in
de rol
van fraudeonderzoeker.
Een empirisch onderzoek naar relevante kennis en expertise
Abdirahman Omar 11277688
Abdi.omarr@gmail.com Susanne van Hoek
Executive MSc of Internal Auditing Datum27-12-2018
Hierbij verklaar ik, Abdirahman Mohamed Omar, dat ik deze scriptie zelf geschreven heb en dat ik de volledige verantwoordelijkheid op me neem voor de inhoud ervan.
Ik bevestig dat de tekst en het werk dat in deze scriptie gepresenteerd wordt origineel is en dat ik geen gebruik heb gemaakt van andere bronnen dan die welke in de tekst en in de referenties worden genoemd.
De Faculteit Economie en Bedrijfskunde is alleen verantwoordelijk voor de begeleiding tot het inleveren van de scriptie, niet voor de inhoud.
Lectori salutem,
Ter afsluiting van de opleiding Executive Master of Internal Auditing (EMIA) aan de Universiteit van Amsterdam, stel ik hierbij mijn scriptie aan u ter beschikking.
Vastberaden en met een hoge dosis aan intrinsieke motivatie, heb ik voor mijn afstudeerscriptie besloten om me te gaan verdiepen in de verrichtingen bij een fraudeonderzoek. Fraude is en zal altijd, naar mijn mening, een intrigerend en complex onderzoeksonderwerp zijn. Het resultaat van dit onderzoek heeft mij tot nieuwe inzichten gebracht, die tevens ook waardevol zijn voor het beroep internal auditing. Uiteraard was dit niet gelukt zonder de juiste begeleiding en onvoorwaardelijk support.
Om te beginnen wil ik hierbij speciaal drs. Susanne van Hoek-Gerritsen bedanken voor haar begeleiding, geduld, enthousiasme, kritische opstelling en de wijze waarop ze zich met plezier beschikbaar stelt voor het geven van waardevolle feedback. Verder wil ik Bob van Kuijck bedanken voor zijn begeleiding in het begin traject van de scriptie. Ook wil ik de overige universitaire docenten (met name Björn Walrave) bedanken voor hun begeleiding, het delen van kennis en het beschikbaar stellen van hun netwerk.
Daarnaast wil ik graag de respondenten bedanken die deel hebben genomen aan het onderzoek. Verder wil ik Willem van Loon, Ronald Alsen en drs. Inge-Lisa Toxopeus bedanken voor het delen van hun waardevolle kennis over het onderzoeksonderwerp.
Verder wil ik ook mijn werkgever en met name Roy Dijkman bedanken voor hun geduld, de geboden mogelijkheid om mezelf verder te ontwikkelen en voor de plezierige inhoudelijke discussies. Daarnaast wil ik mijn studiegenoot Mustafa Mzallassi en inmiddels vriend bedanken voor zijn support vanaf dag 1 van de opleiding.
In het bijzonder wil ik mijn familie bedanken voor hun geduld, steun en voor het bijstaan wanneer het nodig was. Ik dank jullie allemaal heel hartelijk!
Abdirahman Omar
Het begrip fraude is een containerbegrip. Er bestaan verschillende definities en omschrijvingen van. Dit onderzoek richt zich met name op de frauduleuze handelingen die intern zijn gepleegd. Dit zijn fraudehandelingen die voortvloeien uit de handelingen van medewerkers, het management en het bestuur. Aanleiding van dit onderzoek is de onduidelijkheid met betrekking tot de verrichtingen van de internal auditor bij fraudeonderzoeken.
Een fraudeonderzoek wordt uitgevoerd door een onderzoeker die over de kennis en expertise beschikt voor het uitvoeren van een dergelijk onderzoek. De doelstelling van dit onderzoek is inzicht te verkrijgen in de mate van expertise waarover internal auditors beschikken voor het verrichten van fraudeonderzoek. Dit om antwoord te kunnen geven op de vraag of de internal auditor in staat is een fraudeonderzoek uit te voeren, met als centrale onderzoeksvraag: in hoeverre beschikt de Nederlandse internal auditor anno 2018, gelet op de geldende wet- en regelgeving, over voldoende expertise om fraudeonderzoeken uit te voeren?
Op basis van het literatuuronderzoek is een theoretisch kader opgesteld voor de verrichtingen van de internal auditor, de fraudeonderzoeker en de daaraan gelieerde wetten en regels. De resultaten uit het literatuuronderzoek zijn ingedeeld in drie thema’s. Per thema zijn de resultaten uit het literatuuronderzoek gekoppeld aan een verwachting.
Uit de literatuur is gebleken dat de internal auditor verschillende soorten audits kan verrichten en dat ook bij fraude een rol voor hem is weggelegd. Met betrekking tot fraud audits dient de rol van de internal auditor bij fraudeonderzoeken vastgelegd te zijn in het internal auditcharter. Daarnaast is uit het literatuuronderzoek gebleken dat de wet- en regelgeving omtrent fraudeonderzoeken veelomvattend is.
Middels een online enquête zijn de internal auditors in Nederland gevraagd om input te geven omtrent hun kennis en verrichtingen bij een fraudeonderzoek. Op basis van de resultaten uit het praktijkonderzoek is er een sterke indicatie dat de kennis van de internal auditors met betrekking tot wet- en regelgeving bij fraudeonderzoeken, voor verbetering vatbaar is.
1. Inleiding... 6
1.1. Doelstelling en vraagstelling ... 7
1.2. Onderzoeksmethode en werkwijze ... 7
1.3. Structuur ... 8
2. Vereiste expertise bij fraudeonderzoeken ... 9
2.1. Inleiding... 9
2.2. Definitie van fraude en fraudeonderzoeken ... 9
2.3. Internal auditing en de rol van de internal auditor ... 11
2.4. Wet- en regelgeving: de juridische positie van de internal auditor en fraude-expert 12 2.5. Wet- en regelgeving: de juridische randvoorwaarden voor het verzamelen van bewijsmateriaal bij een fraudeonderzoek en bij internal audits ... 16
2.6. Positionering van de internal auditfunctie en het borgen van onafhankelijkheid . 18 2.7. Voordelen en nadelen voor het verrichten van een fraudeonderzoek door een internal auditor ... 19 2.8. Resultaten en verwachtingen ... 20 3. Onderzoek ... 22 3.1 Inleiding... 22 3.2 Opzet praktijkonderzoek ... 22 3.3 Uitkomsten praktijkonderzoek ... 24 3.4 Resultaten ... 34 4. Analyse ... 37 4.1. Inleiding... 37 4.2. Analyse ... 37 4.3. Aanbevelingen ... 42 5. Conclusie ... 44
5.1. Conclusie van het onderzoek ... 44
5.2. Beperkingen van het onderzoek ... 45
5.3. Vervolgonderzoek ... 46
Bibliografie ... 48
Bijlage 1. Vragenlijst en introductie ... 53
Bijlage 2. Enquêtes resultaten ... 57
Bijlage 3. Uitzetten van de enquête ... 62
1. Inleiding
Het werk van de internal auditor breidt zich uit. Dit is onder meer te zien in de nieuwe Corporate Governance Code (Monitoring Commissie Corporate Governance Code, 2016). In deze code wordt op verschillende plaatsen aandacht besteed aan de verrichtingen van de internal auditor. Echter, met betrekking tot thema’s zoals fraude, misstanden en onregelmatigheden worden alleen de verrichtingen van de externe accountant beschreven.
Ook in de gezamenlijke position paper van de drie beroepsorganisaties van auditors in Nederland (IIA Nederland, NIVRA en NOREA 2005, 2008) worden de verrichtingen van de internal auditor aangaande fraudeonderzoeken slechts zeer beperkt belicht. In de IIA-standaarden (IIA, 2017) staat weliswaar dat de internal auditor voldoende kennis moet hebben van frauderisico’s en dat hij de wijze waarop dergelijke risico’s door de organisatie worden beheerst, kan beoordelen. In de standaarden staat echter ook dat het niet de primaire taak van de internal auditor is om fraude op te sporen en een onderzoek te verrichten. Dit roept de vraag op of de internal auditor niet geschikt wordt geacht om onderzoek te doen naar fraude, misstanden en onregelmatigheden. Uit de reacties op een stelling in het IIA (2018, p. 21), blijkt dat de internal auditors in Nederland het hier niet mee eens zijn. Zo stelt een internal auditor: “Hoewel in de standaards staat dat een internal auditor geen expert hoeft te zijn op het gebied van fraude, zou dit de auditor er niet van moeten weerhouden om zelf een fraudeonderzoek te doen.”
Volgens Toxopeus (2018), een forensisch accountant, zouden de activiteiten met betrekking tot een fraudeonderzoek door de internal auditor echter beperkt moeten blijven tot inventarisatie en preventie. Bij het vermoeden van fraude dient een internal auditor nooit zelf het gesprek aan te gaan met de verdachte, want volgens Toxopeus dienen er gedragsrichtlijnen voor persoonsgebonden onderzoeken gevolgd te worden. Het niet-naleven hiervan kan, vanuit juridisch perspectief, vergaande consequenties hebben. Dit wordt ook gesteld door het Chartered Institute of Internal auditors (2013, p.1) “Internal Audit should only be given extra responsibilities for fraud and corruption if it has the specific expertise needed in a particular case”. Parcher (ACFE, 2012) stelt zelfs dat de internal auditor met beperkte ervaring in fraudeonderzoeken, zoals met bewijs, het onderzoekproces kan belemmeren. Al met al kan de vraag worden gesteld of de internal auditor bekend is met de wet- en regelgeving aangaande fraudeonderzoeken.
