Is een verbeterd (completer) internal auditframework noodzakelijk om onrechtmatige trading incidenten effectiever te signaleren?

Titel Scriptie:

‘Is een verbeterd (completer) internal auditframework noodzakelijk om

onrechtmatige trading incidenten effectiever te signaleren?’

Universiteit van Amsterdam Business School

Executive Internal Audit Program

April 2017 Naam: A. Allach Collegekaartnummer: 6020363 Plaats: Amsterdam Datum: 21 april 2017 E-mail: a.allach@upcmail.nl Telefoonnummer: 06 - 52138894

Voorwoord

Deze scriptie is het resultaat van mijn onderzoek aan de Universiteit van Amsterdam Business School in het kader van de afronding van mijn post academische opleiding Executive Internal Auditing Programme (EIAP).

Geïnspireerd door mijn collega en inmiddels vriend, Jim Smit, en mijn eigen leergierigheid, ben ik in 2010 begonnen aan de toenmalige postinitiële masteropleiding Executive Master of Internal Auditing (EMIA). Later is deze opleiding hernoemd naar de huidige Executive Internal Auditing Programme (EIAP).

De vakken die in deze opleiding zaten heb ik als bijzonder leerzaam ervaren. De opgedane kennis kan ik tot de dag van vandaag direct toepassen in mijn dagelijkse werk als Risk Manager. De opzet van deze opleiding vraagt zowel sterke capaciteiten met betrekking tot samenwerking met andere studenten als een grote mate van zelfstandigheid en academisch inzicht. Achteraf bekeken heb ik de theoretische vakken vrij makkelijk doorlopen, maar is de scriptie lang blijven liggen. Uiteindelijk heb ik de scriptie weer opgepakt en uiteindelijk de studie ook afgerond. Speciale dank gaat uit naar mijn scriptiebegeleider Willem van Loon, hij stelde op de juiste momenten de juiste vragen.

Het valt niet altijd mee om naast een (drukke) baan en gezin ook nog deze opleiding te volgen. Naast al het moeilijke en moeizame in het leven, komen altijd mooie en leerzame inzichten die de mens versterken en verrijken. De langere doorlooptijd van mijn scriptie heeft mij zowel theoretische- als levensinzichten gegeven.

Speciale dank gaat in het bijzonder ook uit naar mijn vrouw Latifa voor haar geweldige steun gedurende het gehele studietraject. Ik wil graag iedereen bedanken die betrokken is geweest bij het schrijven en voltooien van deze scriptie.

Bij het schrijven van dit voorwoord, ben ik al gauw weer geïnspireerd geraakt door andere studies. Ik vertelde dit aan mijn vrouw. Voorlopig moet ik eerst maar gaan genieten van de afronding van deze studie…

Abdessalam Allach

Samenvatting

Deze scriptie is uitgevoerd ter afronding van de opleiding Executive Internal Auditing Programme aan de Universiteit van Amsterdam Business School (EIAP). Het doel van deze scriptie is te onderzoeken of een verbeterd (completer) internal auditframework noodzakelijk is om onrechtmatige trading incidenten effectiever te signaleren. De centrale vraagstelling is als volgt:

Het beantwoorden van de volgende onderzoeksvragen geven invulling aan de centrale vraag:

Onderzoeksvragen

Door het beantwoorden van de volgende onderzoeksvragen wordt beoogd antwoord te geven op de bovengenoemde centrale vraag:

1. Wat zijn de belangrijkste kenmerken en oorzaken van fraude met betrekking tot onrechtmatige trading incidenten?

2. Welke internal auditframeworks en guidelines & regulations zijn er vanuit de internal audit- en accountantsberoepsgroepen en financiële toezichthouders? Welke van deze internal auditframeworks en regulations kunnen als theoretisch toetsingskader gebruikt worden? Wat is de algemene deler m.b.t. de audit criteria ten aanzien van het opsporen van onrechtmatige trading incidenten?

3. Welke hiaten (ontbrekende audit criteria) kunnen, op basis van analyse van praktijkincidenten, in het theoretisch toetsingskader worden vastgesteld?

4. Wat vinden experts van de vastgestelde hiaten in het theoretisch toetsingskader bij vraag 3. Welke hiaten ontbreken volgens de experts?

5. Tot welke conclusies en inzichten leidt dit als het gaat om het vaststellen of en welke verbeteringen in het theoretisch opgezette toetsingskader (internal auditframework) noodzakelijk zijn om onrechtmatige trading incidenten effectiever te signaleren?

De uitwerking van de centrale vraag heeft plaatsgevonden aan de hand van het TPA Model (Theorie – Praktijk - Aanbevelingen Model, zie paragraaf 1.3. Probleemanalyse). Het onderzoek bestaat uit twee onderdelen, namelijk een theoretisch onderzoek (deelvraag 1 en 2) en een praktijkonderzoek (deelvraag 3 en 4).

Deelvraag 1 wordt in hoofdstuk 2 behandeld. Hierbij wordt eerst gestart met de definitie van fraude en aanvullend wordt een meer toegespitste definitie van trading fraude uitgewerkt. Vervolgens worden de oorzaken en samenhang van fraude behandeld aan de hand van de

Is een verbeterd (completer) internal auditframework noodzakelijk om onrechtmatige trading incidenten effectiever te signaleren?

fraudedriehoek van criminoloog Cessey (1973). Aanvullend zal het fraudeschaalmodel van Albrecht, Howe, and Romney (1984) als een alternatief op het fraudedriehoek model worden toegelicht. In hoofdstuk 2 wordt ook deelvraag 2 uitgewerkt. Hierbij worden de leidende fraude frameworks en guidelines & regulations van financiële toezichthouders nader geanalyseerd en wordt op basis van deze analyse een theoretisch toetsingskader samengesteld. Dit theoretisch toetsingskader met audit criteria (internal auditframework) is de basis voor het toetsen van opzet en werking van tradingprocessen.

In hoofdstuk 3 (uitwerking van deelvraag 3 en 4) wordt vervolgens getoetst of het theoretisch toetsingskader effectief is om onrechtmatige trading incidenten te identificeren en worden mogelijke hiaten (ontbrekende audit criteria) in het theoretisch toetsingskader vastgesteld. Deze hiatenanalyse vindt plaats door middel van analyse van een drietal onrechtmatige trading incidenten (Barings, UBS en Société Générale). De tekortkomingen in de interne beheersing in deze cases zijn gemapped op het theoretisch toetsingskader.

De hiatenanalyse uit hoofdstuk 3 is vervolgens gevalideerd door een expertpanel. De expert panelleden zijn: (1) Prof. Dr. S.P. (Muel) Kaptein en (2) Drs. P.J. (Peter) Schimmel RA CFE en (3) Drs. Thijs Aaten CFA CQF (Managing Director van een Treasury & Trading afdeling binnen een financiële instelling).

Op basis van de uitgevoerde validatie met de expert panelleden kan geconcludeerd worden dat het theoretisch toetsingskader wel hiaten bevat en dus verbeterd dient te worden (deelvraag 5).

De conclusie op de centrale vraagstelling luidt als volgt:

Een verbeterd (completer) internal auditframework (het theoretisch toetsingskader) is wel noodzakelijk om onrechtmatige trading incidenten effectiever te signaleren.

De expert panelleden geven de volgende aanbevelingen ter verbetering van het internal auditframework:

Gelegenheid:

- Bevorderen van voldoende kruisbestuiving tussen 1st, 2nd en 3rd line of defense, waardoor o.a. in de 2nd en 3rd line het kennisniveau over de handelsactiviteiten en de onderliggende producten toeneemt.

Druk:

- Beoordelen van behavioral aspecten in de control environment.

- Bevorderen dat het melden van gemaakte fouten wordt beloond en dat het gebruikelijk is daarover te praten.

- Bevorderen dat medewerkers hun werk binnen de gestelde werktijd kunnen verrichten en op tijd stoppen, waardoor men minder stress ervaart.

- Instellen van verplichte vakanties, waarbij medewerkers ook tot rust te komen en geen werk tijdens vakantie verrichten en anderen hun werk overnemen.

- Duidelijke begrenzing van bonussen en mogelijk geheel afschaffen daarvan.

- Nadrukkelijker beoordelen van “high levels of profitability” en winstverwachtingen die bovenmatig ambitieus of irreëel zijn en het koppelen van bonussen hieraan.

- Het bespreekbaar maken van persoonlijke moeilijkheden en het ontwikkelen van aspecten die horen bij een goed functionerende medewerker.

Rationalisatie:

- Voorbeeldgedrag top management (tone at/from the top, kwalitatieve aandacht van de top). Dit is bijvoorbeeld meetbaar te maken in medewerkerstevredenheidsonderzoeken.

