Is Fraud Auditing op weg naar volwassenheid?

Onlangs hadden we een interview met de afscheidnemende IFA-voorzitter Evert-Jan Lammers. Zijn beroepsvereniging Institute of Fraud Auditors (IFA) werd 16 jaar geleden opgericht in Brussel, waarbij hij destijds initiatiefnemer en een van de oprichters was. Vorige week zwaaide hij af als voorzitter 2014-2017. Evert-Jan was ook een van de keynotes bij het afgelopen Risk & Compliance Jaarcongres, waar hij sprak over de ophanden zijnde wetgeving vanuit de EU op het gebied van bestrijding financieel-economische criminaliteit. Wij vroegen hem naar de uitdagingen voor het beroep in de komende jaren.

Risk & Compliance Platform Europe: Kun je eerst in enkele woorden ons een beeld geven van het IFA?
Lammers: “IFA is een onafhankelijke en niet-commerciële beroepsvereniging, waarvan de beroepsopleiding wordt aangeboden door de Antwerp Management School: de Masterclass Fraud Auditing. Sinds de start in 2001 hebben meer dan 250 professionals deze beroepsopleiding gevolgd en heeft IFA er evenzoveel erkend als Registered Fraud Auditor. De afgestudeerden werken aan preventie, detectie en onderzoek betreffende financieel-economische criminaliteit. Ze zijn vooral werkzaam bij interne audit diensten, auditkantoren, politie, justitie, overheden en toezichthouders. Er zijn ook enkele buitenlandse professionals erkend die in België werken, zoals bij de Europese Commissie en bij internationale kantoren.”

Risk & Compliance Platform Europe: Mogen we stellen dat IFA inmiddels een volwassen beroepsvereniging is geworden?
Lammers: “Een economisch beroep is volwassen wanneer alle stakeholders ermee overweg kunnen. Dit jonge beroep is goed op weg. De eerste Registered Fraud Auditors (2003) werkten bij banken en politie. Interne en externe accountancy volgden meteen. Overheden en toezichthouders sloten iets later aan. De erkenning als nationale beroepsfederatie (2009) was een belangrijke stap. Daarmee werden ook de beroepstitel, de beroepsopleiding en de permanente vorming vastgelegd. Nu moet het wettelijk kader nog worden aangepast zodat het beroep zich echt kan gaan ontplooien.”

Risk & Compliance Platform Europe: Is het wettelijk kader nu beperkend?
Lammers: “De huidige wet is de detectivewet van 1991. Deze is tot stand gekomen uit wantrouwen. Het definieert de private onderzoeker als een informant van het Openbaar Ministerie. Er is geen ruimte voorzien om organisaties bij te staan op het gebied van hun risk management. De beroepsopleiding sluit direct aan op het middelbaar onderwijs. Je leert er observeren, achtervolgen, opnames maken, interviewen, etc… Detectives onderzoeken meestal “petty crimes”, zoals overspel, chantage, verzekeringsfraude en winkeldiefstal. De permanente vorming is beperkt.

Dit sluit onvoldoende aan bij de huidige behoeften. Financieel-economische criminaliteit heeft zich in die 26 jaar namelijk in een andere richting ontwikkeld: georganiseerd, internationaal, digitaal en fiscaal. Er is behoefte aan professionals die handelen en denken op het niveau van bestuurders, auditors, toezichthouders en justitie. De RFA-beroepsopleiding is dan ook postuniversitair. En een RFA moet jaarlijks vijf dagen bijscholen in plaats van een dag. Gelukkig voorziet het huidige regeerakkoord in een (grondige) herziening van de wet van 1991.”

Risk & Compliance Platform Europe: Wat is de toegevoegde waarde van een RFA (Registered Fraud Auditor)?
Lammers: “Ons doel is het opleiden en professioneel omkaderen van RFA’s voor de bestrijding van financieel-economische criminaliteit. Onze visie is dat publiek-private samenwerking in bestrijding van financieel-economische criminaliteit maatschappelijke voordelen biedt. Zolang daarvoor geen wettelijk kader bestaat, ondersteunen wij de individuele actoren in hun werk: bedrijven, toezichthouders, overheden, politie, justitie en academici. We proberen om ze allemaal dezelfde basis bij te brengen middels gezamenlijke bijeenkomsten en het delen van informatie. Regelmatig verandert daarbij het speelveld.