1.1. Doelstelling en vraagstelling
De doelstelling van dit onderzoek is inzicht te verkrijgen in de mate van expertise waarover internal auditors beschikken voor het verrichten van fraudeonderzoek. Dit om antwoord te kunnen geven op de vraag of de internal auditor in staat is een fraudeonderzoek uit te voeren. Op basis van de doelstelling en de aanleiding tot dit onderzoek luidt de centrale onderzoeksvraag:
In hoeverre beschikt de Nederlandse internal auditor anno 2018, gelet op de geldende wet- en regelgeving, over voldoende expertise om fraudeonderzoeken uit te voeren?
De van de centrale onderzoeksvraag afgeleide vragen zijn:
1. Wat is vanuit de theorie en de wet- en regelgeving relevant als de internal auditor als fraudeonderzoeker zou willen optreden?
2. In hoeverre blijkt uit praktijkonderzoek dat internal auditors op de hoogte zijn van de wet- en regelgeving?
3. Welke conclusies volgen uit de resultaten van het praktijkonderzoek, afgezet tegen het theoretisch onderzoek?
1.2. Onderzoeksmethode en werkwijze
De structuur van het onderzoek is weergegeven in een onderzoeksmodel. Eerst is een theoretisch kader opgesteld waarin wordt geïnventariseerd. Daarna is een enquête uitgezet onder internal auditors, onder andere leden van het IIA. Daarbij is er rekening mee gehouden dat niet alle leden van het IIA het beroep internal auditing uitoefenen. Op basis van de verkregen inzichten uit de theorie en praktijk, is aan de hand van een analyse een oordeel gevormd.
Fraude en fraudeonderzoeken
Beroepsregels en wetten
Internal auditor en de toegevoegde waarde bij
fraudeonderzoek Aannames over expertise internal auditor bij fraudeonderzoek
O
o
rd
ee
l e
n
aan
b
ev
el
in
g
Theorie Praktijk Analyse
De (huidige) juridische kennis van de internal auditor in Nederland
omtrent fraudeonderzoeken
De resultaten van het onderzoek, afgezet tegen
het theoretisch onderzoek
Figuur 1.1 Onderzoeksmodel
1.3. Structuur
In hoofdstuk 2 staan de verrichtingen van de internal auditor en de fraude-expert, en de wetten en regels omtrent fraudeonderzoeken centraal. In hoofdstuk 3 worden de resultaten uit de enquête weergegeven. In hoofdstuk 4 worden de resultaten kritisch geanalyseerd. Tot slot volgt in hoofdstuk 5 de conclusie.
2. Vereiste expertise bij fraudeonderzoeken
2.1. Inleiding
In dit hoofdstuk worden de verrichtingen van de internal auditor en de fraude-expert en de daaraan verbonden wetten en regels behandeld. Dit ter beantwoording van de subvraag: Wat is vanuit de theorie en de wet- en regelgeving relevant als de internal auditor als fraudeonderzoeker optreedt? Op basis van het antwoord op deze vraag worden verwachtingen geformuleerd over de kennis en vaardigheden van de internal auditor. Deze verwachtingen zijn de basis voor het praktijkonderzoek.
In paragraaf 2.2 wordt beschreven wat fraude en fraudeonderzoeken inhouden. In paragraaf 2.3 staat internal auditing centraal. In paragraaf 2.4 en 2.5 zijn de geldende Nederlandse wet- en regelgeving, beroepsregels en de van toepassing zijnde internationale standaarden beschreven. In paragraaf 2.6 en 2.7 staat de toegevoegde waarde van de internal auditor bij fraudeonderzoeken centraal. In paragraaf 2.8 worden bepaalde vooronderstellingen toegelicht.
2.2. Definitie van fraude en fraudeonderzoeken
Het begrip fraude is een containerbegrip. Er bestaan verschillende definities en omschrijvingen van. Daarnaast kan de fraude gepleegd worden door een persoon binnen het bedrijf (intern) of door een persoon van buiten (extern).
Dit onderzoek richt zich met name op de frauduleuze handelingen die intern zijn gepleegd. Interne fraude omvat volgens Den Hartigh (2007) en The Institute of Internal Auditors, The American Institute of Certified Public Accountants en de Association of Certified Fraud Examiners (2007) alle fraudehandelingen die voortvloeien uit de handelingen van medewerkers, het management en het bestuur. Voorbeelden van dergelijke handelingen zijn declaratiefraude, valsheid in geschrifte, ontvreemding van kasgeld, subsidiefraude, computerfraude, contractfraude en boekhoudfraude.
Interne fraude is door de Association of Certified Fraud Examiners (2018) (hierna ACFE) gedefinieerd als “the use of one’s occupation for personal enrichment through the deliberate misuse or misapplication of the organization’s resources or assets.”
Het Institute of Internal Auditors (hierna IIA) heeft in de standaarden (2017) als definitie van fraude het volgende opgenomen: “Any illegal act characterized by deceit, concealment, or violation of trust. These acts are not dependent upon the threat of violence or physical force.
Frauds are perpetrated by parties and organizations to obtain money, property, or services; to avoid payment or loss of services; or to secure personal or business advantage.’’
Het Wetboek van Strafrecht kent het begrip ‘fraude’ niet, en daardoor is fraude wettelijk niet gedefinieerd. Echter, verschillende vormen van fraude zijn wel wettelijk gedefinieerd. Zo zijn diefstal (art. 310 WvSr), verduistering (art. 321 WvSr), bedrog (art. 326 WvSr) en valsheid in geschrifte opgenomen in het Wetboek van Strafrecht (art. 226 WvSr).
Gelet op de verschillende definities voor fraude kan interne fraude gedefinieerd worden als het onrechtmatig toe-eigenen van bedrijfsmiddelen ten nadele van de organisatie, met als doel daar direct of indirect profijt van te hebben.
De aanleiding voor een fraudeonderzoek, oftewel een incident voorafgaand aan een fraudeonderzoek, kan verschillen. Incidenten kunnen volgens Pickett (2010) zowel intern als extern voorkomen, bijvoorbeeld via een interne klacht, een anonieme melding, klokkenluiders, een melding van de leveranciers of op basis van een audit. Het is van belang de aanleiding te concretiseren alvorens een besluit te nemen over de vraag of er daadwerkelijk een fraudeonderzoek verricht moet worden. Zo stelt Heissner (2014, p. 81): “Forensics is nothing more than a structured analysis with the sole aim of gaining knowledge”.
Een fraudeonderzoek bestaat uit een aantal opeenvolgende stappen. ACFE stelt in de Fraud Examiners Manual (2017, 2016) dat voordat aan een onderzoek begonnen wordt, het incident goed in kaart gebracht moet worden. Dit dient te gebeuren tijdens het vooronderzoek waarbij de fraud theory van de ACFE toegepast kan worden. De fraud theory (ACFE, 2017, 2016) is een onderzoeksinstrument dat de onderzoeker ondersteunt bij de organisatie en uitvoering van het onderzoek op basis van de informatie die op dat moment beschikbaar is. Het gaat hierbij om het verzamelen van beschikbare informatie, het opstellen van een hypothese, het testen van de hypothese en indien nodig het aanpassen van de hypothese. Behalve uit een vooronderzoek bestaat het fraudeonderzoek volgens ACFE (2017, 2016), Pickett (2010) en Hoffman (2015) uit planning, informatie verzamelen, analyseren van documenten, interviews, rapporteren en het treffen van maatregelen.
Behalve de ACFE (2017, 2016) Pickett (2010) en Hoffman (2015), heeft ook Den Hartigh (2007) in het Routeboek bij fraudeonderzoek de fasering van een onderzoek beschreven. Zijn methode komt grotendeels overeen met de methode van de ACFE; alleen de volgorde van de stappen verschilt. Zo worden bijvoorbeeld eerst de interviews met de verdachten gehouden en wordt pas daarna de verzamelde informatie geanalyseerd.
Op basis van de ACFE (2017, 2016), Pickett (2010), Hoffman (2015) en Den Hartigh (2007) kan gesteld worden dat een fraudeonderzoek bestaat uit de volgende fases: vooronderzoek, planning, informatie verzamelen, analyse, interview en het rapport.
2.3.
Internal auditing en de rol van de internal auditor
Een internal-auditfunctie is volgens het IIA Nederland (2018) een onafhankelijke, objectieve functie die diensten verleent ter verschaffing van zekerheid en adviesopdrachten uitvoert, met als doel waarde toe te voegen aan de organisatie door op basis van een methodische aanpak de effectiviteit van de processen van governance, risicomanagement en -beheersing te evalueren en te verbeteren. Dit wordt bereikt door op een systematisch manier tot een bevredigend oordeel te komen, waarbij problemen en redeneringen als het ware worden vereenvoudigd om te kunnen omgaan met de complexe werkelijkheid, oftewel door te auditen volgens een procedurele rationaliteit (Van Kuijck, 2016).