Inhoudsopgave

Voorwoord ... 2

Samenvatting ... 3

1. Inleiding ... 8

1.1. Aanleiding van het onderzoek ... 8

1.2. Centrale vraagstelling en de onderzoeksvragen ... 9

1.3. Probleemanalyse (volgens TPA-Model) ... 11

1.4. Maatschappelijke relevantie ... 12

1.5. Motivering en relevantie ... 14

1.6. Onderzoeksmethode en structuur scriptie ... 14

2. Samenstelling theoretisch toetsingskader trading ... 16

2.1. Definitie fraude ... 16

2.2. Definitie trading fraude ... 17

2.3. Fraude kenmerken en oorzaken ... 17

2.4. Samenhang gelegenheid, druk en rationalisatie ... 20

2.5. Relatie frauderisico als event binnen operational risk ... 23

2.6. BowTie-model voor rootcause-analyse van fraude ... 24

2.7. Motivering gebruik fraudedriehoek ... 25

2.8. Frauderisico en de internal auditor ... 25

2.9. Samenstelling theoretisch toetsingskader trading ... 27

2.9.1. Leidende raamwerken fraude risico ... 27

2.9.1.1. International Standards for the Professional Practice of IA ... 27

2.9.1.2. Nadere voorschriften controle- en overige standaarden 240 ... 28

2.9.1.3. Guidelines & regulations van financiële toezichthouders ... 29

3. Analyse en mapping beheersmaatregelen drietal onrechtmatige trading incidenten ... 33

3.1. Casus Barings Bank... 34

3.2. Casus UBS (Union Bank Switzerland) AG ... 37

3.3. Casus Société Générale ... 40

3.4. Resultaten mappingsanalyse ... 45

3.5. Validatie resultaten expert panel ... 46

4. Conclusie en aanbevelingen voor vervolgonderzoek ... 51

4.1. Beantwoording centrale vraagstelling ... 51

4.2. Aanbevelingen voor verder onderzoek ... 52

Literatuurlijst: ... 53

Bijlage 2: Toelichting belangrijkste tekortkomingen Barings Bank ... 64

Bijlage 3: Toelichting belangrijkste tekortkomingen UBS AG ... 67

Bijlage 4: Toelichting belangrijkste tekortkomingen Société Générale ... 70

Bijlage 5: Presentatie organisatiestructuur Société Générale ... 74

1. Inleiding

Turner (2000) refereerde in een Executive Ethics forum “Today's Ethics Yield Tomorrow’s Behavior” van de Securities and Exchange Commission (SEC) aan de volgende uitspraak van Abraham Lincoln:

“Abe Lincoln is supposed to have thrown a man out of his office after the man offered Abe a bribe. The bribe involved a substantial sum and Abe was really angry. His anger was directed at the man in question, but also at himself. He is reputed to have said, "Every man has his price and he was getting close to mine."

Vervolgens concludeert Turner (2000) dat:

“Abe’s insight is worth remembering. None of us are immune to every offer of individual benefit. Unfortunately, unlike Lincoln, there are those who do not recognize that their price has been met until it is too late.”

Niemand is klaarblijkelijk immuun voor persoonlijke benefits, stelt Turner(2000). Integriteit kent dus grenzen en het is volgens Turner (2000) goed deze grens bij jezelf te herkennen.

1.1. Aanleiding van het onderzoek

In dit onderzoek gaat het om de audit van trading activiteiten. Het belang om vanuit internal audit naar trading activiteiten (onrechtmatige trading incidenten) te kijken, heeft te maken met de potentieel materiële gevolgen voor de financiële instelling zelf en de schade voor de financiële markten. Voorbeelden van deze potentiële gevolgen zijn (negatieve) financiële resultaten en reputatie risico’s. Frauduleuze trading gebeurt door een trader met het doel om zijn eigen reputatie en het winstpotentieel (persoonlijke bonus) te vergroten (Accenture, 2015, p.1). De trader verricht financiële transacties die formeel volgens interne procedures en/of ethisch regels onacceptabel zijn. Dit soort transacties betreft een bewuste actie van de trader om de interne procedures te omzeilen. Een bewuste actie betekent dat het kernelement van fraude, namelijk “opzet”, duidelijk aanwezig is. Het doel van internal audit is vast te stellen dat het geheel aan interne controlemaatregelen (van de first en second line of defense) adequaat is opgezet en adequaat functioneert. Hiermee wordt de kans op onrechtmatige trading incidenten (ook wel ‘rogue trading-incidenten’ genaamd) verkleind. Het systematisch en gestructureerd beoordelen van trading activiteiten, door internal audit, aan de hand van een adequaat internal auditframework moet hier assurance over geven. Er vinden ondanks deze internal audits toch onrechtmatige trading incidenten plaats met potentieel materiële gevolgen voor de financiële instelling en schade voor de financiële markten. Daarom rijst de vraag of een verbeterd

(completer) internal auditframework noodzakelijk is, om onrechtmatige trading incidenten effectiever te signaleren.

1.2. Centrale vraagstelling en de onderzoeksvragen

Op grond van de beschrijving van de aanleiding van dit onderzoek ben ik tot de volgende centrale onderzoeksvraag gekomen:

Onderzoeksvragen

Door het beantwoorden van de volgende onderzoeksvragen wordt beoogd antwoord te geven op de centrale vraag:

1. Wat zijn de belangrijkste kenmerken en oorzaken van fraude met betrekking tot onrechtmatige trading incidenten?

2. Welke internal auditframeworks en guidelines & regulations zijn er vanuit de internal audit- en accountantsberoepsgroepen en financiële toezichthouders? Welke van deze internal auditframeworks en regulations kunnen als theoretisch toetsingskader gebruikt worden? Wat is de algemene deler m.b.t. de audit criteria ten aanzien van het opsporen van onrechtmatige trading incidenten?

3. Welke hiaten (ontbrekende audit criteria) kunnen, op basis van analyse van praktijkincidenten, in het theoretisch toetsingskader worden vastgesteld?

4. Wat vinden experts van de vastgestelde hiaten in het theoretisch toetsingskader bij vraag 3. Welke hiaten ontbreken volgens de experts?

5. Tot welke conclusies en inzichten leidt dit als het gaat om het vaststellen of en welke verbeteringen in het theoretisch opgezette toetsingskader (internal auditframework) noodzakelijk zijn om onrechtmatige trading incidenten effectiever te signaleren?

Het onderzoek moet antwoord geven op de centrale vraag of een verbeterd (completer) internal auditframework noodzakelijk is om onrechtmatige trading incidenten effectiever te signaleren. Deze incidenten worden veroorzaakt door market professionals (traders / handelaren genaamd).

Op basis van bestaande internal auditframeworks en guidelines & regulations van financiële toezichthouders zal een theoretisch toetsingskader (internal auditframework met audit criteria)

Is een verbeterd (completer) internal auditframework noodzakelijk om onrechtmatige trading incidenten effectiever te signaleren?

worden opgezet. Het theoretisch toetsingskader wordt ingedeeld op basis van de drie fraudefactoren uit de fraudedriehoek van Cressey (1973).

Vervolgens zal een drietal onrechtmatige trading incidenten worden geanalyseerd. De analyse zal met name gericht zijn op het vaststellen wat de oorzaken (tekortkomingen in de interne beheersing) zijn geweest waardoor het trading incident uiteindelijk kon plaatsvinden. De geanalyseerde tekortkomingen zullen vervolgens gemapped worden met de auditcriteria in het theoretisch toetstingskader. Het doel van deze mapping is het vaststellen of er auditcriteria zijn die ontbreken in het theoretisch toestsingskader (hiatenanalyse). Het beoordelen van deze hiaten moet antwoord geven op de vraag of deze aanleiding zijn om tot een verbetering van het theoretisch toetsingskader te komen. Het is ook goed mogelijk dat de internal auditor de frauderisico’s (in de opzet van het internal auditframework) en fraudesignalen mogelijk wel signaleert, maar dat de leiding van de organisatie hier geen of onvoldoende opvolging aan geeft. Dan is de conclusie dat er geen hiaten vastgesteld kunnen worden, maar dat het aan iets anders (i.c. falend management) ligt.

De probleemanalyse heeft plaatsgevonden aan de hand van het TPA Model (Theorie - Praktijk- Aanbevelingen (TPA) Model, opgenomen in paragraaf 1.3.). Het TPA model leidt tevens tot een lijst met aanbevelingen. De uitvoering van deze probleemanalyse moet uiteindelijk antwoord geven op de centrale vraag. In paragraaf 1.6. zal de onderzoeksmethode en structuur van de scriptie nader worden beschreven.

