Economic Crime Survey Nederland 2017

Transcriptie

1 In samenwerking met: Economic Crime Survey Nederland

2 Inhoud Inleiding 3 Prevalentie van financieel-economische criminaliteit 6 Omvang van financieel-economische criminaliteit 7 Schade van financieel-economische criminaliteit 15 Daders van financieel-economische criminaliteit 16 Preventie en detectie 22 Preventieve maatregelen 23 Detectie van financieel-economische criminaliteit 27 Criminogeniteit binnen organisaties 28 Gelegenheid maakt de dief 29 Ethische bedrijfscultuur 31 Target- en bonuscultuur 32 Conclusie 36 Methodologische verantwoording 40 De vragen 44 Literatuur 46 Colofon 50 Bij PwC in Nederland werken ruim mensen met elkaar samen vanuit 12 vestigingen. PwC Nederland helpt organisaties en personen de waarde te creëren waarnaar zij op zoek zijn. Wij zijn lid van het PwC-netwerk van firma s in 157 landen met meer dan mensen. Wij zien het als onze taak om kwaliteit te leveren op het gebied van assurance-, belasting- en adviesdiensten. Vertel ons wat voor u belangrijk is. Meer informatie over ons vindt u op 2 PwC

3 Inleiding Mijn collega s en ik zijn dagelijks bezig met het voorkomen en bestrijden van financieeleconomische criminaliteit. Daarvoor bezoeken we een verscheidenheid aan organisaties en regelmatig is de eerste boodschap: we hebben onze zaken op orde. Maar als we dan kritisch doorvragen, blijken de zaken vaak toch net iets anders te liggen. Regelmatig merken we dat de bewustwording rondom fraude te wensen overlaat. Terwijl het weerbaar maken van een organisatie juist daarmee begint. Maar bewustwording is pas de eerste stap: uiteindelijk gaat het over het bewust zijn van alle gelederen binnen de organisatie en de noodzaak om bewust te blijven. Met deze achtste editie van onze Economic Crime Survey willen we dan ook niet alleen de kennis, maar ook de awareness vergroten. We dagen u daarbij uit kritisch na te denken over de huidige processen binnen uw organisatie, waarbij geldt: dare to be stupid. Schade is omvangrijk PwC doet elke twee jaar onderzoek naar financieeleconomische criminaliteit en de oorzaken en gevolgen hiervan. Fraude, corruptie, cyber - criminaliteit en andere vormen van financieeleconomische criminaliteit komen nog altijd frequent voor en de schade voor betrokken organisaties is vaak omvangrijk. Het in kaart brengen van de omvang, schade, preventie en andere facetten van financieel-economische criminaliteit is belangrijk. Niet alleen belangrijk voor mij en mijn collega s, zodat wij onze klanten op een juiste manier kunnen bedienen. Maar vooral belangrijk voor u, zodat u zich beter kunt wapenen tegen deze specifieke vorm van criminaliteit. Overlast onveranderd hoog Uit de nieuwe versie van de Economic Crime Survey, die wederom in samenwerking met de Vrije Universiteit tot stand is gekomen, blijkt dat de ontwikkeling van financieel-economische criminaliteit in Nederland sinds 2014 stabiel is gebleven. Dat is op zich goed nieuws, zij het dat de overlast onveranderd hoog is. Te hoog. Bijna driekwart van de organisaties geeft aan dat ze in de afgelopen twee jaar minstens éénmaal in aanraking is gekomen met diefstal van geld en goederen, fraude, corruptie, diefstal van informatie, concurrentievervalsing of cybercriminaliteit. De schade voor personen, organisaties en het maatschappelijk en economisch verkeer is aanzienlijk en wordt desondanks nog altijd onderschat. Investeren in preventie en opsporing We moeten dan ook alert blijven en meer investeren in het verbeteren van preventie- en opsporingscapaciteiten. Daarnaast zijn een goed ethisch en compliance-raamwerk nodig en is de voorbeeldfunctie aan de top én van het middenmanagement uitermate belangrijk. Iedere leidinggevende heeft namelijk een voorbeeldfunctie. Het topmanagement kan nog zo zijn best doen, het middenkader kan dat met slecht gedrag eenvoudig teniet doen. Vandaar dat preventie en compliance in de haarvaten van de organisatie moeten zitten. Tenslotte zijn ook de medewerkers een voorbeeld voor hun collega s (tone at the top, beat at the middle and drum of the feet). De bestrijding van criminaliteit moet - meer nog dan nu al het geval is - een strategische uitdaging zijn waarvan iedereen in de organisatie zich bewust is en verantwoordelijk voor voelt. Deskundigheid inhuren loont Gelukkig zien we in ons onderzoek ook een positieve kentering. Meer organisaties, instellingen en overheden beseffen dat het loont om deskundigheid op het gebied van de opsporing of het voorkomen van criminele zaken in te lenen of in te huren. Sinds het aantrekken van experts met specifieke dossierkennis noteren ze een opmerkelijke afname van het aantal geobserveerde criminele feiten. Grotere concurrentiekracht Meer experts in huis vertaalt zich dus in een grotere alertheid en weerbaarheid, en indirect in een grotere concurrentiekracht en een stevigere ketenpositie. 3

4 Betrouwbare benchmark Naast de geconstateerde trends biedt het onderzoek een indringend beeld van hoe gevoelig de verschillende sectoren zijn voor de diverse vormen van financieel-economische criminaliteit. Het laat zien hoe dader- en slachtofferprofielen veranderen en hoe organisaties hierop reageren en anticiperen. De Economic Crime Survey 2017 is het meest uitgebreide representatieve onderzoek naar het voorkomen en bestrijden van financieel-economische criminaliteit in Nederland. Bovendien is het een betrouwbare benchmark om uw eigen ervaringen en die van uw organisatie aan af te meten en om inspiratie op te doen voor te nemen vervolgstappen. Maar deze bevinding heeft ook een keerzijde: ze maakt duidelijk dat we nog lang niet alle criminele feiten in beeld hebben en dat organisaties met onvoldoende deskundigheid in huis extra kwetsbaar zijn. Amsterdam, september 2017 Andreas Mikkers Partner Forensic Services & Data Analytics Informatie over het onderzoek Sinds 2001 brengt de mondiale organisatie van PwC elke twee jaar de Global Economic Crime Survey uit. Dit onderzoek wordt uitgevoerd onder managers en hogere leidinggevenden in ruim honderd landen. In 2016 is de meest recente versie van de Global Economic Crime survey gepubliceerd. Hier waren respondenten bij betrokken vanuit 115 landen uit alle delen van de wereld. PwC Nederland heeft er in 2005 voor gekozen om op basis van de data van de Global Economic Crime Survey zelf onderzoek te doen naar de situatie in Nederland. Sinds 2011 verricht PwC Nederland haar eigen onderzoek. In 2012 is de Vrije Universiteit in Amsterdam hier bij aangesloten. Deze samenwerking resulteerde in drie rapporten die in 2014 en 2015 gepubliceerd zijn. In het eerste rapport werd een algemeen beeld geschetst van de aard, omvang, schade en oorzaken van financieel-economische criminaliteit in Nederland. Het tweede rapport was meer specifiek gericht op de snelle ontwikkelingen binnen de wereld van cybercriminaliteit. Het derde en laatste rapport stond in het teken van bedrijfscultuur en in hoeverre dit bijdraagt aan de prevalentie van financieel-economische criminaliteit binnen een organisatie. Onderzoeksstrategie De huidige versie van de Economic Crime Survey is opnieuw tot stand gekomen in samenwerking met de Vrije Universiteit. Het onderzoek is uitgevoerd door de afdeling Forensic Services van PwC Nederland, onder supervisie van prof. dr. mr. Wim Huisman en dr. Victor van der Geest van de afdeling Criminologie van de Vrije Universiteit. In 2016 is een vragenlijst opgesteld in samenwerking met de Vrije Universiteit met vragen over het aantal incidenten, de impact, de oorzaken en de preventie van verschillende vormen van financieel-economische criminaliteit. Deze vragen zijn voorgelegd aan personen die zich in hun dagelijkse werk bezighouden met de aanpak, het voorkomen en/of in kaart brengen van financieel-economische criminaliteit. In de huidige Economic Crime Survey hebben we ervoor gekozen om één rapport uit te brengen, waarbij we verschillende onderwerpen extra belichten. De onderwerpen uit de Economic Crime Survey 2014 behandelen we opnieuw in het huidige onderzoek. De huidige vragenlijst kwam grotendeels overeen met de vragenlijst van de Economic Crime Survey uit Om die reden konden we vergelijkingen maken en opvallende verschillen benoemen. In vergelijking met 2014 is er wel een belangrijke toevoeging, namelijk het Internet of Things. Dit relatief nieuwe fenomeen borduurt voort op de bedreiging van cybercriminaliteit en is actueler dan ooit. 4 PwC

5 Economic Crime Survey Nederland 2017 De opvallendste bevindingen op een rij 73% van de 875 respondenten geeft aan dat hun organisatie in de afgelopen 24 maanden in aanraking is gekomen met financieeleconomische criminaliteit. - Diefstal van geld, goederen of fraude - Corruptie - Diefstal van informatie - Concurrentievervalsing - Cybercriminaliteit 63% 26% 38% 23% 34% In de industriële sector wordt de meeste financieeleconomische criminaliteit gerapporteerd. Financieeleconomische criminaliteit wordt door experts meer gerapporteerd dan door niet-experts. In het onderwijs daarentegen het minste. 42% Prevalentie corruptie volgens experts 7% Prevalentie corruptie volgens nietexperts De perceptie van veiligheid rondom het Internet of Things komt niet overeen met de gerapporteerde incidenten. 9% 35% 26% van de respondenten geeft aan de beveiliging van het Internet of Things niet op orde te hebben, terwijl van de respondenten aangeeft een inbreuk te hebben gehad op het Internet of Things en van de respondenten aangeeft dit niet te weten. 32% Organisaties met een complianceprogramma Organisaties nemen meer preventieve maatregelen dan twee jaar geleden. Richtlijnen, gedragscodes en interne audits zijn populair. Detectie van financieeleconomische criminaliteit gebeurt het meeste door diezelfde interne audits, gevolgd door interne tips. Economic Crime Survey Nederland

6 Prevalentie van financieel-economische criminaliteit 6 PwC

7 In welke mate speelt financieel-economische criminaliteit een rol binnen organisaties in Nederland? In dit onderzoek wordt ingegaan op deze vraag, door als eerste naar de omvang, schade en daders van financieel-economische criminaliteit te kijken. Meerdere vormen van financieel-economische criminaliteit zullen hierbij de revue passeren, waarbij extra aandacht zal worden besteed aan cybercriminaliteit. Dit heeft als reden dat cybercriminaliteit (en meer specifiek het Internet of Things) door haar snelle ontwikkelingen en nieuwe verschijningsvormen, actueler is dan ooit. Als tweede zal worden ingegaan op de maatregelen die organisaties nemen om financieel-economische criminaliteit tegen te gaan. Tenslotte wordt gekeken welke factoren bijdragen aan de aanwezigheid van financieel-economische criminaliteit binnen bepaalde organisaties. Hierbij zullen aspecten als gelegenheid, toezicht, maar vooral ook cultuur worden belicht. Figuur 1 Expertise en geobserveerde financieel-economische criminaliteit Diefstal van geld of goederen of fraude Corruptie Diefstal van informatie Concurrentievervalsing Cybercriminaliteit Omvang van financieel-economische criminaliteit De respondenten in dit onderzoek zijn geselecteerd op het feit dat ze experts zijn op het gebied van financieel-economische criminaliteit. Deze experts hebben aangegeven met welke vormen van financieeleconomische criminaliteit ze zich dagelijks bezig houden. Zo geeft 84 procent aan functioneel expert te zijn op het gebied van diefstal van geld, goederen of fraude, 53 procent op het gebied van cybercriminaliteit, 68 procent op het gebied van diefstal van informatie en 46 procent op het gebied van concurrentievervalsing. Tenslotte geeft 57 procent aan expert te zijn op het gebied van corruptie. Deze percentages zijn alle vijf een verhoging ten opzichte van de vorige editie van de Economic Crime Survey (PwC, 2014). Deze selectievraag resulteerde uiteindelijk in 875 respondenten die zich met minstens één van de vijf vormen van financieel-economische criminaliteit bezig houden. 7% 13% 5% 13% 25% 42% 42% 0% 10% 20% 30% 40% 50% 60% 70% 80% Geen expert op specifiek gebied 49% 52% 71% Wel expert op specifiek gebied Aan deze 875 experts is allereerst de vraag gesteld hoe vaak hun organisatie in de afgelopen twee jaar in aanraking is gekomen met vijf verschillende vormen van financieel-economische criminaliteit. Deze vormen zijn diefstal van geld of goederen of fraude, corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit. Van de 875 experts geeft 73 procent aan dat de organisatie in de afgelopen twee jaar ten minste één keer in aanraking is gekomen met één van de vormen van financieel-economische criminaliteit. Dit percentage komt overeen met het percentage uit vorige editie. Toen gaf ook bijna driekwart van de respondenten in Nederland aan in aanraking te zijn gekomen met enige vorm van financieel-economische criminaliteit. Deze cijfers zijn in de Global Economic Crime Survey fors lager, maar blijven eveneens stabiel. In 2014 en 2016 geven namelijk respectievelijk 37 procent en 36 procent van de respondenten aan dat hun organisatie in aanraking is gekomen met enige vorm van financieel-economische criminaliteit. Een mogelijke verklaring voor het gerapporteerde verschil bij de Nederlandse en mondiale versie van de Economic Crime Survey kan de steekproef zijn. De respondenten in het huidige onderzoek houden zich namelijk dagelijks bezig met het in kaart brengen, voorkomen of aanpakken van financieel-economische criminaliteit, terwijl de respondenten uit de Global Economic Crime Survey overwegend leidinggevende functies hebben. Dit kan verklaren dat deze laatste groep minder criminaliteit rapporteert. Dit idee wordt versterkt door het feit dat de experts uit het huidige onderzoek een hogere prevalentie rapporteren van de vormen van financieel-economische criminaliteit waar zij in hun dagelijkse functie mee te maken hebben. In figuur 1 is te zien dat bijvoorbeeld 42 procent van de experts op het gebied van corruptie deze specifieke vorm van criminaliteit melden, terwijl slechts Economic Crime Survey Nederland