Een internal audit kan, afhankelijk van het onderzoeksobject, volgens Driessen en Molenkamp (2012) en Kagermann, Kinney, Küting & Weber (2008) op verschillende manieren worden uitgevoerd. De meest gangbare vormen zijn operational audits, IT-audits, compliance audits, financial audits, strategic audits, project audits en fraud audits. De IIA (2017) zegt met betrekking tot fraud audits (in standaard 1210.A2) dat van de internal auditor niet verwacht mag worden dat deze over dezelfde expertise beschikt als een deskundige, maar dat deze wel in staat moet zijn om de beheersing van frauderisico’s te beoordelen. Overige IIA-standaarden (IIA, 2017) waar fraude in opgenomen is, zijn 1220.A1, 2060, 2120.A2 en 2210.A2. Verder is in de Practice Guide van het International Professional Practises Framework (IPPF) (IIA, 2009) opgenomen dat de rol van een internal auditor bij een fraudeonderzoek duidelijk in het internal-auditcharter en in de fraud policies en procedures gedefinieerd moet zijn. Dit betreft met name de verwachtingen jegens de internal-auditfunctie aangaande expertise, capaciteit en onafhankelijkheid (Horwath, 2010). Behalve het definiëren van de rol van de internal auditor dient volgens Gottschalk (2015) en het Chartered Institute of Internal Auditors (2013) rekening te worden gehouden met de beschikbaarheid en de competenties van de internal auditor. Verder worden de verschillende soorten audits op basis van een systematische en methodologische aanpak uitgevoerd, die wordt gekenmerkt door een aantal fases. Om deze aanpak inzichtelijk te maken is gekozen voor het zes-stappenmodel (weergegeven in figuur 2.2) van Driessen & Molenkamp (2012).
Bron: Driessen & Molenkamp, 2012:327.
Uit een onderzoek van Sarens, Allegrini, D'Onza en Melville (2011) blijkt onder andere dat de internal auditor zich wel degelijk bezighoudt met het onderzoeken van fraude en onregelmatigheden. In het overzicht van de traditionele werkzaamheden van de internal auditor worden door Sarens, Allegrini, D'Onza en Melville ook fraudeonderzoeken opgenomen. Verder geven ook Petraşcu (2014, 2012), ACFE (2006) en PwC (2004) aan dat een rol is weggelegd voor de internal auditor bij fraude. Volgens Petraşcu (2012, 2014) kan de internal auditor het management assisteren bij het opstellen van antifraudeprogramma’s, het faciliteren van fraud assessments en het assisteren bij fraudeonderzoeken. Daarnaast stelt ook de ACFE (2006) dat de fraudeschade wordt beperkt door de aanwezigheid van een internal-auditfunctie, waarbij de internal auditor verschillende rollen kan hebben. Ook Coram, Ferguson en Moroney (2008) schrijven dit.
Uit de literatuur blijkt dus dat de internal auditor verschillende soorten audits kan verrichten en dat ook bij fraude een rol voor hem is weggelegd. Met betrekking tot fraud audits dient behalve de vastlegging van de rol van de internal auditor bij fraudeonderzoeken ook gekeken te worden naar zijn beschikbaarheid en competenties.
Aangezien de internal auditor verschillende soorten audits uitvoert, valt te verwachten dat de internal auditor onder andere fraudeonderzoeken verricht. Bovendien is de verwachting dat de internal auditor de IIA-standaarden over fraude kent.
2.4. Wet- en regelgeving: de juridische positie van de internal auditor en
fraude-expert
De internal auditor dient zicht te houden aan verscheidene reglementen en beroepscodes, zoals de gedrags- en beroepsregels internal auditors van het IIA, IIA-code of ethics, het Reglement permanente educatie Register Operational Auditor en het Reglement van Tucht. De gedragscode die voor de leden van het IIA geldt, stelt ook dat de internal auditors hun diensten uitvoeren in overeenstemming met de Internationale Standaarden voor de beroepsuitoefening van Internal Auditing. Deze standaarden maken deel uit van het raamwerk
Planning Vooronderzoek Veldwerk
Rapportage Evaluatie
van het IPPF dat recent is herzien door het IIA (2017). De IIA-code of ethics, die in hetzelfde raamwerk (IIA, 2017) opgenomen is, stelt dat de internal auditor integer, objectief, betrouwbaar en competent moet handelen in de uitoefening van zijn beroep.
Hieronder worden de beroepsregels en de standaarden kort beschreven: Gedrags- en beroepsregels internal auditors en de IIA-code of ethics
In de gedrags- en beroepsregels internal auditors (IIA, 1998) zijn algemene regels, regels voor alle leden die optreden als een internal auditor, regels over ethische conflicten en regels omtrent het handhaven van het reglement gedefinieerd. Het doel hiervan is om de leden die optreden als een internal auditor, te wijzen op hun verantwoordelijkheid met betrekking tot vakbekwaamheid, deugdelijke grondslag en overige handelingen aangaande internal auditing.
De gedragscode van het IIA (2017) omvat principes als integriteit, objectiviteit, vertrouwelijkheid en competentie. Hiermee streeft het IIA ernaar een ethische cultuur voor het beroep en de praktijk van de internal audit te bevorderen. De internal auditor wordt geacht te allen tijde deze principes te erkennen. De gedragscode geldt voor zowel individuen als organisaties die internal audits verrichten. Het niet-honoreren van de principes kan leiden tot disciplinaire maatregelen door het IIA.
Van de internal auditor wordt verwacht dat hij vakbekwaam en met een deugdelijke grondslag optreedt bij al zijn verrichtingen. Dat geldt dan ook voor fraudeonderzoeken. De internal auditor zou dus ook fraudeonderzoeken moeten kunnen uitvoeren, voor zover zijn vakbekwaamheid dat toelaat.
Reglement Permanente Educatie Register Operational Auditors
Het Reglement Permanente Educatie (IIA, 2017) is van toepassing op alle personen die in het register van De Stichting Verenigde Register Operational Auditors (SVRO) ingeschreven staan. Met permanente educatie wordt ernaar gestreefd de kwaliteit en deskundigheid van de ingeschrevenen die het beroep internal auditing uitoefenen te waarborgen en te bevorderen. Verder draagt de permanente educatieplicht met behulp van cursussen, seminars of andere educatieve activiteiten bij aan de deskundigheid van de operational auditor, om zo te voldoen aan de verwachtingen van de maatschappij. Het aantal PE-punten dat de operational auditor jaarlijks verplicht moet halen, is gesteld op 40 punten.
Het Reglement op de tuchtrechtspraak (IIA, 2016) voor leden van IIA Nederland stelt de beroepsgroep in artikel 1 van het Reglement van Tucht dat de “raad van tucht is belast met de behandeling van klachten die tegen leden van IIA zijn ingediend” en dat “iedere belanghebbende een klacht kan indienen bij de raad van tucht indien betrokkene in strijd handelt met het Reglement Gedrags- en Beroepsregels Internal Auditors”. Het doel hiervan is de handhaving van de Gedrags- en Beroepsregels Internal Auditors en de daaraan gelieerde Internationale Standaarden voor de beroepsuitoefening van de Internal Auditor.
Gezien het feit dat het Reglement op de tuchtrechtspraak voor alle leden van IIA Nederland geldt, mag ervan uitgegaan worden dat de Nederlandse internal auditor bekend is met de consequenties van het niet-naleven van de beroepsregels.
International Professional Practices Framework
Het International Professional Practices Framework (IIA, 2017) is de leidraad voor de internal auditor. Dit raamwerk bestaat uit verplichte en aanbevolen richtlijnen. De verplichte richtlijnen, die tevens de kern van het raamwerk vormen zijn: Core principles, International Standards for the Professional Practice of Internal Auditing (oftewel de standaarden), de Code of Ethics en de Definition of Internal Auditing. Om hier gehoor aan te geven, wordt in artikel 5 lid 2 van de gedrags- en beroepsregels internal auditor (IIA, 1998) geëist dat de internal auditor zijn werkzaamheden uitvoert conform vaktechnische normen en standaarden, oftewel de Internationale standaarden voor de beroepsuitoefening van de Internal Auditor.
De standaarden zijn opgedeeld in standaarden voor kenmerken en standaarden voor prestaties. In de kenmerkstandaarden wordt een beschrijving gegeven van de eigenschappen van organisaties en personen die internal audits uitvoeren. In de prestatiestandaarden is de aard van de internal-auditdiensten beschreven. Daarnaast bieden de prestatiestandaarden kwaliteitscriteria om de resultaten van deze diensten te evalueren.
Overige regels die van toepassing kunnen zijn op de internal auditor, kunnen voortvloeien uit wettelijke bepalingen die gelden voor de organisatie waarin de internal auditor zijn beroep uitoefent. Zo is een internal auditor bij beursgenoteerde bedrijven (Swinkels, 2012) gebonden aan zowel binnenlandse als buitenlandse wetten en regels (SOX, Corporate governance code). Daarnaast kunnen er specifieke regels gelden voor het soort audit, het object van onderzoek en de onderzoeksmiddelen die ingezet worden gedurende een audit. Dit wordt nader toegelicht in paragraaf 2.5.