1.3. Probleemanalyse (volgens TPA-Model)

Set criteria gematcht met fraude- driehoek (theoretisch toetsingskader)

Fraude-Audit-

Case 1

Case 2

Analyse resultaten (hiaten)

Analyse resultaten (hiaten)

Lijst aanbevelingen ter verbetering internal audit fraudeframework Praktijk

Expert Panel Case 3

Analyse resultaten (hiaten)

Aanbevelingen

Fraudedriehoek Theorie

1.4. Maatschappelijke relevantie

De gebruikte onrechtmatige trading incidenten hebben zich in de afgelopen decennia bij verschillende financiële instellingen voorgedaan. De financiële crisis die rond 2008 startte, is een resultante van een veelheid aan gebeurtenissen (events), incidenten en malversaties die in financiële sector plaatsvonden. Onrechtmatige trading incidenten zijn belangrijke events die mede kunnen bijdragen aan financiële instabiliteit. Dergelijke incidenten zijn per definitie laakbaar en worden door een aantal triggers veroorzaakt, zoals een zwakke risico cultuur, een ontoereikende control omgeving en een remuneratie praktijk die niet in lijn is met de overall-risk appetite van de organisatie (Financial Stability Board (FSB), 2012, p.12). Deze onrechtmatige trading incidenten droegen mede bij aan het ontstaan van de financiële crisis. Daarnaast dragen deze bij aan het toenemend wantrouwen van de maatschappij en investeerders richting financiële instellingen.

Naar aanleiding van verschillende headline events (waaronder de UBS rogue trader), stelt de FSB dat (operational) risk management verbeterd moet worden, zodat de veerkracht van, en het algehele vertrouwen in, het financiële systeem toeneemt. Dit geldt in het bijzonder voor internationale banken die een systeemrol vervullen, ook wel G-SIFIs (global systemically important financial institutions) genaamd (Financial Stability Board – G20 Leaders, 2012, p.13). Verder stelt de Financial Stability Board dat als gevolg van de financiële crisis en recente events (waaronder onrechtmatige trading incidenten die geleid hebben tot losses) dat de internal audit functie verder versterkt dient te worden om bij te dragen aan een effectieve third line of defense functie. Het realiseren van duurzaam vertrouwen en het behouden van een stabiele financiële sector zijn belangrijke doelstellingen voor financiële instellingen. Dit geldt in het bijzonder voor internal audit vanuit haar interne toezicht en assurance rol in de “third line of defense” (Financial Stability Board – G20 Leaders, 2012, p.11).

Ook de Engelse Financial Services Authority (FSA) stelt naar aanleiding van het trading incident bij UBS in 2011 het volgende:

“The FSA considers that firms that conduct trading activities should be vigilant to the risks arising from unauthorized trading activities given the systemic risks that such events pose to firms and the wider financial system. (Financial Services Authority (FSA), 2012, p. 4)”

De Engelse financiële toezichthouder (FSA) benadrukt wat de potentiële gevolgen (systeem risico’s) van een trading incident voor het financiële stelsel kunnen zijn. De FSA wijst de financiële instellingen, die trading activiteiten verrichten, hierop waakzaam te zijn.

Het meest bekende trading incident, dat zich in de afgelopen decennia heeft voorgedaan, is waarschijnlijk wel veroorzaakt door Nick Leeson. Als gevolg van ongeautoriseerd handelen (trading), veroorzaakte hij een verlies van $ 1,4 miljard voor Barings Bank. Deze bank moest als gevolg van dit verlies na een bestaan van meer dan 200 jaar, in 1995 sluiten (GARP, 2012, p.21).

De verliezen die voortvloeien uit onrechtmatige trading incidenten zijn in sommige gevallen zo materieel dat een bank uiteindelijk in faillissement kan raken (Swiss Financial Market Supervisory Authority (FINMA), 2011, p.3). In die gevallen waar het om een internationale bank gaat met een systeemrol, kan een overheid in een situatie terechtkomen waarbij zij deze systeembank met belastinggeld overeind moet houden. Er is dan sprake van een “too-big-to-fail” (en soms een “too big to save”) systeembank (De Wit, 2010 & 2012, p.243 & p.583). Deze onrechtmatige trading incidenten veroorzaken instabiliteit bij een systeembank en daarmee uiteindelijk instabiliteit in de financiële sector als geheel. Dit draagt vervolgens bij aan het maatschappelijk wantrouwen van de financiële sector.

Uit onder andere de Parlementaire Enquêtecommissie Financieel Stelsel (De Wit, 2012) wordt het belang van een stabiele financiële sector duidelijk. De commissie - De Wit (2012) stelt in haar eindrapport “Verloren krediet II – de balans opgemaakt” dat:

“De financiële sector geen gewone sector is en banken geen gewone ondernemingen zijn. De economie is sterk afhankelijk van de stabiliteit van het financiële stelsel….. Een stabiele financiële sector is zo gezegd een «publiek goed,» net als bijvoorbeeld openbare veiligheid. Dat betekent dat er een taak ligt voor de overheid om toe te zien op en mee te werken aan een gezond en stabiel financieel stelsel. De stabiliteit is in de crisis overduidelijk in het geding geweest. Het is daarom van essentieel belang dat er maatregelen worden genomen – door zowel de financiële instellingen als de overheid – die bijdragen aan het zo veel als mogelijk voorkomen van problemen bij financiële instellingen. (De Parlementaire Enquêtecommissie Financieel Stelsel, 2012, p. 540)”

De commissie - De Wit beveelt in haar rapport “Verloren Krediet” aan, dat:

“de interne accountant nauwer betrokken wordt bij het risicomanagement en een sterkere positie krijgt binnen de organisatie van financiële instellingen. Een zwaardere, eigenstandige rol is nodig vanwege de gebleken impact die verslaggeving kan hebben op de bedrijfsvoering en de bijbehorende risico’s. Versterking van de interne audit functie is ook wenselijk vanuit het oogpunt van bewaking van de balans tussen commerciële belangen en het beheer van risico en de controle daarop door de raad van commissarissen. (De Tijdelijke commissie onderzoek financieel stelsel - de commissie De Wit, 2010, p. 10)”

Het belang dat maatregelen getroffen worden om een stabiele financiële sector te bereiken, wordt door de commissie - De Wit duidelijk niet alleen bij de overheid gelegd, maar juist ook bij de financiële instellingen zelf. De commissie - De Wit stelt tevens dat de huidige crisis in het financieel stelsel een aantal problemen in de opzet en de uitvoering van het toezicht heeft blootgelegd. De interne accountant (lees internal auditor) binnen financiële instellingen, als onderdeel van het interne toezicht, moet o.a. nauwer betrokken worden bij het risico management. De interne accountant heeft vanuit de signaleringsfunctie een belangrijke rol, volgens de commissie - De Wit. Dit sluit aan bij de visie van De Nederlandsche Bank (DNB) dat de signaleringsfunctie van de interne auditor een belangrijke functie is die mede bijdraagt aan het duurzaam herstel van vertrouwen en een stabiele financiële sector en daarmee een duurzame welvaart (DNB, 2015, p.8). De signaleringsfunctie van de interne auditor houdt in dat hij vanuit zijn “third line of defense” rol toetst of de risicomanagementsystemen in de “first en second line of defense” adequaat zijn ingericht en adequaat functioneren. In de context van onrechtmatige trading incidenten wordt met adequaat risicomanagementsystemen bedoeld, systemen die de frauderisico’s adequaat mitigeren.

1.5. Motivering en relevantie

Als Risk Manager verbaast het mij steeds opnieuw hoe ogenschijnlijk makkelijk onrechtmatige trading incidenten kunnen plaatsvinden. Hierbij valt op dat de materialiteit van deze incidenten, zodanig is dat financiële instellingen om kunnen vallen (GARP, 2012, p.21). Dit leidt vaak tot “Headline News”, dat weer tot onrust op de financiële markten leidt, zeker in de context wanneer dit plaatsvindt bij een systeembank. Deze ongeautoriseerde trading activiteiten zijn niet systematisch opgezet, zoals het geval was bij de handel in Asset Backed Securities (ABS) / Mortgage Backed Securities (MBS), maar het betreft in veel gevallen “Lone Traders” (ook wel “Lone Wolves” genaamd), die blijkbaar onder de radar kunnen blijven. Het zijn geen op zichzelf staande incidenten, maar een wederkerend fenomeen dat zich bij verschillende financiële instellingen heeft gemanifesteerd. In sommige gevallen ontstaat er zelfs een “culture of complicity”, waarbij het management zelfs wegkijkt als er vermoedens van fraude zijn, zolang er maar winsten worden gemaakt (Operational Risk and Regulation, 2014, p.7).

