Financieel economische criminaliteit

Transcriptie

1 E4160^1 Financieel economische criminaliteit Dr.ing.Ju«rgen H.M. van Grinsven 1 1 Inleiding E4160 ^ De nitie E4160 ^ Slachto ers van FEC E4160 ^ Wie pleegt FEC? E4160 ^ Wat zijn de beweegredenen tot FEC? E4160 ^ 7 2 Governancestructuur E4160 ^ Hygie«nefactoren E4160 ^ Verantwoordelijkheden in de private en publieke sector E4160 ^ Actoren in de governancestructuur E4160 ^ Het bestuur E4160 ^ De raad van commissarissen E4160 ^ Het management E4160 ^ Internal audit E4160 ^ Compliance E4160 ^ 12 1 Dr. ing. Ju«rgen H.M. van Grinsven is director bij Artena, kerndocent Nyenrode en auteur van diverse boeken. 55 Hb. n. adm. modellen december 2010

2 E4160^2 Financieel economische criminaliteit Incidententeam E4160 ^ Medewerkers en knelpunten bij het signaleren vanfec E4160 ^ 13 3 Risicomanagement E4160 ^ Self assessment E4160 ^ Rick-assessmentprocess E4160 ^ Voorbereidingsfase E4160 ^ Risico-identi catiefase E4160 ^ Risico-assessmentfase E4160 ^ Risicomitigatiefase E4160 ^ Rapportagegase E4160 ^ 22 4 Beheersmaatregelen bij FEC E4160 ^ Preventieve beheersmaatregelen E4160 ^ Corporate governance E4160 ^ Control environment E4160 ^ Tone at the top E4160 ^ Gedragscode E4160 ^ Training en awareness E4160 ^ HRM E4160 ^ Regels E4160 ^ Procedures en processen E4160 ^ Detectieve beheersmaatregelen E4160 ^ Klokkenluidersregeling E4160 ^ Interne audits E4160 ^ 28 5 Onderzoek E4160 ^ Voorbereiding op het onderzoek E4160 ^ Vooronderzoek E4160 ^ Hoofdonderzoek E4160 ^ Rol verdachten/verdachte medewerkers E4160 ^ Communicatie tijdens het onderzoek E4160 ^ Onderzoek van digitale data E4160 ^ Afronding onderzoek E4160 ^ Afhandeling FEC E4160 ^ 33 6 Literatuur E4160 ^ Hb. n. adm. modellen december 2010

3 E4160^3 1 Inleiding Financieel economische criminaliteit is de laatste jaren opzienbarend gestegen. Mede door de enorme kosten, publieke opinie, de overheid en toezichthouders staat het onderwerp hoog op de agenda van de besluitvormers. Het formuleren en naleven van een aanpak helpt het voorkomen van nancieel economische criminaliteit, vermindert de kans op imagoschade, bevordert de transparantie en kan organisaties vooral veel geld besparen. Door ontwikkelingen van forensische accountants, fraudeonderzoekers, risk o cers, toezichthouders, juristen en de wetenschap is er al veel bekend over - nancieel economische criminaliteit. Er is een grote hoeveelheid (wetenschappelijke) informatie beschikbaar over dit onderwerp. Dekennis strekt van hoe een nancieel economisch delict wordt gepleegd tot hoe een organisatie kan voorkomen dat ze slachto er wordt van nancieel economische criminaliteit. In dit artikel wordt de meest relevante informatie gedestilleerd uit dit kennisdomein en op een praktische manier aan u gepresenteerd. In dit hoofdstuk gaan we achtereenvolgens nader in op de de nitie, de slachto ers, de plegers en de beweegredenen van nancieel economische criminaliteit. 1.1 De nitie Financieel economische criminaliteit (FEC) kent een sterke nancie«le dimensie. FEC kan worden gede nieerd als medeplichtigheid aan, (mede)plegen of poging tot een vermogensdelict. Praktisch gezien betekent dat valsheid in geschrifte, nalatigheid, oplichting, diefstal, manipulatie, gesjoemel, zwendel en/of corruptie met het oog op persoonlijk gewin ten nadele van de organisatie. Criminaliteit is al het handelen dat volgens het Wetboek van Strafrecht wordt gesanctioneerd. Een groot deel van de overtredingen wordt echter niet strafrechtelijk gesanctioneerd. In Nederland worden ze vaak gecorrigeerd of bestraft met overleg, overreding, onderhandeling, boetes, overplaatsingen of ontslag. Veel organisaties handelen incidenten vaak intern af. Dit komt door het risico op imagoschade en/of politieke gevolgen. Uit de praktijk blijkt verder dat veel delicten niet altijd als criminaliteit worden gezien. Zo wordt het oplichten van de verzekeraar eerder als een sport gezien dan als een wettelijke overtreding. FEC kan vele vormen aannemen. Zo is er een onderscheid te maken tussen interne en externe FEC. In tabel 1 hebben we deze vormen uiteengezet, verderop in dit artikel gaan we nader in op dit onderscheid.

4 E4160^4 Financieel economische criminaliteit Tabel 1. Vormen van nancieel economische criminaliteit Werknemerscriminaliteit Belastingontduiking Faillissementsfraude E ectenfraude Verzekeringsfraude Misleidende reclame Premiefraude Illegale inhuur Milieucriminaliteit 1.2 Slachto ers van FEC Financieel economische criminaliteit kent niet alleen private slachto ers zoals individuele burgers en organisaties, maar kan ook impact hebben op het collectieve belang zoals de integere werking van maatschappelijke sectoren, waaronder de nancie«le markten, het bank-en verzekeringswezen en de telecommunicatiesector. In 2009 verrichtte het International Victimology Institute Tilburg een onderzoek naar de ervaringen en behoeften van slachto ers. Uit het onderzoek blijkt dat slachto ers op zijn zachtst gezegd ondergeschoven kinderen zijn als men hen vergelijkt met slachto ers van geweldsmisdrijven. Onderzoek laat zien dat de impact van FEC zeer groot kan zijn, en gelet op de grote omvang van FEC, is het tevens een maatschappelijke bedreiging. Diverse onderzoeksrapporten uit 2009 laten zien dat het aantal delicten recentelijk met 40 procent is gestegen ten opzichte van de voorgaande twee jaren. Zie ook tabel 2 voor een aantal voorbeelden. Tabel 2. Voorbeelden van gepubliceerde nancieel economische criminaliteit (Van Grinsven en Bleker, 2009) 2009 FEC inzake kinderbijslag (Sociale Verzekeringsbank) FEC inzake declaraties bij de overheid in Engeland (ANP) FEC bij de IT reus Satyam (Accountant.nl) 2008 FEC inzake de toelage van Europarlementarie«rs (BBC / Elsevier) FEC in de thuiszorg (ANP) FEC inzake aftrekposten voor buitengewone uitgaven (ANP) 2007 FEC inzake de bouw van de Dexia toren Brussel (Gazet van Antwerpen) FEC inzake pinpasautomaten (ANP) 2006 FEC inzake illegale arbeid (sociale inlichten en opsporingsdienst)