De fraude-expert is net als de internal auditor gebonden aan regels en beroepsregels (ACFE, 2018), zoals de statuten ‘Bylaws’ van het ACFE, permanente educatieplicht (Continuing Professional Education Compliance), de standaarden (Code of Professional Standards) en de Code of Professional Ethics. Permanente educatieplicht geldt alleen voor de leden die gecertificeerd zijn als Fraud Examiners. Zo wordt in een studie van Grant Thornton (Almelo & Schimmel, 2013) gesteld dat de onderzoekmaatstaven en de gedragscode van de ACFE “een belangrijk internationaal kompas voor goed onderzoek” zijn (2013, p. 12).
Hieronder wordt een korte schets gegeven van de beroepsregels en de standaarden: ACFE Bylaws
In de statuten van ACFE (ACFE, 2018) zijn bepalingen opgenomen die gelden voor zowel gecertificeerde als niet-gecertificeerde leden, over bijvoorbeeld het stemrecht (voor gecertificeerde leden), educatieplicht en de disciplinaire maatregelen die de ACFE kan opleggen.
Continuing Professional Education Compliance
Gecertificeerde fraud examiners zijn verplicht om te voldoen aan de permanente-educatieplicht (ACFE, 2018). De fraud examiner is verplicht om minimaal twintig uur per jaar te besteden aan educatie. Als de fraud examiner in het voorgaande jaar meer dan twintig uur heeft besteed aan permanente educatie, dan mag hij deze gebruiken voor het nieuwe jaar. Verder wordt de registratie van fraud examiner geheel of gedeeltelijk opgeschort bij het niet-voldoen aan de educatieplicht. Gelet op de permanente educatie van de internal auditor (veertig PE-punten), worden aan de permanente-educatieplicht van de internal auditor hogere eisen gesteld (in uren) en is deze minder flexibel.
Code of Professional Standards
Over de naleving van de Code of Professional Standards (ACFE, 2018, p. 2) schrijft het ACFE: “The CFE Code of Professional Standards shall apply to all certified members of the Association of Certified Fraud Examiners. Associate members of the ACFE should strive to adhere to the Standards, but are not bound by them.”
Code of Professional Ethics
De gedragscode van het ACFE omvat acht bepalingen die door de leden te allen tijde nageleefd dienen te worden (ACFE, 2018). Hierbij gaat het onder andere om professionaliteit, zorgvuldigheid, ethisch handelen, naleving van de wet- en regelgeving en indien nodig getuigen, weerhouden van oordeelsvorming en het niet
delen van al hetgeen dat als vertrouwelijk te zijner kennis is verkregen zonder toestemming (ACFE, 2018).
Overige regels
Net als bij de internal auditor zijn er ook specifieke regels van toepassing op de verrichtingen van de fraude-expert, met name op de onderzoeksmiddelen die ingezet kunnen worden gedurende een fraudeonderzoek. De erkenning van die regels wordt tevens benadrukt in de Code of Professional Standards (ACFE et al., 2018, p. 2): “Although CFEs are required to follow the Standards when possible, there might be instances where a CFE encounters a conflict between the Standards and certain laws, regulations or court orders to which he is subject. In the event that such a conflict arises, the provisions of the law, regulation or court order should be followed.” Dit wordt nader toegelicht in paragraaf 2.4 en 2.5.
2.5. Wet- en regelgeving: de juridische randvoorwaarden voor het verzamelen
van bewijsmateriaal bij een fraudeonderzoek en bij internal audits
De waarde van elk onderzoek berust op de geloofwaardigheid van het verkregen bewijsmateriaal. Bij fraudeonderzoeken bestaat het bewijs uit documentatie, verklaringen van getuigen en verklaringen van de fraudeur. De fraudeonderzoeker dient te allen tijde de regels voor de bewijsgaring te volgen. Ook Coburn (2006, p.8) schrijft dit: “While conducting internal investigations, the investigator should take care when considering the bewijsmateriaal and evaluating the prohibitive value of the bewijsmateriaal. Regard should be had to individual’s privacy rights and consider whether it is better for enforcement agencies to handle this aspect of the matter”. Daarnaast stelt de wet (art. 338 Wvsr) dat er sprake moet zijn van wettig bewijs voor wat de verdachte ten laste wordt gelegd.
Bewijs kan verzameld en geleverd worden met behulp van verschillende onderzoeksmiddelen. Echter, de waardering van het bewijs is gebonden aan het oordeel van de rechter. In het onderstaande worden de geldende regels (Nederlandse wet- en regelgeving en beroepsregels) voor bewijsgaring en het gebruik van onderzoeksmiddelen in de private sector beschreven.
De fraudeonderzoeker dient zich net als elke ingezetene van Nederland te houden aan de wet. Zo mag hij geen strafbare feiten plegen en niet onrechtmatig handelen (artikel 6: 162 BW). Het niet-naleven hiervan kan gevolgen hebben voor de rechtmatigheid van het bewijs dat door de fraudeonderzoeker is verkregen. De internal auditor moet dus bekend zijn met de Nederlandse wet- en regelgeving voor het verrichten van een fraudeonderzoek.
Volgens Scharenborg (2016) kunnen onderzoeksmiddelen ingedeeld worden in algemene en bijzondere onderzoeksmiddelen. Onder algemene middelen vallen interviews en werkplekonderzoek. Bij bijzondere middelen gaat het voornamelijk om middelen die specialisten inzetten; het onderzoeken van harde schijven in computers of het volgen en observeren van personen. De meest voorkomende onderzoeksmiddelen in de private sector zijn beeldonderzoek, bestaanscontrole, het betreden van (besloten) plaatsen, bronnenonderzoek, het zetten van een dievenval, documentenonderzoek, heimelijke observatie met camera, het interview, meeluisteren of opnemen van (telefoon)gesprekken, observatie, onderzoek van (administratieve) bescheiden en gegevens, onderzoek van geautomatiseerde voorzieningen, onderzoek van internet, e-mail en ander netwerkverkeer, proefaankopen en pseudoklant, reconstructie, statistisch onderzoek, verklaringen van andere deskundigen, verbandscontrole en werkplekonderzoek. Bijlage 4 bevat een omschrijving per onderzoeksmiddel en de geldende regels voor het verzamelen van bewijsmateriaal. De fraudeonderzoeker dient bij het opstellen van het toetsingskader na te gaan welke van de bovenstaande onderzoeksmiddelen het best bruikbaar is voor het behalen van de doelstelling. Verder dient de fraudeonderzoeker zorgvuldig om te gaan met het verzamelde bewijs. Het kan voorkomen dat bewijs onrechtmatig wordt verkregen. Zo stelt Parcher (ACFE, 2012) dat internal auditors die weinig ervaring met fraude hebben, het bewijsmateriaal kunnen schaden. Het onrechtmatig verkrijgen van bewijs leidt tot schending van de rechtsregels inzake bewijsgaring (Scharenborg, 2016). Als de regels van het onderzoek niet nageleefd worden, kan de rechter sancties opleggen, zoals strafverlaging, bewijsuitsluiting, niet-ontvankelijkheid en verklaring van onrechtmatigheid (artikel 359a lid 1 Wvsr). In de Nederlandse rechtspraak staat waarheidsvinding echter voorop. Zelfs als het bewijs onrechtmatig is verkregen, kan de rechter anders besluiten. Met inachtneming van het proportionaliteitsbeginsel en het subsidiariteitsbeginsel bepaalt de rechter of het onrechtmatig verkregen bewijs gebruikt mag worden (Stolp, 2007 en Scharenborg, 2016).
Samenvattend: met betrekking tot bewijsgaring moet de internal auditor de regels kennen voor de te gebruiken onderzoeksmiddelen. Ook moet hij weten wat de consequenties zijn van het gebruik van onrechtmatig verkregen bewijs. Verwacht wordt dat de internal auditor hier bekend mee is. Verder moet een internal auditor die fraudeonderzoek verricht, weten wat de juridische randvoorwaarden zijn aangaande het bewijsmateriaal.
Daarnaast dient de fraudeonderzoeker zorgvuldig te handelen gedurende een persoonsgericht onderzoek. Een persoonsgericht onderzoek is een onderzoek naar de verrichtingen van een natuurlijk persoon en die van een rechtspersoon (NBA, 2010). De Nederlandse Beroepsorganisatie van Accountants (hierna de NBA) definieert
persoonsgerichte onderzoeken als een “opdracht waarvan het object bestaat uit het functioneren, handelen of nalaten van handelen van een (rechts)persoon, voor de uitvoering waarvan werkzaamheden met een verifiërend karakter worden verricht, onder andere bestaande uit het verzamelen en analyseren van al dan niet financiële gegevens en het rapporteren van de uitkomsten”. De NBA heeft een handleiding ‘NBA-handreiking 1112’ (NBA, 2010) opgesteld voor persoonsgerichte onderzoeken, waarin de bepalingen en bevoegdheden van de onderzoeker opgenomen zijn. Hierin wordt ook verwezen naar de gedrags- en beroepsregels voor de accountant en het belang van de naleving van de fundamentele beginselen. Het niet-naleven van de NBA-Handreiking kan voor de onderzoeker resulteren in tuchtrechtspraak (mits lid van een beroepsgroep) en/of civielrechtelijke vervolging.