Een RFA moet op alle fronten van fraude thuis zijn: fraud risk governance, fraud risk assessments, preventie, detectie, onderzoek en monitoring. Onze normen, beroepsopleiding, en permanente vorming stemmen we af op de ontwikkelingen. Vorig jaar nodigden we de Bijzondere Belastinginspectie uit om een workshop te geven over de Panama Papers. Daar kwamen RFA’s op af uit alle disciplines: banken, advocaten, revisoren, accountants. Recent hebben we de Fraud Risk Management Guide van COSO (2016) aangeduid als dé norm voor antifraudebeleid in organisaties. We gaan daar een workshop over organiseren en daar zullen zich bijvoorbeeld ook magistraten voor inschrijven. Ze leren daar wat ze mogen verwachten van bedrijven.”

Risk & Compliance Platform Europe: Weke uitdagingen liggen er verder?
Lammers: “Er zijn “quick wins” te behalen, maar er zijn ook uitdagingen die nog jaren aandacht vragen. Ik noem er een vijftal, waaronder ook enkele zeer lastige:

Minder versnippering
De anti-fraud community is verdeeld over verschillende ¬organisaties zoals IFA, ACFE, CFIB, IIA, ISACA, Transparency International en CPS, maar ook compliance officers, risk managers en bedrijfsjuristen. En wat te denken van advocaten, toezichthouders en magistraten. In opkomst: Cybercrime platforms, agentschappen, financiële opsporingsdiensten (FOD’s) en de ombudsman. Er is een enorme versnippering van ervaring en van kennis. In de afgelopen jaren hebben we enkele keren met succes gezamenlijke activiteiten georganiseerd, maar het is nog te weinig. IFA heeft die rol opgepakt en moet volhouden.

Brede beroepsopleiding
Er is nood aan een Engelstalige beroepsopleiding voor RFA’s, die tevens voorbereidt voor het CFE-examen van de ACFE. Negentig procent van het studiemateriaal is internationaal uitwisselbaar (behalve de wettelijke context natuurlijk). Alle stakeholders doen hier hun voordeel mee. Tevens kun je in een Engelstalig programma werken met gastdocenten uit het buitenland: personen met een bijzondere ervaring, bijvoorbeeld een SEC-monitor, een commissaris van Europol, of een expert van de Wereldbank. Mensen die kunnen inspireren en het niveau verder omhoog trekken. De RFA van de toekomst denkt internationaal, holistisch, en het is onze verantwoordelijkheid om dat aan te leren. Hier wordt aan gewerkt.

Multidisciplinaire aanpak
Fraud Auditors moeten kunnen samenwerken met andere disciplines zoals advocaten, IT-experts, accountants en auditors. Hun methoden moeten dus goed op elkaar aansluiten. Onze erkenning van de Fraud Risk Management Guide van COSO is een goed voorbeeld hiervan: één vocabulaire, één methodologie, en internationaal.

Publiek-private samenwerking
Fraud Auditors zien zonder uitzondering het nut en de noodzaak in van publiek-private samenwerking voor een betere bestrijding van financieel-economische criminaliteit. Of ze nu in de publieke sector werken, de private sector of bij de magistratuur. Helaas heeft de overheid traditioneel de neiging om te reguleren en te regelen, in plaats van te stimuleren. Zo woekeren er websites, meldpunten, brochures, wetten, instanties, etc… Politici stellen soms daadkracht boven visie met als argument dat het vijf voor twaalf is. Maar bij financieel-economische criminaliteit zal het altijd vijf voor twaalf zijn. Dat verplicht juist tot de tegenovergestelde reactie: luisteren en samenwerken, om zo tot komen tot een degelijke structuur en aanpak: multidisciplinair, publiek-privaat, stimulerend. IFA heeft al studies in die richting gepubliceerd en moet dit blijven uitdragen.