1.6. Onderzoeksmethode en structuur scriptie

Het onderzoek bestaat uit twee onderdelen, namelijk een theoretisch onderzoek (deelvraag 1 en 2) en een praktijkonderzoek (deelvraag 3 en 4).

Deelvraag 1 wordt in hoofdstuk 2 met name via literatuuronderzoek beantwoord. Deelvraag 2 wordt ook in hoofdstuk 2 op basis van literatuuronderzoek verder uitgediept. De beantwoording van onderzoeksvragen 1 en 2 leidt tot een theoretisch toetsingskader met een set van auditcriteria, specifiek gericht op onrechtmatige trading incidenten, welke gematcht zullen worden op basis van de indeling van de fraudedriehoek van Cressey (1973). De fraudedriehoek

van Cessey (1973) bestaat uit de volgende drie factoren: (1) gepercipieerde gelegenheid (kunnen), (2) gepercipieerde druk (moeten) en (3) rationalisatie (willen).

De uitwerking van deelvraag 3 in hoofdstuk 3 zal plaatsvinden door geanalyseerde oorzaken (tekortkomingen in de interne beheersing) uit een drietal praktijkcasussen te mappen met het theoretisch toetsingskader. De volgende drie praktijkcasussen zullen hierbij gebruikt gaan worden: (1) Nick Leeson, trader Barings Bank, (2) Jérôme Kerviel, trader Société Générale en (3) Kweku Adoboli, trader UBS.

Nick Leeson is als praktijkcase opgenomen vanuit een historisch perspectief, waarbij de financiële markten voor het eerst in 1995 werden opgeschrikt, omdat de eeuwenoude Barings Bank omviel door het frauduleus handelen van één trader. Rogue trading leek een nieuw fenomeen. De fraude aspecten in deze praktijkcase zijn tevens kenmerkend voor de andere onrechtmatige trading incidenten. Jérôme Kerviel en Kweku Adoboli zijn als praktijkcase opgenomen omdat ook deze gevallen zodanig materieel waren dat onzekerheid op de financiële markten en bij toezichthouders ontstond. Er ontstond namelijk onzekerheid of deze financiële instellingen (waar deze trader werkte) overeind zouden blijven en welke systeemrisico’s dit tot gevolg zou hebben als deze daadwerkelijk zouden omvallen. Deze twee praktijkcasussen hebben daarom veel aandacht gehad vanuit de media en de financiële toezichthouders. Daarom bieden deze twee praktijkcasussen voldoende analyses, voorbeelden en aanknopingspunten (oorzaken) voor dit onderzoek ten aanzien van ontoereikende beheersing in 1st en 2nd line of defense. De (overheids)onderzoeksrapporten van de volgende onderzoeksinstituten, The Bank of England (Nick Leeson), Financial Services Authority (Kweku Adoboli) en General Inspection Department (Jérôme Kerviel), zullen als bron gebruikt worden voor de uitwerking van de praktijkcasussen.

Uit deze analyse, welke in hoofdstuk 3 uitgewerkt zal worden, zal blijken of en welke hiaten in het theoretisch toetsingskader geconstateerd zijn. Mogelijk geconstateerde hiaten en conclusies zullen voorgelegd en gevalideerd worden ten overstaan van een expertpanel (deelvraag 4 uitgewerkt in hoofdstuk 3).

Aan het expert panel zullen de volgende experts deelnemen: (1) Prof. Dr. S.P. (Muel) Kaptein, (2) Drs. P.J. (Peter) Schimmel RA CFE en (3) Drs. Thijs Aaten CFA CQF (Managing Director van een Treasury & Trading afdeling binnen een financiële instelling). De experts zal gevraagd worden of de geconstateerde bevindingen (hiaten) juist en volledig gedefinieerd zijn. De gevalideerde hiaten zullen uiteindelijk leiden tot mogelijke aanbevelingen in het theoretisch toetsingskader, waardoor de set van auditcriteria completer (en daarmee effectiever) wordt.

2. Samenstelling theoretisch toetsingskader trading

In dit hoofdstuk worden deelvragen 1 en 2 behandeld. Allereerst wordt in paragraaf 2.1. een definitie gegeven van fraude volgens de “Standards for the Professional Practice of Internal Auditing (Standards)” van het IIA. Daarnaast zal in paragraaf 2.2. een meer toegespitste definitie van trading fraude worden gegeven. Vervolgens zullen in paragraaf 2.3. en 2.4. de oorzaken van fraude worden benoemd aan de hand van de fraudedriehoek van criminoloog Dr. Donald R. Cessey (1973) en de samenhang van deze oorzaken worden behandeld. Aanvullend zal het fraudeschaalmodel van Albrecht, Howe, and Romney (1984) als alternatief op het fraudedriehoekmodel worden toegelicht. In paragraaf 2.5. wordt het frauderisico als event binnen operational risk beschreven. Het BowTie-model, met de causaliteit tussen rootcause, (risk)event en impact wordt vervolgens in paragraaf 2.6. nader uitgewerkt. De motivering voor het gebruik van het fraudedriehoeksmodel wordt in paragraaf 2.7. verder gesubstantieerd. In paragraaf 2.8. wordt vervolgens het belang van het zorgvuldig beoordelen van de frauderisico’s in een internal auditonderzoek nader uiteengezet. Uiteindelijk wordt in paragraaf 2.9 het proces van het samenstellen van het theoretisch toetsingskader uitgewerkt en toegelicht.

2.1. Definitie fraude

Er bestaan vele definities van fraude. Aangezien de (toekomstige) operational auditors zich moeten houden aan de beroepsregels van het Institute of Internal Auditors (IIA) is in deze scriptie uitgegaan van de definitie van het IIA. In de Standards van het IIA (IIA, 2013) wordt de volgende definitie gegeven:

“Elke onwettige handeling gekenmerkt door bedrog, verduistering of inbreuk op het vertrouwen. Deze handelingen zijn onafhankelijk van het dreigen met geweld of van fysiek dwang. Fraude wordt gepleegd door partijen en organisaties om geld, bezittingen of diensten te verkrijgen, ter voorkoming van uitgaven of verlies van diensten of om persoonlijke of zakelijke voordelen veilig te stellen.(IIA, 2013, p.20)”

De drie risicofactoren (gepercipieerde mogelijkheid, gepercipieerde druk en rationalisatie) uit de fraudedriehoek zijn niet nadrukkelijk genoemd in deze definitie. Zowel het IIA als de Nederlandse Beroepsorganisatie van Accountants (NBA) noemen de fraudedriehoek wel specifiek in hun standaarden. De gehanteerde begrippen in deze definitie zijn wel te herleiden naar de drie risicofactoren. Voor een onwettige handeling is een gepercipieerde mogelijkheid noodzakelijk. De percipieerde druk blijkt uit het doel waarom fraude gepleegd word, namelijk om geld, bezittingen of diensten te verkrijgen. De rationalisatie factor wordt in deze definitie niet benoemd.

In deze definitie van het IIA staat niet vermeld dat ook individuen fraude kunnen plegen. Uiteraard kan een individu, ook fraude plegen. In de Nadere Voorschriften Controle- en Overige Standaarden 240 (NV COS 240) van de Nederlandse Beroepsorganisatie van Accountants (NBA) is dit wel opgenomen. NV COS 240 geeft de volgende definitie van fraude:

“een opzettelijke handeling door één of meer personen uit de kring van de leiding, de organen belast met governance, het personeel of derden, waarbij misleiding wordt gebruikt om een onrechtmatig of onwettig voordeel te behalen. ”

2.2. Definitie trading fraude

Omdat in deze scriptie specifiek wordt ingezoomd op fraude met betrekking tot onrechtmatige trading incidenten, wordt ook een definitie over deze fraudesoort gegeven. Trading fraude wordt ook wel rogue trading genaamd. De persoon die zich schuldig maakt aan rogue trading wordt rogue trader genoemd. Krawiec (2000) definieert de rogue trader als volgt:

“A rogue trader is a market professional who engages in unauthorized purchases or sales of securities, commodities or derivatives, often for a financial institution's proprietary trading account.”

De benefits om fraude te plegen voor een rogue trader zijn niet specifiek opgenomen in deze definitie. Krawiec (2000) benoemt echter wel hogere bonussen en status die een hoge (persoonlijke) intrinsieke waarde hebben voor potentiële rogue traders. Hogere bonussen en hogere status verhogen de kans op fraude. Hogere status levert bijvoorbeeld voor een rogue trader andere benefits op, zoals de mogelijkheid om nog meer risico’s te mogen nemen. Meer risico’s betekent weer meer kans op grotere trading verliezen. Een potentiële rogue trader die een mogelijkheid ziet en voldoende druk ervaart zal deze grote trading verliezen proberen te verhullen, waarbij weer de status als machtinstrument ingezet kan worden.