Aangezien de NBA-handreiking van toepassing is op de openbaar accountant, de interne accountant, de overheidsaccountant en de registeraccountant, dient de fraudeonderzoeker rekening te houden met de bepalingen die opgenomen zijn in de handreiking. Oftewel, voor het verrichten van een persoonsgericht onderzoek bij fraudeonderzoeken, moet de internal auditor bekend zijn met de regels aangaande persoonsgerichte onderzoeken.
Bij internal auditing wordt bewijsmateriaal verzameld om een oordeel te kunnen geven over de mate waarin het proces wordt beheerst. Dit kan bijvoorbeeld door middel van fysiek onderzoek, inventarisatie, documentenstudie, het ondervragen van proceseigenaren, het herhalen van werkzaamheden en observatie (Driessen & Molenkamp, 2012). Door op verschillende manieren bewijs te verzamelen en te gebruiken, een methode die triangulatie wordt genoemd (Van Kuijck, 2016), kan de internal auditor oordelen over de mate waarin een proces beheerst wordt. Aangezien bij internal auditing onderzocht wordt in welke mate een proces beheerst wordt en het onderzoek niet gericht is op een persoon, zijn er geen juridische voorwaarden van toepassing op het verzamelde bewijsmateriaal. Wel heeft Ratliff (1988) eisen opgesteld voor de kwaliteit van het bewijsmateriaal. Het bewijsmateriaal moet betrouwbaar, overtuigend, efficiënt, relevant en waardevol zijn.
Samenvattend kan gesteld worden dat het bewijsmateriaal niet is onderworpen aan juridische beperkingen met betrekking tot proces gerelateerde audits. De fraudeonderzoeker dient wel rekening te houden met de wijze waarop het bewijsmateriaal wordt verzameld.
2.6. Positionering van de internal auditfunctie en het borgen van
onafhankelijkheid
De internal-auditfunctie dient, om zoveel mogelijk objectiviteit te waarborgen, gepositioneerd te worden op het niveau van de beheerskaders, de organisatorische en technologische
infrastructuur van de organisatie. Volgens Driessen en Molenkamp (2012) moet dit onder andere voorkomen dat er een vermenging ontstaat met tweedelijns-inrichtende functies. Zo is de internal-auditfunctie onafhankelijk van de te beoordelen processen. Behalve voor de onafhankelijkheid, is de positionering van de internal-auditfunctie ook van belang om (de schijn) te voorkomen dat subjectieve overwegingen de verrichtingen van de internal-auditfunctie kunnen beïnvloeden. Het belang van de positionering voor het adequaat functioneren van de internal auditor wordt expliciet genoemd in de position paper van het IIA (2005) en door Van Kempen en Molenkamp (2013). Van Kempen en Molenkamp geven daarbij aan dat de internal auditor direct gepositioneerd moet zijn onder de hoogste leiding van de organisatie, om objectief en onpartijdig te kunnen handelen. Dit blijkt ook uit het onderzoek van Ratliff & Brackner (1991, p. 40) over de positionering van de internal-auditfunctie: “A higher placement in the organization hierarchy permits greater breadth of auditing examinations, audits involving greater dollar amount, audits reflecting higher levels of concern, and a greater likelihood of prompt problem resolution.”
Concluderend kan gesteld worden dat het voor de uitvoering van de internal-auditfunctie, met name om tot een oordeel te komen over wat geaudit moet worden, van groot belang is de beïnvloeding door personen in de organisatie te minimaliseren. Om dit te bewerkstelligen, dient de internal auditor zo hoog mogelijk in de organisatie gepositioneerd te zijn.
2.7. Voordelen en nadelen voor het verrichten van een fraudeonderzoek door
een internal auditor
De verrichtingen van een internal auditor met betrekking tot fraudeonderzoeken dienen volgens de IPPF Practice Guide (2009) opgenomen te zijn in het internal auditcharter, de fraud policies en de fraudeprocedures.
In de literatuur wordt een aantal voordelen genoemd voor het laten verrichten van een fraudeonderzoek door de internal auditor. Zo zeggen Gottschalk (2015) en Den Hartigh (2007) dat de internal auditor bekend is met de belangrijkste bedrijfsactiviteiten (systemen en processen) en dat de internal auditor in staat is om gerichter onderzoek te verrichten. Verder zegt Scharenborg (2016) dat het een voordeel is dat de internal auditor bekend is met de cultuur van de organisatie. Tevens zeggen Scharenborg (2016), Gottschalk (2015) en Den Hartigh (2007) dat het vanuit het kostenperspectief gezien gunstiger is het onderzoek door de internal auditor te laten doen: enerzijds omdat het interne capaciteit betreft en anderzijds omdat de kosten van het onderzoek op deze manier beheersbaar zijn, aangezien de organisatie controle uitoefent over de richting, reikwijdte en looptijd van het onderzoek. Bovendien is de internal auditor direct beschikbaar om de schade te beperken. Verder heeft
de organisatie ook meer controle over de verspreiding van het rapport als het onderzoek door de internal auditor wordt uitgevoerd.
Uit de literatuur blijkt dat er ook nadelen kleven aan een fraudeonderzoek door de internal auditor. Zo zegt Dervan (2012, p.367) dat “retention of outside counsel makes investigative findings more credible, because the government often looks with suspicion upon the statements and conclusions of insiders who may either be involved in the underlying misconduct or, at a minimum, who have a significant financial stake in the investigation’s outcome”. Dat de onafhankelijkheid van de internal auditor in het geding is, wordt ook beaamd door Scharenborg (2016) en Den Hartigh (2007). Het gevolg hiervan is dat de betrokkenheid van de internal auditor bij fraudeonderzoeken een negatieve impact heeft op de algehele verrichtingen van de internal-auditfunctie. Als de internal auditor betrokken is bij een fraudeonderzoek, kan dat bij de volgende reguliere audit onbedoeld subjectieve verhindering veroorzaken (politieagent et cetera). Dit kan uiteindelijk een negatief effect hebben op de toegevoegde waarde van de internal-auditfunctie.
Concluderend kan gesteld worden dat er volgens de literatuur zowel voordelen als risico’s kleven aan het laten verrichten van een fraudeonderzoek door een internal auditor. Enerzijds heeft de internal auditor een voorsprong bij een fraudeonderzoek in vergelijking met een externe partij. Anderzijds is er sprake van een afbreukrisico voor de internal-auditfunctie. Duidelijk is dat de verrichtingen van de internal auditor bij fraudeonderzoeken zijn geformaliseerd en zijn vastgelegd in het internal auditcharter.
2.8. Resultaten en verwachtingen
Uit de literatuurstudie naar relevante theorie en wet- en regelgeving voor het verrichten van fraudeonderzoek door de internal auditor, zijn de onderstaande punten naar voren gekomen. De resultaten zijn ingedeeld in drie thema’s. Per thema zijn de resultaten uit het literatuuronderzoek gekoppeld aan een verwachting.
Thema Resultaten literatuuronderzoek Verwachtingen
Methodologie 1 Uit de literatuur (Driessen & Molenkamp,2012, Sarens, Allegrini, D'Onza en Melville (2011) blijkt dat de internal auditor verschillende soorten audits kan verrichten, zo ook fraudeonderzoeken. Met betrekking tot fraud audits moet behalve de vastlegging van de rol van de internal auditor bij fraudeonderzoeken ook gekeken worden naar de
beschikbaarheid en de competenties van de internal auditor.
De internal auditor verricht verschillende soorten audits, waaronder ook fraudeonderzoeken.
Juridisch 2 De fraudeonderzoeker dient zich net als elke ingezetene van Nederland te houden aan de wet. Dit betekent dat hij geen strafbare feiten pleegt en niet onrechtmatig handelt (artikel 6: 162 BW). Het niet-naleven hiervan kan gevolgen hebben voor de rechtmatigheid van het bewijs dat door de fraude-expert is verkregen.
De internal auditor is bekend met de Nederlandse wet- en regelgeving voor het verrichten van een fraudeonderzoek.
Juridisch 3 De internal auditor dient te allen tijde de wet en de
beginselen van proportionaliteit en subsidiariteit (Stolp, 2007, Scharenborg 2016) in acht te nemen voor het verzamelen van bewijsmateriaal bij een fraudeonderzoek.
Als een internal auditor een fraudeonderzoek verricht, dan weet de internal auditor wat de juridische randvoorwaarden zijn voor het bewijsmateriaal.
Juridisch 4 De internal auditor dient te allen tijde zorgvuldig te werk te gaan gedurende de bewijsgaring, om te voorkomen dat het verzamelde bewijs als onrechtmatig wordt gekenmerkt. Het onrechtmatig verkrijgen van bewijs leidt tot schending van de rechtsregels inzake bewijsgaring. Als de regels van het onderzoek niet nageleefd zijn, kan de rechter sancties opleggen (artikel 359a lid 1 Sv). Dit zijn sancties zoals strafverlaging, bewijsuitsluiting, niet-ontvankelijkheid en verklaring van onrechtmatigheid.