Attitudeverandering
Antifraudebeleid is een “inconvenient truth”: we weten dat het helpt maar we handelen er niet naar want het kost tijd en geld. Financieel-economische criminaliteit neemt dus toe, het rendeert, het floreert. We laten ons hacken, bespioneren, bestelen, omkopen, witwassen. Ondertussen wordt zichtbaar dat dit geen “collateral damage” is van ons relatief liberale economische beleid, maar dat het onze fundamenten raakt: onze bedrijfsgeheimen, de bereikbaarheid van onze websites, de elektriciteit in een ziekenhuis, de veiligheid van een kerncentrale, de prijzen van ons onroerend goed, de financiering van dictaturen. Er is een attitudeverandering nodig, eerst bij onze leiders en bestuurders, dan bij personeelsleden en consumenten. Dit vereist visie: Hoe gaan we er over vijf jaar mee om? Waar willen we over tien jaar staan? Welke normen zullen we dan hanteren? En wat doet de rest van de wereld?”

Risk & Compliance Platform Europe: Enig idee wat kan er op korte termijn verbeterd kan worden?
Lammers: “Er liggen ook wel enkele verbeteringen voor het oprapen. Zo werk ik momenteel aan voorlichtingscampagne om bedrijfsleiders te informeren over de dreiging van financieel-economische criminaliteit en de beschikbaarheid van “quick wins” op dit vlak. Zo proberen we te stimuleren dat bedrijfsleiders een realistische visie ontwikkelen en krachtige maatregelen invoeren die ons potentieel echt beschermen. Ik stel vast dat we al jaren weten hoe het beter kan, maar dat die boodschap nog maar weinig organisaties heeft bereikt. De meeste grote bedrijven zijn ermee bezig, maar daaronder is de spoeling te dun.”

Risk & Compliance Platform Europe: Dat klinkt goed, maar heb je dan in concreto enkele “quick wins” voor die bedrijven?
Lammers: “Ik noem vijf maatregelen van antifraudebeleid waarvan is bewezen dat ze het risico van schade substantieel verminderen. Elke bedrijfsleider kan zelf beslissen of en in welke mate hij die wil invoeren, er is geen wet die dat precies voorschrijft. Maar hij moet die beslissing wel kunnen uitleggen aan zijn bestuur, aandeelhouders en afnemers. Deze boodschap is dus net zozeer bestemd voor de stakeholders.

1. Gebruik proactieve transactie-monitoring en data-analyse om fraude op te sporen;
2. Voer een eigen ethics hotline in;
3. De directie moet zelf ook transacties, posities en overeenkomsten controleren, niet altijd alles delegeren;
4. Hanteer verrassingscontroles, mystery shopping, onverwachte stock names;
5. Hanteer job rotatie, alsmede verplichte vakantieopname met vervanging tijdens de vakanties.

De volledige studie verschijnt in september aanstaande in samenwerking met een werkgeversorganisatie, die deze echt zal gaan promoten onder haar leden.”

Risk & Compliance Platform Europe: Dank Evert-Jan voor je openhartigheid en succes met je project voor september.
Lammers: “Graag gedaan en tot ziens weer bij een van jullie Congressen.”

Evert-Jan Lammers is qua vorming economist, registeraccountant en RFA.  Sinds 2014 is hij partner bij EBBEN, daarvoor was hij werkzaam bij KPMG in Amsterdam, Parijs en Brussel. Hij is jarenlang voorzitter geweest van het Institute of Fraud Auditors (IFA). Evert-Jan is tevens de voorzitter van het Platform International Cooperation van Institute for Financial Crime in Den Haag, penningmeester van Transparency International Belgium, voorzitter European Rating House te Brussel en Executive Professor Antwerp Management School.

Door auteur: Michel Klompmaker van Risk & Compliance Platform Europe.

Bron: http://www.riskcompliance.nl/news/is-fraud-auditing-op-weg-naar-volwassenheid/