5 E4160^5 Helaas zijn de genoemde voorbeelden uit tabel 2 geen ge «soleerde incidenten, ze komen met enige regelmaat voor in zowel grote als kleine organisaties (Grinsven, 2010). Gedurende economisch hoogtij komen vaak alleen de grote, spraakmakende fraudes boven water. Bij economisch laagtij ligt het strand vol met wrakken en blijkt onder de zeespiegel toch heel wat te zijn misgegaan. De onderzoeksrapporten uit 2009 laten verder zien dat het gemiddeld schadebedrag in Nederland beduidend hoger ligt dan in de ons omringende landen (Grinsven en Bleker, 2009; Verbond van Verzekeraars 2005, 2006). Ongeveer 50 procent van de bedrijven wordt binnen twee jaar het slachto er van een economisch delict. Twee van de drie bedrijven zijn slachto er van interne criminaliteit (eigen personeel) en externe criminaliteit (derden). Meer dan driekwart van deze delicten wordt gepleegd door eigen personeel, waarvan meer dan de helft langer dan vijf jaar bij de organisatie werkzaam is. Het Verbond van Verzekeraars gaf in 2006 al aan dat van iedere uitgekeerde euro bij verzekeringen 25 cent frauduleus zou zijn (Verbond van Verzekeraars, 2006). De omvang van verzekeringscriminaliteit wordt geschat op 0,5 miljard euro. In een iets verder verleden waren er in Nederland al 6000 faillissementen bekend waarvan in 16 procent van de gevallen sprake zou zijn van fraude als (mede)oorzaak. Het gemiddelde schadebedrag in Nederland bedraagt een slordige 2,7 miljoen euro. Het totaalbedrag ligt tussen de 14 en 17 miljard euro. Dit is een ondergrens omdat veel schade niet bekend is. Tevens is onduidelijk wat de kosten van preventie zijn. De toenemende nancie«le schade en schandalen bij bijvoorbeeld Delta Lloyd, Nationale Nederlanden, Fortis ASR, DSB Bank en Socie te Ge ne rale heeft het vertrouwen van de clie«nten in met name de nancie«le dienstverleners aangetast (Van Grinsven, 2010; Van Grinsven en Ros, 2009). Vertrouwen is een van de belangrijkste fundamenten voor clie«nten. Enerzijds heeft het dalende vertrouwen mede geleid tot grote (maatschappelijke) gevolgen zoals verdere - nancie«le schade, imagoschade aan de bedrijfstak en zelfs faillissementen. Anderzijds heeft het geleid tot een positieve verandering in het denken over nancieel economische criminaliteit. FEC staat nu immers hoog op de agenda van de besluitvormers. Gezien de omvang van de gepubliceerde nancieel economisch criminaliteit en de media-aandacht daaromtrent zou men verwachten dat organisaties hieruit lering trekken. Het blijkt echter dat zij toch telkens opnieuw verrast zijn door zowel het gepleegde delict als diegene die het delict pleegt. 1.3 Wie pleegt FEC? De gelegenheid tot FEC kan zich min of meer onbewust voordoen of kan bewust worden gecree«erd. Het onbewust of bewust plegen van een delict kan gebeuren door zowel medewerkers van de dienstverlener zelf (internen) of door (met hulp van) derden (externen).

6 E4160^6 Financieel economische criminaliteit Uit onderzoek blijkt dat in de meeste gevallen de delicten worden gepleegd door interne medewerkers met nancie«le en/of private problemen of door onvrede over de arbeidsomstandigheden. De meest complexe en lastig opspoorbare delicten zijn die waarbij sprake is van samenspanning tussen meerdere personen. In dit geval wordt de gelegenheid gecree«erd. Hierbij worden dan constructies bedacht om de dienstverlener te benadelen. Er is een verhoogd risico op FEC bij activiteiten waarbij het gaat om gelegenheden zoals innen en uitkeren van geld, premies, declaraties, bonussen en het omgaan met vertrouwelijke informatie (zie ook tabel 3). Studies laten zien dat wereldwijd 50 procent van de daders van economische delicten uit de eigen organisatie afkomstig is. Daarvan maakt 25 procent deel uit van het (top)management, waar vaak (te) veel vertrouwen is. Daarnaast is het topmanagement vaak in staat om de interne controle op een lager gelegen niveau te overrulen en zijn hun werkzaamheden vaak anticyclisch waardoor FEC minder opvalt. Uit onderzoek blijkt dat dit type witteboordencrimineel vaak grote risico s durft te nemen, nauwelijks inlevingsgevoel heeft, een modelburger is en mensen manipuleert en tegen elkaar opzet. FEC kent daarom dan ook vaak veel slachtoffers. Niet alleen de nancie«le dienstverlener, maar ook de belastingbetaler (overheid), de werknemers, consumenten, het milieu en de nancie«le sector als geheel zijn vaak de dupe. Tabel 3. Activiteiten met verhoogd risico op nancieel economische criminaliteit (Van Grinsven en Bleker, 2009) Goederen Declaraties Geld Informatie Voorraadadministratie niet actueel of niet overzichtelijk. Verschillen tussen de nancie«le en voorraadadministratie. Verdwenen inventaris. Onbevoegden in het magazijn. Korte levensduur van activa Ontbreken van declaraties. Oneigenlijke declaraties, bijvoorbeeld medewerkers die facturen dubbel declareren of handlangers spookfacturen laten versturen. Het declareren van prive -uitgaven. Te veel declareren Fictieve personen zijn opgenomen in de salarisadministratie. Stijging van het gemiddelde salarisbedrag. Oplopende schulden aan verenigingen of pensioenverzekeraar. Innen en uitkeren van geld en bonussen. Manuele handelingen met geld, wegnemen van geld Omgang met (privacy)gevoelige informatie. Informatie krijgen van derden die alleen uit inside information kunnen komen. Boekhoudingen of nancie«le rapportages wijzigen en/of vervalsen. Brongegevens onvindbaar. Niet tijdig verwerken van mutaties

