What lies beneath
Bias & Co (2)
De heilige graal van de auditdisciplines
De heilige graal zou volgens een van de vele verhalen uit de overlevering de schaal of beker zijn waarin het bloed van Christus is opgevangen bij zijn kruisiging. In overdrachtelijke zin betekent ‘naar de heilige graal streven’ iets willen bereiken wat niet te bereiken is.
We moeten het nu eerst hebben over wat de drie auditdisciplines fundamenteel met elkaar verbindt. Daarna kunnen we er pas op ingaan of zij iets willen bereiken wat niet kan bereikt worden.
Over het cement dat bindt.
In de vakliteratuur stootten we op twee zinnen die hierna letterlijk worden weergegeven, precies omdat ze zo belangrijk zijn voor het vervolg:
‘Aan de hand van “impact” en “waarschijnlijkheid” zal de revisor trachten om de risico’s op betekenisvolle onjuistheden in de jaarrekening ten gevolge van vergissingen of fraude te identificeren. Deze analyse zal de basis vormen voor de organisatie van de uit te voeren controles’.
Vooral de tweede zin is erg belangrijk omdat de drie auditdisciplines de frauderisico’s kennelijk op dezelfde manier benaderen, namelijk door ze eerst te identificeren, vervolgens hun kans en impact (proberen) in te schatten, om ten slotte de benodigde beheersmaatregelen vast te stellen.
Bovenstaande drie stappen worden ook wel de drie sleutelelementen van de fraud risk assessment (FRA) genoemd.
De commissaris/revisor doet dit voor de risico’s op betekenisvolle onjuistheden in de jaarrekening. Het begrip ‘betekenisvolle onjuistheid’ slaat op ‘materiële afwijking’, een afwijking die de gebruikers van financiële staten als een groep zou aangezet hebben tot een andere beslissing, waren ze op de hoogte geweest van die afwijking. Het begrip ‘materialiteit’ valt samen met de uiteindelijke doelstelling van de commissaris: redelijke zekerheid (anders gezegd: redelijke ‘kans’ of ‘waarschijnlijkheid’) bekomen dat de financiële rapportering vrij is van materiële afwijkingen.
Voor de interne auditor is ‘risico’ de mogelijkheid (lees: ‘waarschijnlijkheid’) dat een gebeurtenis zich voordoet die een impact zal hebben op het bereiken van de doelstellingen, de objectieven, van de onderneming. ‘Risico’ is in deze definitie bijgevolg ruimer voor de interne auditor dan voor de commissaris.
De forensische auditor is dan weer geïnteresseerd in het volledige overzicht van relevante fraudemechanismen waartegen de organisatie zich moet beschermen.
Het blikveld van de revisor blijkt het smalst te zijn, die van de forensische auditor het breedst; hoe dan ook focussen de drie disciplines op dezelfde risico’s, of een deel daarvan, en bouwen ze vervolgens verder op een gemeenschappelijke methodiek want alle drie gaan, na de voor hen relevante risico’s te hebben geïdentificeerd, de kans op en de impact van die frauderisico’s proberen in te schatten.
Bij de identificatie van de frauderisico’s wordt een onderscheid gemaakt tussen ‘inherente’, ‘beheerste’ en ‘restrisico’s’. Inherente frauderisico’s zijn risico’s die eigen zijn aan de activiteiten van de organisatie of aan de sector waarin deze zich beweegt; dit is de grootste groep. Beheerste risico’s zijn inherente risico’s waarvoor al beheersmaatregelen werden getroffen; dit is de middengroep. Restrisico’s zijn risico’s die de organisatie weliswaar erkent maar waarvan zij beslist er geen aandacht aan te schenken. De mate van risicoaanvaarding verschilt van organisatie tot organisatie en kan ook wijzigen in de loop van de tijd; dit is de kleinste groep.