8 7 procent van de respondenten die niet expert zijn op dit gebied deze vorm melden. Dit verschil gaat tevens op voor de andere vormen van financieel-economische criminaliteit. Een deel van het zogenaamde dark number wordt hiermee blootgelegd. Het dark number is een term die wordt gebruikt om niet gerapporteerde criminaliteit aan te duiden. Bij de rapportage van criminaliteit is altijd in zekere mate sprake van een dark number, bijvoorbeeld omdat er geen slachtoffers zijn of slachtoffers niet bereid zijn het incident te melden om een verscheidenheid aan redenen. Wij vermoeden daarmee dat de Nederlandse versie van de Economic Crime Survey een betrouwbaarder beeld geeft van de omvang van financieel-economische criminaliteit. Figuur 2 Prevalentie van financieel-economische criminaliteit Diefstal van geld of goederen of fraude Verschillende vormen van financieeleconomische criminaliteit In figuur 2 is de prevalentie van de verschillende vormen van financieel-economische criminaliteit weergegeven. Hierbij is te zien dat 63 procent van de respondenten in de afgelopen twee jaar in aanraking is gekomen met diefstal van geld of goederen of fraude, 26 procent met corruptie en 38 procent met diefstal van informatie, 23 procent met concurrentievervalsing en 34 procent met cybercriminaliteit. Er valt een licht stijgende lijn waar te nemen ten opzichte van de vorige editie van de Economic Crime Survey. Toen gaf namelijk 64 procent van de respondenten aan dat de organisatie de afgelopen 24 maanden in aanraking is gekomen met diefstal van geld, goederen en fraude, 21 procent met corruptie, 27 procent met diefstal van informatie, 18 procent met concurrentievervalsing en 23 procent met cybercriminaliteit. Cybercriminaliteit laat hiermee de grootste stijging zien. Corruptie Diefstal van informatie Concurrentievervalsing Cybercriminaliteit Financieel-economische criminaliteit verschilt per organisatie In het huidige onderzoek is onderzocht in welke mate de gerapporteerde prevalentie van financieeleconomische criminaliteit verschilt tussen sectoren en tussen organisaties met een verschillende omvang. 0% 10% 20% 30% 40% 50% 60% Ten minste één keer Meer dan 5 keer Meer dan 10 keer 70% In de survey is gevraagd in welke sector de experts werkzaam zijn. Hierbij was er de keuze uit 18 sectoren. Om deze sectoren in beeld te brengen is gekozen voor een minimum aantal respondenten Figuur 3 Prevalentie van financieel-economische criminaliteit per sector 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Industrie Groot- en detailhandel Vervoer en opslag Informatie en communicatie Financiële instellingen Advisering Onderwijs (Semi-) overheidsinstellingen Gezondheids- en welzijnszorg Overige dienstverlening Overige sectoren Diefstal van geld of goederen of fraude Corruptie Diefstal van informatie Concurrentievervalsing Cybercriminaliteit 8 PwC

9 Figuur 4 Prevalentie financieel-economische criminaliteit en aantal werknemers in Nederland 80% 70% 60% 50% 40% 30% 20% 10% 0% 70% 69% 55% Diefstal van geld of goederen of fraude 35% 43% 32% 22% 27% 34% Corruptie Diefstal van informatie 25% 26% 15% Concurrentievervalsing 34% 33% 34% Cybercriminaliteit Minder dan 100 werknemers 100 tot en met 999 medewerkers of meer medewerkers per sector. Hierbij is een grens getrokken bij 40 respondenten. De overige acht sectoren waar minder dan 40 respondenten werkzaam zijn, zullen als overige worden meegenomen. In figuur 3 is de prevalentie van financieel-economische criminaliteit per sector weergegeven. Uit figuur 3 blijkt dat de verhoudingen tussen de verschillende vormen van financieel-economische criminaliteit vergelijkbaar zijn over de verschillende sectoren. Diefstal van geld, goederen en fraude scoort in elke sector relatief hoog, terwijl corruptie en concurrentievervalsing minder voorkomen. De industriële sector komt het meest in aanraking met financieel-economische criminaliteit, gevolgd door vervoer en opslag, overheidsinstellingen en de financiële sector. In het onderwijs wordt daarentegen de minste criminaliteit gerapporteerd. Daarnaast kan het aantal personeelsleden van een organisatie invloed hebben op de prevalentie van financieel-economische criminaliteit. Aan de respondent is gevraagd hoeveel werknemers Figuur 5 Diefstal van goederen of geld of fraude Diefstal goederen Diefstal van geld Fraude met facturen Boekhoudfraude Belastingfraude Anders 9% 3% 22% 17% 50% 70% 0% 10% 20% 30% 40% 50% 60% 70% 80% werkzaam zijn bij hun organisatie. Hierbij kon men kiezen uit categorieën die varieerden van alleen ik tot of meer personeelsleden. De prevalentie van financieel-economische criminaliteit en de verhouding met het aantal werknemers in Nederland is in figuur 4 weergegeven. Uit figuur 4 blijkt dat de organisaties met 100 tot 999 werknemers iets meer financieel-economische criminaliteit rapporteren dan de kleinere en grotere organisaties. Daarnaast blijkt dat het aantal werknemers in Nederland geen verschil maakt in de verhouding van de verschillende vormen financieeleconomische criminaliteit. Diefstal van geld, goederen of fraude blijft het meest genoemd, terwijl corruptie en concurrentievervalsing in alle groottes van organisaties minder voorkomt. Diefstal van geld of goederen of fraude Wanneer respondenten aangaven dat de organisatie in de afgelopen twee jaar in aanraking is gekomen met diefstal van geld of goederen of fraude, is vervolgens gevraagd om dit te specificeren. De respondenten konden één of meerdere van deze vormen selecteren of een andere vorm van diefstal of fraude beschrijven. Van de respondenten gaf 64 procent aan dat de organisatie te maken heeft gehad met diefstal van geld of goederen of fraude. Binnen deze categorie is onderscheid gemaakt tussen diefstal van geld, diefstal van goederen, boekhoudfraude, belastingfraude en fraude met facturen. Uit figuur 5 komt naar voren dat diefstal van goederen (70%) en diefstal van geld (50%) het meest frequent voorkomen. Daarnaast komen boekhoudfraude, belastingfraude en fraude met facturen bij elkaar in 48 procent van de gevallen voor. Slechts 3 procent gaf aan dat er sprake was van een andere vorm van diefstal van geld of goederen of fraude. Deze Economic Crime Survey Nederland

10 Figuur 6 Corruptie Passieve corruptie Actieve corruptie uitkomsten komen in sterke mate overeen met de uitkomsten van het rapport uit 2014, waarbij diefstal van goederen bij 77 procent van de gevallen voorkwam en diefstal van geld bij 51 procent van de gevallen. De samengestelde categorie fraude werd in 2014 in 37 procent van de gevallen genoemd. 60% 60% 0% 10% 20% 30% 40% 50% 60% 70% Corruptie Wanneer gekeken wordt naar de frequentie van corruptie komt naar voren dat 26 procent van de respondenten wel eens te maken heeft gehad met corruptie in de afgelopen twee jaar. Wanneer men naar het begrip corruptie kijkt, is het van belang om een onderscheid te maken tussen enerzijds het aanbieden van geld, goederen of diensten en anderzijds het vragen van geld, goederen of diensten in ruil voor een wederdienst. Deze vormen worden respectievelijk actieve en passieve corruptie genoemd (zie figuur 6). De experts gaven aan dat zowel actieve als passieve corruptie in 60 procent van de gevallen voorkwam. In deze antwoordcategorie waren meerdere antwoorden mogelijk. Dit laat zien dat een deel van de organisaties geconfronteerd wordt met zowel actieve als passieve corruptie. Voor actieve corruptie komen de gegevens vrijwel overeen met de gegevens van 2014, maar passieve corruptie is met 9 procent gestegen. Figuur 7 Diefstal van informatie Diefstal van vertrouwelijke klant- en/of bedrijfsgegevens Diefstal van intellectueel eigendom Industriële/economische spionage Productvervalsing en overtreding van patent- en merkrechten Anders Figuur 8 Concurrentievervalsing Prijsafspraken Aanbestedingsvervalsing Misbruik van economische machtspositie Marktverdeling Marktbeperkende fusies of overnames Marktverstorende concurrentie van de overheid Anders 4% 7% 16% 15% 36% 58% 0% 10% 20% 30% 40% 50% 60% 70% 12% 10% 27% 33% 29% 39% 0% 10% 20% 30% 40% 50% Diefstal van informatie Van de respondenten gaf 38 procent aan dat hun organisatie in aanraking is gekomen met diefstal van informatie. Wanneer we deze categorie verder specificeren zijn de volgende onderdelen te onderscheiden: diefstal van intellectueel eigendom, diefstal van vertrouwelijke informatie, spionage en productvervalsing. Onder intellectueel eigendom worden rechten op intellectuele creaties, zoals merken, vormgeving, uitvindingen, software, teksten en foto s verstaan. Ruim een derde van de respondenten (36%) gaf aan hiermee in aanraking te zijn gekomen in de afgelopen twee jaar. Diefstal van vertrouwelijke informatie, zoals bedrijfs- of klantgegevens, scoorde binnen deze categorie het hoogst met 58 procent. Verder kwamen industriële of economische spionage en productvervalsing en overtreding van patent- en merkrechten het minst voor met respectievelijk 16 en 15 procent. Zie figuur 7 voor meer informatie. Concurrentievervalsing De respondenten is tevens gevraagd in welke mate de organisatie gedurende de afgelopen twee jaar geconfronteerd is met concurrentievervalsing. Van de respondenten gaf 22 procent aan dat hier sprake van is geweest. Binnen concurrentievervalsing wordt onderscheid gemaakt tussen zes onderdelen. Hierbij werd prijsafspraken het meest gekozen (39%). Verder koos 33 procent van de respondenten voor aanbestedingsvervalsing, 29 procent voor misbruik van economische machtspositie en 27 procent voor marktverdeling. Daarnaast koos 12 procent voor markt beperkende fusies en overnames en tot slot koos 10 procent voor marktverstorende concurrentie van de overheid (zie figuur 8). 10 PwC

11 Figuur 9 Cybercriminaliteit Virussen Phishing of pharming Hacken Illegaal downloaden Illegaal onderscheppen van gegevens DoS-aanvallen Intentionele beschading van systemen of computers Identiteitsdiefstal Cyberspionage Anders Cybercriminaliteit De respondenten zijn gevraagd naar de methode van de cybercriminaliteit die hun organisatie gedurende de afgelopen twee jaar heeft getroffen. Daarbij zijn acht verschillende methoden voorgelegd. Deze zijn terug te vinden in figuur 9. Het gebruik van virussen wordt het meest genoemd (81%), gevolgd door phishing en pharming (77%) en hacken (60%). De methode die het minst vaak gerapporteerd wordt, is cyberspionage (38%). 0% 47% 77% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Figuur 10 Frequenties van vormen van destructieve en instrumentele cybercriminaliteit Binnendringen systeem 46% Stilleggen systeem 15% 53% 46% 43% 38% 29% 42% Destabiliseren systeem 22% 60% 81% Om beter vat te krijgen op cybercriminaliteit, onderscheiden wetenschappers dikwijls verschillende categorieën van cybercriminaliteit (zie bijvoorbeeld Zhang e.a. (2012) of Erp, Stol, en van Wilsem (2013)). Hier onderscheiden wij twee vormen van cybercriminaliteit: 1. Destructieve cybercriminaliteit, ook wel cybervandalisme, waarbij de computer of het ICT netwerk doelwit is van de crimineel; en 2. Instrumentele cybercriminaliteit, waarbij de crimineel de computer of het ICT-netwerk gebruikt om de delicten te faciliteren. Om na te gaan in hoeverre deze twee verschillende vormen voorkomen, is nagevraagd met welk doel de respondent denkt dat de cybercriminaliteit gepleegd is. Daarbij hadden de respondenten de mogelijkheid om één of meer van de zeven doelen te kiezen. Vier van deze doelen zijn destructief (stilleggen van het ICT systeem, destabiliseren van het ICT systeem, binnendringen in het ICT systeem en het destabiliseren van de organisatie) en drie zijn instrumenteel van aard (diefstal van geld of goederen, informatiediefstal en manipuleren van informatie). Voor deze zeven doelen is gekozen, omdat deze doorgaans goed waar te nemen zijn voor de betrokkenen en omdat ze op zichzelf exemplarisch zijn voor destructieve en instrumentele cybercriminaliteit. Dit betekent niet dat met deze vragen de twee vormen van cybercriminaliteit elkaar uitsluiten; destructieve cybercriminaliteit kan gebruikt worden voor instrumentele doeleinden en instrumentele cybercriminaliteit kan leiden tot destructie. In die situaties zouden respondenten items uit beide categorieën aanvinken. Figuur 10 toont aan dat iets minder dan de helft van de respondenten aangeeft dat de cybercriminaliteit vermoedelijk gericht was op het binnendringen van het systeem en bijna een kwart gaf aan dat de cybercriminaliteit gericht was op het destabiliseren van het systeem. De categorie destabiliseren van de organisatie is met 7 procent het minst gekozen doel. Destabiliseren organisatie 7% Informatiediefstal 44% Diefstal geld of goederen 32% Manipulatie informatie 23% 0% 10% 20% 30% 40% 50% Met betrekking tot instrumentele cybercriminaliteit toont figuur 10 aan dat 44 procent van de respondenten denken dat de cybercriminaliteit uit de afgelopen twee jaar bedoeld was om informatie te ontfutselen. Vergeleken met 2014 is dit percentage gestegen, toen gaf slechts 28 procent aan te maken hebben gehad met informatiediefstal. Dit ligt in lijn met de algemene stijgende lijn aan bedrijven die informatie van derden monitoren en verkopen (vaak tegen zeer hoge fees). Economic Crime Survey Nederland