7 E4160^7 Medewerkers zijn vaak bijzonder inventief als het gaat om het plegen van nancieel economische criminaliteit; grondsto en zoals benzine en diesel worden uit tanks gehaald, men ontduikt verplichte milieuregels waar men vervolgens veel geld mee verdient, de alom bekende greep uit de geldlade van de kassa, het laten verdwijnen van grote geldbedragen middels boekhoudkundige trucs enzovoort. Kortom: het arsenaal van de pleger van het delict is zo groot als de kans die hij neemt ^ of erger nog ^ de gelegenheid die hij/zij krijgt. Moeten we nu alle medewerkers als potentieel verdacht aanmerken? Uiteraard is het geen wenselijke situatie om direct elke medewerker als verdacht aan te merken. Maar, of we het nu willen of niet: niemand is perfect. Medewerkers die de verleiding niet kunnen weerstaan doen dat immers niet altijd omdat zij er andere maatschappelijke en organisatienormen en -waarden op nahouden. Meestal delen zij deze maar oordelen dat die in hun situatie tijdelijk niet van toepassing zijn. Regelmatig raken ook andere actoren, zoals directe collega s, managers en directieleden, bij dubieuze zaken betrokken. Soms gebeurt dit zelfs ongewild. 1.4 Wat zijn de beweegredenen tot FEC? Wat zijn de beweegredenen tot nancieel economische criminaliteit? De beweegredenen tot het plegen van FEC bestaat grofweg uit een drietal onderliggende indicatoren: druk, gelegenheid en rationalisatie. Zie ook guur Druk. Factoren die drukverhogend werken zijn prestaties, prestige, echtscheiding, verslaving, schulden, fun en prestige. 2. Gelegenheid. Dit bestaat uit gaten in het procesontwerp, uitvoering van de processen of de technische informatiesystemen. Veel economische criminaliteit vindt plaats omdat de gelegenheid er is of bewust gecree«erd wordt. 3. Rationalisatie. Dit betreft het rechtvaardigen van het eigen gedrag, de situatie of gebeurtenis, zoals het bedrijf is groot, dat missen ze niet; iedereen doet het, dus waarom ik ook niet; de hoge heren stelen ook, dus mag ik het ook. Deze indicatoren hoeven niet noodzakelijkerwijs te wijzen op FEC hoewel ze wel vaak aanwezig zijn in de gevallen waar FEC daadwerkelijk plaatsvindt. Omdat er veel voorbeelden van indicatoren zijn terug te vinden in de appendix van de U.S. Auditing Standards UA316, gaan wij hier in dit artikel niet verder op in. Wij stimuleren organisaties echter wel om zelf een lijst aan te maken met relevante indicatoren voor hun speci eke business.

8 E4160^8 Financieel economische criminaliteit Rationalisatie Financieel Economische Criminaliteit Druk Gelegenheid Figuur 1. Indicatoren voor nancieel economische criminaliteit (Van Grinsven en De Groot, 2010) 2 Governancestructuur Om FEC aan te pakken dient men eerst een goede governancestructuur neer te zetten. Geschreven governanceprocessen zijn cruciaal in de strijd tegen FEC (De Groot e.a., 2007). Voorbeelden hiervan zijn code of ethics, awareness training, disclosure, risk assessment, rapportage, onderzoek, (strafrechtelijke) vervolging, monitoring, evaluatie en verbetering. In deze processen dienen de taken, verantwoordelijkheden en bevoegdheden te zijn vastgelegd van bijvoorbeeld het bestuur, audit committee en het management. Mocht zich toch een delict voordoen, dan dient men hiervoor vooraf een duidelijk beleid/protocol te hebben. Hierin moet men dan rekening houden met bijvoorbeeld onderzoeksprotocollen, het verzamelen van cruciale data en gegevens, het inzetten van nieuwe technologiee«n zoals ICT, communicatie en de uiteindelijk te nemen maatregelen waaronder eventuele sancties of strafrechtelijke vervolging. De eerste stap naar een governancestructuur is om te accepteren dat 100% waterdicht niet bestaat (Van Grinsven, 2009). Gezien de voorbeelden uit paragraaf 1 lijkt het een illusie om te denken dat een bedrijf volledig in staat is om FEC te voorkomen. Bovendien zou het een bijzonder kostbare aangelegenheid worden voor een organisatie om te streven naar 100% waterdichtheid. De focus dient daarom te liggen op het verlagen van de kwetsbaarheid van de organisatie door middel van het verhogen van de veerkracht. Onder veerkracht verstaan we dan de mogelijkheid van een persoon of or-

9 E4160^9 ganisatie om zich aan te passen aan gebeurtenissen. In de vakliteratuur wordt deze veerkracht als uiteindelijk doel voor de organisatie aanbevolen (Bishop en Hydoski, 2009). Veerkrachtige organisaties zijn in staat om: 1. problemen te voorkomen middels adequate planning en implementatie van beleid en procedures; 2. kwetsbaarheden te reduceren door tijdig mogelijke problemen in kaart te kunnen brengen; 3. de impact te beperken indien een onregelmatigheid zich voordoet. In deze paragraaf gaan we eerst in op de hygie«nefactoren die aanwezig dienen te zijn in de governancestructuur. Deze betre en het budget, het draagvlak, de medezeggenschap en de cultuur. Daarna gaan we kort in op verantwoordelijkheden in de private en publieke sector. Dit geeft nader inzicht waar de primaire verantwoordelijkheden liggen (Hoogenboom, 2001). De focus van dit artikel ligt echter op de private sector. Vervolgens gaan we dan ook nader in op de relevante actoren die binnen de private sector betrokken dienen te zijn in de governancestructuur rondom nancieel economische criminaliteit. 2.1 Hygie«nefactoren Om een governancestructuur tot uitvoering te kunnen brengen zijn budget en resources nodig. Het mag duidelijk zijn dat het gestructureerd aanpakken van FEC te maken heeft met het betrekken van meerdere actoren, disciplines en wellicht ook externe partijen. Het is daarom belangrijk om jaarlijks een budget voor FEC op te nemen in de begroting. Naast het budget is er een groot draagvlak nodig binnen de organisatie om FEC e ectief te kunnen aanpakken. Betrokkenheid van de leiding, tot en met de laatste medewerker, is van belang om de implementatie van FEC zowel e ectief, e cie«nt als naar tevredenheid te bewerkstelligen. Omdat bij de aanpak van FEC meerdere actoren betrokken zijn, is het belangrijk om de ondernemingsraad (indien van toepassing) te betrekken bij de invoering van het beleid en de maatregelen. Medezeggenschap is niet vrijblijvend. In de Wet op de ondernemingsraden is hierover een en ander vastgelegd. Tot slot de cultuur van de organisatie. Deze bepaalt mede of de medewerkers zich herkennen in de reeds afgesproken waarden, normen, regels en maatregelen. De ontwikkeling en instandhouding van een bedrijfscultuur is een dynamisch proces, dat wil zeggen, aan veranderingen in de tijd onderhevig. Cultuur, en het internaliseren van een cultuur, heeft te maken met een bewustwordingsproces bij alle actoren van een organisatie. Er zijn diverse vormen van communicatie denkbaar waarmee organisaties hun cultuur kenbaar maken. Denk bijvoorbeeld aan voorlichting, trainingen, rapportagelijnen, beleidsdocumenten, pre-employement screening. Wij zijn van mening dat een organisatie een open cultuur dient te hebben waarin men elkaar durft aan te spreken op elkaars gedrag.