Ofschoon deze categorisering op zich logisch en aannemelijk lijkt, zal het onderscheid tussen deze drie categorieën in het verdere verloop van de uiteenzetting van weinig of geen belang meer zijn. We gaan immers proberen aan te tonen dat er in de praktijk geen wezenlijk onderscheid tussen de categorieën bestaat; meer nog, dat er zelfs een vierde categorie dient aan toegevoegd te worden wanneer we toch willen categoriseren. Naast de drie genoemde risico’s zijn er immers nog de ‘onzichtbare’ die er bijvoorbeeld voor kunnen zorgen dat een aandeel van het ene op het andere moment waardeloos wordt, bijvoorbeeld omdat de organisatie door een ‘onvoorziene’ fraude failliet gaat.
We zullen ook zien dat het, om daar maar mee te beginnen, geen sinecure is om überhaupt frauderisico’s te identificeren, laat staan er de kans en de impact van in te schatten.
Identificeren en inschatten gaan hand in hand
Het inschatten van kans en impact van de geïdentificeerde frauderisico’s is, zo blijkt uit de literatuur, naar zijn aard subjectief. Dat dit inderdaad zo is, zal ook een van onze besluiten zijn.
Echter, wat we eerst moeten onderzoeken is of de identificatie van de risico’s al dan niet vertekend wordt door subjectiviteit. Immers, ook in de vakliteratuur wordt dit probleem erkend door op te merken dat sommige managers en medewerkers van de organisatie de neiging hebben om bepaalde risico’s niet te benoemen.
In dit artikel willen we aantonen dat de mens vaak geen fraude ziet omdat hij niet bij machte is bepaalde risico’s als zodanig te identificeren.
We weten niet wat we niet weten
De auditor deelt de moeilijkheid dat hij niet weet hoe volledig zijn informatie is, met de medewerkers van militaire inlichtingendiensten. Een van de mooiste typeringen is dan ook afkomstig uit oorlogstijd; de onsterfelijke woorden van de voormalige Amerikaanse minister van Defensie Donald Rumsfeld:
As we know, there are known knowns. There are things we know we know. We also know there are known unknowns. That is to say we know there are some things we do not know. But there are also unknown unknowns, the ones we don’t know we don’t know.
De woorden van Rumsfeld zijn kristalhelder: we moeten beducht zijn voor onze al te menselijke neiging om ons niet te zeer te concentreren op de beschikbare informatie, zonder na te denken over wat ontbreekt. Denk ook aan het Romeinse rechtsspreekwoord ‘testis unus testis nullus’ (‘één getuige is geen getuige’): als je weinig informatie hebt, en je deze nergens mee kunt vergelijken, heb je in feite geen informatie. Maar dat je geen (bijkomende) informatie hebt, wil nog niet zeggen dat die er niet is.
Frauderisico’s situeren zich in zekere mate binnen de known unknowns; we weten immers al uit de inleiding dat alle organisaties ooit met fraude af te rekenen krijgen. We weten alleen niet waar, wanneer, hoe en door wie ze zal gepleegd worden. Zolang ze niet aan het licht komt, blijft ze een unknown unknown; een van haar wezenskenmerken is namelijk dat ze organisaties meestal overvalt.
Net zoals de Zwarte Zwaan van Nassim Nicholas Taleb is fraude dan ook vaak een gebeurtenis met volgende drie kenmerken: (a) Een totaal onverwachte gebeurtenis, een uitschieter die buiten de normale gang der dingen valt omdat er vooraf geen duidelijke aanwijzingen waren dat zoiets kon gebeuren. (b) Verslaggevingsfraude heeft zeer grote gevolgen. (c) Hindsight bias: de mens zit zo in elkaar dat we naderhand, ook al was het een totaal onverwachte gebeurtenis, verklaringen bedenken die de gebeurtenis begrijpelijk en voorspelbaar maken (denk terug aan de fraudedriehoek).