12 Figuur 11 toont de prevalentie van het aantal cybergerelateerde incidenten waarmee de organisatie geconfronteerd is naar omvang van de organisatie (in Nederland). Dit figuur toont dat het al dan niet geconfronteerd worden met cybercriminaliteit niet gerelateerd is aan de omvang van de organisatie. Cybercriminaliteit wordt door 34 procent van de grote organisaties (1.000 of meer werknemers), 34 procent van de respondenten uit middelgrote organisaties (100 tot en met 999 werknemers) en 38 procent van de respondenten uit kleine organisaties (minder dan 100 werknemers) gerapporteerd. Dit is opvallend, want traditionele criminaliteit was wel gerelateerd aan organisatiegrootte. Een mogelijke verklaring is dat kleine organisaties net zo goed als grotere organisaties waardevolle IP kunnen bezitten of andere informatie met een hoge waarde. Figuur 11 Prevalentie cybercriminaliteit naar omvang van de organisatie Meer dan 10 keer Meer dan 5 keer Ten minste 1 keer 10% 4%4% 8% 10% 11% 16% 20% 23% 0% 10% 20% 30% 40% 50% 60% 70% of meer werknemers 10 tot 999 werknemers Minder dan 100 werknemers Figuur 12 Percentage traditionele experts en cybercrime experts uitgesplitst naar sector Gezondheids- en welzijnszorg Groot- en detailhandel; reparaties in auto s (Semi-)overheidsinstellingen Informatie en communicatie Advisering, onderzoek en overige specialistische zakelijke dienstverlening Vervoer en opslag Overige dienstverlening 12% 15% Industrie 14% 8% 6% 14% Financiële instelling 13% 7% 7% 10% 11% 6% 9% 7% Onderwijs 5% 9% 5% 5% 4% 5% 0% 5% 10% 15% 20% 25% 30% Cybercriminaliteit experts Expert in andere financieel-economische criminaliteit Cybercriminaliteit expertise Zoals eerder is aangegeven, kan de expertise op een bepaald gebied de perceptie van de prevalentie beïnvloeden. Om die reden is nagegaan in hoeverre de respondenten in het panel functioneel belast zijn met het aanpakken, voorkomen of in kaart brengen van cybercriminaliteit. Deze personen noemen we voor het gemak cybercriminaliteit experts. Van de respondenten gaf 53 procent aan functioneel belast te zijn met cybercriminaliteit. De rest van de respondenten (47%) gaf aan uit hoofde van de functie niet belast te zijn met het in kaart brengen, voorkomen of aanpakken van cybercriminaliteit. In het onderzoek van 2014 gaf slechts 38 procent aan functioneel belast te zijn met cybercriminaliteit. We zien hier dus een toename van 11 procent. Het grootste gedeelte van de experts (36%) houdt zich bezig met het voorkomen van cybercriminaliteit, 23 procent houdt zich bezig met het in kaart brengen van cybercriminaliteit en een kleiner gedeelte houdt zich actief bezig met de aanpak (19%). Figuur 12 geeft de percentages cybercriminaliteit experts weer, daarnaast zijn de experts op de andere gebieden samengevoegd onder de categorie traditionele experts. Dit figuur toont dat relatief veel cybercriminaliteit experts werkzaam zijn in de industriële sector (14%) of bij financiële instellingen (13%). Binnen het onderwijs (5%) en de organisaties die zich bezig houden met vervoer en opslag (5%) zijn relatief weinig cybercriminaliteit experts werkzaam. Het percentage respondenten dat aangaf dat hun organisatie getroffen is door cybercriminaliteit verschilt relatief veel tussen specifieke experts en anderen. Dit suggereert dat het voor niet experts moeilijker is om cybercriminaliteit waar te nemen. Deze tendens is eerder in het rapport al beschreven. Op het gebied van cybercriminaliteit geeft 52 procent van de experts aan dat deze specifieke vorm van criminaliteit in het afgelopen jaar ten minste één keer is voorgevallen. Dit is vele malen meer dan de niet-experts, slechts 13 procent van hen rapporteerde dat cybercriminaliteit is voorgevallen in de afgelopen twee jaar. Internet of Things Het Internet of Things, ook wel het internet der dingen, is een nieuw onderdeel in de Economic Crime Survey Naast het huidige onderzoek heeft PwC U.S. in 2016 een rapport geschreven over het Internet of Things en de gevolgen voor de gehele industrie (PwC, 2016a). De hedendaagse definitie van het internet der dingen is: Een voorgestelde ontwikkeling van het internet, waarbij alledaagse voorwerpen zijn verbonden met het netwerk en gegevens kunnen 12 PwC

13 uitwisselen (Oxford dictionaries, 2016). Hierbij kan men denken aan thermometers, ijskasten en printers. Nederland staat momenteel op de vijfde plaats in de ranglijst van landen die het meest gebruik maken van het Internet of Things (World Economic Forum, 2016). In Nederland zijn 24,7 apparaten per honderd inwoners verbonden met het internet. Tevens voorspelt het adviesbureau Gartner (2017) uit Amerika dat in 2020 grofweg 20 miljard apparaten aan het internet der dingen verbonden zullen zijn. Deze voorspellingen zijn echter vrij arbitrair en verschillen per bron. Het World Economic Forum voorspelt bijvoorbeeld dat zelfs rond de 50 miljard apparaten aan het internet der dingen verbonden zullen zijn in 2020 (Mohammed, 2015). In het huidige onderzoek is dan ook gevraagd in hoeverre voorwerpen verbonden zijn met het netwerk binnen verschillende onderdelen van de organisatie. Hierbij werd gekeken naar het productieproces, het operationele proces, het logistieke proces en het beveiligingsproces. Bij het antwoord op deze vraag konden de experts kiezen tussen een schaal van 1 tot en met 5 (waarbij 1 staat voor helemaal niet en 5 voor helemaal wel ). Hierbij is te zien dat de categorieën niet veel uiteenlopen. De hoeveelheid verbonden voorwerpen worden namelijk allemaal rond de gemiddelde antwoordcategorie ingevuld. In het operationele proces zijn volgens de respondenten de meeste apparaten verbonden met het internet en bij het productieproces het minst. De uitkomsten hiervan zijn in figuur 13 weergegeven. Inbreuk op deze verbinding De beveiliging van slimme apparaten die met het internet verbonden zijn, staat te weinig in de belangstelling bij bestuurders (PwC, 2016b). Door onjuiste instellingen van het apparaat ontstaat het risico dat deze apparaten direct vanaf het internet te benaderen zijn. Cybercriminelen kunnen zo informatie die is opgeslagen op deze apparaten, opvragen of veranderen. Tevens is het apparaat, Figuur 13 In hoeverre zijn voorwerpen verbonden met het netwerk Operationeel proces 3,4 afhankelijk van het type, mogelijk op afstand te bedienen. Dit kan ernstige gevolgen hebben wanneer vertrouwelijk informatie van cliënten of van organisaties wordt opgevraagd of aangepast door hackers. Het grote voordeel van het Internet of Things is dat alles in connectie met elkaar staat. Hier ligt echter tevens een omvangrijk risico. Data analyse algoritmen kunnen veilig worden gemaakt met een bepaald ontwerp, echter zijn de meeste voorwerpen van het Internet of Things niet wezenlijk ontworpen met veiligheid als hoogste prioriteit (Stolpe, 2016). Dit kwam duidelijk naar voren toen op 7 maart 2017 het Financieel Dagblad kopte: Wikileaks beschuldigt CIA van geavanceerde spionage (FD, 2017). Klokkenluidersorganisatie WikiLeaks heeft een groot aantal documenten openbaar gemaakt over de digitale spionagepraktijken van de Amerikaanse inlichtingendienst CIA. Hieruit blijkt onder andere dat de CIA microfoons in smart-tv s kan gebruiken om burgers te bespioneren. Er zijn echter ook een stuk meer gevaarlijke voorbeelden te bedenken. Zo gaf de Amerikaanse Food & Drug Administration (FDA) begin 2017 toe dat St. Jude Medical s implanteerbare hartapparatuur kwestbaar is voor hacks. Eenmaal binnen, kan de hacker de batterij uitputten of onjuist pacing en schokken toedienen. Een ander voorbeeld is het Chinese Tencent Keen Security Lab dat recent Tesla auto s wist te hacken. Ze wisten hierbij de lichten, displays, deuren en remmen te beïnvloeden. Bibi van den Berg van de Cyber Security Raad merkt daarover op: Dit is nog maar het topje van de ijsberg als het gaat om kwetsbaarheden in het internet of things (van Noort, 2017c). Hoogleraar Internetveiligheid Michel van Eeten ziet een lawine van gehackte apparaten op ons afkomen. Sla een rapport over cyberveiligheid open en bij Internet of Things staan allerlei waarschuwingen over mogelijke hacks (van Noort, 2017b). Harvard-onderzoeker Bruce Schneier waarschuwde begin dit jaar dat we met het Internet of Things een wereldomspannende robot aan het creëren zijn, opgebouwd uit alle apparaten met een internetverbinding. Als de beveiliging zo gammel blijft als nu, kan die robot zich op elk moment tegen ons keren (van Noort, 2017a). Beveiligingsproces Logistiek proces Productieproces 3,3 3,2 3, Economic Crime Survey Nederland

14 De risico s van het Internet of Things zijn op te delen in twee categorieën: Veiligheidsrisico s: - Door de grote hoeveelheid apparaten die verbonden zijn met het netwerk kan een virus op een grootschalig systeem enorme globale gevolgen hebben; - Veel objecten, zoals auto s en pacemakers kunnen worden gehackt waardoor er een levensbedreigende vorm van hacken ontstaat die voorheen niet bestond; - Apparaten kunnen gebruikt worden om een aanval mee uit te voeren. Privacy risico s: - Doordat veel objecten met het internet verbonden zijn hebben mensen niet door dat data over hen wordt verzameld; - Het is nog niet duidelijk waar de data wordt opgeslagen en wat er precies mee wordt gedaan. Figuur 14 Is uw organisatie in de afgelopen twee jaar getroffen door een (digitale) inbreuk op de voorwerpen die verbonden zijn via het netwerk? Bevindingen uit de ECS Aan de respondenten werd de vraag gesteld of de organisatie in de afgelopen 24 maanden is getroffen door een inbreuk op de voorwerpen die verbonden zijn via het netwerk. Van de respondenten gaf 35 procent een bevestigend antwoord, 39 procent een ontkennend antwoord en 26 procent gaf aan hier geen inzicht in te hebben. Deze resultaten zijn weergegeven in figuur 14. Een probleem van cybercriminaliteit, en daarmee digitale inbraak, is echter dat mensen niet altijd weten dat ze slachtoffer zijn geworden (Domenie et al., 2013). Dit zogenaamde dark number is altijd in enige mate aanwezig bij de registratie van criminaliteit, maar naar alle waarschijnlijkheid ligt dit getal een stuk hoger als het gaat om cybercriminaliteit. Het is goed mogelijk dat een groot deel van de respondenten niet door heeft gehad dat ze slachtoffer zijn geweest van een inbreuk op het internet der dingen. Om die reden zouden we kunnen stellen dat minstens 35 procent van de respondenten slachtoffer is geworden van een inbreuk op de apparaten, maar dat dit aantal naar alle waarschijnlijkheid hoger ligt. Weet niet Nooit 26% 39% 35% Ja Meer dan 10 keer 2% Meer dan 5 keer 8% Tenminste één keer 25% Aan de respondenten in de ECS is tevens gevraagd hoe groot zij de kans inschatten dat in de toekomst wordt ingebroken op deze voorwerpen die verbonden zijn met het netwerk. De respondenten konden kiezen uit vijf antwoorden, waarbij 1 voor een zeer kleine kans staat en 5 voor een zeer grote kans. Deze vraag werd wederom opgedeeld in de verschillende onderdelen van het bedrijf. De resultaten staan in figuur 15. Hierbij kwam naar voren dat de respondenten verwachten dat inbreuk op het Internet of Things de grootste schade kan berokkenen in het beveiligingsproces. Kans op inbraak op voorwerpen die te maken hebben met het productieproces worden het laagst ingeschat. Figuur 15 Hoe groot is de kans dat er wordt ingebroken op de voorwerpen die zijn verbonden met het netwerk? Beveiligingsproces Operationele proces 2,6 Logistiek proces 2,5 Productieproces 2,4 2, Vervolgens is aan de respondenten gevraagd in hoeverre inbreuk op de verbinding met deze voorwerpen schade kan toebrengen aan een aantal onderdelen van het bedrijf. De respondenten verwachten de minste schade aan de veiligheid van de medewerkers. Zo denkt 30 procent dat een inbreuk op het Internet of Things helemaal geen schade zal toebrengen aan de veiligheid van de medewerkers. De reputatie van de organisatie zal volgens de respondenten meer schade ondervinden aan een inbreuk op het netwerk. De gemiddelden van de antwoorden zijn in figuur 16 weergegeven. 14 PwC

15 Figuur 16 In hoeverre kan schade worden toegebracht aan apparaten die zijn verbonden met het netwerk De reputatie van de organisatie De producten of diensten van de organisatie De continuïteit van de organisatie De veiligheid van de andere mensen De veiligheid van de medewerkers Figuur 17 In hoeverre is de beveiliging op orde van voorwerpen die verbonden zijn via het netwerk? 17% 38% Figuur 18 Schade als gevolg van financieel-economische criminaliteit Tijd (afhandeling door management) Tijd (als gevolg van controle door en eisen van de autoriteit) Arbeidsmoraal Reputatie Zakenrelaties Relatie met de autoriteiten 2% 7% 2,5 2,4 3,3 3,2 3,0 37% 1,9 2,4 2,1 2,5 2,3 2,8 Helemaal niet op orde Niet op orde Op orde noch niet op orde Op orde Helemaal op orde Tot slot is aan de respondenten de vraag gesteld in hoeverre zij vinden dat de beveiliging op orde was van voorwerpen die verbonden zijn via het netwerk. Hierbij was het wederom mogelijk om dit aan te geven aan de hand van een schaal van 1 tot en met 5, waarbij 1 stond voor helemaal niet op orde en 5 voor helemaal wel op orde. Bij deze vraag scoorden de onderdelen 3 (37%) en 4 (38%) het hoogst, wat betekent dat ze de beveiliging redelijk op orde schatten. Slechts 2 procent van de respondenten geeft aan dat de beveiliging helemaal niet op orde is. Voor meer informatie, zie figuur 17. Wanneer een apparaat naar behoren functioneert, kijken de meeste gebruikers niet meer om naar het apparaat. Tijdig veranderen van wachtwoord en uitvoeren van updates zou al veel problemen buiten de deur kunnen houden. Opmerkelijk hierbij is dat de respondenten aangeven dat de beveiliging van de voorwerpen die verbonden zijn via het netwerk vrij goed op orde is. De twee antwoordcategorieën die aangeven dat de beveiliging niet op orde is, scoren slechts 9 procent. Zoals eerder besproken, geeft echter 35 procent van de respondenten aan dat de organisatie is getroffen door een inbraak op de voorwerpen die verbonden zijn via het netwerk. De perceptie van veiligheid en beveiliging komt dus niet overeen met de prevalentie van inbreuk op deze apparaten. Schade van financieel-economische criminaliteit Om de schade in kaart te brengen van financieeleconomische criminaliteit zijn een aantal vragen voorgelegd aan de respondent. Ten eerste is gevraagd in hoeverre er schade als gevolg van financieel-economische criminaliteit is opgetreden op het gebied van reputatie, arbeidsmoraal, zakenrelaties, autoriteiten, tijd (management en autoriteit) en de aandelenkoers. Hierbij kon de respondent kiezen uit de antwoordcategorieën: geen, gering, matig, hoog of geen idee. De gemiddelden van de antwoorden op deze vraag zijn in figuur 18 weergegeven. Hierbij staat 1 voor de categorie geen en 4 voor de categorie hoog. Tijd wordt hierbij het meest genoemd. Reputatieschade scoort daarentegen minder hoog. Aandelenkoers 1, Economic Crime Survey Nederland