2.3. Fraude kenmerken en oorzaken

Om fraude ter herkennen is het belangrijk om meer inzicht te krijgen waarom iemand in het algemeen fraudeert en welke factoren daarbij relevant zijn. De criminoloog Dr. Donald R. Cessey ontwikkelde in 1973 de ‘fraudedriehoek’.

Dr. Donald R. Cessey stelt dat fraude voorkomt als aan de volgende drie factoren is voldaan: 1. Een gepercipieerde mogelijkheid om de fraude te plegen en niet te worden gepakt,

vervolgd en veroordeeld te worden (gelegenheid / kunnen).

2. Een gepercipieerde druk om de fraude te plegen, bijvoorbeeld financiële druk, werkgerelateerde druk of zelfzuchtigheid (motivatie, druk of prikkel / moeten).

3. Een mogelijkheid om de fraude te rationaliseren (rationalisatie / willen).

Figuur 1: fraudedriehoek (“fraud triangle”) ontleend van Albrecht (1995)

Gepercipieerde mogelijkheid

Gelegenheid betekent dat er een mogelijkheid bestaat c.q. gepercipieerd wordt om fraude te plegen. Potentiële fraudeurs (in casu potentiële “rogue traders”) zullen alleen tot de fraude handeling overgaan als zij het beeld hebben dat hun handelingen niet gedetecteerd zullen worden. De gelegenheid om fraude te plegen ontstaat omdat de fraudeur toegang heeft tot systemen, assets (bijvoorbeeld geld / (bank)rekeningen, bezittingen en diensten) en informatie die de fraudeur in staat stelt de fraude te plegen en deze te verbergen.

Een zwakke interne risicobeheersing, zwak / slecht management (er is onvoldoende oversight vanuit management en niet integer gedrag wordt niet afgestraft) en een onduidelijke risk appetite bij het management kunnen bijdragen aan het beeld dat fraudehandelingen niet gedetecteerd zullen worden. Daarnaast bieden bijvoorbeeld de positie en verworven autoriteit de mogelijkheid om de opgebouwde machtspositie te misbruiken. Het ontbreken van adequate procedures om fraudehandelingen te detecteren vergroten de kans dat er ook daadwerkelijk fraude gepleegd gaat worden. Er ontstaat het gevoel bij de fraudeur dat zijn frauduleuze handeling niet gedetecteerd zal worden.

Organisaties hebben een grote invloed op het limiteren van de diverse mogelijkheden om te frauderen. Door het instellen van effectieve processen, procedures en preventieve en detectieve controlemaatregelen zal de kans op fraude aanzienlijk verkleind kunnen worden. Echter het volledig elimineren hiervan is onmogelijk omdat het inregelen van de interne (risico)beheersing altijd een afweging van kosten en baten is. Daarnaast speelt de factor mens

bij fraude een cruciale rol en de mens is vindingrijk (waar een wil (motivatie) is, is ook een weg). Echter gelegenheid alleen is niet voldoende, de overige twee elementen van de fraudedriehoek (motivatie / druk en rationalisatie) zijn minstens zo relevant.

Gepercipieerde druk

Motivatie, druk of prikkel is het tweede element van de fraudedriehoek. De potentiële fraudeur (in casu de potentiële “rogue trader”) ervaart een bepaalde druk of prikkel om fraude te plegen. Deze druk kan ontstaan als gevolg van een financiële behoefte om materiële goederen aan te schaffen (boven de eigen levenstandaard) of een andersoortige druk of prikkel, bijvoorbeeld als gevolg van hoge gokschulden, hoge medische rekeningen en verslavingen. De prikkel om bijvoorbeeld het financieel bonus potentieel te vergroten en daarmee onaanvaardbare risico’s aan te gaan. Er zijn ook niet financiële prikkels mogelijk. Voorbeelden hiervan zijn de druk om goed te presteren en daarmee een lage performance te verbloemen. Albrecht, Wernz et al. (1995) stellen dat zonder een bepaalde vorm van druk, fraude zelden plaatsvindt.

Rationaliseren

Het derde en laatste element van de fraudedriehoek’ is rationalisatie. Volgens Albrecht et al. (1995) is de potentiële fraudeur in staat zijn gedrag of handeling te rechtvaardigen met een zelf gecreëerde persoonlijke code of conduct. Het gedrag wordt gerechtvaardigd door toepassing van een verscheidenheid aan zelf bedachte redenen c.q. criteria. Achteraf, als de fraude boven water komt, blijven de fraudeurs (in casu de rogue traders) vaak volharden in deze rationalisatiegedachten.

Een voorbeeld van deze rationalisatiegedachte kan zijn dat iemand vindt dat hij/ zij onderbetaald wordt of dat een bonus alsnog geïnd wordt omdat iemand vindt dat hij daar recht op had, maar niet ontvangen heeft. Rechtvaardiging kan ook gevonden worden omdat iemand beredeneert dat het geld alleen “geleend” wordt en dat dit later terugbetaald zal worden. Wanneer is vaak niet duidelijk en temeer omdat dit niet met instemming van gedupeerde heeft plaatsgevonden. Ook kan rechtvaardiging inhouden dat iemand kan vinden dat het bedrijf of gedupeerde het geld niet nodig heeft c.q. niet zal missen. Anderen kunnen vinden dat het bedrijf het “verdient” dat het geld wordt gestolen omdat het bedrijf haar medewerkers slecht behandelt.

De fraudedriehoek en Rogue Trading

Bij fraude zijn drie condities uit de fraudedriehoek waar in het algemeen aan voldaan moet zijn. De rode draad van deze drie condities kan bij onrechtmatige trading incidenten als volgt worden weergegeven:

- De potentiële fraudeur (in casu de potentiële “rogue trader”) constateert bijvoorbeeld een aantal tekortkomingen in de interne(risico)beheersing. De potentiële rogue trader ervaart het management als zwak, waarbij er onvoldoende oversight is vanuit management. Niet integer gedrag wordt niet afgestraft en er heerst vaak een onduidelijke risk appetite bij het management (Operational Risk and Regulation, 2014, p.6). Daarnaast heeft de trader vaak een bepaalde positie en autoriteit in de organisatie verworven, die misbruikt kan worden (Operational Risk and Regulation, 2014, p.7). Dit alles creëert in feite de gelegenheid om fraude te plegen. Bij de fraudeur ontstaat namelijk het gevoel dat zijn frauduleuze handeling niet gedetecteerd zal worden of wel gedetecteerd maar niet gemeld wordt aan de leiding van de organisatie.

- De potentiële rogue trader (fraudepleger) moet de perceptie hebben dat er met het plegen van fraude “iets verdiend kan worden”. De fraudepleger ervaart een bepaalde druk of prikkel om fraude te plegen. De prikkel om bijvoorbeeld het financieel bonus potentieel te vergroten en daarmee onaanvaardbare risico’s aan te gaan. Er zijn ook niet financiële prikkels mogelijk. Voorbeelden hiervan zijn de druk om goed te presteren en de prikkel die daar vanuit gaat om een lage performance te verbloemen (zodat status en reputatie behouden kunnen worden).

- De potentiële rogue trader is in staat zijn gedrag of handeling te rechtvaardigen / rationaliseren met een zelf gecreëerde persoonlijke code of conduct. Op deze wijze wordt het gedrag gerechtvaardigd door toepassing van een verscheidenheid aan zelf bedachte redenen c.q. criteria. Achteraf, als de fraude boven water komt, blijven de rogue traders vaak volharden in deze rationalisatiegedachten. Duffield en Grabosky (2001), beschrijven dit gedrag als een soort van persoonlijk excuus (persoonlijke code of conduct) om fraude te plegen. Vaak gehoorde persoonlijke excuses / argumenten van fraudeurs zijn daarbij volgens Duffield en Grabosky (2001):

• “Het geld wordt tijdelijk geleend” • “Niemand zal er last van hebben”

• “Company executives verdienen dit, omdat zij mij exploiteren” • “Dit is voor een nobel doel”

2.4. Samenhang gelegenheid, druk en rationalisatie

Albrecht en Zimbelman (2012) stellen dat fraude en vuur veel overeenkomsten hebben. Voor vuur zijn namelijk ook drie elementen nodig, namelijk zuurstof (1), brandstof (2) en warmte (3). Tezamen stellen zij de “vuurdriehoek” (fire-triangle) voor. Als alle drie elementen bij elkaar komen ontstaat vuur.