Fraude hoeft echter geen Zwarte Zwaan te zijn. Sommige gebeurtenissen zijn weliswaar zeldzaam en hebben zeer grote gevolgen, maar zijn ook enigermate voorspelbaar, in het bijzonder voor mensen die erop voorbereid zijn en de instrumenten bezitten om ze te begrijpen. Het zijn bijna-Zwarte Zwanen. Ze zijn tot op zekere hoogte wetenschappelijk te bestuderen – als je weet dat ze zich kunnen voordoen, kom je minder snel voor verrassingen te staan; het zijn zeldzame maar te verwachten gebeurtenissen. Taleb noemt dit speciale geval de wetenschappelijk beïnvloedbare Grijze Zwaan die tegenover de totaal onbeïnvloedbare Zwarte Zwaan staat.
Het komt er dus op aan om van het frauderisico een Grijze Zwaan te maken, of zoals Rumsfeld het zei een known unknown. Het vervolg van de uiteenzetting zal echter leren dat dit geen sinecure is. Dat zal zelfs nog moeilijker blijken dan wat op grond van een klassieke FRA aan resultaten mag worden verwacht.
De identificatie en inschatting van risico’s wordt immers vertekend. De wetenschappelijke literatuur heeft het dan over een bias. Een bias is een systematische fout waardoor het effect van een fenomeen consistent positiever of negatiever uitvalt, zoals een weegschaal die keer op keer aangeeft dat je een paar kilo zwaarder of lichter bent dat in werkelijkheid het geval is.
Een bias is bijgevolg een vertekening van de waarheid veroorzaakt door de meetmethode. Een oorzaak van een bias kan zijn dat men alleen zoekt op plaatsen waar het het makkelijkst is om iets te vinden. Het fenomeen wordt ook wel het lantaarnpaaleffect genoemd, naar de volgende parabel: op een nacht ziet een politieman een dronkaard op handen en voeten kruipen onder een lantaarnpaal. De dronkelap vertelt dat hij zijn sleutels zoekt; de agent besluit hem te helpen en knielt ook onder de lantaarnpaal. Als de agent na een tijdje vruchteloos zoeken vraagt of hij zeker weet dat hij zijn sleutels hier heeft verloren, zegt de dronken man: ‘O nee hoor, ik heb ze in het park verloren. Maar hier is het licht beter.’
De hierna volgende punten snijden de thema’s aan die ook aan bod komen in wat wij een ‘klassiek’ FRA noemen.
Bias bij de inschatting van kansen in de toekomst
Het is gebleken dat wanneer mensen in de toekomst (moeten) kijken, zij ertoe neigen de waarschijnlijkheid van gekende gebeurtenissen en van gebeurtenissen die zich relatief recent voordeden (beide soorten gebeurtenissen zijn gemakkelijker te onthouden) te overschatten ten opzichte van relatief zeldzame gebeurtenissen en minder recente gebeurtenissen. We hebben kennelijk de neiging onze gedachten te richten op specifieke en bekende Zwarte Zwanen.
Daardoor wordt niet alleen de kans en de impact van zeldzame en minder recente gebeurtenissen enorm onderschat (wat een makke is wanneer een FRA team zich over mogelijke frauderisico’s buigt) maar dreigen dergelijke gebeurtenissen ook niet beschouwd te worden als frauderisico’s.
Vandaar dat wij stellen dat identificeren en inschatten hand in hand gaan.
Het FRA team zal dus diep moeten gaan; dieper dan louter de eigen ervaringen van de organisatie en de ervaringen in de sector.
Kalibreren is een probleem
Taleb vraagt zich af hoe mensen kansen inschatten bij het nemen van beslissingen wanneer er sprake is van onzekerheid, het zogenaamde ‘kalibreren’.
Hij vertelt over een experiment waarbij aan elke persoon in de kamer wordt gevraagd om zelfstandig de boven –en ondergrens van de inschattingen van een getal te bepalen, en wel zodanig dat ze denken 98 procent kans te hebben goed te zitten en minder dan 2 procent dat ze verkeerd zitten. Met andere woorden, welke inschatting ze ook maken, ze hebben ongeveer twee procent kans dat die buiten de door henzelf aangegeven grenzen valt.