16 Figuur 19 Relatieve schade, opgelopen en verwacht als gevolg van financieel-economische criminaliteit Diefstal van geld of goederen of fraude Corruptie Diefstal van informatie Concurrentievervalsing Cybercriminaliteit 0 Figuur 21 Verdeling interne en externe dader van het meest recente delict Externe dader Interne dader Zowel interne als externe dader 0% 0,5 10% 2,4 2,5 2,4 2,5 1 20% 3,0 2,9 1,5 Verwachte schade Cybercriminaliteit 3,7 4,1 3,5 3,4 2 30% 2,5 40% 3 50% 3,5 Opgelopen schade Figuur 20 Relatieve schade door cybercriminaliteit in de afgelopen twee jaar naar sector Financiële instellingen 3,0 Informatie en communicatie Advisering, onderzoek en overige Gezondheids- en welzijnszorg (Semi-) overheidsinstellingen Onderwijs 2,1 2,1 Groot- en detailhandel 1,9 60% Traditionele criminaliteit 4 4,5 0,0 1,0 2,0 3,0 4,0 5,0 10% 9% 17% 2,2 2,6 Industrie 2,5 2,9 43% 48% 73% 70% 5 80% Aan de respondenten is tevens gevraagd om de vijf verschillende vormen van financieel-economische criminaliteit te rangschikken naar de ernst van de opgelopen financiële schade gedurende de afgelopen twee jaar en de ernst van de verwachte schade in de toekomst. Figuur 19 geeft de gemiddelde antwoorden van de respondenten op deze vraag weer en laat zien dat de perceptie van de respondenten over de toekomst aardig overeenkomt met de gerapporteerde prevalentie uit het verleden. Respondenten schatten de opgelopen schade als gevolg van diefstal van geld of goederen of fraude relatief het hoogst in. Respondenten denken dat concurrentievervalsing en corruptie minder schade berokkenen aan de organisatie. Hierbij dient echter de reeds bovengeschetste kentering (zie opmerkingen bij figuur 18) op het gebied van de toenemende aandacht voor corruptievervolging in acht gehouden te worden. Naast de verhoogde pakkans zal ook de schade toenemen. Hierbij moet rekening gehouden worden met het feit dat corruptie vaak pas achteraf bekend wordt tenzij de top van de organisatie erbij betrokken is en het moeilijk is vooraf de schade in te schatten. De schade onderschatten is echter gevaarlijk, omdat uit figuur 19 afgeleid zou worden dat er relatief meer preventieve en detectieve beheersingsmaatregelen zouden kunnen worden ingezet ter voorkoming van diefstal, terwijl anti corruptie controls wellicht ook versterking behoeven. Figuur 20 geeft de relatieve opgelopen schade door cybercriminaliteit weer per sector. Dit figuur laat zien dat de relatieve schade vooral hoog wordt ingeschat bij de financiële instellingen en in de informatie en communicatie sector. De opgelopen schade van cybercriminaliteit is daarentegen relatief laag in de groot- en detailhandel. Daders van financieel-economische criminaliteit Vervolgens zijn een aantal vragen gesteld over de daders die betrokken waren bij de meest recente en meest ernstige vorm van financieel-economische criminaliteit. Ten eerste is gevraagd naar de daders van het meest recente delict waar de organisatie mee in aanraking is gekomen. Hierbij is afzonderlijk gevraagd naar de meest recente cybercriminaliteit en de meest recente traditionele criminaliteit. In figuur 21 zijn flinke verschillen waarneembaar. Cybercriminaliteit wordt voornamelijk door externe daders gepleegd (73%), terwijl de overige vormen van financieel-economische criminaliteit meer door interne daders wordt gepleegd. Dit beeld komt overeen met de gegevens uit de vorige editie van de Economic Crime Survey. 16 PwC

17 Figuur 22 Wie was de dader van het meest recente delict naar organisatie grootte 60% 50% 40% 30% 20% 10% 0% 48% 49% 36% Interne dader Minder dan 100 werknemers of meer medewerkers 47% 38% 30% Externe dader 100 tot en met 999 medewerkers Dit grote verschil in het percentage externe daders tussen cybercriminaliteit en traditionele financieeleconomische delicten is mogelijk te verklaren door het feit dat de fysieke afstand tussen daders en potentiële slachtoffers geen obstakel vormt bij cybercriminaliteit. Bij traditionele financieeleconomische delicten moeten dader en slachtoffer vaak op hetzelfde moment op dezelfde plek fysiek aanwezig zijn om het delict te kunnen plegen. Eigen werknemers voldoen vanzelfsprekend frequent aan deze voorwaarde, waardoor het aantal interne daders bij traditionele delicten mogelijk hoger is. Omdat deze fysieke aanwezigheid bij cybercriminaliteit geen belemmering vormt, is het voor externe criminelen mogelijk eenvoudiger om organisaties via cybercriminaliteit tot slachtoffer te maken. In figuur 22 is de verdeling interne en externe daders van het meest recente delict uitgesplitst naar organisatie grootte. Hier is te zien dat kleine organisaties meer te maken hebben met externe daders en grotere Economic Crime Survey Nederland

18 Figuur 23 Meest ernstige delict Interne dader Externe dader Zowel interne als externe dader Figuur 24 Daderprofiel interne dader Mannelijk Vrouwelijk Andere werknemers Middenmanagement Topmanagement Anders 6% 3% 22% 23% Figuur 25 Daderprofiel externe dader Mannelijk Vrouwelijk Individu (geen zakelijke relatie met organisatie) Klant/opdrachtgever Concurrent Zakenpartner, leveranciers, dienstverlener, oid Overheid Idealistische organisaties/groeperingen 9% 0% 10% 20% 30% 40% 50% 60% 69% 78% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 9% 17% 19% 15% 3% 3% 28% 43% 48% 83% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% organisaties meer met interne daders. Naast het meest recente delict is er ook aandacht besteed aan het meest ernstige delict. De resultaten staan in figuur 23. De dader van dit delict is in 42 procent van de gevallen een interne dader en in 48 procent van de gevallen een externe dader. Deze gegevens laten zien dat het meest ernstige delict vaker door een externe dader gepleegd wordt in vergelijking met het meest recente delict. Wanneer men kijkt naar hoeveel daders in totaal (mede-)verantwoordelijk zijn voor het meest ernstige delict is te zien dat in 63 procent van de gevallen één dader aanwezig is. In 23 procent van de gevallen zijn er twee daders aanwezig, drie of meer daders kwam aanzienlijk minder vaak voor (14%). Daderprofielen Om een duidelijk beeld te scheppen van de daders van financieel-economische criminaliteit, is middels een aantal vragen in de survey getracht een profiel op te stellen van de daders van het meest ernstige delict, deze profielen zijn te zien in figuur 24 en 25. Overeenkomstig met andere uitkomsten van onderzoek naar criminaliteit is een groot deel van de daders een man. Slechts een vijfde van de respondenten geeft aan dat de dader van het meest ernstige delict een vrouw was. De gemiddelde leeftijd van de dader ligt rond de 34 jaar. In 2014 was de gemiddelde leeftijd 37 jaar, hier valt dus een kleine daling waar te nemen. Uit figuur 24 blijkt dat in 23 procent van de gevallen de interne dader werkzaam is in het middenmanagement of is hij/zij manager. Opvallend is dat in slechts 6 procent van de gevallen de (hoofd) dader werkzaam is in het top/senior management. Dit zou te maken kunnen hebben met onderzoekbias van de experts. Corporate security heeft namelijk de neiging om naar beneden te kijken in plaats van naar boven (White, 2014). In figuur 25 is te zien dat de externe dader vaak een individu is, die geen zakelijke relatie heeft met de organisatie (28%). Een klant of opdrachtgever als externe dader komt ook veel voor, namelijk in 19 procent van de gevallen. De overheid en idealistische organisaties/groeperingen worden het minst vaak genoemd (beiden ongeveer 3%). Deze bevindingen komen overeen met de bevindingen uit Daders van cybercriminaliteit Omdat daders van cybercriminaliteit in sterke mate verschillen van daders van traditionele financieeleconomische criminaliteit, zijn extra vragen gesteld over de daders van cybercriminaliteit. In de survey is op twee manieren vragen gesteld over daders van cybercriminaliteit. Allereerst is aan alle respondenten die werkzaam zijn voor een organisatie die minstens één keer in de afgelopen 2 jaar is geconfronteerd met cybercriminaliteit, gevraagd naar de daders van het meest recente cyberdelict waarmee hun organisatie in aanraking is gekomen. Daarnaast zijn aan alle respondenten vragen gesteld over de daders van het meest ernstige cyberdelict waarmee de organisatie gedurende de twee voorafgaande jaren mee te maken 18 PwC

19 Figuur 26 Interne en externe daders van de meest recente en meest ernstige cybercriminaliteit Intern 10% 14% Bij zowel het meest recente delict als het meest ernstige delict is allereerst gevraagd of de dader een interne of een externe dader was. Figuur 26 toont aan dat in beide gevallen de dader meestal een externe dader is. Daarnaast blijkt in een klein aantal gevallen een interne en externe dader samen te werken. Extern Zowel intern als extern 3% 9% 0% 10% 20% 30% 40% 50% 60% 70% 80% Meest ernstig 70% 59% Meest recent heeft gehad. Bij deze vraag gaven 105 van de 875 respondenten aan dat een vorm van cybercriminaliteit het meest ernstige delict was. In de meeste gevallen was deze meest ernstige cybercriminaliteit het verspreiden van virussen, gevolgd door phishing en pharming. Cyberspionage, illegaal downloaden en intentionele beschadiging van systemen of computers wordt door slechts een enkeling genoemd. Onbekende daders Aan de respondenten, die hebben aangegeven dat het meest ernstige delict een vorm van cybercriminaliteit was, zijn ook een aantal vragen gesteld over de kenmerken van de dader. Doordat veel van deze delicten gepleegd worden door externe cybercriminelen, geven veel respondenten aan niet te weten wie de dader van de cybercriminaliteit was. Van de respondenten die een vorm van cybercriminaliteit als meest ernstige delict van de afgelopen twee jaar zien, zegt 77 procent niet te weten of de dader een man of een vrouw is. Van de respondenten geeft 21 procent aan dat de dader een man is en door slechts 2 procent van de respondenten wordt een vrouwelijke dader genoemd. Economic Crime Survey Nederland

20 Figuur 27 Externe daders van meest ernstige cybercriminaliteit waar organisatie mee in aanraking is gekomen Een individu 25% Een concurrent Zakenpartner, leverancier of dienstverlener 7% Een idealistische organisatie 5% Klant/opdrachtgever 5% De overheid 3% 8% 0% 5% 10% 15% Figuur 28 Gevolgen externe dader meest recente delict Aangifte gedaan Waarschuwing Autoriteiten ingelicht Collega-bedrijven gewaarschuwd Bestaande contracten opgezegd Publiciteit opgezocht Rechtzaak aangespannen Geen stappen ondernomen Weet niet 0% 12% 9% 7% 11% 19% 16% 15% 19% 10% 40% 20% 30% 20% 25% 40% 30% 50% Wanneer de dader van het meest ernstige cyberdelict een externe dader was, is de respondent ook gevraagd om de relatie van de dader tot de organisatie te benoemen. Figuur 27 toont aan hoe vaak de mogelijke relaties genoemd worden. Het vaakst blijkt de externe dader een individu zonder zakelijke relatie met de organisatie (25%) te zijn. De meeste respondenten geven echter aan niet te weten wie de externe daders zijn (47%). Gevolgen voor de daders In de survey is ook gevraagd naar acties die ondernomen zijn tegen de dader bij het meest recente delict dat hun organisatie heeft ondervonden. Hierbij is onderscheid gemaakt tussen cybercriminaliteit en traditionele criminaliteit, en tussen de reacties op interne en externe daders. Met betrekking tot de externe daders van traditionele criminaliteit is er in veel gevallen voor gekozen om aangifte te doen (40%). Verder wordt zowel de keuze om de autoriteiten in te lichten als een waarschuwing te geven, in 19 procent van de gevallen gekozen. In 9 procent van de gevallen worden geen stappen ondernomen. Wanneer men kijkt naar de gevolgen voor de interne dader van traditionele criminaliteit, is te zien dat bij het merendeel van de gevallen wordt gekozen voor ontslag van de desbetreffende persoon (62%). Verder kiest 27 procent van de organisaties er voor om aangifte te doen en in 16 procent van de gevallen komt de dader er met een waarschuwing vanaf. Deze resultaten zijn in figuur 28 en 29 weergegeven. Figuur 29 Gevolgen interne dader meest recente delict Ontslag Aangifte gedaan Waarschuwing Autoriteiten ingelicht Rechtzaak aangespannen Vertrekregeling Overplaatsing Weet niet Geen stappen ondernomen 0% 16% 10% 9% 7% 4% 4% 3% 10% 27% 20% 62% 30% 40% 50% 60% 70% Er is vervolgens meer specifiek gevraagd naar de afhandeling van daders van cybercriminaliteit. Figuur 30 toont de omvang van de verschillende stappen die worden genomen tegen interne en externe daders. Bij interne daders wordt vaak aangifte gedaan (33%) of een rechtszaak aangespannen (29%). Ook stappen die alleen tegen interne daders kunnen worden genomen zoals overplaatsing, een vertrekregeling of ontslag worden vaak ondernomen. Ontslag wordt door 55 procent van de respondenten genoemd. In slechts 3 procent van de gevallen worden er geen stappen ondernomen tegen de interne dader. Bij een externe dader gebeurt dit veel vaker, namelijk in 17 procent van de gevallen. Dit komt mogelijk doordat de organisaties niet weten wie het delict heeft gepleegd en daardoor mogelijk vaker denken dat het ondernemen van stappen geen zin heeft. Wanneer wel stappen worden ondernomen tegen externe daders, dan doet men in de meeste gevallen 20 PwC