10 E4160^10 Financieel economische criminaliteit 2.2 Verantwoordelijkheden in de private en publieke sector In de private sector ligt de primaire verantwoordelijkheid bij burgers en organisaties. Deze hebben de verantwoordelijkheid om zelf op te treden tegen nancieel economische criminaliteit. Aangenomen mag worden dat zij redelijkerwijs bekend (kunnen) zijn met risico s rondom FEC. Indien men deze risico s niet serieus neemt en daardoor met een delict te maken krijgt, zal men zich moeten wenden tot het Nederlands recht of daarin moeten berusten. In de private sector dient men zich ervan bewust te zijn dat een groot deel van de overtredingen niet strafrechtelijk wordt gesanctioneerd. In de meeste private organisaties wordt het FEC delict dan ook vaak gecorrigeerd of bestraft met overleg, overreding, onderhandeling, boetes, overplaatsingen of ontslag. In de publieke sector heeft de overheid een rol wanneer de burger en ondernemer zich niet goed zelf kunnen beschermen tegen FEC. Daarvan is sprake wanneer de FEC op listige wijze plaatsvindt en/of er op een planmatige manier misbruik wordt gemaakt van het vertrouwen. In dergelijke gevallen mag men van de overheid verwachten dat deze actief acteert. De overheid kan burgers en organisaties informeren over beschermingsmaatregelen en expliciet maken hoe de verdeling van verantwoordelijkheden ligt. Hiermee kan meer helderheid ontstaan over wanneer men wel en wanneer men minder een beroep kan doen op een bijdrage van de overheid. Voor sommige vitale sectoren zijn bijzondere maatregelen genomen om toezicht te houden op het functioneren daarvan. Hierbij kan men denken aan speciale instanties zoals de Autoriteit Financie«le Markten, de Nederlandse Mededingingsautoriteit en de Onafhankelijke Post en Telecommunicatie Autoriteit. Deze instanties zijn uitgerust met privaat- en bestuursrechtelijke bevoegdheden, waarmee men in veel gevallen van incidentele en lichte vergrijpen voldoende kan optreden. Bij grotere overtredingen komt het strafrecht in beeld, zie paragraaf Actoren in de governancestructuur In een governancestructuur is vastgelegd welke actoren binnen de organisatie verantwoordelijk zijn voor bepaalde aspecten. Elke actor dient zich te realiseren dat deze een rol heeft bij de aanpak van FEC. De bestrijding van FEC houdt niet op bij de grens van een bepaalde functie of departement van de organisatie. De taken en verantwoordelijkheden van de verschillende actoren moeten duidelijk zijn afgebakend. Daarnaast is samenwerking tussen de actoren van belang om FEC adequaat het hoofd te kunnen bieden. Hierbij kunnen verschillende actoren van de organisatie hun input leveren. Belangrijke actoren zijn het bestuur, de raad van commissarissen, het management, Internal Audit, Compliance, het incidententeam en de medewerkers. Het belangrijkste voor deze actoren is dat men zich bewust is van de speci eke branche waar de organisatie actief in is. Hoe beter men de branche kent, hoe beter men de risico s en gevaren van FEC kan inschatten. Een dergelijke multi-actoraanpak biedt het voordeel dat FEC zo over de grenzen van de functies aangepakt kan worden (Van Grinsven, 2010). Zo wordt meer begrip ge-

11 E4160^11 cree«erd voor de verschillende visies op het probleem en wordt uiteindelijk een meer integrale in plaats van gefragmenteerde oplossing gekozen Het bestuur De raad van commissarissen Het management Het bestuur is in eerste instantie verantwoordelijk voor de bestrijding van FEC binnen de organisatie. Het is belangrijk om vast te leggen wie binnen het bestuur verantwoordelijk is voor het controleren van de rapportering van de nancie«le cijfers, zoals de jaarrekening, de overview op het interne controlesysteem, preventieprogramma s en het toezicht houden op internal audit en de onafhankelijke accountantscontrole. De verantwoordelijkheden van het bestuur zijn onder andere: ^ begrijpen van de risico s ten aanzien van FEC binnen de organisatie; ^ toezicht houden op de governancestructuur binnen de organisatie; ^ bepalen van de tone at the top van de organisatie; ^ goedkeuren van de klokkenluidersregeling en de gedragscode; ^ periodiek evalueren van de e ectiviteit van de te nemen beheersmaatregelen; ^ melding FEC aan de toezichthouders, politie en/of justitie. De raad van commissarissen heeft als belangrijkste taak om toezicht te houden op het beleid van het bestuur en de algemene gang van zaken binnen de organisatie. Dit betekent dat de raad van commissarissen zich niet op detailniveau bemoeit met de organisatie. Echter de raad van commissarissen heeft een verantwoordelijkheid zodra het bestuur te weinig onderneemt om FEC te voorkomen. Het management is verantwoordelijk voor het uitvoeren en ondersteunen van beleid en procedures om FEC te reduceren. Daarnaast draagt het management onder andere verantwoordelijkheid voor het invoeren van FEC. Het management is tevens verantwoordelijk voor het opstellen van de jaarrekening. De taken van het management kunnen uiteraard verder worden opgesplitst naar de verschillende functies binnen de organisatie. Het management heeft in de navolgende aspecten een rol in de bestrijding van FEC: ^ de juiste ethische toonzetting onder de werknemers binnen de organisatie; ^ uitvoeren van de gedragscode; ^ uitvoeren van de periodieke FEC risk assessment; ^ evalueren ontwerp en werking van de beheersmaatregelen; ^ instellen en onderhouden van de beheersmaatregelen; ^ het onderhouden van de documentatie van het ontwerpen van de beheersmaatregelen; ^ training medewerkers aangaande ethiek en FEC. Compliance of Juridische Zaken is verantwoordelijk voor het uitvoeren van de gedragscode, de training van medewerkers aangaande ethiek en FEC. Risk management kan verantwoordelijk