De deelnemers mogen dus zelf de bandbreedte van hun inschattingen bepalen; niet hun kennisniveau wordt gemeten maar wel hoe ze hun eigen kennis taxeren.
De clou van de zaak: de mens is blijkbaar niet in staat verstandig om te gaan met kennis. De verwachte twee procent die een verkeerde inschatting maakt, blijkt doorgaans, al naargelang de bevolkingsgroep en de gestelde vragen, 15 tot 30 procent te zijn.
Dit doet vragen rijzen bij de waarde die moet gehecht worden aan de inschatting van risico’s door een FRA team. In een dergelijk team zitten nochtans personen uit diverse delen van de organisatie met verschillende kennis, inzichten en expertise.
We moeten dus beducht zijn voor wat Taleb ‘epistemische arrogantie’ noemt: onze hoogmoed met betrekking tot de beperkingen van onze kennis. We overschatten wat we weten en onderschatten risico’s (onzekerheid) door de bandbreedte van mogelijke onzekere situaties te comprimeren (namelijk door te weinig ruimte voor het onbekende te laten).
Ongetwijfeld blijven daardoor bepaalde frauderisico’s onder onze assessment-radar en zijn de beheersmaatregelen die uit een assessment voortvloeien al bij voorbaat gebiased.
Epistemische arrogantie heeft mogelijkerwijze nog een naar neveneffect. Het dreigt namelijk een belangrijk aandachtspunt in assessments in een kwaad daglicht te stellen: de openheid en de eerlijkheid die van de leden van het team verwacht worden wanneer ze hun inschattingen uitvoeren en documenteren. Immers, die mensen doen hun werk ongetwijfeld in eer en geweten, alleen weten ze niet van zichzelf dat ze de dingen niet zo goed weten als ze beweren.
Liever simpel dan abstract
We leven in een tijd waarin de wereld almaar ingewikkelder wordt, terwijl de empirische psychologie heeft uitgewezen dat onze hersenen erop gericht zijn om de dingen te vereenvoudigen. Daarom zijn mensen niet geneigd om zich te verzekeren voor iets abstracts; het risico waar ze hun aandacht op richten, is altijd iets dat indruk maakt of tot de verbeelding spreekt.
Over verbeelding gesproken: de mens houdt van verhalen, vat graag samen en heeft de gewoonte om dingen te versimpelen – de reikwijdte en omvang van dingen kleiner te maken dan ze zijn. Taleb noemt dit de narratieve misleiding of versimpeling. Deze misleiding heeft te maken met onze hang naar overinterpretatie en onze voorkeur voor compacte verhalen boven rauwe waarheden. Hierdoor raakt ons beeld van de wereld ernstig vervormd, en daar hebben we vooral last van bij zeldzame gebeurtenissen.
De mate waarin mensen risicogevoelig zijn, hangt dus af van de manier waarop risico’s worden beschreven, hoe er dus over wordt verteld.
In het vorige punt schreven we dat openheid en eerlijkheid belangrijke aandachtspunten zijn bij het inschatten en documenteren van frauderisico’s door het assessment team. Het probleem dat auteur Evert-Jan Lammers daar erkent, namelijk dat sommige managers en medewerkers de neiging hebben om bepaalde risico’s niet te benoemen of te laag in te schatten, ‘wordt’ volgens hem beperkt door een brede samenstelling van het team, de betrokkenheid van een externe specialist en een ruim gebruik van interne en externe bronnen om fraudemechanismen te identificeren.
We moeten ons, in het licht van het voorgaande, echter afvragen of de leden van het team niet zichzelf en hun collega’s – al dan niet onbewust – iets wijs maken, omdat onze hersenen erop gericht zijn de dingen te vereenvoudigen waarbij mensen zich vooral richten op fraudes die indruk maken en tot de verbeelding spreken.
