Al te goed van vertrouwen…

“Vertrouwt niet op prinsen, op des mensen kind, bij hetwelk geen heil is.” Weinigen zullen zich deze versregel uit psalm 146 herinneren. Wij zijn zelf immers altijd integer, want wij kunnen ons handelen en dat van onze naasten rechtvaardigen; wij zijn te vertrouwen. Bij derden gaat het wel eens mis, maar dat gaat om incidenten, uitzonderingen op de regel; derden zijn daarom ook te vertrouwen.

Een beetje integer bestaat toch niet? Dus is iedereen integer? Het wordt tijd voor het inzicht dat wij uit onszelf helemaal niet zo zuiver zijn in ons handelen, dat we allemaal, vrijwel zonder uitzondering, in staat zijn tot fout of, meer modieus, stout gedrag en dat het om een risico van materieel belang gaat.

Vertrouwen in mensen, onze medewerkers, onze collega’s, mag geen vanzelfsprekendheid zijn. Vertrouwen dient de uitkomst te zijn van een gedegen proces. En mochten we daar zelf niet in geloven, gezien de wet- en regelgeving moeten we daar dan maar aan geloven. Door wet- en regelgeving worden aan (topfunctionarissen van) organisaties steeds meer verantwoordelijkheden toegedacht wat betreft de beheersing van fraude en de integriteit.

Op grond van dwingende internationale accountantsstandaarden moet de accountant zich ervan overtuigen dat een organisatie in voldoende mate het frauderisico beheerst (ISA 240, SAS 99). Volgens de recente richtlijn 5 van de Public Company Accounting Oversight Board (PCAOB) dient fraudebeheersing de hoogste prioriteit te hebben van het audit committee.

Toezichthouders eisen integere bedrijfsvoering. Ingeval van stoute werknemers kan het bestuur in bepaalde gevallen civiel- en strafrechtelijk aansprakelijk worden gesteld, waarbij die aansprakelijkheid afneemt als dat bestuur kan aantonen alles binnen zijn macht te hebben gedaan om die werknemer van zijn stoute gedrag te weerhouden (US Federal Sentencing Guidelines, Foreign Corrupt Practices Act).

SCHADE EN SCHANDE

Een organisatie die fraude- en integriteitsbeheersing nog niet als een integraal beheersingsproces heeft ingericht, en dat zijn de meesten, loopt grote risico’s. Slachtoffers van fraude worden vaak gezien als dom en naïef. Fraude is fnuikend voor het bedrijfsimago. Organisaties schamen zich vaak zodanig dat ze de gebeurtenissen liefst verhullen, met alle nadelige gevolgen van dien, vooral als er sprake is van toezichthoudende instanties als AFM of SEC.

Fraude en andere integriteitsinbreuken zijn volgens de Amerikaanse Association of Certified Fraud Examiners goed voor een gemiddelde schade die wordt geschat op ongeveer vijf procent van de netto jaaromzet. Het gaat wereldwijd om honderden miljarden in welke valuta dan ook. Naar schatting wordt een op de duizend werknemers per jaar betrapt op een fraude die ontslag op staande voet en soms vervolging rechtvaardigt. De financiële en maatschappelijke schade van fraude is enorm groot.

Een goede graadmeter van fraudebeheersing vormt de eenvoud waarmee een aantoonbaar stoute werknemer de deur kan worden gewezen. Als de werknemer met succes op nalatigheid van de werkgever kan wijzen en op die grond een relatief omvangrijke schadevergoeding meekrijgt, is dat een indicatie dat de organisatie nog een forse stap vooruit kan maken. Analyse van ontslagdossiers is dan ook altijd een vruchtbare bron van informatie bij de opzet van een beheersingsproces rond fraude en integriteit.

Vaak ontbreekt het aan een goed normgevend kader, is er sprake van een fnuikende bedrijfscultuur, is er geen goede tussentijdse evaluatie of is de omgang met het geconstateerde incident zodanig geweest, dat de werkgever zichzelf op achterstand heeft gezet. Uiteraard beperkt fraude- en integriteitsbeheersing zich niet tot de verhouding tussen werknemer en werkgever.

Het gaat in feite om vitale processen van een organisatie. Hoe wordt omzet verkregen? Wat is de handelwijze van de inkoopafdeling? Hoe wordt met toegangscodes omgegaan? Wat weten we eigenlijk echt van de partijen met wie we zaken doen? Wat weten we eigenlijk van onze eigen werknemers? Beseffen we eigenlijk wel dat managers de meeste schade kunnen aanrichten als het fraude om gaat? Op welke wijze geeft de leiding inhoud aan de ‘tone at the top’?

NAÏVITEIT

Helaas gaat de uitdrukking ‘door schade en schande wijs’ in geval van fraude- en integriteitsbeheersing zelden op. Er heerst veel naïviteit. Incidenten suggereren wat betreft benaming de uitzondering op de regel. De gedachten dat organisaties op vertrouwen moeten worden gedreven of dat een beetje integer niet bestaat, zijn hier debet aan.