12 E4160^12 Financieel economische criminaliteit zijn voor het uitvoeren van de periodieke risk assessment met input vanuit de hele organisatie. Audit draagt zorg voor speci eke beheersmaatregelen aangaande de nancie«le controlemiddelen. Zo wordt organisatiebreed betrokkenheid gecree«erd bij FEC Internal audit Compliance Internal audit rapporteert in de meeste gevallen direct aan het bestuur aangaande bijvoorbeeld de nancie«le resultaten en e ectiviteit van beheersmaatregelen van de organisatie. Hier ligt dus tevens een grote rol in het beleid inzake FEC. Alle nancie«le gegevens van de organisatie komen immers binnen het bereik van Internal audit. Het is tevens de plek waar gecontroleerd kan worden of medewerkers zich houden aan het geldende beleid en de opgestelde procedures. Inzake FEC heeft Internal audit onder andere de volgende aspecten in zijn bereik: ^ ondersteuning van het management inzake training van het personeel over ethiek en FEC; ^ ondersteunen bij het inventariseren van de FEC-risicofactoren en de daarbij behorende mogelijke scenario s die kunnen voorkomen; ^ ondersteuning bij het invoeren van beheersmaatregelen tegen FEC, gebaseerd op zijn ervaringen met audit; ^ monitoren compliance, inclusief het raadplegen van de administratie, databases en applicaties; ^ ondersteunen van het bestuur bij een proactieve FEC-auditing ten aanzien van het overtreden van beleid en controles; ^ uitvoeren van proactieve monitoring van diverse aspecten van het FEC-programma. De afdeling Compliance is een afdeling die toeziet op de naleving van de wet- en regelgeving binnen de organisatie. Het Engelse woord compliance komt van het werkwoord to comply with oftewel overeenstemmen met. De compliance o cer zorgt ervoor dat de organisatie, inclusief haar personeel, zich aan de afgesproken regels houdt. Deze functie kan worden ingevuld als adviesfunctie maar kan ook een meer controlerende rol hebben binnen de organisatie. Een compliance o cer kan een belangrijke rol vervullen bij FEC. De compliance o cer dient dan wel over een geschikt instrumentarium te beschikken om zijn taak goed te kunnen vervullen. Daarnaast moet de compliance o er zelf over een aantal capaciteiten beschikken om zijn functie optimaal uit te oefenen. De toon waarmee de compliance o cer de organisatie tegemoet treedt is in grote mate bepalend voor het succes. De compliance o cier moet zich niet te rigide, autoritair of moraliserend opstellen. Dit verhoogt de kans dat werknemers geen onregelmatigheden durven te melden. Daarnaast heeft dit impact op de reguliere werkzaamheden van de organisatie. De compliance o cer moet in grote mate begrijpen waar de organisatie voor staat, wat aanvaardbare risico s zijn binnen de van kracht zijnde afgesproken regels. De compliance o cer heeft onder andere de volgende verantwoordelijkheden: ^ monitoren transacties van werknemers;

13 E4160^13 ^ bewaken integriteit binnen de organisatie; ^ adviseren aan het bestuur over vraagstukken betre ende FEC; ^ coo«rdineren bij crossfunctionele overleggen; ^ opzetten, uitrollen en uitvoeren van trainingen binnen de organisatie; ^ uitvoering FEC-monitoringprogramma; ^ voorbereiden compliance en FEC-rapportages onder meer ten behoeve van het bestuur en de raad van commissarissen Incidententeam Medewerkers en knelpunten bij het signaleren van FEC Gegeven de vele actoren die betrokken zijn bij FEC is het raadzaam om een incidententeam met een coo«rdinator aan te stellen. De coo«rdinator kan alle werkzaamheden coo«rdineren en in de juiste banen leiden naar het einddoel. Deze kan tevens de rapportagelijnen overzien en zorgen dat alles eenduidig wordt vastgelegd. De coo«rdinator zorgt ervoor dat, eventueel per incident, alle relevante disciplines vertegenwoordigd zijn bij de aanpak van FEC. Hierbij kan men denken aan de actoren die in deze paragraaf benoemd zijn. Belangrijk uitgangspunt is dus dat per incident de juiste actoren betrokken worden. Het incidententeam heeft geen zelfstandige bevoegdheden. Analoog aan de vakliteratuur raden wij aan om het team zo klein mogelijk te houden in verband met de besturing daarvan. Tevens bevelen wij aan om de onafhankelijkheid en integriteit van de leden van het incidententeam te waarborgen. Elk individuele werknemer binnen de organisatie draagt verantwoordelijkheid ten aanzien van FEC. Elke werknemer is dan ook een waardevolle speler in de strijd tegen FEC. De tips die de medewerkers verstrekken aangaande bijvoorbeeld de e ectiviteit en e cie«ntie zijn belangrijk om FEC beheersbaar te houden binnen de organisatie. Daarnaast hebben medewerkers bijvoorbeeld een rol in het begrijpen van het beleid en het actief participeren. Medewerkers hebben tevens een rol als signaleerder binnen de organisatie. Hiermee bedoelen we dat een medewerker een mogelijk nancieel economisch delict constateert en signaleert binnen de organisatie. De medewerker moet zich veilig voelen om het delict te melden en eventueel gebruik te maken van de klokkenluidersregeling. Ook hebben de medewerkers een rol, hoewel wij ons realiseren dat dit geen makkelijke taak is, om het bestuur aan te spreken op FEC binnen het eigen bestuur of de organisatie. Indien de medewerker een aantal factoren denkt te herkennen in een speci eke situatie, is het zaak voor hem om dit ook daadwerkelijk te signaleren naar de organisatie. Anders gebeurt er immers nog niets concreets met de herkenning. De signalen die tot FEC kunnen leiden dienen dus op een juiste manier en tijdig opgepakt te worden. Daarbij zijn twee situaties te onderscheiden (zie guur 2).

14 E4160^14 Financieel economische criminaliteit Figuur 2. Signalen (Van Grinsven en Bleker, 2009) Er is geen signaal. Indien er geen signaal is, kan dat zijn omdat de medewerker simpelweg oordeelt dat er niets aan de hand is. Het kan echter ook zijn dat het signaal van de medewerker onderdrukt wordt door andere belanghebbenden/stakeholders. Denk bijvoorbeeld aan een hooggeplaatste medewerker die in staat is om de interne controle op een lager gelegen niveau te overrulen. In dit geval dient men als controller vooraf extra waakzaam te zijn. Er is wel een signaal. In het geval dat de medewerker wel een signaal afgeeft, kunnen er twee situaties ontstaan. Ten eerste: de organisatie pakt het signaal op. Ten tweede: de organisatie pakt het signaal uiteindelijk niet op. Dit kan bijvoorbeeld: 1. doordat men de afweging maakt dat het signaal niet belangrijk genoeg is; 2. door druk van buitenaf (sociaalpsychologische druk) of; 3. door een zwakke controlestructuur. Daarnaast bestaat in sommige organisaties ook het risico van een sterke groepscultuur en een falende klokkenluidersregeling. Dit kan ervoor zorgen dat de medewerker signalen niet eens meldt. Medewerkers zijn, net als andere mensen, ook vaak geneigd om eerst de kans in te schatten dat er daadwerkelijk iets gedaan wordt met de melding die zij (willen) doen. Bij die inschatting houdt de medewerker dan vaak (al dan niet bewust) rekening met de emotionele en economische gevolgen. 3 Risicomanagement In veel organisaties is actief risicomanagement nog geen vanzelfsprekendheid. De impuls die uitgaat van geleden verliezen veroorzaakt door nancieel economische criminaliteit risico s leeft vaak