De Zwarte Zwanen in onze verbeelding, waarover we praten en ons zorgen maken, vertonen weinig of geen gelijkenis met gebeurtenissen die tot de werkelijke categorie Zwarte Zwanen behoren. We maken ons dus, met andere woorden, zorgen over de verkeerde ‘onwaarschijnlijke’ gebeurtenissen.
Over de verkeerde Zwarte Zwanen en het geringschatten van het abstracte
Taleb vraagt zich af hoe het komt dat we van sommige Zwarte Zwanen een overdreven voorstelling hebben, terwijl we weinig of geen oog hebben voor Zwarte Zwanen in het algemeen. Zijn antwoord is dat er twee soorten zeldzame gebeurtenissen zijn: (a) de narratieve Zwarte Zwanen, degene die alom besproken worden en waarover je hoort op televisie, en (b) degene waarover niemand praat omdat ze niet in modellen passen (denk bijvoorbeeld aan de fraudedriehoek) – degene die je uit schaamte liever niet ter sprake brengt omdat ze niet plausibel lijken. (Denk hier opnieuw aan de eerlijkheid en openheid die van de leden van het assessment team gevraagd worden.)
Het voorkomen van Zwarte Zwanen van de eerste soort wordt overschat, de tweede soort wordt ernstig onderschat. De proceseigenaar, in de regel de voorzitter van het FRA team, heeft bijgevolg een aartsmoeilijke taak: verhalen doorprikken en oor hebben voor overdreven voorstellingen van feiten vergt niet alleen kennis en kunde maar ook constante opperste concentratie en een sterk karakter, omdat hij of zij het moet opnemen tegen mensen die vaak omwille van hun specifieke expertise in het team zetelen waardoor ze zullen trachten te bogen op hun gezag of expertmacht.
Overdrijven en bagatelliseren zijn twee zijden van dezelfde munt
Een groot deel van het empirisch onderzoek laat ditzelfde patroon van overschatting en onderschatting van Zwarte Zwanen zien. De empirische psychologen Daniël Kahneman en Amos Tversky toonden aan dat mensen in eerste instantie overreageren op een gebeurtenis met een kleine kans wanneer je die aan hen voorlegt, wanneer je hen dus op zoiets attent maakt. Op de vraag ‘Wat is de kans dat je overlijdt als gevolg van een vliegtuigongeluk?’ (of bvb. ‘Wat is de kans op verslaggevingsfraude binnen uw organisatie?’) zal de testpersoon die kans te hoog ramen.
Paul Slovic en anderen ontdekten echter in verzekeringspatronen dat mensen bij het afsluiten van verzekeringen geen rekening houden met dit soort hoogst onwaarschijnlijke gebeurtenissen. Zij noemen dit een ‘voorkeur voor verzekeren tegen waarschijnlijke kleine verliezen’ – ten koste van minder waarschijnlijke maar grote verliezen. Taleb noemt dit onze geringschatting voor het abstracte.
Ballen in een pot
Greg Barron en Ido Erev toonden met experimenten aan dat mensen een kleine kans te laag inschatten wanneer ze meedoen aan opeenvolgende experimenten waarin ze niet op de hoogte zijn van de feitelijke kansverdeling en zelf moeten bepalen wat de kans is dat iets zal gebeuren. Als je ballen trekt uit een pot met een zeer klein aantal rode ballen en een groot aantal zwarte ballen, en je hebt geen idee van de relatieve verhouding, zul je waarschijnlijk het aantal rode ballen te laag inschatten. Weet je daarentegen wel wat de relatieve verhouding is – doordat je verteld wordt dat, zeg, drie procent van de ballen rood is – dan zul je te hoog inzetten bij het maken van een inschatting van de kans op een rode bal.