De twee zaken hangen ook met elkaar samen. ‘Een beetje integer bestaat niet’, een uitspraak van de toenmalige minister Dales, heeft een zodanige zelfstandige betekenis gekregen dat dit gezegde voor velen een onwrikbare werkelijkheid is geworden. Waar deze retoriek in het begin van de jaren negentig behulpzaam was om het thema integriteitsbeheersing op de agenda te krijgen, zit het nu de effectieve verbetering van integriteit in de weg.

Vanuit integriteits- en fraudebeheersing is het gangbaar geworden zwart-witdenken riskant. Willen organisaties en hun toezichthouders het integriteits- of frauderisico ooit in de greep krijgen, dan zullen ze analoog moeten leren denken, op een glijdende schaal, in plaats van digitaal.

Door zwart-wit te denken, in goed en fout, komen organisaties in de verleiding om zichzelf rijk te rekenen aan integere medewerkers, want volgens die visie is iedereen integer, zolang het tegendeel niet is bewezen. En als het tegendeel wordt bewezen, zo kan worden geredeneerd, gaat het om een incident, een uitzondering die de regel bevestigt.

In feite is vrijwel iedereen in staat en te verleiden tot ‘stoute’ dingen. Je hoeft er de statistieken wat betreft huwelijkstrouw of studies naar liegen maar op na te slaan en je krijgt een ontluisterend beeld. Mensen zijn geen robotten, maar denkende wezens van vlees en bloed, met lusten en behoeften, die niet altijd de verleidingen kunnen weerstaan, of sociaal geaccepteerd willen worden en daarom meedoen aan activiteiten die ze eigenlijk niet onderschrijven.

De gedachte van een beetje integer speelt daarbij een belangrijke rol: het foute kan door het goede worden gerechtvaardigd. Juist omdat zovelen een beetje stout zijn, zouden organisaties veel sterker dan tot op heden het geval is hun personeel moeten verleiden om zich vooral op het goede te richten, vanuit de gedachte dat zij dat niet uit zichzelf doen.

Betrouwbaarheid, eerlijkheid en fatsoen zijn geen vanzelfsprekendheden. Integriteit vereist actieve beheersing. Actieve beheersing vereist inspanningen en investering. Helaas, wijs word je pas als je investeert in kennis en vaardigheden.

STOUTE MENSEN

Investeren in integriteit wordt door velen als een motie van wantrouwen in het personeel gezien. Bovendien, wat levert het nou eigenlijk op? De gedachte aan een vermeende motie van wantrouwen maakt slechts duidelijk dat (de leiding van) een organisatie nog heel ver afstaat van de erkenning dat fraude inherent is aan het economisch deelnemen aan de maatschappij.

Lees de krant en kijk televisie en leer dat fraude erbij hoort, stoute mensen horen erbij, zoals ziekte van personeel erbij hoort. Inderdaad, je kunt nooit iets aanpakken als je het bestaan ervan niet onder ogen ziet. Stoppen met roken lukt ook niet als je niet wilt beseffen of geloven dat roken slecht is voor de gezondheid.

Het is waar dat niet meetbaar kan worden gemaakt welke incidenten worden voorkomen door fraude- en integriteitsbeheersing. Je kunt immers niet meten wat er niet is. Hooguit is een vergelijking met het verleden te maken, maar werden de incidenten toen wel ontdekt? Ontdekte incidenten in het heden zijn ook geen graadmeter van het succes van beheersing, omdat die mogelijk anders ook wel uitgekomen waren.

Goede fraude- en integriteitsbeheersing leidt tot een plezierige, loyale werkomgeving, waarin mensen weten waar ze aan toe zijn en zich kunnen en willen verantwoorden. Dit uit zich niet slechts in de organisatie, maar ook in verhoudingen die de individuen namens de organisatie met derden hebben.

Goed en succesvol integriteitsbeleid komt tegemoet aan individuele wensen en verlangens en geeft richting aan wenselijk gedrag. Waar klassiek beleid vooral eisen stelt op basis van wet- en regelgeving (‘demands’), zijn huidige inzichten in integriteits- en fraudebeheersing in belangrijke mate ook gebaseerd op de individuele behoeften, verlangens en verwachtingen (‘desires’).

In feite worden individuen door goed beleid verleid tot wenselijk gedrag en dragen ze op die manier bij aan een weerbare organisatie. Te soft? Goede fraude- en integriteitsbeheersing resulteert in lagere afkoopsommen voor niet-functionerende medewerkers, betere en eenvoudige verantwoording aan toezichthouders, lager ziekteverzuim, minder personeelsverloop en verminderde aansprakelijkheid (boetes!) in geval van stoute werknemers.