21 Interne en externe daders van cybercriminaliteit Interne daders van cybercriminaliteit, of insiders, worden doorgaans gedefinieerd als individuen met rechtmatige toegang tot het ICT-systeem van een bedrijf (Hunker & Probst, 2011). Externe daders kunnen in verschillende groepen onderverdeeld worden (Europol, 2013 en Dasselaar, 2005): 1. White hats: hackers die hun technologische expertise gebruiken voor legale en constructieve doeleinden. 2. Black hats of crackers: hackers die hun technologische expertise gebruiken voor illegale doeleinden. 3. Grey hats: hackers die ethische grenzen overschrijden, maar zonder slechte bedoelingen. Te denken valt aan het testen van beveiliging. 4. Hacktivists: hackers die ICT gebruiken voor hun ideologische doeleinden. 5. Script kiddies: Wannabee hackers met weinig technologische expertise, maar wel significante schade kunnen aanbrengen door technieken van anderen. 6. Political of religious extremists: hackers die ICT gebruiken om terroristische daden te plegen. Figuur 30 Afhandeling van het meest recente cyberdelictcriminaliteit Aangifte gedaan Rechtzaak aangespannen Autoriteiten ingelicht Waarschuwing Geen stappen ondernomen 10% 24% 12% 10% 18% 17% 3% 29% 0% 10% 20% 30% 40% 50% 60% Externe dader 39% 33% Interne dader aangifte (39%). Daarnaast wordt bij een kwart van de externe daders de autoriteiten ingelicht, bij interne daders is dit slechts in 12 procent van de gevallen vaker aangegeven dat tegen interne daders een rechtszaak wordt aangespannen. In 2014 werd dit door 12 procent gezegd, in 2017 gaf 29 procent van de respondenten dit aan. In 2014 was het aantal respondenten dat een interne dader van het meest recente cyberdelict rapporteerde kleiner dan in 2017, in het huidige onderzoek is deze groep twee keer zo groot. Ook de groep externe daders is in 2017 gestegen. Dit verschil in respondenten moet als kanttekening gezien worden wanneer deze vergelijking gemaakt wordt. Deze bevindingen zijn opvallend in het licht van de meldplicht datalekken. Deze meldplicht geldt sinds 1 januari 2016 en houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben waarbij persoonsgegevens zijn gelekt. In de praktijk blijkt echter dat dit niet altijd gebeurt, wat aansluit bij de huidige bevindingen. De vraag is ook in hoeverre het voor organisaties loont om deze melding te maken. De verschillen tussen 2014 en 2017 zijn hier groot. In 2014 wordt bij de interne dader in 33 procent van de gevallen een waarschuwing gegeven, terwijl dat in 2017 nog maar 18 procent is. Dit zou kunnen betekenen dat nu strenger wordt opgetreden en geen waarschuwingen meer gegeven worden. Er wordt in Economic Crime Survey Nederland

22 Preventie en detectie 22 PwC

23 Preventieve maatregelen Om eerder beschreven financieel-economische criminaliteit tegen te gaan, neemt elke organisatie in meer of mindere mate maatregelen. Een weerbare organisatie beschikt over een evenwichtig stelsel aan preventieve, detectieve en reactieve beheersingsmaatregelen. Het doel is om non-compliance alsmede de gelegenheid tot criminaliteit te bedwingen. De traditionele aanpak is gebaseerd op het inzetten van controls (beheersingsmaatregelen), checks & balances, interne audits, beleid en het interne controle raamwerk. De detectieve component bestaat doorgaans uit interne en externe audits, monitoren van de compliance, de effectiviteit van de beheersingsmaatregelen, transacties en tenslotte rapportage. De natuurlijke reactie na inbreuk is het nieuw ontdekte gat in de beheersingsmaatregelen te dichten met een nieuwe control. Deze aanpak kent haar grenzen in termen van kosten en effectiviteit. Een overvloed aan controls is onoverzichtelijk en niet effectief, waardoor het weer leidt tot nieuwe risico s. Wellicht biedt de fraude driehoek (Albrecht, 2014) een beter aansluitingspunt voor de opzet van een uitgebalanceerd en daarmee effectiever integriteitsraamwerk voor een organisatie, oftewel de integriteitsdriehoek (figuur 31). Hierbij wordt het gedrag van medewerkers (maar ook klanten, leveranciers etcetera) ingedeeld in drie hoofdcomponenten: gelegenheid, druk en rechtvaardiging (rationalisatie). Ter voorkoming van fraude en criminaliteit wordt de nadruk gelegd op het implementeren van harde veiligheidsbeheersingsmaatregelen, men denkt onder andere aan toegangspoortjes en wachtwoordbeveiliging. Zodra een lek gevonden is, wordt het door een maatregel afgedicht. Door deze eenzijdige wijze van beheersing verliest men oog op twee belangrijke gedragscomponenten, te weten de druk die de medewerker ervaart (bijvoorbeeld vanuit opdrachtgevers of de organisatie zelf) en de rechtvaardiging die de medewerker zoekt voor zijn gedrag (bijvoorbeeld slecht voorbeeldgedrag door leidinggevenden en collega s of het ontbreken van duidelijk beleid). Door aan de drie componenten een Figuur 31 De integriteitsdriehoek Controls Evenwichtige targets Evenwichtig bonus systeem (consistentie met gedragscomponent) Klokkenluidersregeling Rationalisatie/ Rechtvaardiging Controls Managementstijl Voorbeeldgedrag Competenties 360º feedback HR opvolging waarden en normen programma s Druk Gedrag Medewerker Leverancier Etc. Gelegenheid Controls Veiligheidsmaatregelen Risk management Internetbeveiliging Economic Crime Survey Nederland

24 Figuur 32 Heeft uw organisatie de volgende maatregelen getroffen om financieel-economische criminaliteit tegen te gaan? Transparante richtlijnen, gedragscodes en sanctiebeleid Systematische interne controles en audits Een vertrouwenspersoon voor ethische dilemma s Actieve monitoring van intern en extern elektronisch verkeer Aanwezigheid van IT-deskundigen Een noodprocedure voor het afsluiten van het IT-netwerk Gedragscodes voor het corruptiebestrijdings beleid voor externe partijen Klokkenluidersmeldpunt Systematische risicoanalyse van markten, sectoren, etc. Due diligence controles bij corporate transacties Evaluaties van de effecten van het compliance beleid Regelmatige wisseling van personeel op kwetsbare posities Aanwezigheid van een interne forensisch technologische onderzoeker 0% 10% 20% 30% 40% 50% 60% Ja 13% 12% 11% 11% 13% 14% 12% 12% 13% 12% 22% 13% 17% 12% 12% 8% 26% 26% 38% 33% 28% 28% 45% 40% 52% 51% Gepland volgend jaar evenwichtig geheel van beheersingsmaatregelen te koppelen wordt op een positieve wijze meer aandacht gelegd op het gedrag, in plaats van slecht gedrag als uitgangspunt te nemen en enkel de nadruk te leggen op primaire veiligheidsmaatregelen. Een uitgebalanceerd stelsel van alle drie de vormen beheersingsmaatregelen is hierbij nodig. Bevindingen Economic Crime Survey Aan de ondervraagde experts zijn dertien mogelijke preventieve maatregelen voorgelegd en is hen gevraagd om aan te geven in hoeverre deze maatregelen zijn getroffen dan wel in hoeverre de organisatie van plan is deze te gaan treffen in de toekomst. De meest genoemde preventieve maatregelen waarvan organisaties gebruik maken, zijn transparante richtlijnen, gedragscodes en een sanctiebeleid. Ruim 50 procent van de organisaties maakt hier gebruik van. In figuur 32 is te zien dat andere relatief populaire preventieve maatregelen het uitvoeren van systematische interne controles en audits (51%), het aanstellen van een vertrouwenspersoon voor ethische dilemma s (45%) en actieve monitoring van intern en extern elektronisch verkeer (40%) zijn. Het regelmatig wisselen van personeel op kwetsbare posities en de aanwezigheid van een interne forensisch technologische onderzoeker worden minder vaak genoemd. Opvallend is dat in vergelijking met 2014 (met uitzondering van transparante richtlijnen, gedragscodes en sanctiebeleid) voor alle maatregelen geldt dat meer organisaties dergelijke maatregelen hebben getroffen. Daarnaast is gevraagd welke maatregelen de organisatie van plan is te gaan treffen in het komende jaar. Voor alle maatregelen geeft ongeveer 12 procent van de respondenten aan dat de maatregel gepland staat voor volgend jaar, alleen de maatregel waarbij een interne forensisch technologische onderzoeker wordt aangesteld wijkt hier enigszins van af (8%). 24 PwC

25 Compliance programma Compliance programma s hebben een steeds grotere rol in de preventie van financieel-economische criminaliteit onder organisaties. Hoewel compliance letterlijk vertaald naleving betekent, wordt er binnen het bedrijfsleven naast de (internationale) wet- en regelgeving, de interne normen en voorschriften alsmede het monitoren van en het toezicht houden op de naleving hiervan onder verstaan (Bleker & Houben, 2017; Van Erp, Huisman, van de Bunt & Ponsaers, 2008). Compliance programma s hebben als doel om in de gehele organisatie te streven naar naleving van de geldende wet- en regelgeving alsmede interne normen en voorschriften. Compliance vereisten worden steeds complexer. Door grote fraudes hebben toezichthouders en wetgevers ingrijpende regulering opgesteld welke verwerkt moet worden binnen de organisatie. De kunst is om een uitgebalanceerde compliance op te stellen om te voorkomen dat regels dermate disruptief worden voor de uitoefening van de kerndoelstellingen van de organisatie dat medewerkers de compliance vereisten naast zich neerleggen omwille van het (korte termijn) zakelijk voordeel. Een ander gevaar is dat compliance onvoldoende of niet begrijpelijk is voor de medewerker. Indien compliance betekent dat wet- en regelgeving wordt vertaald in procedures en beleid met een hoog juridisch gehalte, zal niet-naleving alleen maar toenemen, omdat de medewerkers het niet meer begrijpen of zullen ze onbewust het verkeerde doen. Het is belangrijk dat compliance voor alle medewerkers begrijpbaar is en binnen alle lagen van de organisatie leeft. Voor een effectieve compliance is het van groot belang dat het beleid daarbij in woord en daad aansluit bij de bedrijfsprocessen. Voor meer informatie, zie figuur 33. In totaal geeft 32 procent van de respondenten aan dat de organisatie waarin zij werkzaam zijn, beschikt over een compliance programma. Vergeleken met vorig jaar is dit aantal gestegen, toen gaf slechts 25 procent van de respondenten aan een compliance programma te hebben. Middel- en grote organisaties rapporteren even vaak dat zij een compliance programma hebben, kleine organisaties daarentegen rapporteren een lager Figuur 33 Het compliance huis (PwC 2017) Het compliance huis biedt structuur voor effectieve inrichting van de compliance functie. 1. De richting van compliance 2. Compliance governance Compliance principes Ambitie, doelstellingen, strategie, toon aan de top Compliance organisatie Compliance landschap 1 & 2: Beschrijf hoe compliance binnen de organisatie werkt en is ingericht. Beschrijf daarbij ook de gewenste compliance cultuur. 3. Compliance thema s Gastintegriteit Privacy & Data security Mededinging & antitrust Veilig en betrouwbaar spelen Fraude en diefstal Vergunningen en ontheffingen Preventie Anti-witwas 3: Beschrijf de belangrijkste compliance thema s. 4. Compliance risico management Compliance risico identificatie & beoordeling Compliance risico-beheersing Compliance monitoring & incident management Compliance rapportage 4: Beschrijf hoe compliance in de praktijk werkt. 5. Compliance cultuur 6. Compliance versnellers Training en bewustzijn Vestigingen en afdelingen (waaronder Finance, Legal, HR, inkoop, IT & Internal Audit) 5 & 6: Beschrijf hoe compliance is verankerd binnen alle haarvaten van de organisatie. Economic Crime Survey Nederland

26 percentage compliance programma s (25%). Aan de respondenten is vervolgens gevraagd in hoeverre dit compliance programma zich richt op bedrijfsethiek, cybercriminaliteit, concurrentievervalsing, diefstal van geld of goederen of fraude. Figuur 34 geeft de gemiddelde antwoorden van de respondenten op deze vraag weer. Daarbij geeft een hogere score (schaal 1-5) aan dat het compliance programma zich in zeer sterke mate richt op de gekozen categorie. Hieruit blijkt dat de compliance programma s van de organisaties zich voornamelijk richten op naleving met betrekking tot bedrijfsethiek/business principles en minder op een specifieke vorm van financieel-economische criminaliteit. Hier ontbreekt de balans tussen de drie componenten van de integriteitsdriehoek. Daarnaast lopen organisaties het gevaar dat ze de meeste energie steken in een beleid dat achteraf een papieren tijger blijkt te zijn. Figuur 34 In hoeverre richt het compliance programma zich op de volgende zaken? Concurrentievervalsing 3,1 Integriteitsbeleid wordt vaak gezien als de softe mensgerichte kant van de organisatie. Er ontstaan glossy boekjes met vaak inspirerende teksten, maar het schort veelal aan een effectieve opvolging. Niet alle beheersingsmaatregelen aan de kant van integriteit zijn soft en ook voor deze maatregelen geldt wederom dat ze niet effectief zijn indien ze niet als communicerende vaten in contact staan met de overige beheersingsmaatregelen rond druk en gelegenheid. Om iets te kunnen zeggen over de preventieve werking van compliance programma s, is gekeken of organisaties zonder een compliance programma vaker in aanraking komen met financieeleconomische criminaliteit dan organisaties met een compliance programma. Figuur 35 laat de resultaten zien. Hieruit blijkt dat organisaties met compliance programma s vaker financieel-economische criminaliteit rapporteren dan respondenten uit een organisatie zonder een compliance programma. Dit verschil is te verklaren aan de hand van de controleparadox: wanneer men ergens meer mee bezig is en controle uitoefent, wordt het simpelweg meer geconstateerd. Corruptie Diefstal van geld, goederen of fraude Cybercriminaliteit Diefstal van informatie Naleving met betrekking tot bedrijfsethiek/ business principles 3, ,4 3,5 3,7 2,8 3,0 3,2 3,4 3,6 3,8 Kwetsbare posities In het kader van de preventie en bestrijding van financieel-economische criminaliteit is het van belang om te weten waar de kwetsbaarheden in de organisatie zitten. Personeelsleden op kwetsbare posities moeten wellicht beter in de gaten gehouden worden en zouden bijvoorbeeld extra trainingen kunnen krijgen om de veiligheid binnen de organisatie te waarborgen. Figuur 35 Compliance programma en financieel-economische criminaliteit Diefstal van geld, 62% goederen of fraude 69% Diefstal van informatie Cybercriminaliteit Corruptie Concurrentievervalsing Geen compliance programma 34% 43% 28% 32% 25% 27% 38% 46% 0% 10% 20% 30% 40% 50% 60% 70% Wel compliance programma In de modelaanpak Basisnormen Integriteit Openbaar Bestuur en Politie wordt een definitie gegeven van kwetsbare functies (Rijksoverheid, 2005). Een kwetsbare functie in relatie tot integriteit wordt als volgt gedefinieerd: functies die extra risico s op integriteitsinbreuken met zich meebrengen, onder meer door het werken met gevoelige informatie, het kunnen beschikken over geld en de omgang met zakelijke relaties. De respondenten is gevraagd welk percentage van de medewerkers van de organisatie naar schatting op kwetsbare posities werkt. Gemiddeld wordt er gerapporteerd dat een derde van de medewerkers uit een organisatie op een kwetsbare positie werkt. Trainingen Om de kans op financieel-economische criminaliteit binnen de organisatie te verminderen, kunnen organisaties proberen het doen en laten van de 26 PwC