Dat behalve testpersonen ook de meeste bedrijven frauderisico’s te laag inschatten, en zelfs voor onbestaande houden, om na vastgestelde fraude compleet de andere kant op te gaan, wordt treffend geïllustreerd door volgende quote van Lammers: ‘Alleen bedrijven die een groot fraudedebacle hebben meegemaakt, realiseren zich ten volle hoe kwetsbaar ze jarenlang zijn geweest zonder degelijk antifraudebeleid. Ze nemen in korte tijd een veelheid van maatregelen om hun antifraudebeleid te versterken, al dan niet onder het toeziende oog van een beurswaakhond’.
Dat we slecht zijn in het inschatten van risico’s en zelfs geen risico’s herkennen mag blijken uit Taleb’s conclusie dat we slechts leren van herhaling – ten koste van gebeurtenissen die zich eerder niet hebben voorgedaan. Niet-herhaalbare gebeurtenissen worden genegeerd voordat ze zich hebben voltrokken, en daarna (een tijd lang) overschat. Na een Zwarte Zwaan, zoals 11 september 2001, verwachten mensen dat zoiets nog een keer zal gebeuren, terwijl de kans daarop aantoonbaar kleiner is geworden (omdat men nu erop voorbereid is).
De aantrekkingskracht van het sensationele
Abstracte statistische informatie doet ons lang niet zo veel als de anekdote. Men kan zich wel bewust zijn van fraude maar zolang er zich geen voordoet, handelen we er niet naar. Dit wordt (opnieuw) mooi verwoord door Taleb: ‘Je kunt op Internet tal van statistieken over ongelukken raadplegen, maar dat maakt allemaal weinig uit. Ikzelf rijd in de stad rond op een rode Vespa, omdat niemand in mijn directe omgeving recent een ongeluk heeft gehad – hoewel ik me bewust ben van het probleem, ben ik niet in staat ernaar te handelen.’
Ofschoon een FRA volgens de vakliteratuur ‘allerminst een theoretische oefening’ is, wegens het gebruik van de meest uiteenlopende bronnen waaronder statistieken, mag in het licht van het voorgaande dan ook zeker geen overdreven belang aan statistieken gehecht worden.
Het probleem van de platoniciteit bij het identificeren van risico’s
Platoniciteit is de fixatie op zuivere, duidelijk omlijnde en gemakkelijk te onderscheiden objecten zoals driehoeken of sociale noties als vriendschap en liefde, terwijl objecten met een schijnbaar warrige en minder helder te definiëren structuur worden genegeerd.
Anders geformuleerd: platoniciteit is onze geneigdheid om de kaart te verwarren met het gebied, om te focussen op ‘zuivere’ en nauwkeurig gedefinieerde ‘vormen’. Wanneer deze ideeën en klip-en-klare constructen ons hoofd bevolken, verkiezen we die boven andere minder elegante objecten met een groezelige en minder doorzichtige structuur. Het maakt dat we denken meer te begrijpen dan we feitelijk doen. Dat we zo denken, bespraken we ook al in punt 2.3 maar daar werd dit fenomeen veroorzaakt door epistemische arrogantie. Dat hier platoniciteit de boosdoener is, betekent dat het fenomeen niet monocausaal is.
Het raamwerk dat Joseph T. Wells, de grondlegger van de ACFE, aan het einde van de negentigerjaren van de twintigste eeuw ontwierp voor het classificeren van 46 fraudearchetypen kan doorgaan voor een dergelijke ‘kaart’ van het ‘fraudegebied’.
Ofschoon de ‘kaart van Wells’ algemene erkenning geniet – waarvan de bij ons weten veelvuldige, zonder uitzondering kritiekloze, vermeldingen in de vakliteratuur getuigen, mogen we niet uit het oog verliezen dat het een model is; het is, anders gezegd, een intellectuele kaart van de werkelijkheid, die niet noodzakelijkerwijs samenvalt met de werkelijkheid.
