Samenvatting Module 5 – Interne incidenten
Hoofdstuk 1: Fraude bij elk bedrijf
In elke organisatie kan interne fraude voorkomen, dus ook bij financiële instellingen. Bij een beleid om
fraude aan te pakken hoort als onderdeel het voorkomen, opsporen en afwikkelen van fraude. Ook het
PVC geeft aan dat een dergelijk beleid onmisbaar is voor de soliditeit van de onderneming ten aanzien
van de integriteit van eigen bedrijfsvoering en het fraudebeheersingsbeleid.
Interne criminaliteit is een breder begrip dan interne fraude. Bij interne criminaliteit gaat het om
opzettelijke norm overtredend gedrag van werknemers (eventueel in samenwerking met andere)
tegenover het bedrijf waar men werkt of werkzaamheden voor verricht en schade ontstaat en/of kan
ontstaan. Het gaat hier echt om opzettelijk norm overtredend gedrag. Dit hoeven niet perse strafbaar
gestelde gedragingen te zijn (interne fraude), maar is bijvoorbeeld ook het niet houden aan de
beleidsregels en afspraken van de organisatie. Het gaat hier altijd om gedrag. Er is sprake van
schending van de integriteitsnorm. Tezamen (interne fraude en interne criminaliteit) kunnen omvat
worden in interne incidenten. Integriteit is de morele kwaliteit van het gedrag. De medewerker weet dat
hij of zij het belang van de organisatie dient. Het eigen belang wordt niet zwaarder gewogen dan het
belang van de organisatie. Interne fraude zet meer op het wederrechtelijk benaderen van de financiële
instelling waar je werkt ten voordele van jezelf.
Hoofdstuk 2: Interne incidenten
Een intern incident is het opzettelijk menselijk handelen, waarbij er ten minste een redelijk vermoeden
van interne fraude en/of geconstateerd corrupt gedrag en/of geconstateerd laakbaar gedrag aanwezig
is.
-Interne fraude: Opzettelijke handeling met een vooropgezet doel een onrechtmatige daad pleegt,
met het kennelijke doel zichzelf of andere te bevoordelen en andere te benadelen. Interne fraude is de
meest voorkomende soort fraude die je op elk niveau kan verwachten. Gaat hier echt om schending
van vertrouwen en regels.
- Corrupt gedrag: Het ontvangen van een voordeel door handeling te verrichten of na te laten
waardoor financieel nadeel ontstaat bij de financiële instelling.
- Laakbaar gedrag: is het handelen of nalaten te handelen, waardoor voor andere mogelijkheden
ontstaan of blijven bestaan, om zich corrupt te gedragen. Dit kan van alles zijn.
Een organisatie heeft eigen 3 pijlers om interne incidenten te bestrijden. Zij dienen een beleid te
hebben op het gebied van preventie (voorkomen), detectie (opsporen) en repressie (het treffen van
maatregelen). Op basis van deze pijlers dient een beleid te worden opgesteld. Alleen zo kan een
gestructureerde aanpak van interne incidenten worden opgetuigd.
Hoofdstuk 3: Oorzaken van interne incidenten
Op basis van de fraude driehoek bestaan er drie oorzaken van interne incidenten. Zij komen niet uit de
lucht vallen. Je hebt gelegenheid, motief en rationalisatie. Het is belangrijk om factoren in de keten
weg te halen om zo de fraude te bestrijden. Vooral in de gelegenheidssfeer kan je als bedrijf veel
doen. Dit ziet voornamelijk op niet voldoende en/of ontwikkelde bedrijfsprocessen.
Hoofdstuk 4: Gestructureerde aanpak van interne incidenten.
De maatschappelijke verantwoordelijkheid van financiële instellingen gaat steeds zwaarder wegen.
Ook leggen de overheid en toezichthouders steeds meer regels op. Het is dus van essentieel belang
dat een financiële onderneming een structureel beleid ontwikkeld op het gebied van preventie,
detectie en afwikkeling van interne incidenten. Naast het budget wat hiervoor nodig is, is ook
betrokkenheid en draagkracht van de gehele organisatie nodig. Het is namelijk een organisatie breed
onderwerp wat ook door de directie en management uitgedragen dient te worden. De rol van
Compliance en de Ondernemingsraad zijn erg belangrijk. Compliance dient ervoor te zorgen dat de
financiële instelling voldoet aan de wet en regelgeving en de ondernemingsraad behartigd de
, belangen van de werknemers. Zeker als beheersmaatregelen en/of maatregelen worden getroffen
dient de ondernemingsraad te worden meegenomen. Voor bepaalde beheersmaatregelen hebben zij
ook een instemmingsrecht gelet op de wet op ondernemingsraad. Beide partijen dienen te worden
meegenomen in het opstellen van een structureel beleid.
