Nieuws 20 juli 2017

LIO-bijeenkomst over fraude: voorkomen is beter dan genezen

'Vaak stond bij internal audit het stoplicht ook al op rood.' Dat was één van de statements tijdens een bijeenkomst die de NBA-ledengroep intern en overheidsaccountants (LIO) recent organiseerde over fraude, onder het motto 'voorkomen is beter dan genezen'.

Marc Schweppe

Publiekstrekker Arthur Docters van Leeuwen, voorzitter van de stichting SIO (Stimuleringskader Integere Organisatie), ontbrak eind juni tijdens de bijeenkomst op kasteel Nyenrode. Hij moest wegens ziekte verstek laten gaan. Daarom introduceerde Leen Paape (Nyenrode), als lid van de raad van advies van SIO, dit 'normenkader voor integriteitsmanagement'. Hij waarschuwde daarbij vooraf wel voor een belangrijke wetmatigheid, als het om fraude gaat: "Naarmate je meer naar winst streeft, neemt het risico op niet-integer handelen toe."

Kernthema's

De stichting SIO verzorgt onder andere een meerdaags opleidingsprogramma, dat professionals moet helpen bij het implementeren van het stimuleringskader in de eigen organisatie. Maar effectief integriteitsmanagement of niet, incidenten zullen altijd blijven voorkomen, stelde Paape realistisch "en het kost een bak met geld". Tegelijk is het zijn "volle overtuiging" dat een betere context ook leidt tot beter gedrag.

Patrick Bout, directeur van Invictus Integrity & Compliance en ook betrokken bij de stichting SIO, gaf in aansluiting op Paape een nadere uitleg van de zeven kernthema's van het SIO-normenkader, die weer elk zijn onderverdeeld in normelementen. Het kader is "auditeerbaar en certificeerbaar", aldus Bout en daarmee een effectieve manier om weg te komen van het "vage begrip integriteit". Het kader omvat elementen als het volwassenheidsniveau van een organisatie, de wijze van verantwoording en toezicht en de invulling van de compliancefunctie, inclusief wijze van melding en incidentenafhandeling. De SIO-leergang is ook nog goed voor dertig PE-punten, benadrukte Bout.

Zelf kijken

Bij de start van de aansluitende discussie verhaalde Maarten de Jong, oud-directeur integriteit bij de Wereldbank, uit zijn ervaringen met internal auditors bij die organisatie: "Ik had regelmatig het gevoel dat er veel geld van de Wereldbank werd gestolen. Maar als ik het aan de auditdienst vroeg was er niks aan de hand, want alles klopte." De Jong wees de controleurs dan graag op de situatie ter plaatse in bepaalde landen: "Ben je zelf wel eens wezen kijken daar?"

In veel gevallen is sprake van een combinatie van zwaktes in het systeem en persoonlijke zwakheid. Het normenkader van SIO helpt accountants om te zien waar de problemen zitten en moet zo leiden tot een veiliger cultuur. "En dat heeft niks met geitenwollen sokken te maken", aldus De Jong.

De panelleden (Paape, Bout en De Jong) waren het eens over het belang van het delen van dilemma's binnen organisaties. Medewerkers moeten vooral met elkaar praten over dilemma's uit de eigen werkervaring, dat is effectiever dan fictieve voorbeelden die in spelvorm worden ingebracht.

Het integriteitsbeleid tijdens een dagje op de hei bedenken en op maandagochtend rondmailen, dat gaat niet werken, zo werd gesteld. Gespreksleider Robert Mul (NBA) vroeg zich tegelijk af of een normenkader als SIO niet de zoveelste hype is. Is integriteit wel te managen? Een absolute norm is er zelden, maar van belang is vooral om samen het gesprek te voeren over wat er wel en niet kan, meende Paape, "het gaat om het creëren van een veilige omgeving".

Huis voor Klokkenluiders

Als afsluiting van de LIO-bijeenkomst gaf Jitse Talsma, beleidsmedewerker bij het Huis voor Klokkenluiders, een inkijkje in het werk van dat nieuwe huis. Tot eind 2016 kwamen bij die organisatie al meer dan vijfhonderd meldingen en adviesaanvragen binnen. Zeker zeventig daarvan betroffen echte klokkenluiderszaken, ruim 180 verdienden nog nader onderzoek. Zorgwekkend is de constatering dat van de zeventig concrete zaken er vijftig nadelig bleken voor de betreffende klokkenluider. "Meestal betekent het ook het einde van de werkrelatie", stelde Talsma, hoewel een werkgever een werknemer niet mag benadelen bij het te goeder trouw melden van misstanden.

Minder dan de helft van de toehoorders bleek op de hoogte van hun eigen interne meldingsregeling voor klokkenluiders, die iedere organisatie met meer dan vijftig werknemers behoort te hebben. Misstanden moet je eerst intern melden en zo nodig vervolgens extern bij de meest passende instantie. Het Huis voor Klokkenluiders in Utrecht is een last resort, aldus Talsma.

In zijn optiek past de internal auditfunctie goed bij een rol als vertrouwenspersoon binnen organisaties, want IAD-ers zijn gewend aan het omgaan met normen en werkelijkheid. En dat blijkt ook bij meldingen van misstanden: "Vaak stond bij internal audit het stoplicht ook al op rood."

Wanneer is het Huis voor Klokkenluiders een succes, wilde gespreksleider Mul weten. "Zodra we het weer kunnen opheffen", antwoordde Talsma. Daarmee refereerde hij aan een soortgelijk statement van de eerste Huis-voorzitter Paul Loven, bij de opening in juli 2016.