27 Figuur 36 Prevalentie trainingen voor medewerkers op kwetsbare posities Meer dan twee jaar Elke twee jaar Jaarlijks Onregelmatig Nooit Weet niet medewerkers te beïnvloeden door hen trainingen aan te bieden. Aan de respondenten is gevraagd op welke van de volgende gebieden de organisatie trainingen aanbiedt voor eigen medewerkers: ethiek, integriteit, cyberveiligheid, anticorruptie, bestrijding van concurrentievervalsing, risicomanagement, security & control en IT-infrastructuur. De meest opvallende bevindingen zijn: In 71 procent van de gevallen antwoordt de respondent dat in zijn organisatie één van deze genoemde trainingen plaatsvindt; 5% 12% 17% 16% 20% 29% 0% 5% 10% 15% 20% 25% 30% Figuur 37 Hoe komen vormen van financieel-economische criminaliteit binnen uw organisatie doorgaans aan het licht? Interne audit Interne tip Toeval Externe tip Externe audit Wisseling van personeel en taken Geautomatiseerd elektronisch meldsysteem Klokkenluidermeldpunt Compliance afdeling Handhavende diensten/ politie Andere afdeling Media 13% 11% 8% 5% 3% 15% 14% 12% 10% 30% 27% 36% 35% 0% 10% 20% 30% 40% Als binnen een organisatie trainingen plaatsvinden, is dit vaak op het gebied van integriteit (37%), cyberveiligheid (28%) en risicomanagement (28%); In 2014 gaf slechts 19 procent van de respondenten aan dat er trainingen aangeboden werden op het gebied van cyberveiligheid, terwijl dit in 2017 is gestegen naar 28 procent; Trainingen op het gebied van bestrijding van concurrentievervalsing (9%) en anticorruptie (11%) vinden het minst vaak plaats. Zoals eerder in dit rapport is aangetoond, werkt een derde van de werknemers op een kwetsbare positie binnen de organisatie. Het trainen van deze medewerkers is mogelijkerwijs extra van belang in het voorkomen van financieel-economische criminaliteit. De respondenten is daarom gevraagd hoe vaak trainingen plaatsvinden voor medewerkers die werkzaam zijn op kwetsbare posities. In figuur 36 is te zien dat bij 17 procent van de ondernemingen nooit trainingen plaatsvinden voor personeelsleden op kwetsbare posities. Indien deze medewerkers wel getraind worden, vinden de trainingen vaak jaarlijks (29%) of op onregelmatige basis (20%) plaats. In 12 procent van de gevallen worden medewerkers op kwetsbare posities eens in de twee jaar getraind, en slechts sporadisch vinden zulke trainingen minder vaak plaats dan eens in de twee jaar (5%). Detectie van financieel-economische criminaliteit Ondanks de preventieve maatregelen die veel organisaties treffen, komt de meerderheid van de organisaties toch in aanraking met financieeleconomische criminaliteit. Wanneer dit het geval is, is het van belang dat organisaties overgaan van preventie naar detectie. De respondenten is gevraagd welke vormen van detectie zij hanteren en hoe financieeleconomische criminaliteit aan het licht komt. In figuur 37 is te zien dat respondenten aangeven dat financieel-economische criminaliteit relatief vaak aan het licht komt door interne audit (36%) of een interne tip (30%). Een groot gedeelte van de respondenten geeft aan dat criminaliteit door toeval aan het licht is gekomen (27%). Slechts een klein percentage van de respondenten meldt dat financieel-economische criminaliteit aan het licht is gekomen door de media (3%) of door een andere afdeling (5%) zoals Corporate Security Department of Risk Management. Een externe audit (14%) of externe tip (15%) wordt relatief minder vaak genoemd. Economic Crime Survey Nederland

28 Criminogeniteit binnen organisaties 28 PwC

29 Gelegenheid maakt de dief In dit afsluitende hoofdstuk wordt gekeken naar de criminogeniteit binnen organisaties. Criminogeen betekent misdaad bevorderend en criminogeniteit wordt derhalve gebruikt om misdaad bevorderende verschijnselen gezamenlijk en ongespecificeerd aan te duiden (Boutellier, Scholte en Heijnen, 2009). Er wordt dus gekeken naar de factoren die bijdragen aan de totstandkoming van financieel-economische criminaliteit binnen organisaties. Eén van de meest aangehaalde criminologische theorieën stelt dat criminaliteit plaatsvindt, wanneer drie factoren samen komen: (1) de aanwezigheid van een gemotiveerde dader, (2) een aantrekkelijk doelwit en (3) de afwezigheid van adequaat toezicht op het doelwit (Cohen & Felson, 1979). Organisaties kennen vele verschillende potentiële gemotiveerde daders, zoals klanten, opdrachtgevers, zakenpartners, afnemers, leveranciers, concurrenten, personeelsleden en leidinggevenden. Zij hebben direct contact met de organisatie en zijn daarmee in de gelegenheid financieel-economische delicten te plegen. Het huidige onderzoek wijst uit dat interne daders (de eigen medewerkers en leidinggevenden) een groot deel van de financieel-economische criminaliteit voor hun rekening nemen. Een voor de hand liggende verklaring is dat zij vanwege hun werk direct toegang hebben tot het (aantrekkelijke) doelwit. Een doelwit kan een persoon, object of locatie zijn. Organisaties beschikken doorgaans over geld, gewilde goederen en waardevolle (geheime) informatie. Om deze reden vormen veel organisaties een aantrekkelijk doelwit voor het plegen van financieel-economische criminaliteit. Een doelwit wordt voor een potentiële dader aantrekkelijker naarmate de (materiële en immateriële) waarde groter is, het doelwit zichtbaarder is en het eenvoudiger is om het doel te krijgen of het plegen van het delict relatief eenvoudig is. Om te voorkomen dat gemotiveerde daders vrij spel hebben, houden organisaties toezicht. Dat betreft in eerste instantie het natuurlijke toezicht door collega s en leidinggevende. Dit kan ook worden uitgevoerd door compliance officers, beveiligers of forensische onderzoekers. Daarnaast geven organisaties trainingen aan hun personeel om hen goed toe te rusten voor het uitvoeren van deze toezichttaken. Dat betreffen trainingen die zich richten op detectie en risicomanagement of trainingen op het gebied van specifieke kwetsbaarheden (bijvoorbeeld ten aanzien van cyberveiligheid). Naast het natuurlijke toezicht investeren veel organisaties in beveiligingssystemen of in organisatorische maatregelen zoals roulatie van functies of een klokkenluidersmeldpunt. Situationele of gelegenheidstheorieën veronderstellen dat het plegen van delicten vooral afhankelijk is van situationele kenmerken en minder van individuele kenmerken. Volgens deze theorieën kan in principe iedereen zich inlaten met delinquente handelingen. De gelegenheidstheorie stelt dat de kans op deelname aan criminele activiteiten groter wordt, als de gelegenheid groot is. Gelegenheid maakt immers de dief. De populaire theorie wordt niet alleen gebruikt voor reguliere straatcriminaliteit, maar ook voor criminaliteit binnen organisaties (Benson & Madensen, 2007). Hier is immers ook sprake van een dader, doelwit en toezicht. Het enige verschil met reguliere criminaliteit is dat deze drie factoren bij fraude vaak niet fysiek samen komen. Eck en Clarke (2003) beargumenteren dat in het geval van fraude, deze drie factoren niet zozeer fysiek samen komen, maar in een netwerk. Dit netwerk voorziet daders van een plaats om het slachtoffer te benaderen. Een goed voorbeeld hiervan is het Internet of Things. Hierbij worden apparaten die zijn verbonden met het netwerk een aantrekkelijk doelwit voor hackers. Zo kunnen apparaten met gebrekkige beveiliging door criminele en vijandige overheden ook gekaapt worden en ingezet worden als cyberwapen. Economic Crime Survey Nederland

30 Figuur 38 Perceptie over onstaan financieel-economische criminaliteit ,0 3,2 2,9 Gebrekkig toezicht Gebrekkig toezicht Aantrekkelijk doelwit Figuur 39 Gebrekkig toezicht, aantrekkelijk doelwit en moraliteit personeel naar grootte organisatie 3,4 3,2 3,0 2,8 2,6 2,4 2,2 2,0 3,1 3,1 2,8 2,9 Aantrekkelijk doelwit Gebrekkige moraliteit Gebrekkige moraliteit 100 of minder werknemers 100 tot en met 999 medewerkers of meer medewerkers 3,3 3,3 2,7 3,1 3,0 Dat gebeurt bijvoorbeeld in zogeheten botnets: netwerken van zombiecomputers- en apparaten die aanvallen kunnen uitvoeren. Zo bleek eind 2016 een internationaal botnet (genaamd Mirai) te bestaan dat bestond uit gehackte Internet of Things apparaten. Met behulp van smart devices voerde Mirai succesvolle aanvallen uit waardoor miljoenen mensen niet op websites als Twitter en Netflix konden komen (van Noort, 2017b). Bovendien is te zien en dat er weinig toezicht is op dit gebied en dat er sprake is van gebrekkige wetgeving (Stolpe, 2016). Tenslotte zijn er genoeg gemotiveerde daders die vrij simpel kunnen inbreken op en gebruik maken van deze apparaten vanwege de gebrekkige beveiliging. Bevindingen ECS betreffende criminogeniteit In de Economic Crime Survey worden de experts gevraagd naar hun perceptie van criminogeniteit. Er is gevraagd in hoeverre zij denken dat het gebrekkig toezicht, de aantrekkelijk van de organisatie als doelwit en de moraliteit van het personeel een rol spelen bij het ontstaan van financieel-economische criminaliteit binnen hun organisatie. In figuur 38 is te zien dat de respondenten denken dat een aantrekkelijk doelwit het meest uitlokt tot financieeleconomische criminaliteit, maar dat de verschillen marginaal zijn. In figuur 39 is vervolgens te zien dat respondenten uit kleinere organisaties de factoren die criminaliteit verklaren, lager inschatten dan experts uit grotere organisaties. Een begrip dat nauw samenhangt met ethische bedrijfscultuur is de toon aan de top. De toon aan de top heeft namelijk invloed op de ethische bedrijfscultuur van organisaties. De toon aan de top wordt vaak beschouwd als een factor die de hele organisatiecultuur doordringt. De toon aan de top moet aangeven welke beat in het midden dient te worden aangegeven, zodat de drum of the feet eenduidig is binnen de organisatie. Een goede toon aan de top wordt beschouwd als een voorwaarde voor goed bestuur van een organisatie. Toon aan de top is onvoldoende om zorg te dragen voor een ethische cultuur. Daarnaast bestaat het probleem dat de top in feite onfeilbaar dient te zijn (Bleker & Houben 2017). Immers, alle goede woorden vervagen bij een niet-integere gedraging. Oftewel, integriteit komt te voet en vertrekt te paard. Er wordt ook wel gezegd dat het topmanagement een dubbele rol heeft: zowel het creëren van gedragscodes als het naleven hiervan (O Regan, 2004). Een juiste toon aan de top wordt bewerkstelligd door ethische leiders die ontvankelijk zijn voor bezorgdheid van medewerkers, waarde hechten aan ethiek en integriteit en adequaat reageren wanneer ze zich bewust worden van wangedrag (Brooks & Dunn, 2010). Een positieve toon aan de top kan volgens experts bijdragen aan het voorkomen van fraude en andere onethische praktijken (Wood, 2015). 30 PwC

31 Ethische bedrijfscultuur Zoals gesteld, veronderstellen situationele of gelegenheidstheorieën dat situationele kenmerken meer dan individuele kenmerken bijdragen aan de totstandkoming van criminaliteit. Dit zou betekenen dat organisatiecultuur een belangrijke rol speelt bij de totstandkoming van financieel-economische criminaliteit binnen organisaties. Ethiek speelt een cruciale rol bij een juiste organisatiecultuur. Een ethische organisatiecultuur refereert naar de gedeelde percepties van werknemers over het ethische beleid en de praktijken en procedures van de organisatie (Martin & Cullen, 2006). De ethische organisatie is geen optelsom van de ethiek van iedere afzonderlijke medewerker. Het ethische gehalte van de organisatie ligt in de gemeenschappelijk gedeelde visie over de positie van de organisatie binnen de samenleving en de positie van de werknemer binnen de organisatie. Een ethische organisatie kan plaats geven aan medewerkers met zeer verschillende achtergronden en daarmee ook van huis uit meegekregen waarden komend bijvoorbeeld vanuit religie. Echter de existentiële vraag rond het waarom van de organisatie delen zij en zij willen en kunnen deze waarden en normen samen delen (Bleker & Houben, 2017). Leiderschap speelt een cruciale rol bij een ethische organisatiecultuur. In een ethische organisatiecultuur wordt goed leiderschap als een cruciale factor beschouwd in het verklaren van integer en niet-integer gedrag op de werkvloer (Brown & Trevino, 2006; Lasthuizen, 2008). Onderzoekers zijn het er over eens dat het topmanagement een primaire institutionele crime enabler is, omdat topmanagers de institutionele omgeving effectief kunnen manipuleren (Bleker & Houben, 2017; Choi & Chang, 2009; Purvis, Sambamurthy & Zmud, 2001). Bevindingen ethische cultuur en financieel-economische criminaliteit In figuur 40 is weergegeven hoe de respondenten die met een bepaalde vorm van financieel-economische criminaliteit (bijvoorbeeld corruptie) in aanraking zijn gekomen, hun organisatie inschatten op het gebied van ethiek. Deze ethiek konden respondenten inschatten aan de hand van vier stellingen, waarbij de respondent de keuze had uit vijf antwoordcategorieën. Deze varieerden van 1 (helemaal mee oneens) tot 5 (helemaal mee eens). De gemiddelden zijn in figuur 40 te vinden. Hierbij zijn twee dingen opvallend. Ten eerste dat organisaties die in aanraking zijn gekomen met financieel-economische criminaliteit hoger scoren op ethisch gedrag ( medewerkers binnen mijn organisatie houden zich aan de regels en voorschriften en in mijn organisatie spelen ethische principes een belangrijke rol bij het nemen van beslissingen ) dan op egoïstisch gedrag ( medewerkers binnen mijn organisatie laten zich vooral leiden door hun eigen belang en in mijn organisatie is het vooral ieder voor zich ). Dit kan verklaard worden aan de hand van de controle paradox. Wanneer organisaties zich meer bezig houden met het tegengaan van financieeleconomische criminaliteit (zoals het nastreven van ethische principes), wordt wellicht ook meer financieeleconomische criminaliteit gerapporteerd. Ten tweede valt op dat deze tendens voor alle vijf de vormen van financieel-economische criminaliteit gelijk is. Figuur 40 Ethische organisatiecultuur in samenhang met financieel-economische criminaliteit ,60 3,49 3,53 3,49 3,62 3,53 3,55 3,48 2,76 2,99 2,85 2,81 2,89 2,52 2,60 2,84 3,65 2,78 3,52 2,56 0 Diefstal van geld of goederen of fraude Corruptie Diefstal van informatie Concurrentievervalsing Cybercriminaliteit Medewerkers binnen mijn organisatie houden zich aan de regels en voorschriften Medewerkers binnen mijn organisatie laten zich vooral leiden door hun eigenbelang In mijn organisatie spelen ethische principes een belangrijke rol bij het nemen van beslissingen In mijn organisatie is het vooral ieder voor zich Economic Crime Survey Nederland