15 E4160^15 maar kort (Van Grinsven, 2010). Rapportages, als instrument om dit type risico te beheersen, verworden tot documenten om aan de interne en externe wet- en regelgeving te voldoen. De e ecten daarvan zijn zichtbaar voor de oplettende medewerker: het volgende delict ligt al om de hoek. Dat delict zal, achteraf gezien, ondubbelzinnige gelijkenis vertonen met de vorige risico s. Met goede instrumenten kunnen we leren van vorige gebeurtenissen op het terrein van dit type risico s. De vraag is willen we daarin investeren of gaan we er vanuit dat het ons niet zal overkomen? Wij nemen aan dat organisaties daarin willen investeren. Vooraf dient een organisatie dan ook eerst duidelijkheid te krijgen welke FEC-risico s van toepassing zijn. De vakliteratuur suggereert om te starten met een self assessment waarmee men als organisatie een nulmeting van de huidige situatie verkrijgt (Bishop en Hydoski, 2009). Bij deze self assessment dienen het huidige beleid en de beheersmaatregelen in ogenschouw te worden genomen. Vervolgens kan een periodieke risicoanalyse op diverse niveaus in de organisatie meer inzicht geven en helpen om prioriteiten te stellen. In deze paragraaf behandelen we eerst kort een self assessment. Vervolgens gaan we in op het FEC risk-asssementproces waarmee een periodieke risicoanalyse gemaakt kan worden. Tot slot gaan we in op een set van mogelijk te nemen preventieve en detectieve beheersmaatregelen. 3.1 Self assessment Als de organisatie eenmaal is overtuigd dat FEC niet te voorkomen is maar dat het zaak is om de organisatie hier weerbaar tegen te maken, wordt een self assessment aanbevolen (Bishop en Hydoski, 2009). Dit self assessment biedt inzicht in de mate waarin de organisatie al weerbaar is tegen FEC. Ook wordt duidelijk waar mogelijke verbeterpunten liggen. De self-assessmenttool van Bishop en Hydoski bestaat uit een aantal vragen die hierover een goed beeld kunnen geven. Hierna wordt een voorbeeld gegeven van deze vragen. Het is belangrijk op te merken dat deze vragen niet de enige belangrijke vragen zijn die de organisatie zich moet stellen in de strijd tegen FEC. De vragen zijn aangepast naar de Nederlandse situatie en dekken de belangrijkste onderdelen af. Voor elke vraag geldt dat hierop geantwoord kan worden met: nee/enigszins of ja, absoluut. Een organisatie kan aan deze antwoordcategoriee«n zelf een score koppelen. Uitgangspunt daarbij is dat daarbij de vragen zo realistisch mogelijk beantwoord worden. De voorbeeldvragen zijn: ^ Zien het bestuur en het topmanagement een e ectief risicomanagement als noodzakelijke voorwaarde om goed ge «nformeerd en op verantwoorde wijze risico s te nemen in de bedrijfsvoering? ^ Vindt er, op jaarlijkse basis, een aanpassing plaats van de FEC risk assessment? ^ Worden op basis van het beleid ten aanzien van FEC en de uitvoering hiervan de risico s gereduceerd tot een niveau dat acceptabelisvoorhetbestuur?

16 E4160^16 Financieel economische criminaliteit ^ Is FEC een expliciet onderdeel van de beoordeling en beloning van het topmanagement van de organisatie? ^ Wordt de perceptie van de werknemers jaarlijks gemeten over de toon aan de top en het commitment van het topmanagement ten aanzien van ethiek op de werkplek? ^ Worden de resultaten van de eigen klokkenluidersregeling jaarlijks afgezet tegen die van de branche? ^ Is er een communicatieplan, inclusief waar de verantwoordelijkheden liggen, aanwezig voor crisissituaties waarin staat hoe de stakeholders van de organisatie worden ge «nformeerd? ^ Is er een goede vertrouwensrelatie met relevante toezichthouders van de organisatie zodat de samenwerking hiermee tijdens een crisis goed verloopt? ^ Is er een geschreven protocol hoe een onderzoek naar FEC binnen de organisatie plaatsvindt? ^ Zijn er voldoende middelen en kennis voor handen binnen de organisatie op de volgende gebieden: juridische kennis, computer forensics en forensische accountancy zodat een onderzoek naar FEC snel kan worden opgestart binnen elk onderdeel of op elke locatie van de organisatie? 3.2 Risk-assessmentproces Een goed risk assessment is cruciaal voor een organisatie omdat de beheersing van FEC onmogelijk is zonder eerst te weten wat de mogelijke dreigingen zijn. De risk assessment is een waardevolle tool om het krachtenveld van de risico s te kunnen overzien. Het biedt een overzicht van de mogelijke nancieel economische delicten die zich kunnen voordoen in de organisatie, hoe groot de kans hierop is en wat de impact daarvan is. Maar wat is een goede risk assessment? Wat voor proces dien je te volgen? In deze paragraaf gaan we eerst kort in op de enkele van de grootste uitdagingen van risk assessments. Vervolgens geven we stapsgewijs aan wat voor proces men kan volgen om een FEC risk assessment te kunnen uitvoeren. Het doel van deze paragraaf is om u een handreiking te doen op dit gebied. Voor een volledig uitgewerkt risk-assessmentproces verwijzen wij naar Van Grinsven (2009). De grootste uitdagingen waar organisaties voor staan zijn sterk gerelateerd aan het proces en de uitkomsten van de identi catie en inschatting van het FEC-risico. We maken daarbij onderscheid in uitdagingen met verliesdata (intern en extern), risk assessments en de daarbij gebruikte technieken en tools. Tabel 3 vat deze problemen en uitdagingen samen.