Figuur 2: vuurdriehoek (“fire-triangle”) ontleend van Albrecht (1995)

De elementen van de fraudedriehoek zijn interactief zoals in de vuurdriehoek. Zo kan gesteld worden dat naarmate de brandbaarheid van de brandstof toeneemt er minder zuurstof en warmte nodig is om verbranding te creëren. De hevigheid en de mogelijke impact van fraude wordt bepaald door de kracht van elk element uit de fraudedriehoek. Albrecht en Zimbelman (2012) stellen dat bij fraude geldt dat hoe groter de gelegenheid die gepercipieerd wordt of hoe intenser de druk ervaren wordt, des te minder rationalisatie nodig is om iemand te motiveren fraude te plegen.

De theorie over de fraudeschaal is ontwikkeld door Albrecht, Howe, en Romney (1984) als een alternatief op het fraudedriehoekmodel. Het fraudeschaalmodel is vergelijkbaar met het fraudedriehoekmodel, echter gebruikt het fraudeschaalmodel persoonlijke integriteit in plaats van rationalisatie. Dit persoonlijke integriteitselement wordt geassocieerd met de individuele persoonlijke code of ethische gedrag van een individu. Albrecht et al. (1984) hebben ook gesteld dat, in tegenstelling tot rationalisatie, persoonlijke integriteit wel kan worden beoordeeld in het (individuele) besluitvormingsproces. Hiermee kan integriteit beoordeeld worden en kan de waarschijnlijkheid of een individu zal frauderen worden ingeschat. Experts zijn het erover eens dat fraude en ander onethisch gedrag vaak optreden als gevolg van gebrek aan persoonlijke integriteit of ander moreel redeneren van een individu. Morele en ethische normen spelen een essentiële rol bij besluit- en oordeelsvorming van een individu (Dorminey et al, 2010; Rae & Subramaniam, 2008).

De relatie tussen deze drie elementen van de fraudedriehoek wordt weergegeven in de fraudeschaal (zie figuur 3, de fraudeschaal ontleend van Albrecht et al. (1995)). Zo geldt dat hoe minder integer een dader is, hoe minder gelegenheid of druk nodig is om fraude te plegen.

Figuur 3: De fraudeschaal ontleend van Albrecht et al. (1995)

Tevens stellen Albrecht et al. (1995) dat psychologen ons vertellen dat bijna iedereen een prijs heeft, zo niet alle, waarbij we oneerlijk kunnen zijn. Individuen met een hoge integriteit waarbij een lage gelegenheid bestaat, behoeven een hoge druk om oneerlijk te zijn.

Zo kan voor traders gesteld worden dat als de druk om te presteren erg hoog is en er voldoende gelegenheid / mogelijkheid (in de organisatie) bestaat, de kans op daadwerkelijke fraude aanzienlijk toeneemt als een specifieke trader minder integer is. Integriteit kent dus grenzen. Zeker in die gevallen waar bijvoorbeeld een verlies geleden wordt op een positie in een proprietary book (eigen boek van een financiële instelling) en vanuit loss aversion van een trader een rationalisatie proces op gang komt om de aangegane trading positie verborgen te houden in de hoop dat het verlies goed gemaakt kan worden. Hoe minder de integriteit van de trader is, hoe sneller het rationalisatie proces zal verlopen. Zeker in de context waar geen “open-door” beleid bestaat, om verliezen en incidenten te melden aan het management.

Samenvattend kan gesteld worden dat voor fraude volgens Cessey (1973) altijd de drie elementen (gelegenheid, druk en rationalisatie) uit de fraudedriehoek noodzakelijk zijn. Albrecht en Zimbelman (2012) bevestigen dit door de vergelijking te maken met de drie elementen, uit de vuurdriehoek, die nodig zijn om vuur te maken, namelijk zuurstof (1), brandstof (2) en warmte (3). De hevigheid en de mogelijke impact van fraude wordt bepaald door de kracht van elk element uit de fraudedriehoek. Verder is de fraudeschaal als een alternatief op het fraudedriehoekmodel beschreven, waarbij het fraudeschaalmodel persoonlijke integriteit in plaats van rationalisatie hanteert. Albrecht et al. (1984) stellen dat, in tegenstelling tot rationalisatie in de fraudedriehoek, persoonlijke integriteit wel kan worden beoordeeld in individuele besluitvormingsprocessen. Hiermee kan de waarschijnlijkheid of een individu zal frauderen worden ingeschat.

2.5. Relatie frauderisico als event binnen operational risk

Fraude is volgens Basel II, een event-type categorie binnen operational risk. Operational risk wordt door Basel (2001) als volgt gedefinieerd:

‘the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events’

Figuur 4: Relatie frauderisico als event binnen operational risk

In figuur 4 is weergegeven hoe het frauderisico zich verhoudt tot de cause categorieën van operational risk. Door tekortkomingen in de organisatie, processen, leemtes in de IT, human resources en informatie ontstaat gelegenheid om te frauderen. Of dit daadwerkelijk gebeurt, heeft daarnaast ook weer te maken met factoren in het rationalisatie proces en de ervaren druk bij een rogue trader.

Organisation Risk Processing Risk Information Risk Information Technology Risk Human Resources Risk Business Risk Fraud Risk External Events External Events External Events External Events

2.6. BowTie-model voor rootcause-analyse van fraude

Bij de opzet van een operational audit stelt de internal auditor een internal auditframework op, waarmee de adequaatheid van opzet en werking van de beheersingsmaatregelen beoordeeld wordt. Hierbij beoordeelt de internal auditor het risico op mogelijke onopzettelijke en opzettelijke fouten (fraude).

Het BowTie-model, met de causaliteit tussen rootcause, (risk) event en (mogelijke) impact schematisch weergegeven:

Figuur 5: BowTie-model - Organisatie

- Processen

- Informatie Technologie (IT) - Human Resources

- Informatie

- financiële verliezen - Vertrek van klanten - Maatschappelijk onrust - Omvallen van een bank en

systeemrisico banken - Maatregelen toezichthouders - Reputatieverlies

Detection

Fraude (bijv. Trading incident)

2.7. Motivering gebruik fraudedriehoek

De elementen, gelegenheid, druk / prikkel en rationalisatie, komen één op één terug in de fraudedriehoek. Het fraudedriehoekmodel bevat een wetenschappelijke onderbouwing die door criminoloog Dr. Donald R. Cressey in 1973 werd ontwikkeld naar aanleiding van zijn onderzoek waarom medewerkers in organisaties fraude plegen. Dit fraudedriehoekmodel en de onderliggende elementen worden onder andere door het Institute of Internal Auditors (IIA), de Nederlandse Beroepsorganisatie van Accountants (NBA) en de Association of Certified Fraud Examiners (ACFE) gebruikt om het frauderisico te analyseren. Albrecht en Zimbelman (2012) stellen dat fraude en vuur veel overeenkomsten hebben. Voor vuur zijn ook drie elementen nodig, namelijk zuurstof (1), brandstof (2) en warmte (3). Tezamen stellen zij de “vuurdriehoek” (fire-triangle) voor. Als alle drie elementen bij elkaar komen ontstaat vuur. De wetenschappelijke onderbouwing (Cressey, 1973) laat zien dat als alle drie elementen van gelegenheid, druk / prikkel en rationalisatie bij elkaar komen, fraude ontstaat.

In de Journal of Operational Risk analyseert McConnell (2014) het “JP Morgan whale” trading incident aan de hand van het Diaster Development Framework van Professor Barry Turner (1976), dat ontwikkeld is voor het analyseren van rampen binnen organisaties. Dit framework bestaat uit een 6-tal stadia (stage 1 “Initial beliefs and norms”, stage 2 “Incubation period”, stage 3 “Precipitating event” en stage 4 “Onset”) waarin een ramp zich voltooit, inclusief het herstel na een ramp (stage 5 “Rescue and salvage”) en het instellen van een nieuw level van voorzorgsmaatregelen. Turner (1976) stelt dat de stadia van het Disaster Development Framework, kenmerken bevatten die overeenkomen met tekortkomingen in de management controls / interne(risico)beheersing die leiden tot significante financiële incidenten / verliezen. De analyse van de consequenties (Stage 4 “Onset”), het herstel na een ramp (stage 5 “Rescue and salvage”) en het instellen van een nieuw level van voorzorgsmaatregelen (stage 6 “Full cultural adjustment”) zijn in het kader van deze scriptie minder c.q. niet relevant.

Vanuit het BowTie-model (zie figuur 5, hierboven) geredeneerd, richt deze scriptie zich met name op het vaststellen van mogelijke oorzaken / threats (gelegenheid, druk en rationalisatie) die uiteindelijk leiden tot fraude (het event).

