PwC’s Economic Crime Survey 2019: Bewustwording rondom financieel-economische criminaliteit kan nog steeds beter

Het aantal wetten, (gedrag)regels en voorschriften waaraan organisaties moeten voldoen, neemt toe. Stakeholders, politiek, en toezichthouders vragen om méér compliance. Ook de hoogte van de opgelegde boetes bij overtredingen van de compliance-regels stijgt en de gevoeligheid voor internationale sancties wordt alsmaar groter. Toch antwoordde slechts 26% van de ondervraagde 875 fraude- en corruptiebestrijders in PwC’s Economic Crime Survey 2019 ‘ja’ op de vraag of hun bedrijf of instelling over een compliance-programma beschikt. Een daling van bijna twintig procent ten opzichte van twee jaar eerder, toen nog 32% de vraag positief beantwoordde.

Meer compliance, maar minder urgentie?

Opmerkelijk is ook dat een kwart aangaf niet te weten of er binnen hun organisatie op een gestructureerde manier op de naleving van wetten en regels wordt toegezien. Is dit een aanwijzing dat het naleven van compliance-regels minder urgent wordt gevonden, nu de economie op volle toeren draait? Of zijn de compliance-eisen zo complex en veelomvattend geworden dat men wel een pas op de plaats moet maken? Voor Sylvie Bleker – hoogleraar Compliance & Integriteit aan de Vrije Universiteit Amsterdam (VU) en senior-adviseur van PwC Forensic Services voor compliance-vraagstukken – spelen beide verklaringen een rol: “Nu het economisch goed gaat, is het in veel bedrijven weer business as usual. Compliance voelt dan al gauw als een hinderlijke verplichting. Als een strenge schoolmeester, die met een opgestoken vingertje op de risico’s van het uit de hand lopen van het feest wijst, terwijl het nog zo gezellig is. Of dit mij verrast? Nee, ook het aantal aanmeldingen voor compliance-opleidingen neemt af.”

Het gevaar van ontkennen

PwC’s cybersecurityspecialist Angeli Hoekstra maakt zich het meest zorgen om de 25 procent respondenten die claimt tot nu toe cyberveilig te zijn. “Ons grootste probleem is dat we met de bril van het verleden naar de grootste misdaadvorm van nu en de komende decennia kijken’, vertelt Hoekstra. ‘Daarom hebben we moeite om de juist omvang en dreiging ervan te zien. Maar als je het cyberrisico ontkent of niet wilt zien, maakt dat je extra kwetsbaar. In het huidige, haast volledig verbonden technologielandschap, is het sowieso haast ondenkbaar dat je de dans ontspringt. Bovendien blijft de aangerichte schade door cybercrime lang onzichtbaar. Bij fysieke fraude is de schademelding het begin van het opsporingsproces, maar bij cybercrime duurt het gemiddeld zes tot zeven maanden voordat men überhaupt in de gaten heeft dat er iets aan de hand is. Als men er al ooit achter komt.”

Vaststellen cybercrimeschade ondoenlijk

Het vaststellen van de exacte schade van cybercrime is moeilijk, omdat het vaak onduidelijk is of, hoe, en hoe lang de cybercrimineel toegang heeft tot systemen en databestanden. “En je weet nooit zeker of het echte probleem wel is ontdekt’, stelt Hoekstra. ‘Slimme cybercriminelen laten soms bewust een dwaalspoor achter om hun werkelijke intenties te verbloemen. Cybercrime heeft zich ontwikkeld van een digitale manier van inbreken naar een criminaliteitsvorm die zich vooral bezighoudt met het manipuleren van data en digitale chantage, het overnemen van besturingssystemen en bedrijfs- en industriële spionage. Doordat overheden cybercrimemethodes gebruiken om druk uit te oefenen in conflictsituaties of om de eigen industrie te bevoordelen, is er ook een groeiende dreiging door hacks met een geopolitiek motief.”

Reputatieschade belemmert professioneel fraudeonderzoek

Twee zaken vallen Andreas Mikkers, forensic servicesspecialist bij PwC, in het bijzonder op, als hij de resultaten van de Economic Crime Survey doorneemt. “Allereerst: meer dan de helft van de respondenten geeft aan dat hun organisatie bij aanwijzingen voor fraude, corruptie of cybercrime, liever eerst zelf de toedracht onderzoekt. Ze doen pas aangifte als de geconstateerde feiten ernstig genoeg blijken. Logisch, gezien de mogelijke reputatieschade. Men wil dan liever dat het probleem snel en geruisloos wordt opgelost. Maar deze organisaties (en hun eventuele externe ondersteuning) moeten dan wel kunnen garanderen dat het onderzoek zorgvuldig en onpartijdig wordt uitgevoerd en voldoet aan de professionele eisen voor fraudeonderzoek. Dat is gelijkt het tweede dat opvalt. Organisaties maken nog veel te weinig gebruik van data-analyse bij toedrachtonderzoeken, waardoor de onpartijdigheid en de kwaliteit van het onderzoek in het geding komen.”

Investigative data analytics

Als forensisch accountant weet Mikkers uit eigen ervaring dat het toepassen van investigative data analytics meer vraagt dan slimme software voor datamining en data-analyse alleen. “Bij forensische data-analyse gaat het er in essentie om dat je uit de overdaad aan beschikbare data een dataspoor destilleert dat de gesignaleerde feiten kan verklaren”, verklaart Mikkers. “Dat proces begint met het stellen van de juiste onderzoeksvragen. Daarvoor is het belangrijk dat het onderzoeksteam multidisciplinair is ingericht, met naast data-analisten en kunstmatige intelligentie-experts, ook mensen die weten hoe een crimineel denkt en intuïtief aanvoelen als iets niet in de haak is. Zelf maken we ook gebruik van psychologen, criminologen, en gedragswetenschappers. Zij dragen andere onderzoekshypotheses aan en durven de nog niet-gestelde vragen te stellen. Technologie is maar een tool. De vindingrijkheid, de veelzijdigheid, en de intuïtie van het team moeten ervoor zorgen dat het instrument intelligent wordt ingezet.”

Download hier PwC’s Economic Crime Survey 2019