Hoofdstuk 5: Het voorkomen van interne incidenten
Het voorkomen van interne incidenten is een zwaarwegende pijler. Beter voorkomen dan genezen.
Om een goed beeld te krijgen welke risico’s je loopt als organisatie is het belangrijk om een risico-
inventarisatie te (laten) maken. Het is belangrijk om hier mensen uit de gehele organisatie bij te
betrekken. De mensen die dagelijks werkzaamheden verrichten weten als geen ander waar de risico’s
op interne incidenten liggen. Je hebt een zuiver procesmatige risicoanalyse (administratie) en een
bredere risicoanalyse. Een risicoanalyse begint altijd met een nulmeting. Hier wordt o.a. gekeken
welke beheersmaatregelen al zijn getroffen. De volgende proces stappen worden genomen voor een
preventief beleid:
Nulmeting – Risicoanalyse uitvoeren – beleidsplan opstellen – treffen beheersmaatregelen –evalueren
De risicoanalyse begint met een nulmeting. Hierbij worden feitelijke processen beschreven en de
risico’s in kaart gebracht. De risico worden aangegeven met een risicofactor (R = K x I). Tevens
worden de bestaande beheersmaatregelen beoordeeld naar effectiviteit en wordt gekeken welke
beheersmaatregelen gebruikelijk en./of noodzakelijk zijn, zodat ook de gewenste situatie vastgesteld
kan worden. Deze situatie kunnen nu tegen elkaar worden afgewogen. Uit de risico analyse wordt dan
duidelijk welke beheersmaatregelen een financiële instelling dient te nemen en op welke termijn.
De uitkomsten van de risicoanalyse wordt vastgelegd in een beleidsplan. Het beleid voor de aanpak
van interne incidenten wordt tevens vastgelegd in het beleidsplan. De uitgangspunten van een goed
beleidsplan zijn de volgende:
- Management en directe zijn bewust van het belang van een beleid inzake interne incidenten
- Er is zicht op de kwetsbaarheden binnen een bedrijf
- het zijn beheersmaatregelen genomen en is in ontwikkeling onderhavig.
- er is sprake van een structurele rapportage en controle.
In een beleidsplan staan harde en zachte (beheers)maatregelen. Harde beheersmaatregelen zien op
de bedrijfsprocessen. Denk hierbij aan autorisaties en bevoegdheden. Zachte beheersmaatregelen
ziet veel meer op de cultuur binnen een bedrijf. Denk aan huisregels, richtlijnen, protocollen en dat
deze regels voldoende worden uitgedragen etc. Verder is de bekendheid met regelementen
ontzettend belangrijk. Het is niet de bedoeling dat het bedrijf overspoeld raakt met regels, vooral
regels opstellen bij de grijze gebieden van een organisatie. Het is ook belangrijk dat de medewerkers
het belang van bepaalde regels onderkennen, anders bestaat het risico dat medewerkers de regels
omzeilen onder het mom van ondoelmatigheid.
Omdat communicatie zo belangrijk is het aan te bevelen om tevens een communicatieplan in het
beleidsplan op te nemen. Hier worden bepalingen opgenomen hoe de (nieuwe) regels aan de
medewerkers worden gecommuniceerd. Belangrijk is om te alle tijden bewust te zijn van de
bedrijfscultuur. Er zal gestreefd dienen te worden naar een open bedrijfscultuur, waarin medewerkers
elkaar aanspreken en een ieder zich herkent en houdt aan de regels en maatregelen.
Hoofdstuk 6: Beheersmaatregelen treffen
De beheersmaatregelen die een financiële organisatie kan treffen zien naast harde en zachte
beheersmaatregelen op de volgende onderwerpen. Er kunnen beheersmaatregelen worden getroffen
in het kader van de administratieve administratie, audits worden uitgevoerd en op het
personeelsbeleid.
Beheersmaatregelen op de administratieve organisatie. Bij het ontwikkelen van producten,
processen en systemen moeten de ontwikkelaars rekening houden met de fraudegevoeligheid. De
beheersmaatregelen in dit kader zien op de betrouwbare gegevensverwerking en de continuïteit van
de bedrijfsprocessen. Denk bijvoorbeeld aan beheers(maatregelen) op het gebied van een 4ogen
principe, autorisatieregels, bevoegdheid regels, acceptatieprocedures, schade betaalprocedures etc.
Om de betrouwbaarheid van de processen en de effectiviteit van de getroffen beheersmaatregelen
vast te stellen wordt gewerkt met audits. Dit is in feite een controle op de bedrijfsorganisatie. Audits
kunnen ook worden uitgevoerd door softwaresystemen. Audits kunnen op alle gebieden worden
ingezet.