Wat de bewijsgaring betreft, weet de internal auditor bij het verrichten van een fraudeonderzoek wat de regels zijn voor de te gebruiken
onderzoeksmiddelen. Ook weet hij wat de consequenties zijn van het gebruik van onrechtmatig verkregen bewijs.
Juridisch 5 Vanuit de beroepsregels wordt van de internal auditor verwacht dat hij de IIA-standaarden kent en honoreert. In dit geval ook aangaande fraude (IIA, 2017). Echter, van de internal auditor wordt niet verwacht dat hij over de expertise van een fraude-expert (standaard 1210.A2) beschikt. Overige IIA-standaarden waar fraude in opgenomen is, zijn 1220.A1, 2060, 2120.A2 en 2210.A2.
De internal auditor is bekend met de IIA-standaarden voor fraude.
Methodologie 6 In de IPPF Practice Guide (IIA, 2009) staat expliciet dat de rol van een internal auditor bij een fraudeonderzoek duidelijk gedefinieerd moet zijn in het internal audit charter, de fraud policies en de procedures.
De verrichtingen van de internal auditor bij fraudeonderzoeken zijn geformaliseerd en vastgelegd in het internal audit charter.
Meningen 7 In de gedrags- en beroepsregels internal auditor zijn algemene regels (IIA, 1998), regels voor alle leden die optreden als een internal auditor, regels over ethische conflicten en regels omtrent het handhaven van het reglement gedefinieerd. Dit om de leden die optreden als internal auditor te wijzen op hun verantwoordelijkheden met betrekking tot vakbekwaamheid, de deugdelijkheid van hun grondslagen en overige handelingen aangaande internal auditing.
De internal auditor beschikt over de vakbekwaamheid om
fraudeonderzoeken te verrichten.
Juridisch 8 Van de internal auditor wordt verwacht dat hij zich aan de geldende beroepsregels houdt. Het niet-naleven van de beroepsregels kan behalve civielrechtelijke vervolging ook tot tuchtrechtspraak leiden.
Internal auditors zijn bekend met de consequenties van het niet-naleven van de beroepsregels.
Meningen 9 In de literatuur wordt een aantal voordelen genoemd voor het laten verrichten van een fraudeonderzoek door de internal auditor. Zo zeggen Gottschalk (2015) en Den Hartigh (2007) dat de internal auditor bekend is met de belangrijkste bedrijfsactiviteiten (systemen en processen) en dat de internal auditor in staat is om gerichter onderzoek te verrichten. Daarnaast zegt Scharenborg (2016) dat ook de kennis van de cultuur van een organisatie een voordeel is van het laten verrichten van een fraudeonderzoek door de internal auditor.
De internal auditor is, gelet op zijn kennis en kunde, in staat om fraudeonderzoeken te verrichten.
Juridisch 10 De internal auditor dient bij een persoonsgericht onderzoek altijd zorgvuldig te handelen. Hierbij moet de door de NBA opgestelde handreiking (NBA, 2010) voor persoonsgerichte onderzoeken gevolgd worden.
Voor het verrichten van een persoonsgericht onderzoek bij fraudeonderzoeken is de internal auditor bekend met de regels voor zulke onderzoeken.
3. Onderzoek
3.1 Inleiding
In dit hoofdstuk worden de totstandkoming van de enquête en de resultaten daarvan beschreven. In paragraaf 3.2 is de aanpak met betrekking tot de enquête toegelicht. Verder worden de afzonderlijke resultaten van de enquête besproken in paragraaf 3.3. In paragraaf 3.4 is een overzicht weergeven van de resultaten.
3.2 Opzet praktijkonderzoek
Op basis van het literatuuronderzoek is een theoretisch kader opgesteld voor de verrichtingen van de internal auditor, de fraudeonderzoeker en de daaraan gelieerde wetten en regels. Op basis van dit theoretisch kader is een vragenlijst opgesteld in de vorm van een online enquête. Het doel van dit onderzoek is om een antwoord te krijgen op de vraag in hoeverre internal auditors in Nederland fraudeonderzoeken verrichten, kennis bezitten over de wet- en regelgeving met betrekking tot fraudeonderzoeken en of zij weten wat de consequenties zijn van het niet-adequaat uitvoeren van een fraudeonderzoek. Dit inzicht leidt tot de beantwoording van de subvraag ‘In hoeverre blijkt uit praktijkonderzoek dat internal auditors op de hoogte zijn van de wet- en regelgeving?’
Voor het opstellen van de enquête is literatuur geraadpleegd met betrekking tot de opzet, validiteit en betrouwbaarheid van een enquête, met name Praktijkgericht onderzoek van Van der Velde en Jansen (2015) en Research Methods For Business Students van Saunders, Lewis en Thornhill (2016).
Voor dit onderzoek bestaat de populatie uit de internal auditors in Nederland. Met behulp van het IIA, universitaire docenten en mijn netwerk zijn de internal auditors uitgenodigd om de enquête in te vullen. Daarbij is aangegeven dat de verkregen informatie vertrouwelijk zou worden behandeld en dat de respondenten een exemplaar van het onderzoek zouden ontvangen. Bij het versturen van de enquête is rekening gehouden met het feit dat niet ieder lid van het IIA een internal-auditfunctie vervult. Hetzelfde geldt voor de respondenten binnen mijn eigen netwerk en dat van de universitaire docenten. Omdat een onderwerp als fraude erg gevoelig ligt, is in de inleiding tot de enquête nadrukkelijk vermeld dat er vertrouwelijk met de ontvangen informatie wordt omgegaan. Verder hadden de respondenten de mogelijkheid om de enquête anoniem in te vullen.
Het kwantitatieve onderzoek in de vorm van een online enquête, is via Google Forms uitgezet onder de respondenten. Gekozen is voor een enquête omdat daarmee in relatief korte tijd veel
gegevens kunnen worden verzameld. De gebruikte enquêtetool is bovendien gebruiksvriendelijk voor zowel de respondenten als de onderzoeker.
Google Forms is een online enquêtetool voor het opzetten en uitzetten van enquêtes. De enquête bestond uit twintig vragen. Achttien vragen hadden direct betrekking op het onderwerp. Daarnaast zijn twee algemene vragen gesteld. Verder hadden de respondenten de mogelijkheid om, voor de enquête verstuurd kon worden, opmerkingen te maken en een toelichting te geven. Daarnaast hadden de respondenten ook de mogelijkheid om hun contactgegevens te achterhalen voor vervolgvragen of een diepte-interview, indien dit nodig was.
Aangezien het onderzoek toetsend van aard was, bestond de enquête uit achttien gesloten vragen, multiplechoicevragen en multiresponsvragen. Bij de multiplechoicevragen werden de antwoorden gescoord op een Likertschaal van vijf punten. De volgende schaal werd gehanteerd: (5) Helemaal mee eens; (4) Mee eens; (3) Neutraal; (2) Mee oneens; (1) Helemaal mee oneens. Gekozen is voor een Likertschaal van vijf punten, omdat Likertschalen van drie of zeven punten verwarrend en onoverzichtelijk kunnen zijn voor de respondenten. Verder kunnen Likertschalen met drie en zeven punten zowel te veel als te weinig dataspreiding opleveren.
Voor het uitzetten van de enquête is de vragenlijst ter validatie voorgelegd aan de scriptiebegeleider, studiegenoten, collega’s en universitair docenten die bekend zijn met het onderwerp. Op basis van de ontvangen feedback zijn de vragenlijst, de wijze van scoren en de volgorde van de vragen herzien. Vervolgens is de enquête uitvoerig getest door studiegenoten en collega’s.
De enquête is via het Institute of Internal Auditors Nederland (IIA) uitgezet en gepubliceerd op de hoofdpagina van de website van het IIA op 25 juni 2018. Verder is de enquête opgenomen in de nieuwsbrief van 28 juni 2018, die verstuurd is aan de leden van het IIA. Daarnaast zijn er afspraken gemaakt voor het versturen van een herinnering en het opnieuw opnemen van de enquête in de nieuwsbrief. In totaal hebben 37 respondenten de enquête ingevuld. In bijlagen 1 en 3 zijn de vragenlijst, de introductie, de publicatie van de enquête op de website van het IIA en de nieuwsbrieven opgenomen.
3.3 Uitkomsten praktijkonderzoek
In het onderstaande zijn de resultaten van de enquête weergegeven. Het aantal respondenten per vraag is onder elk figuur aangeduid met (R) en een getal. Daarnaast zijn de vragen onderverdeeld in vier thema’s, namelijk algemeen, methodologie, juridisch en meningen. Een volledig overzicht van de enquêteresultaten is opgenomen in bijlage 2.
Algemeen
1. Welke functie bekleedt u?
Figuur 3.1 (R=26)
In figuur 3.1 is weergegeven welke functies die respondenten bekleden. Aan de respondenten is gevraagd of ze een functie bekleden als een internal auditor, fraudeonderzoeker, forensisch accountant of anders. Uit de reacties blijkt dat 26 respondenten werkzaam zijn als internal auditor.