Het fraudedriehoekmodel richt zich met name op het vaststellen van mogelijke oorzaken (threats) die uiteindelijk tot het fraude event leiden. Ik vind dit model daarom geschikter voor deze scriptie om de fraude elementen van onrechtmatige trading incidenten te analyseren.

2.8. Frauderisico en de internal auditor

Het IIA (IIA NL commissie Vaktechniek) heeft in 2010 de werkgroep ‘Frauderisico en de internal auditor’ ingesteld. Uit het praktijkonderzoek dat in 2010 is uitgevoerd door de werkgroep blijkt

dat geen enkele standaard door internal auditafdelingen als leidend wordt beschouwd. Sommige geënquêteerden haalden de NIVRA Standaarden aan (met name NV COS 240), anderen de IIA Standaarden. Daarnaast werd naar NOREA Standaarden of overige (interne) standaarden verwezen. Deze lappendeken maakt dat het voor Internal Audit en het management niet duidelijk is welk richtsnoer leidend is en dientengevolge welke verwachtingen het management en Internal Audit mogen hebben. De werkgroep gaat verder in op het nadrukkelijk meenemen van het fraudeaspect binnen de normale internal auditonderzoeken en de kritische houding van de internal auditor. De ervaring van deze werkgroep is dat hier veel verbeterpunten zijn. Een mooi voorbeeld is dat veel werkprogramma’s vermelden dat specifiek aandacht besteed dient te worden aan het aspect fraude, maar dat de uitvoering niet meer is dan het afwerken van een standaardlijstje. Er is dan geen specifieke uitwerking van wat de frauderisico’s en eventuele fraudesignalen binnen de betreffende organisatie of het te onderzoeken auditobject zijn. Veel informatie kan bijvoorbeeld gehaald worden uit de reeds voorgekomen incidenten of afboekingen op debiteuren die fraude gerelateerd zijn.

Als de focus op onrechtmatige trading incidenten gericht wordt, moet de vraag gesteld worden of de interne auditor voldoende handvatten heeft en daarmee in staat is om dit laakbare gedrag van traders te detecteren. Het is goed mogelijk dat de internal auditor de frauderisico’s en fraudesignalen mogelijk wel signaleert, maar dat de leiding van de organisatie hier geen of onvoldoende opvolging aan geeft. Zo stelt de DNB (2013) bijvoorbeeld in haar brief, over de onderzoeksbevindingen en maatregelen van het Libor en Euribor onderzoek, naar Rabobank dat:

“Audit bevindingen werden niet geadresseerd….vaststaat dat deze auditbevindingen (o.a. onvoldoende functiescheidingen en gebrek aan intern toezicht met betrekking tot trading after office hours) gedurende langere tijd (soms meerdere jaren) – ook na follow-up-audits met dezelfde auditbevindingen – bleven open staan en onvoldoende tijdig aandacht kregen op lokaal, regionaal en/of senior managementniveau. Audit Rabobank Groep (ARG) heeft dat wel geconstateerd, maar daaraan geen consequenties verbonden. DNB is van mening dat het op de weg van zowel de business als ARG als interne accountantsdienst had gelegen om ervoor te zorgen dat haar auditbevindingen tijdig en adequaat geadresseerd werden, dan wel waren geëscaleerd naar een hoger management niveau. (DNB Brief – Libor en Euribor onderzoek, DNB, 2013, p.19)

De IIA werkgroep ‘Frauderisico en de internal auditor’ (2010) concludeert dat de verwachtingen ten aanzien van Internal Audit inzake fraudebeheersing een kritische houding en voldoende deskundigheid vereisen. Hierdoor is het noodzaak om meer kennis en kunde te verkrijgen om echte toegevoegde waarde te kunnen bieden. Veel informatie kan bijvoorbeeld gehaald worden

uit de reeds voorgekomen onrechtmatige trading incidenten. Door actieve vergaring van kennis en kunde zoals zelfstudie, training on-the-job, kennisname van praktijkvoorbeelden, fraudepublicaties en anderszins, kan de internal auditor deze toegevoegde waarde bieden. Verder stellen Fullerton en Durtschi (2004), dat internal auditors die hoog scoren op het zes skepticism scales model van Hurtt (2003) in het algemeen een significant grotere behoefte hebben om hun informatie onderzoek uit te breiden met fraude gerelateerde symptomen.

2.9. Samenstelling theoretisch toetsingskader trading

In deze paragraaf worden de leidende fraude risico raamwerken beschreven. Dit betreft de Standards van het IIA, de NV COS 240 van het NBA en verschillende guidelines, risk alerts en sound practices van een aantal internationale financiële toezichthouders.

Meerdere financiële toezichthouders hebben naar aanleiding van verschillende onrechtmatige trading incidenten guidelines, risk alerts en sound practices uitgebracht over de beheersing van de trading activiteiten. In deze paragraaf zullen deze guidelines en regulations nader worden geanalyseerd en samengevoegd tot één theoretisch toetsingskader. Daarbij zal een beschrijving worden gegeven hoe de onderzochte raamwerken tot het theoretisch toetsingskader hebben geleid. Dit zal plaatsvinden door het uitwerken van een thema als voorbeeld. Het samenvoegen van alle raamwerken leidt tot een theoretisch toetsingskader met uiteindelijk 11 hoofdthema’s.

2.9.1. Leidende raamwerken fraude risico

Het frauderisico dient, volgens de Standards van het IIA en de NV COS 240 van het NBA, nadrukkelijk in het werkprogramma (van de internal auditor) te zijn opgenomen. In het werkprogramma dient aandacht te zijn voor het geheel aan interne controlemaatregelen (van de first en second line of defense) die de kans op fraude moeten verkleinen. Daarnaast dient Internal Audit bewust te zijn van ‘red flags’, die kunnen duiden op fraude. Meerdere financiële toezichthouders hebben verschillende guidelines, risk alerts en sound practices over de beheersing van de trading activiteiten uitgebracht. Dit was aanleiding voor de financiële instellingen om de ingestelde beheersingsmaatregelen in het trading proces tegen deze uitgevaardigde guidelines, sound practices en risk alerts aan te houden.

2.9.1.1. International Standards for the Professional Practice of IA

De Standards van het IIA (IIA, 2012) bevatten criteria waaraan Internal Audit dient te voldoen. Fraude wordt in deze standaarden wel genoemd, maar er worden geen frauderisicofactoren met betrekking tot onrechtmatige trading incidenten beschreven. Wel worden de volgende algemene criteria met betrekking tot fraude en de internal audit functie aangestipt:

- Internal auditors dienen voldoende kennis te hebben om het risico op fraude te kunnen evalueren en de wijze waarop dit beheerst wordt in de organisatie (Standaard 1210.A2).

- Internal auditors dienen de benodigde professionele zorgvuldigheid te hanteren bij de beoordeling van belangrijke fouten, fraude en non-compliance (Standaard 1220.A1). - De chief audit executive dient periodiek te rapporteren aan het senior management en

de board over het doel, bevoegdheden, verantwoordelijkheden en performance met betrekking tot het audit plan. In deze rapportage dient tevens aandacht te zijn voor significante risk exposures en control issues, inclusief fraude risico’s, governance issues en overige zaken die door senior management en board zijn verzocht (Standaard 2060). - Internal Audit dient de kans op fraude, en hoe de organisatie dit fraude risico beheerst,

te beoordelen (2120 – Risk Management).

- Internal auditors dienen de kans op significante fouten, fraude, noncompliance, en andere exposures in ogenschouw te nemen bij het opstellen van de engagement doelstellingen (2210 – Engagement Objectives).

Verder geven The Institute of Internal Auditors (IIA, 2008), The American Institute of Certified Public Accountants (AICPA, 2008) en Association of Certified Fraud Examiners (ACFE, 2008) key principles waarmee pro-actief een omgeving ontwikkeld kan worden om effectief de fraude risico’s van een organisatie te beheersen. In deze guidelines staan echter geen frauderisicofactoren met betrekking tot onrechtmatige trading incidenten, beschreven.

2.9.1.2. Nadere voorschriften controle- en overige standaarden 240

De NV COS 240 standaard van de NBA geeft aanwijzingen hoe tijdens een controle om te gaan met het risico van fraude. Daarnaast geeft de standaard aan hoe controlewerkzaamheden opgezet dienen te worden om afwijkingen van materieel belang als gevolg van fraude te ontdekken. Hoewel het in deze scriptie gaat om de internal auditor, geeft de NV COS 240 standaard van de externe accountant bruikbare voorbeelden van frauderisicofactoren ingedeeld op basis van de fraudedriehoek. In deze standaard staan echter frauderisicofactoren benoemd die op een hoger abstractie niveau beschreven staan. Voorbeelden hiervan zijn frauderisico’s verbonden aan:

- Onvoldoende toezicht op de beheersingsmaatregelen, waaronder begrepen de geautomatiseerde maatregelen die betrekking hebben op de financiële verslaggeving (ingeval verslaggeving naar derden vereist is), (als een voorbeeld van frauderisicofactor gelegenheid).

