COSO vindt data-analyse belangrijk instrument voor fraudebeheersing
Het was verassend om te zien dat een recente publicatie van het Committee of Sponsoring Organizations of the Treadway Commission (COSO) over het beheersen van frauderisico's nadrukkelijk verwijst naar de rol die data-analyse in het kader van fraudebeheersing kan spelen.
De nieuwe COSO Fraud Risk Management Guide (klik voor executive summary) bevat vijf elementen voor het beheersen van frauderisico's en koppelt deze aan het uit 2013 stammende Framework for Internal Controls.
Deze vijf elementen geven richting en inhoud aan het opzetten van een samenhangend 'Fraud Risk Management Program':
- Vaststellen beleid voor het beheersen van frauderisico's
- Uitvoeren van een fraude-risicoanalyse
- Ontwerpen en implementeren van maatregelen voor fraudepreventie en -detectie
- Uitvoeren van fraudeonderzoeken
- Monitoren en evalueren van het gehele frauderisico beheersingsprogramma
De rol van data-analyse bij het beheersen van frauderisico's
Het inzetten van data-analyse speelt tenminste een rol in het tweede, derde en vierde element.
Fraude-risicoanalyse
Met data-analyse kunnen grote hoeveelheden gegevens en activiteiten binnen de bedrijfsprocessen worden onderzocht om frauderisico's in beeld te krijgen en te indiceren waar het risico op fraude het grootst is.
Fraudedetectie
Data-analyse kan daarnaast worden gebruikt om transacties te detecteren waarbij maatregelen voor fraudepreventie zijn omzeild of hebben gefaald, dan wel om frauduleuze transacties op te sporen waarvoor geen beheersingsmaatregelen zijn getroffen. In het geval dat de analyses worden uitgevoerd op het moment dat een transactie wordt verwerkt, kan data-analyse zelfs fraude voorkomen. Inzet van data-analyse kan eenmalig - op het moment dat er noodzaak toe bestaat - worden uitgevoerd of als onderdeel van een doorlopend continue monitoring en risicobeheersingsproces. Het feit dat er continue wordt gemonitord kan op zichzelf al een preventieve rol spelen bij het voorkomen van fraude; managers of personeelsleden denken wel twee keer na alvorens te frauderen als ze weten dat dit gebeurd.
Fraudeonderzoeken
Data-analyse kan tenslotte zeer nuttig zijn bij uitvoeren van fraudeonderzoeken om fraudepatronen bloot te leggen of om bewijs te vergaren over concrete fraudegevallen.
Wie is verantwoordelijk voor toepassing van data-analyse voor fraudebeheersing?
Het bestuur en het management draagt uiteraard de primaire verantwoordelijkheid voor fraudepreventie en -detectie. Dit is de eerste 'line of defense'. Binnen bepaalde organisaties is fraudedetectie en het naleven van frauderichtlijnen belegd bij een specifieke afdeling of groep medewerkers, in de 'second line of defense'. In andere organisaties valt het onder de interne auditafdeling. Los van waar de verantwoordelijk ligt: van belang is dat data-analyse wordt ingezet om frauderisico's te monitoren en de schadelijke effecten van fraude in te dammen.
Ondanks de ontwikkeling en op het vlak van data-analyse heeft het lang geduurd voordat COSO het belang van data-analyse voor het beheersen van fraude nadrukkelijk erkent. Maar beter laat dan nooit, wat mij betreft. Het opnemen van data-analyse in de Fraud Risk Management Guide is voor mij een positief teken.