Hoofdstuk 1: Fraude bij elk bedrijf
In elke organisatie kan interne fraude voorkomen, dus ook bij financiële instellingen. Bij een beleid om
fraude aan te pakken hoort als onderdeel het voorkomen, opsporen en afwikkelen van fraude. Ook het
PVC geeft aan dat een dergelijk beleid onmisbaar is voor de soliditeit van de onderneming ten aanzien
van de integriteit van eigen bedrijfsvoering en het fraudebeheersingsbeleid.
Interne criminaliteit is een breder begrip dan interne fraude. Bij interne criminaliteit gaat het om
opzettelijke norm overtredend gedrag van werknemers (eventueel in samenwerking met andere)
tegenover het bedrijf waar men werkt of werkzaamheden voor verricht en schade ontstaat en/of kan
ontstaan. Het gaat hier echt om opzettelijk norm overtredend gedrag. Dit hoeven niet perse strafbaar
gestelde gedragingen te zijn (interne fraude), maar is bijvoorbeeld ook het niet houden aan de
beleidsregels en afspraken van de organisatie. Het gaat hier altijd om gedrag. Er is sprake van
schending van de integriteitsnorm. Tezamen (interne fraude en interne criminaliteit) kunnen omvat
worden in interne incidenten. Integriteit is de morele kwaliteit van het gedrag. De medewerker weet dat
hij of zij het belang van de organisatie dient. Het eigen belang wordt niet zwaarder gewogen dan het
belang van de organisatie. Interne fraude zet meer op het wederrechtelijk benaderen van de financiële
instelling waar je werkt ten voordele van jezelf.
Hoofdstuk 2: Interne incidenten
Een intern incident is het opzettelijk menselijk handelen, waarbij er ten minste een redelijk vermoeden
van interne fraude en/of geconstateerd corrupt gedrag en/of geconstateerd laakbaar gedrag aanwezig
is.
-Interne fraude: Opzettelijke handeling met een vooropgezet doel een onrechtmatige daad pleegt,
met het kennelijke doel zichzelf of andere te bevoordelen en andere te benadelen. Interne fraude is de
meest voorkomende soort fraude die je op elk niveau kan verwachten. Gaat hier echt om schending
van vertrouwen en regels.
- Corrupt gedrag: Het ontvangen van een voordeel door handeling te verrichten of na te laten
waardoor financieel nadeel ontstaat bij de financiële instelling.
- Laakbaar gedrag: is het handelen of nalaten te handelen, waardoor voor andere mogelijkheden
ontstaan of blijven bestaan, om zich corrupt te gedragen. Dit kan van alles zijn.
Een organisatie heeft eigen 3 pijlers om interne incidenten te bestrijden. Zij dienen een beleid te
hebben op het gebied van preventie (voorkomen), detectie (opsporen) en repressie (het treffen van
maatregelen). Op basis van deze pijlers dient een beleid te worden opgesteld. Alleen zo kan een
gestructureerde aanpak van interne incidenten worden opgetuigd.
Hoofdstuk 3: Oorzaken van interne incidenten
Op basis van de fraude driehoek bestaan er drie oorzaken van interne incidenten. Zij komen niet uit de
lucht vallen. Je hebt gelegenheid, motief en rationalisatie. Het is belangrijk om factoren in de keten
weg te halen om zo de fraude te bestrijden. Vooral in de gelegenheidssfeer kan je als bedrijf veel
doen. Dit ziet voornamelijk op niet voldoende en/of ontwikkelde bedrijfsprocessen.
Hoofdstuk 4: Gestructureerde aanpak van interne incidenten.
De maatschappelijke verantwoordelijkheid van financiële instellingen gaat steeds zwaarder wegen.
Ook leggen de overheid en toezichthouders steeds meer regels op. Het is dus van essentieel belang
dat een financiële onderneming een structureel beleid ontwikkeld op het gebied van preventie,
detectie en afwikkeling van interne incidenten. Naast het budget wat hiervoor nodig is, is ook
betrokkenheid en draagkracht van de gehele organisatie nodig. Het is namelijk een organisatie breed
onderwerp wat ook door de directie en management uitgedragen dient te worden. De rol van
Compliance en de Ondernemingsraad zijn erg belangrijk. Compliance dient ervoor te zorgen dat de
financiële instelling voldoet aan de wet en regelgeving en de ondernemingsraad behartigd de
, belangen van de werknemers. Zeker als beheersmaatregelen en/of maatregelen worden getroffen
dient de ondernemingsraad te worden meegenomen. Voor bepaalde beheersmaatregelen hebben zij
ook een instemmingsrecht gelet op de wet op ondernemingsraad. Beide partijen dienen te worden
meegenomen in het opstellen van een structureel beleid.
