1 Inleiding
Fraude, niet meteen een begrip waarmee men als organisatie graag wenst geconfronteerd en/of geassocieerd te worden. Maar hoe kan een organisatie zich nu precies wapenen tegen het risico op fraude? Wat zet mensen ertoe aan om fraude te plegen? Wat zijn de meest voorkomende vormen van fraude? Hoe reageren organisaties op en communiceren ze over de binnen hun organisatie gedetecteerde fraudegevallen? Het zijn slechts enkele aspecten die behandeld worden in het afstudeerreferaat van Steven Mulier, student forensic auditing aan de Antwerp Management School 2013-2014. Steven Mulier spitste zich hierbij in het bijzonder toe op de Vlaamse publieke sector. Op basis van een rondvraag ging hij op zoek naar antwoorden op de hiervoor geciteerde vragen. In totaal namen 58 van 695 aangesproken besturen deel aan het onderzoek waaronder diverse intern en extern verzelfstandigde agentschappen van de Vlaamse overheid, gemeente- en provinciebesturen en OCMW’s. Laten we enige punten uit het referaat kort toelichten.
2 Situering
In het dagelijks leven worden we voortdurend aan allerhande risico’s blootgesteld, risico’s die de realisatie van de organisatiedoelstellingen in het gedrang kunnen brengen. Fraude behoort tot één van deze risico’s en kan worden omschreven als ‘elke onwettige handeling gekenmerkt door bedrog, verzwijging of misbruik van vertrouwen, niet afhankelijk van toepassing van dreiging van geweld of fysieke kracht’. Fraude wordt gepleegd door partijen en/of organisaties om geld, goederen, diensten te verkrijgen, om de betaling of het verlies van diensten te voorkomen, om een persoonlijk of zakelijk voordeel veilig te stellen’[1]. Diverse factoren zoals druk, rationalisatie en gelegenheid kunnen mensen ertoe aanzetten om fraude te plegen. Hoeveel Vlaamse besturen de afgelopen jaren met een fraudegeval af te rekenen hadden en wat de omvang ervan was, valt moeilijk te becijferen gezien hierover niet openlijk wordt gecommuniceerd en/of omdat het fraudegeval tot dusver niet werd gedetecteerd. Feit is wel dat tweeëntwintig besturen tijdens het onderzoek hebben aangegeven de voorbije vijf jaar met minimum één fraudegeval binnen hun bestuur te zijn geconfronteerd. De meest geciteerde vormen van fraude zijn kasgeldfraude (bv. het ontvreemden van geld uit de kaslade of kluis), onregelmatigheden bij het beheer van budgetrekeningen of rekeningen van bewonersgelden[2], het vervreemden van gemeenschaps-goederen of bedrijfsmiddelen zoals rollend materieel en bouwmaterialen, de niet facturatie van geleverde prestaties (bv. inkomsten uit evenementen, de verstrekking van middagmalen, kinderopvang, verhuur van sportterreinen, de verkoop van strooizout, het verrichten van onderhoudswerken door medewerkers van de groendienst op privaat domein tijdens de reguliere werkuren, misbruik van de tankkaart e.d.), het aanvaarden van (buiten proportionele) relatiegeschenken en onregelmatigheden bij aanbestedingen.
Een kant-en-klaar profiel van de fraudepleger bestaat er evenwel niet. Mannen[3] in de leeftijdscategorie van 36 t.e.m. 55 jaar scoren het slechtst. Een opvallende vaststelling is verder dat er enkele fraudegevallen werden gerapporteerd die werden gepleegd door personen van meer dan 55 jaar. Zowel administratief medewerkers, maatschappelijk werkers, vrijwilligers die instaan voor het beheer van de kas, medewerkers van de dienst boekhouding en/of technische dienst, schooldirecteuren als cliënten blijken de oneerbare titel van fraudeur te verwerven. De omvang van de fraude blijkt op te lopen van enkele tientallen tot enkele (tien)duizenden euro’s.
3 Fraudepreventie, -detectie en -respons
Niettegenstaande het risico op fraude nooit volledig kan worden uitgesloten, is het aangewezen dat de openbare besturen voldoende en blijvende aandacht besteden aan fraudepreventie, -detectie en -respons.