2. Over welke (postdoctorale) kwalificatie(s) beschikt u? (meerdere antwoorden mogelijk)
Figuur 3.2 (R=26)
In figuur 3.2 zijn de scores weergegeven over de kwalificaties van de respondenten. De respondenten is gevraagd over welke kwalificaties ze beschikken. De respondenten konden
meerdere antwoorden geven. Uit de enquête blijkt dat tien respondenten een RO-titel hebben, waarbij drie van deze tien ook nog een andere titel hebben. Verder zijn er vier respondenten met alleen een RA-titel en zes met alleen een andere titel.
3. In welke sector bent u werkzaam?
Figuur 3.3 (R=26)
In figuur 3.3 is weergegeven in welke sectoren de respondenten werken. Aan de respondenten is gevraagd om aan te geven of ze werkzaam zijn in de private sector, de publieke sector, de private en publieke sector of geen van de eerder genoemde mogelijkheden. Uit de reacties blijkt dat 42,3% van de 26 respondenten werkzaam is in de publieke sector en 38,5% in de private sector. Verder is 19,2% werkzaam in een andere sector.
4. Hoeveel jaar bent u al werkzaam als internal auditor?
(R=26)
Figuur 3.4
Ook is gevraagd hoeveel werkervaring de respondenten als internal auditor hebben. In figuur 3.4 zijn de scores op deze vraag weergegeven. Van de 26 respondenten is 38,5% minder dan 5 jaar werkzaam als internal auditor, 23,1% is minder 10 jaar werkzaam als internal auditor. Verder is 7,7% (oranje) van de respondenten minder dan 15 jaar en 30,8% meer dan 15 jaar werkzaam als internal auditor.
5. Zijn de verrichtingen van de internal auditor bij fraudeonderzoeken beschreven in het internal auditcharter?
(R=26)
Figuur 3.5
Uit de literatuur is gebleken dat de taken van de internal auditor bij fraudeonderzoeken zijn vastgelegd in het internal auditcharter. Om vast te stellen of dit charter in de praktijk ook gehanteerd wordt, is dit als vraag voorgelegd aan de respondenten. In figuur 3.5 zijn de scores op deze vraag weergegeven. Van de respondenten geeft 42,3% aan dat de verrichtingen van de internal auditor bij een fraudeonderzoek niet beschreven zijn in een internal auditcharter, terwijl 50% zegt dat deze wel zijn vastgelegd. Verder geeft 7,7% aan niet te beschikken over een internal auditcharter. Deze uitkomsten komen niet overeen met de verwachtingen uit het literatuuronderzoek. Hoewel de verrichtingen van de internal auditor aangaande fraudeonderzoeken opgenomen dienen te zijn in het internal auditcharter, blijkt dat dit bij 50% (42,3% + 7,7%) van de respondenten niet het geval is.
6. Als internal auditor verricht ik ook fraudeonderzoeken
(R=26)
Figuur 3.6
Uit het literatuuronderzoek is gebleken dat internal auditors verschillende soorten audits uitvoeren, zo ook fraudeonderzoeken. De verwachting was dus dat internal auditors ook fraudeonderzoeken verrichten. Om die reden is aan de respondenten gevraagd of het verrichten van fraudeonderzoeken inderdaad tot hun taken behoort. In figuur 3.6 zijn de scores op deze vraag weergegeven. Uit de resultaten blijkt dat 76,9% van de respondenten geen fraudeonderzoeken verricht; 23,1% zegt dit wel te doen. Deze resultaten komen niet overeen
met de verwachtingen uit het literatuuronderzoek. Tegen de verwachting in geeft een meerderheid van de respondenten aan geen fraudeonderzoeken te verrichten.
7. Wat zijn uw verrichtingen bij fraudeonderzoeken?
(R=26)
Figuur 3.7
Aansluitend op vraag 6, en om de rol van de internal auditor bij fraudeonderzoeken inzichtelijk te maken, is aan de respondenten gevraagd welke rol zij spelen bij fraudeonderzoeken: zijn zij de onderzoeker, zijn zij voor een deel van het onderzoek verantwoordelijk of verrichten zij geen of andere activiteiten bij fraudeonderzoeken. In figuur 3.7 zijn de scores weergegeven over de rol van de internal auditor gedurende een fraudeonderzoek. Geheel in lijn met de uitkomsten van vraag 6 (76,9%), blijkt dat 76,9% van de respondenten geen activiteiten verricht bij fraudeonderzoeken. Van de respondenten zegt 15,4% slechts voor een deel van het onderzoek verantwoordelijk te zijn. Verder heeft 7,7% van de respondenten aangegeven zelf de onderzoeker te zijn. Hieruit blijkt dat de internal auditor niet alleen als (hoofd)onderzoeker hoeft op te treden, maar ook voor een deel van het onderzoek verantwoordelijk kan zijn.
Juridisch
8. Ik weet wat de IIA-standaarden zijn over fraude
(R=26)
Figuur 3.8
Uit het literatuuronderzoek is gebleken dat internal auditors bekend zijn met de IIA-standaarden. Verwacht werd daarom dat zij ook bekend zijn met de standaarden voor fraude.
Aan de respondenten is gevraagd of zij inderdaad bekend zijn met de IIA-standaarden. In figuur 3.8 zijn de scores weergegeven op deze vraag. Uit de enquête blijkt dat 65,4% (50% + 15,4%) van de respondenten de IIA-standaarden voor fraude kent en dat 19,2% daar niet mee bekend is. Verder heeft 15,4% van de respondenten neutraal geantwoord. Deze resultaten druisen geheel tegen de verwachting in, want van de internal auditor wordt verwacht dat hij bekend is met de IIA-standaarden.
9. Ik beoordeel mijn kennis over de Nederlandse wet- en regelgeving bij fraudeonderzoeken als:
(R=26)
Figuur 3.9
Uit het literatuuronderzoek is gebleken dat de internal auditor kennis moet hebben van de Nederlandse wet- en regelgeving voor het verrichten van een fraudeonderzoek. Met dit als verwachting, is aan de respondenten de vraag voorgelegd hoe zij zelf oordelen over hun kennis van de Nederlandse wet- en regelgeving bij fraudeonderzoeken. In figuur 3.9 zijn de uitkomsten weergegeven. Daaruit blijkt dat 50% van de respondenten aangeeft dat zijn kennis van de Nederlandse wet- en regelgeving bij fraudeonderzoeken net voldoende is. Verder geeft 19,2% aan dat zijn kennis hierover goed is en geeft 23,1% en respectievelijk 7,7% van de respondenten aan dat deze kennis minimaal en beperkt is. Hieruit blijkt dat slechts 19,2% van de respondenten voldoende kennis heeft van de Nederlandse wet- en regelgeving bij fraudeonderzoeken. Dit is niet in lijn met de verwachtingen uit het literatuuronderzoek. Uit dit onderzoek blijkt dus dat de internal auditor niet over voldoende kennis beschikt van de Nederlandse wet- en regelgeving bij fraudeonderzoeken.
10. Ik weet wat het IIA-Reglement van Tuchtis van de IIA
(R=26)
Figuur 3.10
Uit het literatuuronderzoek is gebleken dat het niet-naleven van de beroepsregels door de internal auditor niet alleen tot civielrechtelijke vervolging kan leiden, maar ook tot tuchtrechtspraak. Ervan uitgaande dat de internal auditor bekend is met de consequenties voor het niet-naleven van de beroepsregels, is aan de respondenten de vraag gesteld of ze bekend zijn met het Reglement van Tucht. In figuur 3.10 is weergegeven in hoeverre de respondenten het Reglement van Tucht van het IIA kennen. Uit de enquête blijkt dat 50% (46,2% + 3,8%) het Reglement van Tucht zegt te kennen en 30,7% (26,9% + 3,8%) zegt dit niet te kennen. Verder is 19,2% van de respondenten neutraal. Slechts 50% van de respondenten blijkt het Reglement dus te kennen.
11. Ik weet wat de juridische randvoorwaarden zijn voor bewijsmateriaal (bewijslast)
(R=26)
)
Figuur 3.11
Wat betreft de bewijslast is uit het literatuuronderzoek gebleken dat de internal auditor te allen tijde de wet en de beginselen van proportionaliteit en subsidiariteit in acht dient te nemen. De verwachting was dat een internal auditor die fraudeonderzoek verricht, weet wat de juridische randvoorwaarden zijn voor bewijsmateriaal. In figuur 3.11 zijn de uitkomsten weergegeven. Hieruit blijkt dat 34,6% (30,8% + 3,8%) bekend is met de juridische voorwaarden en 30,7% (26,9% + 3,8%) niet. Verder is 34,6% van de respondenten neutraal. De resultaten uit het literatuuronderzoek corresponderen dus niet met de bovenstaande uitkomsten.
12. Ik weet wat de regels zijn omtrent de te gebruiken onderzoeksmiddelen
(R=26)
Figuur 3.12
Aansluitend op vraag 11 over bewijsgaring bij fraudeonderzoeken, is de verwachting dat de internal auditor bekend is met de regels voor de te gebruiken onderzoeksmiddelen. Gevraagd is daarom of de internal auditors de regels voor onderzoeksmiddelen kennen. In figuur 3.12 zijn de antwoorden op deze vraag weergegeven. Hieruit blijkt dat 30,7% (26,9% + 3,8%) bekend is met de regels voor de te gebruiken onderzoeksmiddelen en 34,6% niet. Verder is 34,6% van de respondenten neutraal. Deze uitkomst, namelijk dat slechts 30,7% van de respondenten bekend is met de regels, is niet in lijn met de verwachtingen uit het literatuuronderzoek voor het verrichten van fraudeonderzoeken.
