Systematische vertekeningen van de werkelijkheid (biases)

Wat zoeken we precies? Dat is de kern van elk fraud risk assessment (FRA). Het doel is frauderisico’s identificeren en schatten. In de praktijk gaat het in een dergelijk assessment over het beoordelen van de kans en de impact van fraude. Wat houden die begrippen precies in en welke waarde moet je eraan hechten?

Zowel interne als externe auditoren ontdekken weinig fraudes, alle gesofisticeerde technieken van fraudedetectie ten spijt. Het jongste frauderapport van de Association of Certified Fraud Examiners (ACFE) is duidelijk:

  • De tip is met 40% de belangrijkste ‘methode’ om bedrijfsfraude in eerste instantie te detecteren.
  • Fraude valt minder op naarmate de detectiemethode vernuftiger wordt. De modernste informaticacontroles behalen met 1% het op één na slechtste resultaat; alleen de bekentenis doet het nog slechter.
  • Een andere markante vaststelling: in 88% van de gedupeerde organisaties was externe audit de meest frequente vorm van controle terwijl via die weg slechts 4% van de gerapporteerde fraudes werd gedetecteerd. Deze observaties suggereren dat we niet te zeer mogen vertrouwen op externe audits als instrument van fraudedetectie.

Wat betekent dit nu voor de veelal externe fraudeauditoren? En wat voor de bedrijfsrevisoren die bij wet onafhankelijke externe auditoren zijn? Ook de detectiecapaciteiten van interne auditoren moeten we in vraag stellen, ook al vonden zij toch 16,5% van de gerapporteerde fraudes.

 

Zoek de structuurfout

Een grootschalig onderzoek van de Vrije Universiteit Brussel uit 2014 leert dat bedrijfsrevisoren niet in staat blijken om het one-year risk of business failure in te schatten, terwijl dat wel tot hun wettelijke taken hoort. Ook eerdere onderzoeken laten zien dat ruim driekwart van de grootste Europese beursdebacles niet door de commissaris was gesignaleerd. Volgens die studies zit er iets structureels verkeerd in het bedrijfsrevisoraat, waardoor continuïteitsproblemen en fraude onontdekt blijven.

Maar het probleem zit niet alleen bij de revisoren. Ook interne en forensische auditoren maken vaak dezelfde methodische fout of structuurfout. Kortom, de drie disciplines zijn in hetzelfde bedje ziek. De vraag moet dus zijn: waar zit de structuurfout en hoe kan eraan verholpen worden?

Het heeft niets te maken met de leeftijd van auditingdisciplines. Het bedrijfsrevisoraat bestaat in zijn huidige vorm al sinds de wet van 22 juli 1953 en het Institute of Internal Auditors (IIA) werd in 1941 opgericht.

De discipline van de forensische audit of fraud auditing bestaat in de Lage Landen weliswaar nog maar ruim 20 jaar, maar ook dat is geen reden waarom er niet méér fraudes worden opgespoord via (proactieve) forensische detectiemethodes.

Nee, de fout zit elders. Sterker nog: ze situeert zich in de drie disciplines op dezelfde plek.

 

Blinde vlekken

 

De blinde vlekken van de interne en externe auditor (niet-limitatieve opsomming) zijn:

  • de bedrevenheid van de fraudeur
  • de frequentie van de manipulatie
  • de omvang van de manipulatie
  • de relatieve omvang van individueel gemanipuleerde bedragen (veel kleine manipulaties kunnen één materiële manipulatie vormen)
  • de anciënniteit van de fraudeur
  • het daderniveau: hoe hoger het niveau, des te moeilijker de detectie
  • beoordelingsfouten bij het nemen van beslissingen (zijn geen fraude maar kunnen erop lijken)
  • externe en interne factoren: we weten niet wat we niet weten
  • beperkingen inherent aan bijvoorbeeld steekproeven als controletechniek
  • de commissaris focust zich voornamelijk op wettelijk geregelde formele controletaken (controle op de Boekhoudwet en het Wetboek Vennootschappen)
  • de hoeveelheid aan wet- en regelgeving over alle aspecten van een bedrijfsvoering is te uitgebreid voor de commissaris om te kunnen overzien

 

De fraudedriehoek draait vierkant

Ook de fraudedriehoek als model om fraude te voorspellen schiet schromelijk te kort. Anders zou het wel beter gesteld zijn met de successen van (externe) auditoren om fraude te detecteren. Nochtans is de fraudedriehoek alomtegenwoordig in de vakliteratuur en wordt hij ingezet bij de identificatie van mogelijke frauderisico’s tijdens fraud risk assessments.

Het is weliswaar zinvol om bij de analyse van fraudes te kijken naar de motieven van de fraudeur, maar het gaat dan vooral om de analyse achteraf. De fraudedriehoek heeft in het geheel geen voorspellend karakter, zoals geen enkel model, omdat modellen niets anders zijn dan versimpelde voorstellingen van de realiteit anno nu die geen rekening kunnen houden met onvoorspelbare toekomstige gebeurtenissen.

Bovendien geeft het model een vals gevoel van veiligheid door slechts drie parameters (druk/motief, gelegenheid en rationalisatie) naar voren te schuiven.

Zo gaat het model er bijvoorbeeld van uit dat er sprake moet zijn van druk; de fraudeur moet met andere woorden een motief hebben om te doen wat hij doet. Er kan daarbij gedacht worden aan motieven die zowel buiten als binnen de

organisatie liggen. Waar het model dus kennelijk geen rekening mee houdt is met zoiets als puur onversneden hebzucht: niet meer willen omdat de fraudeur het nodig heeft maar omdat hij simpelweg méér wil.

Het is de hoogste tijd om de modelfouten van de fraudedriehoek te bestuderen. Er is nog veel werk aan de winkel. De kern van het probleem – de structuurfout – ligt echter niet bij die fraudedriehoek of bij de hoger aangestipte blinde vlekken: zij zijn alleen maar het resultaat en niet de oorzaak van het probleem.