Een belangrijke stap in het proces van fraudepreventie, -detectie en -respons is het systematisch inventariseren, analyseren, evalueren van en adequaat reageren op risico’s. Dit proces is beter bekend onder het begrip ‘risicomanagement’. Het dient ertoe bij te dragen dat risico’s tijdig worden gedetecteerd en gecommuniceerd, zodat de beleidsmakers, het management(team) e.d. gepaste acties kunnen ondernemen om de impact en probabiliteit van deze risico’s te beperken. Enkele mogelijke preventieve maatregelen zijn: het uitschrijven van een deontologische code[4], werkinstructies en procedures (dit kan gebeuren na een interactief proces met input en overleg tussen de beleidsmakers, het management en de medewerkers op de werkvloer), het communiceren van deze procedures e.d. naar het personeel toe (bijvoorbeeld bij de indiensttreding van nieuwe medewerkers, het organiseren van sensibiliseringscampagnes of het publiceren van boodschappen op het intranet, het verhogen van de verantwoordingszin en het kostenbewustzijn bij de medewerkers, het voorzien van functiescheiding en -rotatie, het systematisch nazicht van dossiers door een hiërarchische overste, enz.). Daarnaast speelt ook de organisatiecultuur (in het bijzonder het voorbeeldgedrag van het management), de organisatiestructuur (bevoegdheidsdelegatie, span / depth of control), het personeelsbeleid[5] (correcte in-, uit- en doorstroom van mensen, correcte verloning e.d.) een essentiële rol. Binnen een veertigtal besturen is er overigens één of zijn er meerdere vertrouwenspersonen aangesteld bij wie medewerkers met ethische vragen en/of ongewenst gedrag terecht kunnen. Voorts blijken zesendertig van de achtenvijftig besturen die aan het onderzoek hebben deelgenomen actief aan risicomanagement te doen. In zeventien besturen worden hiertoe periodiek workshops georganiseerd waaraan zowel de leidend ambtenaar, de financieel directeur/beheerder, afdelings- en diensthoofden en stafmedewerkers (m.a.w. het managementteam) deelnemen. Zestien besturen roepen hiervoor de hulp in van een extern adviesbureau. Het proces wordt doorgaans aangestuurd door de leidend ambtenaar. In veertig procent van de gevallen dateert de laatste risicoanalyse van maximaal zes maanden terug. Zevenenzeventig procent van de besturen die nog niet aan risicomanagement doen, wensen het proces dit jaar of binnen een termijn van vijf jaar binnen hun organisatie te initiëren.
Op het vlak van risico-/fraudedetectie dient men oog te hebben voor de signalen uit de interne en externe omgeving (bv. toename van het aantal klachten, medewerkers die zich plots anders gaan gedragen, toename van bepaalde uitgaven e.d.). Bij deze fraudedetectie kan o.m. gebruik gemaakt worden van ratio- en trendanalyses, kan er door de eigen en/of centrale interne auditdienst een detectie-audit worden verricht. Ook andere instrumenten zoals het systematisch nazicht van dossiers (bv. personeelsdossiers, curriculum vitae, dossiers van de sociale dienst, betaalopdrachten e.d.) behoren tot de mogelijkheden, al dient men zich daarbij te houden aan de geldende wet- en regelgeving[6]. Uit het onderzoek blijkt overigens dat de fraude meestal (47% van de gevallen) toevallig aan het licht komt tijdens een toevallige controle. In vijftien procent van de gevallen werd de fraude gemeld door een klokkenluider of door een klant/leverancier. In zes procent van de gevallen stelde de financiële instelling (mogelijke) onregelmatigheden vast en werd het betrokken bestuur hierover ingelicht.