17 E4160^17 Tabel 3. Uitdagingen in FEC (Van Grinsven, 2010; Van Grinsven, 2009) Verliesdata Risk assessments Technieken & tools Tekort aan interne verliesdata Te lage kwaliteit interne verliesdata Betrouwbaarheid externe verliesdata te laag Consistentie van externe verliesdata Subjectieve waarde van de uitkomsten Lage kwaliteit van de uitkomsten Inconsistent gebruik van risk assessments Geen dynamische view van risk assessments Biases van de ge «nterviewden worden niet begrepen Najagen van veranderende verliesdata Technieken en tools worden niet gedeeld in de organisatie Technieken hebben geen goede t met de tools Aggregatie van externe verliesdata is complex Arbeidsintensief riskassessmentproces Coo«rdinatie van grote datavolumes is moeilijk Verliesdata vormen de basis om het FEC-risico goed te kunnen meten. Om het tekort of kwaliteitsgebrek van interne verliesdata te compenseren wordt vaak gebruikgemaakt van externe verliesdata. Externe verliesdata zijn gegevens van andere organisaties of benchmarkstudies. Risk assessments worden ingezet om eventuele methodologische tekortkomingen bij interne en externe verliesdata te overwinnen. Het proces, de technieken en tools die gebruikt worden ter ondersteuning van deze assessments zijn echter veelal niet e ectief, niet e cie«nt en worden niet goed ge «mplementeerd in de organisatie. Kortom: het is belangrijk om een goed proces te gebruiken om de FEC-risico s accuraat te kunnen inschatten. Een risk assessment gaat uit van de doelstellingen, visie en strategie van een organisatie. Het risk-assessmentproces verloopt van voorbereiding tot de uiteindelijke rapportage. In de tussenliggende stappen worden de risico s ge «denti ceerd, al dan niet met behulp van interne en externe verliesdata, en kunnen scenario s worden uitgewerkt over hoe de delicten ten uitvoer zouden kunnen worden gebracht binnen de organisatie. Een risk assessment kan worden verdeeld in de fasen voorbereiding, risico-identi catie, risicoassessment, risicomitigatie en rapportage. Zie guur 3 voor een overzicht.

18 E4160^18 Financieel economische criminaliteit Doelstellingen, Visie, Strategie Scenario s Voorbereiding Rapportage Interne data Externe data Monitoring & Control Figuur 3. Fasen risk assessment (Van Grinsven, 2010) Het is moeilijk om een standaardproces weer te geven van een risk assessment. Elke organisatie is anders en vergt mogelijk een andere aanpak. Hieronder volgt een generieke procesbeschrijving die als leidraad kan fungeren (Van Grinsven, 2009; Van Grinsven, 2010) Voorbereidingsfase De stappen binnen deze fase hebben tot doel de probleemsituatie zo goed mogelijk te begrijpen, waarbij mogelijke vooroordelen en inconsistenties in de risk assessment worden voorkomen. De eerste stap behelst het in kaart brengen van de concepten van de probleemsituatie, door de huidige problemen te beschrijven, de doelen, de FEC-standaarden en potentie«le verstoringen. De probleemsituatie wordt vervolgens gespeci ceerd door relevante feiten te beschrijven door middel van auditrapporten, nancie«le rapporten, de interne verliesdatabase en de aanwezige managementinformatie te bestuderen. Daarna wordt de probleemsituatie gevalideerd: corresponderen onze bevindingen met de realiteit? Lossen we de gestelde problemen op als we deze focus nemen? Behalen we de gestelde doelen? Validatie resulteert in een werkopdracht. In de vierde stap worden de context en de doelen van de FEC-analyse bepaald aan de hand van bijvoorbeeld documenten over de organisatie, foutbomen met risico-overzichten en interviews met de verschillende experts en managers.vervolgens worden de experts ge «denti ceerd en geselecteerd die in aanmerking komen voor de FEC-risico-assessment. Belangrijke criteria zijn relevante kennis en ervaring, geslacht, interne politiek en betrokkenheid bij de gebruikte methode. De probleemeigenaar, of coo«rdinator van de FEC-activiteiten, heeft een belangrijke stem in de selectie, vaak in samenspraak met de facilitator van de risico-assessment. Als alle experts bekend zijn, worden hun rollen in de risico-assessment gede nieerd om ongewenste effecten zoals group think, con icten en zelfoverschatting te voorkomen. Gedacht moet worden aan de invulling van de rol van de manager, initiator, expert of facilitator. Kies voor eenvoudige technieken en tools die de risico-assessmentmethode ondersteunen. Daarmee wordt de kans op fouten gereduceerd. Voordat de volgende fase wordt ingegaan, bevelen we aan om ten minste de belangrijkste elementen uit de risico-assessment te doorlopen. Dit geeft inzicht in het proces en verhoogt de kans om de gestelde doelen te behalen. Ten slotte worden de experts getraind in de methode

19 E4160^19 voor risico-assessment, tools, context, risicomanagement en doelen. Tot slot bevelen wij een aantal uitgangspunten aan die van belang zijn: ^ betrek het personeel op alle niveaus in de organisatie in de risk assessment. Zo ontstaat een groter draagvlak voor de te nemen maatregelen; ^ elke businessunit moet worden betrokken in de risk assessment; ^ let op het overtreden van interne regels; ^ de risk assessment moet periodiek worden uitgevoerd Risico-identi catiefase De identi catiefase levert een betrouwbare informatiebasis op die nodig is voor een accurate inschatting van het FEC-risico. Key FEC-indicatoren in kaart brengen De eerste stap bestaat uit het in kaart brengen van de key FEC-risico-indicatoren. Een key FEC risk indicator kan worden gede nieerd als een meetbare eenheid (indicator) die de blootstelling aan verliezen in de tijd kan volgen en voorspellen. Een indicator wordt key als het een belangrijke activiteit meet. Het is dus een maatstaf om tijdig in te schatten hoe risicovol een activiteit is. Vanuit de bestaande situatie in de organisatie worden eerst de belangrijkste risicogebieden ge «denti ceerd. Dit wordt bij voorkeur op businessunitniveau en met een consistente aanpak gedaan. De identi catie dient zich daarbij te focussen op kritische processen en/of bedrijfsfuncties. Neem daarbij bijvoorbeeld een tijdshorizon van tien jaar ^ dit vertegenwoordigt voor de meeste managers een realistische waarde. Vervolgens worden de reeds bestaande KRI s in de organisatie ge «denti ceerd. Hierbij kan onderscheid gemaakt worden tussen top-down indicators en bottom-up indicators (Van Grinsven en De Vries, 2009). Top-down indicators zijn op organisatieniveau gede nieerd, bijvoorbeeld door het hoofd personeelszaken of nancie«n. Ze relateren vaak aan generieke oorzaken, processen of gebeurtenissen. Voorbeelden hiervan zijn respectievelijk: verloop van personeel en onverklaarbare nancie«le verschillen. Ze zijn meestal van toepassing voor het hogere management. Bottom-up indicators zijn op het niveau van de businessunit gede nieerd, bijvoorbeeld door de managers en senior managers. Ze zijn vaak speci ek en worden gerapporteerd aan het hogere management. Een voorbeeld hiervan is een overtreding van een niet-gegeven/onvolledig hypotheekadvies in een bepaalde businessunit. Tot slot wordt een mapping gemaakt van de huidige situatie en de bestaande KRI s. Deze mapping geeft aan in hoeverre de huidige situatie afgedekt is met KRI s en waar de gaten zitten. Indien noodzakelijk kunnen nieuwe KRI s worden ge «denti ceerd die focussen op kritische processen en/of functies. Hierbij moeten de volgende kenmerken van KRI s worden meegenomen: re ecteren van het risico, meetbaarheid, e ectiviteit en e cie«ntie. Vervolgens dient een evaluatie plaats te vinden waarin de volgende vraag centraal gesteld wordt: voldoen de oude plus nieuwe KRI s aan de