13. Ik weet wat de consequenties zijn van het gebruik van onrechtmatig verkregen bewijs
(R=26)
Figuur 3.13
Uit het literatuuronderzoek is gebleken dat de internal auditor, voor het verrichten van fraudeonderzoek, de consequenties moet kennen van het gebruik van onrechtmatig verkregen bewijs. In de verwachting dat de internal auditors aan deze eis voldoen, is aan de respondenten de vraag gesteld of zij inderdaad bekend zijn met de consequenties van het gebruik van onrechtmatige verkregen bewijs. In figuur 3.13 zijn de uitkomsten weergegeven. Hieruit blijkt dat 53,9% (38,5% + 15,4%) hier bekend mee is en 11,5% niet. Verder is 34,6% van de respondenten neutraal. Kortom, de resultaten van het literatuuronderzoek corresponderen niet met de bovenstaande uitkomsten.
14. Ik weet wat de regels zijn omtrent persoonsgerichte onderzoeken
(R=26)
)
Figuur 3.14
De internal auditor is verplicht persoonsgerichte onderzoeken zorgvuldig af te handelen. Uit de literatuur blijkt dat de door de NBA opgestelde handreiking (NBA-handreiking 1112) voor persoonsgerichte onderzoeken gevolgd dient te worden. Ervan uitgaande dat de internal auditor een dergelijk onderzoek verricht, moet hij bekend zijn met de regels voor persoonsgerichte onderzoeken. Deze verwachting is voorgelegd aan de respondenten, met de vraag of zij de regels voor persoonsgerichte onderzoeken inderdaad kennen. In figuur 3.14 zijn de uitkomsten weergegeven. Uit de resultaten blijkt dat 46,1% (42,3% + 3,8%) bekend is met de regels voor persoonsgericht onderzoek en 30,8% niet. Verder antwoordde 23,1% van de respondenten neutraal. De internal auditor blijkt op basis van deze uitkomsten dus niet voldoende kennis te hebben van de regels voor persoonsgerichte onderzoeken.
Meningen
15. Reageer op de stelling: De internal auditor is in staat fraudeonderzoek te verrichten
(R=26)
Figuur 3.15
Uit de literatuur blijkt dat het voordelen met zich meebrengt als fraudeonderzoeken door de internal auditor worden uitgevoerd. Te verwachten valt dat de internal auditor, dankzij zijn kennis en kunde, in staat is onderzoek naar fraude te doen. In figuur 3.15 zijn de reacties weergegeven op de stelling dat de internal auditor in staat is een fraudeonderzoek uit te voeren. Hieruit blijkt dat 26,9% van de respondenten zegt dat de internal auditor niet in staat is om een fraudeonderzoek uit te voeren en dat 42,3% (34,6% + 7,7%) aangeeft dat hij dat wel kan. Verder is 30,8% van de respondenten neutraal. Al met al blijkt dat slechts 31% van de respondenten aangeeft dat de internal auditor niet in staat is om fraudeonderzoeken te verrichten.
16. Op basis van mijn huidige juridische kennis van fraudeonderzoeken, ben ik in staat om fraudeonderzoeken te verrichten
(R=26)
Figuur 3.16
Uit het literatuuronderzoek is gebleken dat de internal auditors bij al hun verrichtingen hun verantwoordelijkheid moeten nemen met betrekking tot vakbekwaamheid, deugdelijke grondslag en overige handelingen aangaande internal auditing. De verwachting is dat de internal auditor over genoeg vakkundigheid beschikt om fraudeonderzoek te doen. Daarom is
aan de respondenten gevraagd of zij op basis van hun juridische kennis in staat zijn om fraudeonderzoeken uit te voeren. De uitkomsten staan in figuur 3.16. Hieruit blijkt dat 53,9% (46,2% + 7,7%) niet in staat is om op basis van zijn juridische kennis een fraudeonderzoek uit te voeren, terwijl 7,7% aangeeft dit wel te kunnen. Verder is 38,5% van de respondenten neutraal. Kortom, de internal auditor blijkt op basis van deze uitkomsten niet voldoende juridische kennis te hebben om fraudeonderzoeken te verrichten.
3.4 Resultaten
In de onderstaande tabel zijn de resultaten weergegeven van het praktijkonderzoek. De resultaten zijn onderverdeeld in vier thema’s: algemeen,
methodologie, juridisch en meningen. De vragen zijn gekoppeld aan de verwachtingen.
Resultaten
A
lg
em
ee
n
1. Welke functie bekleedt u?
Internal auditor Fraudeonderzoeker Forensisch accountant Anders
Resultaten 100,00% 0,0% 0,00% 0,00%
2. Over welke (postdoctorale) kwalificatie(s)
beschikt u? (meerdere antwoorden mogelijk) RO RE RA CIA CFE Anders
Resultaten 10 4 8 5 0 9
3. In welke sector bent u werkzaam? Private sector Publieke sector Anders
Resultaten 38,50% 42,30% 19,20%
4. Hoeveel jaar bent u werkzaam in uw
huidige functie? <5 <10 <15 >15 Resultaten 38,50% 23,10% 7,70% 30,80%
M
e
th
od
ol
ogie
Verwachting De verrichtingen van de internal auditor bij fraudeonderzoeken, zijn geformaliseerd en met name vastgelegd in het internal audit charter. 5. De verrichtingen van de internal auditor bij
fraudeonderzoeken zijn beschreven in het internal audit charter van de organisatie
Ja Nee We hebben geen internal
audit charter.
Resultaten 50% 42,30% 7,70%
Verwachting De internal auditor verricht verschillende soorten audits, zo ook fraudeonderzoeken. 6. Als internal auditor verricht ik ook
fraudeonderzoeken
Ja Nee Ik ben geen internal
auditor en ik verricht geen fraudeonderzoeken.
Ik ben geen internal auditor, maar ik verricht wel
fraudeonderzoeken.
Resultaten 76,90% 23,10% 0,00% 0,00%
7. Wat zijn uw verrichtingen bij fraudeonderzoeken?
Ik ben de onderzoeker.
Ik ben verantwoordelijk voor een deel van het onderzoek.
Resultaten 7,70% 15,40% 76,90% 0,00%
Jur
id
isch
Verwachting De internal auditor is bekend met de IIA-standaarden omtrent fraude.
8. Ik weet wat de IIA-standaarden zijn over fraude
Helemaal mee eens
Mee eens Neutraal Mee oneens Helemaal mee
oneens
Resultaten 15,40% 50% 15,40% 19,20% 0,00%
Verwachting De internal auditor is bekend met de Nederlandse wet- en regelgeving, voor het verrichten van een fraudeonderzoek. 9. Ik beoordeel mijn kennis over de
Nederlandse wet- en regelgeving bij fraudeonderzoeken als:
Zeer goed Goed Net voldoende Minimaal Beperkt
Resultaten 0,00% 19,20% 50% 23,10% 7,70%
Verwachting Internal auditors zijn bekend met de consequenties voor het niet-naleven van de beroepsregels. 10. Ik weet wat het Reglement van Tucht is
van de IIA
Helemaal mee eens
Mee eens Neutraal Mee oneens Helemaal mee
oneens
Resultaten 3,8% 46,20% 19,20% 26,90% 3,80%
Verwachting Als een internal auditor een fraudeonderzoek verricht, dan weet de internal auditor wat de juridische randvoorwaarden zijn aangaande bewijsmateriaal. 11. Ik weet wat de juridische
randvoorwaarden zijn voor bewijsmateriaal (bewijslast)
Helemaal mee eens
Mee eens Neutraal Mee oneens Helemaal mee
oneens
Resultaten 3,80% 30,80% 34,60% 26,90% 3,80%
Verwachting
Aangaande bewijsgaring weet de internal auditor bij het verrichten van een fraudeonderzoek, wat de regels zijn omtrent te gebruiken onderzoeksmiddelen en ook wat de consequenties zijn van het
gebruik van onrechtmatig verkregen bewijs. 12. Ik weet wat de regels zijn omtrent de te
gebruiken onderzoeksmiddelen
Helemaal mee eens
Mee eens Neutraal Mee oneens Helemaal mee
oneens
Resultaten 3,80% 26,90% 34,60% 34,60% 0,00%
13. Ik weet wat de consequenties zijn van het gebruik van onrechtmatig verkregen bewijs
Helemaal mee eens
Mee eens Neutraal Mee oneens Helemaal mee
oneens
Resultaten 15,40% 38,50% 34,60% 11,50% 0,00%
Verwachting Voor het verrichten van een persoonsgericht onderzoek, bij fraudeonderzoeken, is de internal auditor bekend met de regels aangaande persoonsgerichte onderzoeken. 14. Ik weet wat de regels zijn omtrent
persoonsgerichte onderzoeken
Helemaal mee eens
Mee eens Neutraal Mee oneens Helemaal mee
