Anti Fraude Strategie in een IT organisatie

Over de vraag of een Anti Fraude Strategie nodig is hoeven we niet lang na te denken. Het plegen van fraude om zichzelf te verrijken is echter iets van alle eeuwen. Ook in omgevingen waar men veel IT gebruikt komt fraude voor. Ontwikkelaars worden zich echter steeds bewuster van de fraude gevoeligheid van systemen terwijl IT auditors met een fraude bril de complete IT opzet doorlichten. Er is veel aangelegen om fraude te voorkomen en als die eenmaal gepleegd is de daders te achterhalen. Er staat namelijk nogal wat op het spel:

• De reputatie van de organisatie kan bijvoorbeeld een enorme klap krijgen als blijkt dat medewerkers fraude hebben gepleegd of kunnen plegen.
• Direct verlies van kapitaal heeft tevens gevolgen voor aandeelhouders, kaspositie en voortbestaan van de organisatie.
• Klanten zullen zich anders opstellen zodat de omzet enorm kan dalen.
• Leveranciers zullen hun leveringsvoorwaarden veranderen en snellere betaling van de facturen eisen.
• De beurswaarde van het bedrijf zal dalen doordat aandeelhouders massaal hun aandelen verkopen.
• Hoog gekwalificeerde medewerkers zullen bovendien liever een andere werkgever zoeken.

Door de Anti Fraude Strategie actief te ondersteunen neemt het management dus een verantwoordelijke stap en kunnen zij de aanpak van bovenaf opleggen. De Anti Fraude waarden kunnen we tevens onderdeel maken van de business missie en strategie en weerspiegelen het belang van de fraudebestrijding in de organisatie.

Het kader van de Anti Fraude Strategie

Het beleid rondom de fraudebestrijding dient te bepalen dat de organisatie zich inzet om een omgeving te creëren die fraude ontmoedigt en daarnaast fraudepreventie aanmoedigt. Fraudepreventie heeft uiteindelijk betrekking op het effectieve gebruik van middelen en de minimalisering van ondoorzichtigheid en wanbeheer. Fraude moeten we bij de bron voorkomen. Fraude bloeit namelijk in een omgeving waar onvoldoende controles zijn op transparantie, misbruik en wanbeheer. Waar de nadruk bij fraudepreventie in plaats van fraudeonderzoek komt te liggen zal dat juist leiden tot een vermindering van ondoorzichtigheid, misbruik en wanbeheer. Op deze manier heeft fraudepreventie dus een bijkomend gunstig effect op de kosten.

Een Anti Fraude Strategie voor een IT organisatie heeft de volgende kenmerken:

• Transparante en ondubbelzinnige besluitvorming door het management ten aanzien van fraude.
• De bevordering van fraudepreventie principes in de organisatie om ervoor te zorgen dat men er zich bewust van is dat we frauduleuze handelingen niet tolereren.
• Het management ontwikkelt en implementeert een cultuur waarin fraudebestrijding naast de preventie van fraude normaal is.
• Aanmoedigen van de melding van fraude en corruptie binnen de organisatie. Hiervoor dient tevens een goedgekeurde interne rapportageprocedure aanwezig te zijn.
• Het voeren van beleid dat ethisch gedrag door management en medewerkers bevordert.
• Het afsluiten van een verzekering tegen fraude schade.

Anti fraude procedures

Het management stuurt op fraude door procedures in te richten voor:

• Interne controles en naleving van die controles.
• Overleg met de interne audit afdeling. Aan de orde komen bijvoorbeeld de beoordeling van fraude risico’s, de kansen om fraude te herkennen en preventieve maatregelen.
• Het onderzoek naar beschuldigingen van fraude of frauduleuze opzet.
• Adequate reacties als fraude bewezen is. Dit kunnen bijvoorbeeld disciplinair optreden of het doen van aangifte zijn.
• Bekend maken van fraudegevallen met de genomen maatregelen en acties.
• Verspreiding van de gedragscode onder de medewerkers om ze er op te wijzen dat ze verplicht zijn om te handelen bij frauduleus en corrupt gedrag.

Herkennen van frauduleus en corrupt gedrag

Er zijn een aantal signalen die medewerkers kunnen helpen bij het herkennen van frauduleus en corrupt gedrag. Let op:

• Ongeautoriseerde wijzigingen in systemen.
• Wijziging van bestanden zoals checklisten, logboeken, urenregistraties, enzovoort.
• Ontbrekende documenten of een gebrek aan registratie.
• Medewerkers die boven hun stand leven.
• Medewerkers die vaak samenspannen en mogelijk een scam uitwerken.
• Een medewerker die geen lange vakanties neemt.
• Vreemde verklaringen die medewerkers geven voor ongewone acties of gebeurtenissen.
• Potentiële belangenconflicten die medewerkers niet melden.
• Managers die proberen om medewerkers in de uitoefening van hun taken te beïnvloeden.
• Medewerkers die proberen om andere medewerkers te beïnvloeden om in strijd met het beleid of de procedures van het management of om illegaal te handelen.
• Onrechtmatige geheimhouding van activiteiten.

Bijzondere risico’s voor managers zijn onder andere:

• Belangenconflicten.
• Het aannemen van geschenken en voordelen.
• De opslag van informatie op afwijkende plekken.
• Werving van medewerkers door concurrenten.
• Inkoop- en aanbestedingsprocedures.
• Het ontwikkelen en aanpassen van software.
• Onvoldoende functiescheiding binnen applicaties.
• Uitbetaling van cash-bedragen.
• Betaling van facturen zonder onderliggend project of opdracht.
• Het (niet) delegeren van taken.
• Complotten van meerdere medewerkers die samen een scam uit werken zijn vaak moeilijk te traceren.
• Urenregistraties.
• Gebruik van middelen van de organisatie (computer, telefoon, auto).
• Voorraadadministratie en controle.
• Bedreigingen van buitenaf zoals internet fraude.

Daarom moeten we om te beginnen deze risico’s en de ingestelde controles en maatregelen beschrijven in een strategisch document.

Rapportage van fraude

De interne rapportageprocedure van de organisatie moet het mogelijk maken om frauduleus en corrupt gedrag vertrouwelijk te kunnen melden. Melders moeten we beschermen tegen represailles, ook als dit juridische stappen blijken de zijn.

Discussieer mee op LinkedIn.