- Ineffectieve administratieve- en automatiseringssystemen, waaronder mede begrepen situaties waarin zich belangrijke leemtes voordoen in de interne beheersingsmaatregelen, (als een voorbeeld van frauderisicofactor gelegenheid).

- De grote druk waaraan de leiding blootgesteld staat om aan de eisen of verwachtingen van derden te voldoen als gevolg van bijvoorbeeld verwachtingen van beleggingsanalisten, institutionele beleggers, belangrijke schuldeisers of andere derden

ten aanzien van winstgevendheid of op grond van trendbewegingen (in het bijzonder verwachtingen die bovenmatig ambitieus of irreëel zijn). Met inbegrip van verwachtingen die door de leiding zelf zijn opgeroepen, bijvoorbeeld door te optimistische persberichten of mededelingen in jaarverslagen, (als een voorbeeld van frauderisicofactor prikkel / druk).

2.9.1.3. Guidelines & regulations van financiële toezichthouders

Mede naar aanleiding van verschillende onrechtmatige trading incidenten hebben meerdere financiële toezichthouders verschillende guidelines, risk alerts en sound practices uitgebracht. Deze set aan guidelines, sound practices en risk alerts besteden specifieke aandacht aan frauderisicofactoren specifiek geënt op onrechtmatige trading incidenten. Deze kaders zijn de basis voor het samenstellen van het theoretisch toetsingskader (internal auditframework).

Totstandkoming theoretisch toetsingskader

Om te komen tot een theoretisch toetsingskader zijn de volgende guidelines, risk alerts en sound practices in de analyse betrokken:

- Guidelines on the management of operational risks in market related activities ((European Banking Authority (EBA, 2010) (voorheen CEBS));

- Market Watch - Markets Division - Newsletter on Market Conduct and Transaction Reporting Issues (The Financial Services Authority (FSA, 2008))

- Regulatory Notice - Unauthorized Proprietary Trading (The Financial Industry Regulatory Authority (FINRA, 2008))

- Strengthening Practices for Preventing and Detecting Unauthorized Trading and Similar Activities (The Security and Exchange Commission (SEC, 2012))

In onderstaande tabel wordt aan de hand van één hoofdthema “mandatory vacation” weergegeven hoe de verschillende raamwerken van de financiele toezichthouders zijn geanalyseerd en gerubriceerd per hoofdthema. In onderstaande tabel (tabel 5) is het volgende opgenomen:

- Welke wetgeving (regulation) het betreft;

- Hoe het onderwerp (subject) in de betreffende regulation staat weergegeven;

- De kernomschrijving van de beheersingsmaatregel (internal control) in de betreffende regulation;

- Het hoofdthema dat is toegekend op basis van de uitgevoerde analyse;

- Het element van de fraudedriehoek dat is toegekend op basis van de uitgevoerde analyse.

# Regulation Subject Internal Control

Hoofd-thema (label) Element fraude-driehoek 1 Regulatory Notice - Unauthorized Proprietary Trading (FINRA) (April 2008) Mandatory Vacation Policies

Identify “sensitive” jobs, and adopted mandatory policies requiring employees in those positions, including traders, to be away from the office for a minimum amount of time.

Mandatory Vacation Opportunity 1 Regulatory Notice - Unauthorized Proprietary Trading (FINRA) (April 2008) Protection of Systems and RiskManage ment Information

Firms should also make sure that access is suspended during any mandatory vacation period and cancelled promptly if the employee leaves the firm. Mandatory Vacation Opportunity 1 Strengthening Practices for Preventing and Detecting Unauthorized Trading and Similar Activities (SEC, February 2012)

Front

OfficeSupervi sie

Mandatory Vacations: Policies requiring mandatory vacations without remote access to trading accounts, requiring traders and perhaps certain other personnel to be out of the office for a period of time (e.g., 10 consecutive business days), without any out-of-office access to the firm.

Mandatory Vacation Opportunity 1 Market Watch - Markets Division - Newsletter on Front Office culture and governance

Mandatory Vacations: traders are encouraged (or required) to take two week continuous

Mandatory Vacation

# Regulation Subject Internal Control Hoofd-thema (label) Element fraude-driehoek Market Conduct and

Transaction Reporting Issues (FSA, U.K. March 2008) holidays. 1 European Banking Authority (October 2010) Governance mechanisms

Principle 2. The management body should promote, particularly in the front office, a culture designed to mitigate operational risks in market-related activities. Appropriate policies and procedures relating to leave requirements and staff movements should be developed, implemented and regularly monitored.

Mandatory Vacation

Opportunity

Tabel 1: Overzicht met verschillende Regulations over thema “mandatory vacations”

Op basis van bovenstaande tabel en de uitgevoerde analyse is uiteindelijk één (samengestelde) beheersingsmaatregel beschreven (zie tabel hieronder) die de lading dekt van de raamwerken van de verschillende financiële toezichthouders. In deze samengestelde beheersingsmaatregel is tevens uitgebreidere informatie betrokken die in de toelichting bij verschillende raamwerken van de toezichthouders is opgenomen. Verder is ook de operational risk hoofd categorie (uit Basel II, 2001) toegekend, zodat een duidelijke rootcause (threat) geïdentificeerd kan worden. In concreto betekent dit, wanneer men ten aanzien van traders geen verplichte vakantieperiode heeft ingesteld, de kans toeneemt dat een trader fraude pleegt (het event) en het risico toeneemt dat dit onvoldoende tijdig gedetecteerd kan worden.

Risico # Beheersingsmaatregel Element Fraudedrieho ek Operational Risk Categorie 1 Mandatory Vacations:

Het management heeft een verplichte vakantie periode ingesteld voor kritische functies waaronder traders, waarbij zij gedurende een periode van minimaal 10 werkdagen geen gebruik mogen maken van en geen toegang hebben tot trading systemen,

Gelegenheid - Human Resources Risk

Tabel 2: Hoofdthema “mandatory vacations” theoretisch toetsingskader

Evaluatie theoretisch toetsingskader

Het samenvoegen en analyseren van alle standaarden heeft geleid tot een theoretisch toetsingskader met uiteindelijk 11 hoofdthema’s. 10 van de 11 hoofdthema’s (beheersingsmaatregelen) zijn gericht op het wegnemen van gelegenheid. Alle financiële toezichthouders noemen in feite allemaal wel dezelfde beheersingsmaatregelen, maar het is opvallend dat zij weinig beheersingsmaatregelen noemen die betrekking hebben op de overige twee elementen (druk en rationalisatie) uit de fraude driehoek. Zo is eerder gesteld dat de hevigheid en de mogelijke impact van fraude bepaald word door de kracht van elk element uit de fraudedriehoek. De elementen druk en rationalisatie / integriteit komen onvoldoende terug in dit theoretisch toetsingskader.

Het theoretisch toetsingskader (internal auditframework) is in detail opgenomen in bijlage 1 en is als volgt opgebouwd:

- De beheersingsmaatregelen uit de guidelines zijn samengevat en opgenomen. - De beheersingsmaatregelen zijn voorzien van een:

o Onderwerp met korte omschrijving van de beheersingsmaatregel; o Element uit de fraudedriehoek (gelegenheid, druk of rationalisatie); o Operational risk hoofdcategorie, uit Basel II (2001).

Dit internal auditframework is de basis voor het opzetten van het controle programma voor internal auditing doeleinden. Op basis hiervan wordt de opzet, bestaan en werking van de beheersingsmaatregelen getoetst. De geformuleerde beheersingsmaatregelen zijn in feite de auditcriteria waaraan getoetst zal worden bij het uitvoeren van een internal audit.

De beheersingsmaatregelen (auditcriteria) in het theoretisch toetsingskader zullen gematcht worden met geïdentificeerde tekortkomingen in de interne beheersing die volgen uit de analyse van een drietal praktijkcasussen. Het doel van deze mapping is het vaststellen of er auditcriteria zijn die ontbreken in het theoretisch toetsingskader (hiatenanalyse). De uitwerking hiervan zal plaatsvinden door middel van het uitwerken van deelvraag 3 in hoofdstuk 3.

zodat eventuele onregelmatigheden (bijv. in trading books, suspense accounts, reconciliatie, (niet geconfirmeerde) positie informatie, trade breaks etc.) zichtbaar worden.