Ambtenaren die tijdens de uitoefening van hun ambt onregelmatigheden vaststellen, dienen hun hiërarchische overste(n) en/of de Procureur des Konings[7] onmiddellijk hierover te informeren. Doet de medewerker dit niet, dan loopt men het risico dat de fraude blijft aanhouden of zelfs nog uitbreiding neemt. De melding van de onregelmatigheden kan tevens via een ander kanaal geschieden, denken we hierbij aan de Vlaamse ombudsman, het agentschap Audit Vlaanderen, het virtueel meldpunt Integriteit van de Vlaamse overheid[8], het Rekenhof, de commissaris-revisor enz. Ook de modale burger, klanten en/of leveranciers kunnen mogelijke onregelmatigheden in hun relatie met de Vlaamse overheid en lokale besturen waarover ze kennis hebben, melden via bv. de Vlaamse Infolijn[9]. In dit laatste geval wordt hun melding onmiddellijk doorgespeeld naar het agentschap Audit Vlaanderen. Op basis van een dergelijke melding kan er een administratief onderzoek worden opgestart. Tijdens dit proces worden er gegevens verzameld, gecontroleerd, bewerkt, geanalyseerd en wordt erover gerapporteerd met het oog op waarheidsvinding en/of bewijsvoering op het terrein van juridische/financiële geschillen en/of onregelmatigheden en het geven van preventieve adviezen[10]. Wat de communicatie over fraude aanbelangt, blijkt er in de praktijk slechts in heel weinig gevallen intern en/of extern over gecommuniceerd te worden. Op deze manier wenst men zich te behoeden tegen mogelijke imagoschade, procedurefouten of schending van de privacy. De interne communicatie beperkt zich voornamelijk tot het melden van het voorval aan de leidend ambtenaar, hun bestuursorgaan (bv. raad voor maatschappelijk welzijn, College van Burgemeester en Schepenen) en in enkele gevallen de directe collega’s van de fraudepleger(s). Slechts in een beperkt aantal gevallen wordt de interne/externe auditdienst gecontacteerd. Dit laatste gebeurt meestal pas als medewerkers echt geen andere uitweg meer vinden. Voor wat de externe communicatie betreft, gaat het om meldingen aan het Rekenhof, de commissaris (revisor), de minister(s) tot wiens beleidsdomein de entiteit behoort en/of aan de Procureur des Konings. Fraudegevallen gepleegd door eigen medewerkers leiden meestal tot het onmiddellijke ontslag. Slechts in een aantal gevallen wordt er alternatieve (tucht)straf voorzien (bv. overplaatsing naar een andere dienst of afdeling, terugzetting in rang). Klanten die fraude plegen (bv. indienen van valse aangiftes m.b.t. hun domicilie, inkomsten en gezinssamenstelling), lopen het risico dat de sociale dienstverlening t.a.v. hen onmiddellijk wordt stopgezet.
Eenmaal een fraudegeval gedetecteerd en onderzocht werd, dienen de bestuursorganen en het management er blijvend op toe te zien dat de interne procedures en gedragslijnen worden nageleefd, de processchema’s systematisch worden bijgewerkt en dat de in het interne controlesysteem gedetecteerde tekortkomingen (adequaat en effectief) worden weggewerkt. Voor zover het bestuur over een interne auditdienst of -functie beschikt, dient deze dienst of functie er op toe te zien dat het management voldoende aandacht besteedt aan de aanbevelingen uit hun auditrapporten. Stellen zij vast dat dit niet of onvoldoende het geval is, dan dienen zij dit te melden aan het interne auditcomité[11].
Wie meer informatie wenst te bekomen over het referaat ‘Fraude binnen de Vlaamse publieke sector’, kan hiervoor terecht op de website… en/of via het emailadres auditor@live.be.
[1] Definitie gehanteerd door The Institute of Internal Auditors.
[2] Vele Vlaamse OCMW’s staan in voor het financiële beheer van de inkomsten/uitgaven van hun cliënten. In het bijzonder van cliënten die niet of niet langer instaat zijn om hun middelen zelf nog te beheren (bv. personen met schulden omwille van een gok-/alcoholverslaving, senioren in een woon- en zorgcentrum zonder familieleden enz.).
[3] Ongeveer 2/3 van de gerapporteerde fraudegevallen.
[4] 55 op de 58 deelnemende besturen blijkt over een deontologische code of waardencharter te beschikken.
[5] Sinds eind 2013 gelden er binnen de Vlaamse overheid nieuwe regels op het vlak van de verloning zie ook de artikelen 19 t.e.m. 26 van het decreet betreffende deugdelijk bestuur in de publieke sector.
[6] Er gelden immers specifieke regels voor de inzage in de correspondentie van medewerkers (briefgeheim), het uitpluizen van het internetverkeer en mailboxen, het fouilleren van medewerkers, het afluisteren van telefoongesprekken, het openen en/of doorsnuffelen van opbergruimtes waarin medewerkers persoonlijke spullen en documenten bewaren enz.
[7] Cf. het artikel 29 van het Wetboek Strafvordering.
[8] http://www.bestuurszaken.be/virtueel-bureau-integriteit.
[9] Te bereiken op het gratis telefoonnummer 1700.
[10] Cf. vertaling van de definiëring van het begrip Forensic Audit (http://www.thesorafisc.be).
[11] Cf. de performance standards 2500 ‘Monitoring Progress’ en 2600 ‘Resolution of Management’s Acceptance of Risks van het Institute of Internal Auditors (IIA).
Publicatie in Kluwer magazine (Audit - Control en Governance) + summary zie bijlage