32 Ethische organisatiecultuur naar organisatiegrootte In figuur 41 is de perceptie over onethische organisatie cultuur aangegeven naar grootte van de organisatie. Hierbij werden vier stellingen voorgelegd aan de respondenten en de gemiddelden van de antwoorden op deze stellingen zijn in dit figuur weergeven. De respondenten uit verschillende groottes van organisaties antwoorden relatief hetzelfde op deze vragen. Er is dus geen sprake van een verschil in ethische bedrijfscultuur bij kleine en grote organisaties. Target- en bonuscultuur werkt criminogeen Een meer specifiek onderdeel van een ethische organisatiecultuur is een target- en bonuscultuur. Vele wetenschappelijke studies zijn het er over eens dat een target- en bonuscultuur frauduleus gedrag uitlokt (Braithwaite, 2009; Carson, 2003; Cools, 2006; Cremer, 2010; Mikkers, Schut, Colk, Huisman & Denkers, 2015). Een verklaring hiervoor wordt geboden door de sociologische strain theorie. Agnew (2009) stelt dat mensen over kunnen gaan op crimineel gedrag wanneer er een gat is tussen de voor ogen hebbende doelen en de voor handen hebbende middelen om deze doelen te bereiken. Er ontstaat dan een spanning ( strain ) om deze doelen toch te behalen. De meeste mensen zullen zich conform de regels blijven gedragen, maar sommige mensen zullen meer crimineel, egoïstisch gedrag laten zien om deze spanning tegen te gaan. Het geven van incentives werkt alleen bij simpele taken, maar sorteert een averechts effect bij meer complexe taken zoals vaak het geval is binnen het bedrijfsleven (Ariely, Gneezy, Loewenstein & Mazar, 2009; Himmelstein, Ariely & Woolhandler, 2014). Bij complexe taken bestaan immers meer mogelijkheden om de gestelde doelen op een niet conformistische manier te behalen (Agnew, 2009; Ariely, Gneezy, Loewenstein & Mazar, 2009). Deze bijdrage van de Economic Crime Survey gaat na in hoeverre een target- en bonuscultuur binnen Figuur 41 Perceptie over ethische bedrijfscultuur naar grootte van organisatie 4,0 3,5 3,0 2,5 2,0 1,5 1,0 3,80 3,63 3,54 2,55 2,70 2,61 3,40 3,45 3,64 2,40 2,42 2,39 0,5 0 Medewerkers binnen mijn organisatie houden zich aan de regels en voorschriften Mederwerker binnen mijn organisatie laten zich vooral leiden door hun eigenbelang In mijn organisatie spelen ethische principes een belangrijke rol bij het nemen van beslissingen In mijn organisatie is het vooral ieder voor zich Minder dan 100 werknemers 100 tot en met 999 medewerkers of meer medewerkers Figuur 42 Target- en bonuscultuur naar grootte organisatie 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0 2,34 2,62 2,29 Een belangrijk deel van de salarissen in onze organisatie bestaat uit bijzondere beloningen (vb. bonussen). 2,62 2,95 2,67 2,69 2,36 2,23 Onze organisatie verbindt voor medewerkers grote belangen aan het behalen van targets. Binnen onze organisatie spelen bijzondere beloningen (zoals bonussen) een belangrijke rol. 2,87 3,30 2,95 Binnen onze organisatie hecht men grote waarde aan het behalen van targets. Minder dan 100 werknemers 100 tot en met 999 medewerkers of meer medewerkers 32 PwC

33 Figuur 43 Bijzondere beloningen spelen een belangrijke rol in onze organisatie naar sector Industrie Financiële instelling Informatie en communicatie Advisering, onderzoek en overige specialistische zakelijke dienstverlening Vervoer en opslag Groot- en detailhandel; reparaties in auto s Gezondheids- en welzijnszorg (Semi-) overheidsinstellingen Onderwijs Overig 1,95 1,82 1,79 2,97 2,82 2,70 2,59 2,58 2,38 2,53 0 0,5 1,0 1,5 2,0 2,5 3,0 3,5 Figuur 44 Financieel-economische criminaliteit in organisaties met bijzondere beloningen Diefstal van geld, goederen of informatie Diefstal van informatie Concurrentievervalsing Corruptie Cybercriminaliteit 0,29 0,22 0,58 0,60 0,82 0,76 0,99 0,97 1,49 1,18 0 0,2 0,4 0,6 0,8 1,0 1,2 1,4 1,6 Bijzondere beloningen spelen belangrijke rol Bijzondere beloningen spelen minder belangrijke rol de organisatie samenhangt met de hoeveelheid financieel-economische criminaliteit. De verwachting is dat een organisatie meer in aanraking komt met financieel-economische criminaliteit, wanneer de organisatie zich sterker kenmerkt door een target- en bonuscultuur. Bevindingen criminogene target- en bonuscultuur Uit figuur 42 blijkt dat in middelgrote organisaties (100 t/m 999 werknemers) het meest sprake is van een target- en bonuscultuur. Dit komt overeen met de resultaten van de vorige editie van de Economic Crime Survey. In figuur 43 is te zien dat een target- en bonuscultuur het sterkst wordt vertegenwoordigd in de industriële en financiële sector. In het onderwijs en bij overheidsinstellingen spelen bijzondere beloningen een beduidend minder prominente rol. Dit ligt in lijn met met de vorige editie van de Economic Crime Survey. Figuur 44 laat zien dat een target- en bonuscultuur gerelateerd is aan financieel-economische criminaliteit. Deze vorm van criminaliteit komt namelijk meer voor in organisaties waarin targets en bonussen een belangrijke rol spelen dan in organisaties waar dit niet of minder het geval is. Dit komt overeen met de resultaten uit de vorige editie van de Economic Crime Survey. Target- en bonuscultuur en maatregelen Afgelopen jaren is een roep om harder straffen ontstaan (Huisman, 2016), maar de vraag is of harder straffen de oplossing is. Uit Nederlands criminologisch onderzoek van de afgelopen jaren blijkt namelijk dat het inspelen op moraliteit de voorkeur verdient boven harde afschrikkende maatregelen (Denkers, Peeters & Huisman, 2013; Denkers & Goslinga, 2008; Erp, Huisman, van de Bunt & Ponsaers, 2008). De vraag die nu rijst is in welke mate de verschillende vormen van financieeleconomische criminaliteit voorkomen wanneer binnen een organisatie werknemers aangesproken worden op moreel gedrag dan wel gebruik wordt gemaakt van afschrikkende maatregelen. Afschrikking wordt omschreven als het nalaten van regelovertredend gedrag uit angst voor de straffen die daaraan zouden kunnen worden verbonden (Denkers & Goslinga, 2008; Denkers, Peeters & Huisman, 2013; Wingerde, 2012). In de literatuur is men het er over eens dat afschrikking een zeer beperkte invloed heeft (Andreoni, Erard & Feinstein, 1998; Denkers & Goslinga, 2008; Denkers, Peeters & Huisman, 2013; Wells, 2004). Er wordt namelijk geen duidelijk verband tussen afschrikking en regelnaleving gevonden, maar bovendien kan afschrikking ook contraproductieve effecten met zich mee brengen. Te denken valt aan oproepen van weerstand bij de doelgroep en extra inventieve pogingen om de regels te omzeilen. Economic Crime Survey Nederland

34 Figuur 45 Afschrikkende maatregelen en ethische principes in organisaties waar financieel-economische criminaliteit gerapporteerd is 1,4 1,2 1,0 0,8 0,6 0,4 0,2 0 Organisaties zonder target- en bonuscultuur Afschrikkende maatregelen Ethische principes Organisaties met targeten bonuscultuur Afschrikking zou niet werken, omdat zekerheid belangrijk is bij straffen en deze zekerheid lang niet altijd een gegeven is bij fraudezaken (Andreoni, Erard & Feinstein, 1998; Wells, 2004). Het inspelen op normatieve motieven zou daarentegen een veel belangrijkere rol spelen bij het dan wel niet naleven van regels (Denkers & Goslinga, 2008; Denkers, Peeters & Huisman, 2013; Wells, 2004). Met normatieve motieven worden de persoonlijke en sociale normen bedoeld. Persoonlijke normen bepalen of mensen zich aan regels houden of niet (Van der Pligt, Harreveld & Koomen, 2007). Opvoeding, school en vrienden spelen hier een belangrijke rol bij. De meeste mensen zijn zich ervan bewust dat de regels dienen te worden nageleefd. Mensen met zwakke persoonlijke normen zullen hier minder van bewust zijn en dus eerder overgaan tot regelovertredend gedrag. 34 PwC

35 Naast persoonlijke normen spelen ook sociale normen een rol bij regelnaleving. In organisatieverband lijken sociale normen zelfs een beduidend grotere rol te spelen in de neiging tot regelnaleving. Wanneer de normadressant wordt aangesproken op normen en achterliggende waarden, zal de adressant zich meer verantwoordelijk voelen en minder naar criminaliteit neigen (Gorsira, Denkers & Huisman, 2016). De vraag is nu of het binnen een meer egoïstische bonuscultuur zinvol is om in te spelen op de moraliteit, of dat afschrikking hier toch beter zou werken om frauduleus gedrag tegen te gaan. De verwachting is dat het inwerken op morele normen beter werkt bij organisaties waar minder sprake is van een target- en bonuscultuur. Afschrikkende maatregelen zouden daarentegen beter werken bij organisaties waar juist wel sprake is van een dergelijke (egoïstische) cultuur. Bevindingen target- en bonuscultuur en maatregelen In figuur 45 is te zien in hoeverre afschrikkende maatregelen enerzijds en ethische principes anderzijds voorkomen binnen een organisatie waar tevens financieel-economische criminaliteit gerapporteerd is. Organisaties zonder een target- en bonuscultuur (die wel financieel-economische criminaliteit rapporteren), maken minder gebruik van afschrikkende maatregelen dan van het inspelen op ethische principes. Dit onderscheid is verwaarloosbaar voor organisaties die wel gebruik maken van targets en bijzondere beloningen. Economic Crime Survey Nederland

36 Conclusie 36 PwC

37 Cybercriminaliteit en andere vormen van financieel-economische criminaliteit in de lift Van de 875 experts die betrokken zijn bij de Economic Crime Survey 2017, geeft 73 procent aan dat de organisatie waar zij werkzaam zijn, de afgelopen 24 maanden in aanraking is gekomen met financieeleconomische criminaliteit. Diefstal van geld, goederen of fraude wordt het meest genoemd (63%) gevolgd door diefstal van informatie (38%), cybercriminaliteit (34%), corruptie (26%) en concurrentievervalsing (23%). Bij de vier laatst genoemde vormen van financieel-economische criminaliteit valt een stijging waar te nemen. Cybercriminaliteit maakt de grootste stijging door, van 23 procent naar 34 procent. Deze trend kan te maken hebben met het feit dat het aantal experts eveneens het meest gestegen is op het gebied van cybercriminaliteit. Experts lijken namelijk meer financieel-economische criminaliteit te rapporteren dan niet-experts. De relatief hoge prevalentie van cybercriminaliteit ligt in lijn met de resultaten van het nieuwste onderwerp in de Economic Crime Survey: het Internet of Things. Maar liefst 35 procent van de respondenten geeft aan dat hun organisatie slachtoffer is geworden van een inbreuk op het netwerk waaraan een verscheidenheid aan apparaten verbonden zijn. Het Internet of Things kent, nog meer dan andere vormen van financieeleconomische criminaliteit, een hoge onwetendheid onder slachtoffers, dus de kans is aanwezig dat dit percentage vele malen hoger ligt. Het is des te opvallender dat maar 9 procent van de respondenten aangeeft dat de organisatie hun beveiliging op dit gebied niet op orde heeft. De impact is echter enorm, dus het is van groot belang dat hier meer bewustzijn voor komt. Deze digitale financieel-economische criminaliteit wordt in tegenstelling tot traditionele vormen van financieel-economische criminaliteit door meer externe dan interne daders gepleegd. Van alle interne daders werkt 23 procent in het middenmanagement en de kleinste groep van 6 procent in het topmanagement. Van de externe daders heeft ruim een kwart (28%) geen enkele relatie met de getroffen organisatie. Andere mogelijke externe daders zijn onder andere klanten (19%), concurrenten (15%) of zakenpartners (9%). Preventie en detectie Respondenten geven aan meer preventieve maatregelen te nemen dan in de vorige editie van de Economic Crime Survey. Richtlijnen, gedragscodes en interne audits zijn populair bij de betrokken organisaties. De vraag blijft in hoeverre integriteitsprogramma s ook daadwerkelijk verder gaan dan het opstellen van een papieren tijger en er actief gestuurd en gemonitord wordt op compliant en in het verlengde daarvan ook integer gedrag. Immers, de integriteitsvraag doemt pas op zodra de keuze tussen het goede en het kwade niet evident is. Interne audits worden het meest genoemd als methode om financieel-economische criminaliteit te detecteren. Deze interne controle wordt gevolgd door interne tips. Dit laat zien hoe belangrijk een veilige omgeving is voor werknemers om misstanden te melden. Criminogeniteit van organisaties In het laatste hoofdstuk is een aanzet gedaan tot het verklaren van financieel-economische criminaliteit. Deze vraag is voorgelegd aan de respondenten en zij zijn van mening dat een aantrekkelijk doelwit het meest bijdraagt aan de prevalentie van financieel-economische criminaliteit. Toezicht en een gemotiveerde dader zouden er volgens de respondenten iets minder toe doen. Criminologische theorieën stellen echter dat criminaliteit vooral door situationele factoren wordt uitgelokt. Een ethische cultuur zou dus erg belangrijk zijn bij de bestrijding van financieel-economische criminaliteit. Een ethische cultuur is een open cultuur waarbij normatieve, duidelijke en realiseerbare verwachtingen worden geschept die tevens door de toon aan de top worden nageleefd. Dit sluit aan op het laatste onderwerp uit de survey: een target- en bonuscultuur. In organisaties waar sprake is van een target- en bonuscultuur, worden soms dermate ambitieuze doelen gesteld, dat deze alleen op een non-conformistische manier te behalen zijn. Financieel-economische criminaliteit biedt dan een uitweg. Uit het huidige onderzoek blijkt inderdaad dat organisaties met een target- en bonuscultuur meer in aanraking komen met financieeleconomische criminaliteit (door interne daders). Topje van de ijsberg Het huidige onderzoek is gebaseerd op een vragenlijst die is afgenomen bij werknemers die zich dagelijks bezig houden met financieel-economische criminaliteit. Om die reden is de verwachting dat de respondenten een accuraat beeld kunnen schetsen van de stand van zaken omtrent de prevalentie van financieel-economische criminaliteit in hun organisatie en welke maatregelen hier tegen worden genomen. Dit schijnt licht op een doorgaans lastig in kaart te brengen onderwerp, waardoor meer zichtbaar wordt van de zogenoemde ijsberg dan Economic Crime Survey Nederland