Bij de bespreking van de fraudedriehoek (zie het artikel van vorige week) stelden we al dat modellen onvolkomen zijn maar dat betekent niet noodzakelijk dat ze altijd fout zijn; ze zijn alleen fout in sommige specifieke toepassingen. Het probleem is echter dat (a) je vooraf niet weet waar de kaart fout is (alleen achteraf), en (b) de fouten grote gevolgen kunnen hebben.
Deze modellen zijn te vergelijken met in potentie goede medicijnen die lukrake maar zeer ernstige bijwerkingen hebben.
De classificatie van Wells heeft zeker haar verdiensten. Ze geeft overzichtelijk weer met welke fraudetypes een organisatie kan geconfronteerd worden en brengt ze onder in drie grote groepen: verslaggevingsfraude, fraude met bedrijfsmiddelen en corruptie. Onze studie focust enkel op de eerste groep.
Al deze fraudetypen moeten worden overlopen tijdens de FRA. Appendix D van de richtlijn ‘Managing the Business Risk of Fraud. A Practical Guide’ van de ACFE bevat een raamwerk voor het op systematische wijze in kaart brengen van de frauderisico’s. Dergelijke raamwerken worden fraud risk assessment grids (kortweg FRA-grids) genoemd; met dergelijke grids worden assessments vastgelegd en gedocumenteerd.
Appendix D is slechts een voorbeeld ter illustratie dat uitsluitend focust op potentiële risico’s van omzeterkenning in de financiële staten. De verklarende notitie bij het raamwerk waarschuwt dat gelijkaardige raamwerken ook dienen opgesteld te worden voor andere fraudegevoelige elementen die relevant zijn voor de organisatie.
Ofschoon de ‘kaart van Wells’ al bijna twintig jaar bestaat, heeft ze niet kunnen verhinderen dat de drie auditdisciplines maar weinig fraudes op eigen houtje hebben weten op te sporen. Er moet dan ook iets mis mee zijn. Een mogelijke verklaring ligt besloten in de naam die Wells aan zijn fraudetypes gaf: archetypen.
Een archetype is een geïdealiseerd oermodel dat ten grondslag ligt aan latere varianten. Het is dus een zuivere en nauwkeurig gedefinieerde vorm. Wellicht dat we precies daardoor weinig of geen oog hebben voor fraudes met minder elegante vormen en met minder doorzichtige structuren.
De FRA-grid van appendix D toont helaas alle vertekeningen die hierboven de revue passeerden.
Zo biedt het raamwerk geen garantie dat we nu gaan ‘weten wat we nog niet wisten’. Het voorbeeld geeft ook niet bloot of er ook werd rekening gehouden met relatief zeldzame en minder recente gebeurtenissen. Bovendien valt niet te achterhalen hoe de deelnemers aan dit assessment hun eigen kennis taxeerden, alleen het resultaat: het belang van de geïdentificeerde potentiële frauderisico’s krijgt gewoon het label ‘materieel’, ‘betekenisvol’ of ‘onbetekenend’ mee. Verder versimpelt de grid de werkelijkheid door haar te comprimeren in 8 kolommen. Ten slotte onderschatten mensen de kans op een hoogst onwaarschijnlijke gebeurtenis ernstig en schatten ze frauderisico’s initieel te laag in. Het besproken voorbeeld lijkt ook hieraan onderhevig want van de tien geïdentificeerde frauderisico’s wordt geoordeeld dat (a) de waarschijnlijkheid in zes gevallen ‘redelijkerwijze mogelijk’ is; slechts in één geval schrijft men ‘waarschijnlijk’ en (b) de impact in vijf gevallen ‘gering’ is.
Nu we de psychologische mechanismen kennen die de ware aard van ernstige frauderisico’s vertekenen of zelfs aan ons zicht onttrekken, kunnen we beginnen na te denken over hoe we daarin verandering kunnen brengen. Daarover gaat onze bijdrage van volgende week.
Marc Peeters Registered Fraud Auditor IFA Belgium