolg geen rekening kunnen houden met onvoorspelbare toekomstige gebeurtenissen.
Bovendien geeft het model een vals gevoel van veiligheid door slechts drie parameters (zijnde druk/motief, gelegenheid en rationalisatie) naar voren te schuiven, ja haast te postuleren dat fraude juist daardoor kan verklaard of zelfs voorspeld worden. Zo gaat het model er bijvoorbeeld van uit dat er sprake moet zijn van druk; de fraudeur moet met andere woorden een motief hebben om te doen wat hij doet. Er kan daarbij gedacht worden aan motieven die zowel buiten² als binnen³ de
organisatie liggen. Waar het model dus kennelijk geen rekening mee houdt is met zoiets als puur onversneden hebzucht: niet meer willen omdat de fraudeur het nodig heeft maar omdat hij simpelweg meer wil.
Aangezien de auditdiscipline, zoals de economische wetenschap, onderdeel is van de sociale wetenschappen, willen we dit punt afsluiten met de bedenking dat bijna elk belangrijk idee in die wetenschappen sneuvelt bij het wijzigen van een of andere aanname – wat ook wel een ‘verstoring’ wordt genoemd, waarbij je een parameter verandert, of een parameter die volgens de gangbare theorie vast en stabiel is, stochastisch maakt.
Volgens ons is het dan ook de hoogste tijd om de modelfouten van de fraudedriehoek te bestuderen. Ons onderzoek wil evenwel niet het proces van dit model maken, gewoon aanstippen dat er nog veel werk aan de winkel is.
Bovendien ligt de kern van het probleem – de structuurfout – niet bij die fraudedriehoek of bij de hoger aangestipte blinde vlekken; de blinde vlekken zijn enkel het resultaat, niet de oorzaak van het probleem.
Waar het schoentje werkelijk wringt wordt vanaf volgende week duidelijk wanneer we beginnen met het gebied van de structuurfout in kaart te brengen.
Marc Peeters, Registered Fraud Auditor IFA Belgium
¹Interne controle is voornamelijk gericht op het tegenhouden van fouten op het niveau van de niet-leidinggevenden. Managers kunnen zich ook gemakkelijker bezondigen aan management override omdat ze door hun positie in de onderneming gemakkelijker de interne controle kunnen manipuleren. Ten slotte kan samenspanning een conceptueel goed uitgebouwde interne controle de facto totaal ontkrachten.
²O.a. persoonlijke financiële behoeften.
³O.a. prestatiedruk.
Afhankelijk van een bepaalde kans of van het toeval.