38 38 PwC

39 alleen het topje. Dit brengt een meerwaarde ten opzichte van andere vergelijkbare studies. Toch moeten de huidige resultaten met de nodige voorzichtigheid geïnterpreteerd worden. Ten eerste hebben de experts binnen het huidige onderzoek verstand van financieel-economische criminaliteit, maar wellicht minder van andere onderwerpen, zoals een target- en bonuscultuur. Daarnaast bestaat de kans dat financieel-economisch experts sommige gemeten constructen overschatten. Een compliance officer overschat wellicht het effect van afschrikkende maatregelen, omdat hij of zij er veel mee bezig is in hun dagelijkse werkzaamheden. De gemiddelde werknemer kan deze constructen wellicht anders ervaren. Ten derde kunnen op basis van de huidige onderzoeksmethode, een survey, geen causale uitspraken gedaan worden. Aan de hand van de huidige resultaten kunnen dus bijvoorbeeld geen uitspraken gedaan worden over welke preventieve maatregelen tot minder financieeleconomische criminaliteit leiden. Onderzoeken die meer longitudinaal (meerdere meetmomenten over een langere tijdsperiode) en experimenteel (effect van x op y) van aard zijn, kunnen hier meer uitsluitsel over geven. De vragenlijst komt deels overeen met de vragenlijst van de vorige editie van de Economic Crime Survey, maar dit biedt onvoldoende onderbouwing voor causale uitspraken. Er kunnen immers andere factoren bijdragen aan het gevonden verband, waarvoor in de huidige onderzoeksopzet niet wordt gecorrigeerd. Tot slot De Economic Crime Survey biedt stukje bij beetje meer inzicht in financieel-economische criminaliteit bij organisaties. Vele facetten van financieel-economische criminaliteit worden al jarenlang uitgevraagd bij een verscheidenheid aan respondenten en dit levert waardevolle kennis op. De survey biedt echter niet het allesomvattende antwoord op dit veelomvattende vraagstuk. Het huidige onderzoek is uitermate geschikt om als benchmark te gebruiken en de eigen organisatie aan af te meten. Hopelijk nodigt dit uit om kritisch naar uw organisatie te kijken en worden recente ontwikkelingen als het Internet of Things en targeten bonuscultuur hierbij in het achterhoofd gehouden. Economic Crime Survey Nederland

40 Methodologische verantwoording Procedure Voor dit onderzoek is gebruik gemaakt van onderzoeksbureau Flycatcher. Dit panel voldoet aan de ISO-kwaliteitseisen voor sociaalwetenschappelijk onderzoek, markt-, en opinieonderzoek. Het Flycatcher panel bestaat uit meer dan personen van twaalf jaar en ouder die ongeveer acht vragenlijsten per jaar ontvangen. Bij het openen van de gepersonaliseerde link uit de , wordt een verificatievraag gesteld en wordt gevraagd of de achtergrondgegevens nog actueel zijn. Wanneer een vragenlijst volledig is ingevuld, ontvangen panelleden een aantal punten die ze kunnen inwisselen voor een cadeaubon naar keuze. Voor dit onderzoek zijn de respondenten die in 2014 hebben deelgenomen aan de Economic Crime Survey uitgenodigd. Daarnaast is een selectieonderzoek gehouden onder alle Nederlandse werknemers. De onderzoeksgroep is geselecteerd uit het Flycatcher panel en het panel van partnerbureau PanelClix, dat tevens voldoet aan de ISO-kwaliteitseisen. In totaal hebben 1329 panelleden van Flycatcher en 3385 panelleden van PanelClix een uitnodiging gekregen. Tabel 1 geeft een overzicht van de respons. In totaal zijn er 953 vragenlijsten volledig ingevuld door de respondenten van Flycatcher, wat neer komt op een respons percentage van ruim 71 procent. In de vragenlijst is als eerste een selectievraag gesteld of de target- en bonuscultuur uit hoofde van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van financieel-economische criminaliteit. Hier wordt later meer aandacht aan besteed. Van de 953 respondenten, gaven 618 respondenten aan dat dit het geval is. Van deze 618 respondenten, hebben 345 respondenten de vragenlijst in 2014 ook ingevuld en zijn er 269 nieuw geworven respondenten. Dit aantal ligt echter onder de 875 respondenten van de Economic Crime Survey 2014/2015. In het huidige onderzoek willen we echter graag de uitkomsten vergelijken met de vorige editie van de Economic Crime Survey. Om die reden heeft Flycatcher een partnerbureau benaderd, genaamd PanelClix. Dit partnerbureau heeft 3385 panelleden benaderd met dezelfde selectievraag als Flycatcher. Dit resulteerde in een respons van 271, waarvan 257 respondenten hebben aangegeven in hun functie belast te zijn met het in kaart brengen, voorkomen en aanpakken van financieel-economische criminaliteit. Dit aantal ligt zo hoog, omdat de respondenten in eerste instantie al zijn geselecteerd op basis van de selectievraag. Tabel 1 Responsoverzicht Flycatcher PanelClix Aantal benaderde panelleden n.v.t. Foutmeldingen 0 n.v.t. Netto verstuurd (aantal panelleden foutmeldingen) n.v.t. Verwijderd wegens slechte responskwaliteit* 9 6 Vragenlijst onvolledig ingevuld/drop-out* Respons Selectievraag juist beantwoordt * De gegevens van deze respondenten zijn niet meegenomen in de respons en de resultaten. 40 PwC

41 Tabel 2 Selectievraag Bent u uit hoofde van uw functie belast met In kaart brengen Voorkomen Aanpakken Totaal Diefstal van geld of goederen of fraude Corruptie Diefstal van informatie Concurrentievervalsing Cybercriminaliteit Totaal Figuur 46 Functies binnen de organisatie Steekproef Vanuit de assumptie dat experts binnen organisaties meer kennis bezitten dan andere medewerkers over de omvang, de gevolgen en de verschijningsvormen van financieel-economische criminaliteit, alsmede over de maatregelen die daartegen binnen de organisatie zijn getroffen, zijn uit het panel alleen de respondenten geselecteerd die in hun functie betrokken zijn bij financieel-economische criminaliteit. Om die reden is de 1224 respondenten die de vragenlijst hebben ingevuld gevraagd of zij uit hoofde van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van vijf verschillende vormen van financieel-economische criminaliteit: diefstal van geld of goederen Hoofd/manager 167 Algemeen directeur 74 Analist/onderzoeker 74 Directielid 73 of fraude, corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit. Van de respondenten beantwoordden 875 respondenten ten minste één keer bevestigend. Alleen deze 875 respondenten hebben de vragenlijst verder ingevuld. Voor meer informatie over de antwoorden op de selectievraag, zie tabel 2. In tabel 2 is te zien dat relatief de meeste respondenten zich bezig houden met het voorkomen van financieel-economische criminaliteit, te weten 84 procent van de respondenten. Met het in kaart brengen en aanpakken van financieeleconomische criminaliteit houdt respectievelijk 50 procent en 42 procent van de respondenten zich bezig in de uitvoering van hun functie. Daarnaast houden de respondenten zich het meest bezig met diefstal van geld of goederen of fraude, namelijk 84 procent van de respondenten. Met corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit richt respectievelijk 57 procent, 68 procent, 46 procent en 53 procent van de respondenten zich op deze vorm van financieeleconomische criminaliteit. Accountant/controller 67 Veiligheidsmanager 31 Security/risk officer 31 CEO 30 Juridisch medewerker 29 Chief security/ risk officer Compliance officer Senior security/ risk officer 7 Anders Economic Crime Survey Nederland

42 Figuur 47 Aantal personeelsleden in Nederland in % Alleen ik Minder dan 5 5 t/m t/m t/m t/m t/m of meer Figuur 48 Aantal personeelsleden wereldwijd in % Geen buiten Nederland Minder dan t/m t/m t/m of meer Weet niet Figuur 49 Beursgenoteerde organisaties in % Ja Nee Weet niet Respondenten Van de 875 respondenten die functioneel betrokken zijn bij financieel-economische criminaliteit, is 57 procent man. De respondenten werken ten tijde van de vragenlijst gemiddeld 7 jaar op de huidige afdeling. De respondenten zijn hoog opgeleid. Namelijk 64 procent van de respondenten heeft een HBO of universitaire opleiding afgerond. Twee derde (67%) van de respondenten werkt meer dan 36 uur per week bij de huidige werkgever en ruim de helft van de respondenten (56%) geeft aan een leidinggevende functie te hebben. Tenslotte is gevraagd naar de functie van de respondent. Daarbij zijn twaalf verschillende opties gegeven of konden de respondenten hun eigen functie beschrijven. Van de respondenten koos 71 procent één van de opgegeven opties. Daarvan geeft een deel (39%) aan een leidinggevende functie te hebben, zoals CEO, algemeen directeur, directielid of manager. Daarnaast geeft 9 procent aan een functie te hebben als analist/onderzoeker, 3 procent als security/risk officer, 2 procent als compliance officer, 4 procent als veiligheidsmanager, 8 procent als accountant/controller en 3 procent als juridisch medeweker. Als laatste geeft 29 procent aan iets anders te doen dan de opgegeven opties. Zie figuur 46 voor een overzicht van de functies van de respondenten. Tevens zijn vragen gesteld over de organisatie waar de respondenten werkzaam zijn. Van de respondenten geeft 14 procent aan dat de organisatie waar zij werkzaam zijn, minder dan 10 werknemers in Nederland in dienst heeft. De grootste groep (28%) wordt vertegenwoordigd door respondenten die bij een organisatie werken die meer dan werknemers in dienst heeft. Zie figuur 47 voor meer informatie. Bijna de helft van de respondenten (45%) heeft geen collega s in het buitenland. Daarentegen geeft 13 procent aan dat zij in een organisatie werken met meer dan werknemers wereldwijd. In figuur 48 is meer informatie te vinden. In figuur 49 is te zien dat een beperkt deel van de organisaties (21%) genoteerd is aan een nationale of internationale beurs. 42 PwC

43 Tenslotte is naar de sector gevraagd waarin de respondenten werkzaam zijn. De resultaten staan in figuur 50. De gezondheidszorg is met 117 respondenten het best vertegenwoordigd. Daarnaast doen industrie (98 respondenten), financiële instellingen (88 respondenten) en groot- en detailhandel (84 respondenten) het goed. De winning en distributie van water/afval (1 respondent) en verhuur van roerende (7 respondenten) en onroerende goederen (7 respondenten) zijn enigszins ondervertegenwoordigd binnen de steekproef. Figuur 50 Respondenten naar sectoren Gezondheids- en welzijnszorg 117 Industrie 98 Financiële instelling 88 Groot- en detailhandel; reparaties in auto s 84 (Semi-)overheidsinstellingen 74 Informatie en communicatie 74 Advisering, onderzoek en overige specialistische zakelijke dienstverlening 70 Onderwijs 62 Vervoer en opslag 43 Horeca 30 Cultuur, sport en recreatie 28 Landbouw, bosbouw en visserij 13 Bouwnijverheid 21 Productie en distributie van én handel in elektriciteit, aardgas, stroom en gekoelde lucht 10 Winning van delfstoffen 8 Verhuur van roerende goederen en overige zakelijke dienstverlening 7 Verhuur van en handel in onroerend goed 7 Winning en distributie van water; afval en afvalwaterbeheer en sanering 1 Overige dienstverlening Economic Crime Survey Nederland

44 De vragen Achtergrondkenmerken De vragenlijst begint met de vraag of de respondenten uit hoofde van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van de vijf genoemde vormen van financieel-economische criminaliteit. Vervolgens zijn vragen gesteld over de functie van de respondent en hoe lang de respondent werkzaam is binnen de huidige functie. Daarna zijn vragen gesteld over de organisatie. Te denken valt hierbij aan het aantal personeelsleden en de sector. Prevalentie en schade De respondenten is gevraagd in welke mate de organisatie de afgelopen 24 maanden in aanraking is gekomen met de vijf vormen van financieeleconomische criminaliteit. Wanneer zij aangeven dat de organisatie daarmee in aanraking is gekomen, worden meer specifieke vervolgvragen gesteld. Als toevoeging ten opzichte van eerdere versies van de Economic Crime Survey is gevraagd naar het Internet of Things. Dit is in kaart gebracht door te vragen in hoeverre voorwerpen verbonden zijn met het netwerk en in hoeverre hier inbreuk op gemaakt kan worden. Wanneer de respondent aangeeft dat de organisatie in aanraking is gekomen met cybercriminaliteit, is gevraagd naar het meest recente geval van cybercriminaliteit. Te denken valt aan de dader, slachtoffers en afhandeling. Vergelijkbare vragen zijn gesteld over het meest recente (traditionele) delict en het meest ernstige delict dat is afgehandeld in de afgelopen 24 maanden. Over het laatst genoemde is tevens gevraagd naar de financiële schade. Daarnaast is gevraagd aan de respondent om aan te geven van welke vijf vormen van financieel-economische criminaliteit de respondent de meeste schade heeft geleden de afgelopen 24 maanden dan wel verwacht in de toekomst. Tenslotte is gevraagd naar andere schadeposten, zoals reputatie, relaties en tijd. Detectie en preventie Aan de respondenten is gevraagd naar een eventueel compliance programma, trainingen en andere maatregelen om financieel-economische criminaliteit tegen te gaan. Tevens is gevraagd naar de perceptie over kwetsbare posities. Criminogeniteit Als laatste zijn aan de respondenten vragen voorgelegd over factoren die een rol spelen bij het ontstaan van financieel-economische criminaliteit, het belang van targets en bijzondere beloningen binnen de organisatie en de perceptie over de integriteit van managers. 44 PwC

45 Economic Crime Survey Nederland