GOED NEST

Fraude- en integriteitsbeheersing wordt niet bereikt door slechts gelijkgestemden uit een goed nest in te huren, gevoelige documenten weg te sluiten en af en toe een ernstig gesprek over waarden en normen te voeren. Fraude- of integriteitsbeheersing begint met te begrijpen wat integriteit eigenlijk is en geëigende stappen te nemen en te blijven nemen.

Iemand is integer als hij of zij doet wat er van hem of haar wordt verwacht. Deze simpele stelling leidt tot een van de meest ingewikkelde vraagstukken. Wat is in een bepaalde situatie een reële verwachting? Bestaan er universele verwachtingen? Welke mate van naleving wordt er verwacht? Is de mate van naleving meetbaar te maken? Hoe is de naleving te bevorderen? Wat te doen als er met opzet een inbreuk wordt gemaakt op de verwachtingen?

Kortom, veel vragen die heden ten dage op het allerhoogste niveau van een onderneming moeten kunnen worden beantwoord. Integriteit is een containerbegrip dat duidt op wenselijk gedrag op een bepaald moment, in een bepaalde situatie. Er zijn wel universele waarden die aan integriteit ten grondslag liggen, zoals die zijn terug te vinden in de universele rechten van de mens, maar daarmee kan het beheersingsproces in een organisatie niet worden aangestuurd.

Iedere relevante organisatie zou zich ervan moeten overtuigen wat voor die organisatie valt te definiëren als wenselijk gedrag. Een commerciële organisatie zal zich daarom moeten buigen over de omgang met klanten, en een overheidsorganisatie die vergunningen verleent, zal een visie moeten ontwikkelen over de omgang met de burger. Pas als wenselijk gedrag voor een specifieke organisatie goed is gedefinieerd, is het mogelijk een beeld te vormen van wat als integer wordt beschouwd.

Organisaties leggen het als wenselijk geachte gedrag vast in een gedragscode. Een code die het positieve benadrukt, rekening houdt met de verlangens en verleidingen van individuen die samen de organisatie vormen, is de eerste stap in een integriteitsbeheersingstraject. Daarom geen betuttelende of hoogdravende code, maar een die recht doet aan het karakter van de groep mensen van vlees en bloed die ermee te maken hebben.

De code moet vervolgens tot leven worden gewekt, in leven worden gehouden, dient regelmatig aan de realiteit te worden aangepast, dient te worden gehandhaafd en dient in primaire processen te worden verankerd. De naleving dient zichtbaar en meetbaar te worden gemaakt. Pas als aan al die vereisten is voldaan, dan kan met recht vertrouwen worden uitgesproken in de individuen en kan beschaming van dat vertrouwen worden aangepakt.

DESASTREUS

Bij succesvolle fraude- en integriteitsbeheersing wordt gebruikgemaakt van de beïnvloeding van ‘desires’. Het fraude- en integriteitsrisico is in feite geen autonoom risico, maar de uitkomst van menselijk handelen. Menselijk handelen is beïnvloedbaar. Een voorbeeld: iedereen die een foto van zichzelf of zijn familieleden van twintig jaar geleden bekijkt, kan zich afvragen of de geportretteerden hun kleding en haardracht echt zelf hebben bedacht of dat zij hun keuze lieten bepalen door wat toen maatschappelijk acceptabel was.

Gedrag is net als kledingkeuze beïnvloedbaar, mits het past in de cultuur van de omgeving. Zoals hiervoor als is aangegeven, dient een organisatie de bij haar horende verwachtingen wat betreft gewenst gedrag vast te stellen. De verdere verankering van dat gedrag begint met de manier waarop de leiding van een organisatie zich geloofwaardig volgens die verwachtingen presenteert, niet alleen in officiële uitingen, maar ook in de dagelijkse omgang of in het e-mailverkeer, binnen en buiten de organisatie.

De uitgangspunten van het bewuste gedrag van de leiding dienen terug te komen in beoordelingssystemen, beloningsystemen, en interne en externe bedrijfscommunicatie. Veel organisaties lukt het eenmalig een project op te zetten ter verbetering van de omgeving waarin het fraude- en integriteitsrisico wordt beheerst.

Maar bij gebrek aan een proceseigenaar, bij gebrek aan budget of de idee ‘dat wij dat wel zelf kunnen’, bij gebrek aan focus of de verdeling van verantwoordelijkheden voor het fraude- en integriteitsrisico over vele personen, ebben de baten van zo’n project daarna weer snel weg, tot een groot incident het onderwerp vaak weer op de agenda zet.

Het probleem bij eenmalige integriteitsprojecten is dat een tweede keer de geloofwaardigheid fors is aangetast door het tussentijdse gebrek aan aandacht. Daarom is, zelfs als het wettelijk niet is vereist, blijvende aandacht door middel van een strak gemanagede fraudeen integriteitsbeheersing een vereiste, want psalm 146 stelt terecht dat niet op des mensen kind kan worden vertrouwd, met soms desastreuze gevolgen voor de organisatie.

PETER SCHIMMEL is Managing Director Protiviti en expert op het gebied van Fraud & Litigation Solutions