Hoofdstuk 5: Het voorkomen van interne incidenten
Het voorkomen van interne incidenten is een zwaarwegende pijler. Beter voorkomen dan genezen.
Om een goed beeld te krijgen welke risico’s je loopt als organisatie is het belangrijk om een risico-
inventarisatie te (laten) maken. Het is belangrijk om hier mensen uit de gehele organisatie bij te
betrekken. De mensen die dagelijks werkzaamheden verrichten weten als geen ander waar de risico’s
op interne incidenten liggen. Je hebt een zuiver procesmatige risicoanalyse (administratie) en een
bredere risicoanalyse. Een risicoanalyse begint altijd met een nulmeting. Hier wordt o.a. gekeken
welke beheersmaatregelen al zijn getroffen. De volgende proces stappen worden genomen voor een
preventief beleid:
Nulmeting – Risicoanalyse uitvoeren – beleidsplan opstellen – treffen beheersmaatregelen –evalueren
De risicoanalyse begint met een nulmeting. Hierbij worden feitelijke processen beschreven en de
risico’s in kaart gebracht. De risico worden aangegeven met een risicofactor (R = K x I). Tevens
worden de bestaande beheersmaatregelen beoordeeld naar effectiviteit en wordt gekeken welke
beheersmaatregelen gebruikelijk en./of noodzakelijk zijn, zodat ook de gewenste situatie vastgesteld
kan worden. Deze situatie kunnen nu tegen elkaar worden afgewogen. Uit de risico analyse wordt dan
duidelijk welke beheersmaatregelen een financiële instelling dient te nemen en op welke termijn.
De uitkomsten van de risicoanalyse wordt vastgelegd in een beleidsplan. Het beleid voor de aanpak
van interne incidenten wordt tevens vastgelegd in het beleidsplan. De uitgangspunten van een goed
beleidsplan zijn de volgende:
- Management en directe zijn bewust van het belang van een beleid inzake interne incidenten
- Er is zicht op de kwetsbaarheden binnen een bedrijf
- het zijn beheersmaatregelen genomen en is in ontwikkeling onderhavig.
- er is sprake van een structurele rapportage en controle.
In een beleidsplan staan harde en zachte (beheers)maatregelen. Harde beheersmaatregelen zien op
de bedrijfsprocessen. Denk hierbij aan autorisaties en bevoegdheden. Zachte beheersmaatregelen
ziet veel meer op de cultuur binnen een bedrijf. Denk aan huisregels, richtlijnen, protocollen en dat
deze regels voldoende worden uitgedragen etc. Verder is de bekendheid met regelementen
ontzettend belangrijk. Het is niet de bedoeling dat het bedrijf overspoeld raakt met regels, vooral
regels opstellen bij de grijze gebieden van een organisatie. Het is ook belangrijk dat de medewerkers
het belang van bepaalde regels onderkennen, anders bestaat het risico dat medewerkers de regels
omzeilen onder het mom van ondoelmatigheid.
Omdat communicatie zo belangrijk is het aan te bevelen om tevens een communicatieplan in het
beleidsplan op te nemen. Hier worden bepalingen opgenomen hoe de (nieuwe) regels aan de
medewerkers worden gecommuniceerd. Belangrijk is om te alle tijden bewust te zijn van de
bedrijfscultuur. Er zal gestreefd dienen te worden naar een open bedrijfscultuur, waarin medewerkers
elkaar aanspreken en een ieder zich herkent en houdt aan de regels en maatregelen.
Hoofdstuk 6: Beheersmaatregelen treffen
De beheersmaatregelen die een financiële organisatie kan treffen zien naast harde en zachte
beheersmaatregelen op de volgende onderwerpen. Er kunnen beheersmaatregelen worden getroffen
in het kader van de administratieve administratie, audits worden uitgevoerd en op het
personeelsbeleid.
Beheersmaatregelen op de administratieve organisatie. Bij het ontwikkelen van producten,
processen en systemen moeten de ontwikkelaars rekening houden met de fraudegevoeligheid. De
beheersmaatregelen in dit kader zien op de betrouwbare gegevensverwerking en de continuïteit van
de bedrijfsprocessen. Denk bijvoorbeeld aan beheers(maatregelen) op het gebied van een 4ogen
principe, autorisatieregels, bevoegdheid regels, acceptatieprocedures, schade betaalprocedures etc.
Om de betrouwbaarheid van de processen en de effectiviteit van de getroffen beheersmaatregelen
vast te stellen wordt gewerkt met audits. Dit is in feite een controle op de bedrijfsorganisatie. Audits
kunnen ook worden uitgevoerd door softwaresystemen. Audits kunnen op alle gebieden worden
ingezet.