20 E4160^20 Financieel economische criminaliteit gewenste situatie? Daarna kan men de KRI s gaan toetsen binnen het bedrijf. Zijn er bijvoorbeeld voldoende gegevens (data) beschikbaar om te voldoen aan het meetbaarheidscriterium? Worden de KRI s gedragen door de managers van de businessunits? Of moeten er nog aanpassingen plaatsvinden? De probleemdiagnose en het ne-tunen van de indicators gebeuren over een langere periode omdat alleen ervaring kan uitwijzen of een indicator werkelijk key is. Hierna kan voor de gekozen KRI s de risk appetite bepaald worden. Vragen die hierbij gesteld kunnen worden zijn onder andere: wat is de bandbreedte waarbinnen het risico geaccepteerd wordt? Wanneer en naar wie moet er precies escalatie optreden? Bij het bepalen van de bandbreedte kan men bijvoorbeeld een drietal varianten bedenken: laag risico ^ geen actie noodzakelijk, gemiddeld risico ^ enige actie vereist, hoog risico ^ escalatie naar het management en urgente acties. In de laatste stap worden de KRI s gemonitoord en de waardes met elkaar vergeleken. Het is belangrijk dat de set KRI s die samen het risicopro el vormen periodiek vergeleken wordt met de risk appetite. Hiertoe is het belangrijk dat signalen tijdig opgevolgd worden. Tot slot vindt een evaluatie plaats van de oude bestaande situatie met de nieuwe gewenste situatie. Zie Van Grinsven en De Vries (2009) en verder guur 4 voor een gedetailleerde beschrijving. Finetuning Probleemdiagnose Identificatie bestaande KRI s Mapping Identificatie nieuwe KRI s Toets Gekozen KRI s Keuze Definitie risk appetite Identificatie belangrijkste risicogebieden Voldoen nieuwe + oude KRI s aan gewenste situatie? Implementatie Bestaande situatie Evaluatie Monitoring & follow-up KRI s Figuur 4. Evaluatie (Van Grinsven en De Vries, 2009) Risico s in kaart brengen De tweede stap bestaat uit het in kaart brengen van de FEC-risico s door het (anoniem) identi ceren van kwetsbaarheden door de experts. Het is daarbij van belang om zich te realiseren dat ervaringen uit het verleden niet voldoende zijn om alle risico s en scenario s in kaart te brengen. Immers, zoals elke vorm van criminaliteit ontwikkelt FEC zich ook. Zo hebben internet en de media-aandacht voor FEC als consequentie dat het zich evolueert naar steeds ongrijpbaardere varianten. Het is daarom het best om de risico s in kaart te brengen zonder rekening te houden met mogelijke beheersmogelijkheden. Het is zaak om out of the box te denken. Hoewel dit een moeilijke exercitie is, komt dit de kwaliteit ten goede. De FECindicatoren worden in deze stap gebruikt om de risico s en scena-

21 E4160^21 rio s nader in te vullen. Tijdens de identi catie is het belangrijk dat de facilitator relevante cues gebruikt om de experts te triggeren naar de juiste kwetsbaarheden, bijvoorbeeld door gebruik te maken van korte, juiste woorden. Daarna formuleren de experts het risico. Bijvoorbeeld het FEC-risico is dat waardoor. Meestal zijn drie vragenronden genoeg om de risico s te identi ceren. Vervolgens worden de FEC-risico s gecategoriseerd. Het categoriseren is aan te bevelen om een referentiekader te verkrijgen voor de volgende fase en dient tevens als hulp voor rapportagedoeleinden. Denk bijvoorbeeld aan het gebruiken van de categoriee«n die zijn ingegeven door de FEC-indicatoren. Tot slot worden voor de ge «denti ceerde FEC-risico s scenario s opgesteld en worden de uitkomsten daarvan vergeleken met de risico s uit de verliesdatabase (intern en/of extern). Dit wordt veelal door een subgroep van experts gedaan die over speci eke inhoudelijke kennis beschikken. Deze analyse kan ertoe leiden dat er nog meer FEC-risico s ge «denti ceerd dienen te worden in bepaalde categoriee«n Risico-assessmentfase De assessmentfase heeft tot doel het management van een accurate kwanti cering van de FEC-risico s te voorzien. In de risico-assessmentfase wordt begonnen met het inschatten van de risico s. In de eerste stap wordt het absolute niveau van het risico bepaald, een bruto-inschatting waarbij de huidige aanwezige beheersmaatregelen buiten beschouwing worden gelaten. Deze inschatting heeft als voordeel dat een referentiekader wordt opgebouwd. Voor de schaalwaarden kunnen veel soorten verdelingen worden gebruikt. In de praktijk wordt vaak een 5-puntsschaal of een 9-puntsschaal gebruikt. In de tweede stap wordt het netto risico bepaald, waarbij de gebruikte beheersmaatregelen wel worden meegenomen. Let op, deze moeten dan al wel vooraf ge «denti ceerd zijn. Elke expert maakt een individuele inschatting van zowel het bruto als het netto risico. Vervolgens worden de resultaten geaggregeerd, op basis van een mathematische of interactieve methode. We adviseren om deze twee te combineren om de beste resultaten te krijgen. Simpele mathematische methoden, zoals het inschatten van kans en impact, geven betere resultaten dan complexere methoden. Vaak wordt dan eenvoudig de kans met de impact vermenigvuldigd. Interactieve methoden vereisen vaak interactie tussen de experts. Als er onzekerheid is over de relevante kennis van de experts, kunnen de uitkomsten van de experts een gelijke weging meekrijgen. Men kan er ook voor kiezen om de resultaten van elke expert individueel te wegen, dat leidt vaak tot betere resultaten maar vergt veel tijd en is bovendien een kostbaar proces Risicomitigatiefase Deze fase heeft als doel om de FEC-risico s die na het assessment nog een onacceptabel niveau hebben, verder te mitigeren.voor risi-