Frauderisico's worden steeds complexer en het risicolandschap verandert steeds sneller. Moderne auditprofessionals maken steeds vaker gebruik van forensische specialisten en technologieën.
De ontwikkeling van economische criminaliteit verloopt parallel aan de ontwikkeling van de technologie in de handel en het bedrijfsleven. Naarmate de overdracht van waarde verschoof van ruilhandel naar het gebruik van financiële instrumenten, en de relaties tussen handelaren steeds vaker op afstand en via tussenpersonen verliepen, kwam er meer ruimte voor misbruik van de nuttige mechanismen die effectieve handel mogelijk maken. Hebben de veranderingen in de zakelijke technologie als gevolg van de digitale revolutie een vergelijkbare impact gehad op de uitvoering, detectie en preventie van economische criminaliteit?
EY en de Association of Chartered Certified Accountants hebben onderzoek gedaan naar deze vraag en de implicaties ervan. Het hieruit voortgekomen rapport is hier beschikbaar (pdf). Het rapport gebruikt actuele denkwijzen van senior bestuurders in onze netwerken om een analyse van de huidige situatie te maken en enkele belangrijke aanwijzingen voor de toekomst te geven.
Hoofdstuk 1
De evolutie in de digitale omgeving
Digitalisering heeft niet alleen het volume en de snelheid van de aanvallen van economische criminelen vergroot, maar ook de reikwijdte.
Naarmate de technologie zich verder ontwikkelt, komt er meer ruimte om bestaande vertrouwensmechanismen aan te vullen of zelfs te vervangen door technologische hulpmiddelen.
Ons panel is unaniem van mening dat de digitalisering heeft geleid tot meer en snellere aanvallen door economische criminelen, en tot een verbreding van deze aanvallen.
Historisch gezien zou "cold call" fraude per brief of telefonisch worden uitgevoerd, met lineaire communicatiekosten voor de daders. Vanwege massamailings en de beschikbaarheid van online geoogste lijsten met e-mailadressen heeft een oplichter tegenwoordig met een enkele aanval een veel groter aantal doelwitten.
Anthony Harbinson, directeur van Safer Communities, Noord-Ierland: "Als je 1000 e-mails verstuurt en je krijgt maar één antwoord, dan kan die al een aanzienlijk bedrag opleveren."
Als gevolg van ondergrondse chatrooms en versleutelde communicatie kunnen criminelen hun ideeën veel gemakkelijker uitwisselen en verder verfijnen. Harbinson: "Op het dark web kun je voor een prijs tussen $5 tot $55 een reeks sjablonen kopen die er precies zo uitzien als de communicatiesjablonen van bepaalde organisaties, maar dan met een koppeling naar een bankrekening of adres dat je er zelf aan toevoegt".
Patrick Craig, Partner, Ernst & Young LLP UK en EY EMEIA Financial Crime Technology Leader, waarschuwt: "Om een leger virtuele agenten op te bouwen om aanvallen uit te voeren, kun je via het dark web de benodigde malware, netwerken van gecompromitteerde machines en muilezelaccounts kopen voor het witwassen, in plaats van dat je een leger medeplichtigen nodig hebt om criminele opbrengsten wit te wassen". Dankzij nieuwe technologieën kunnen zelfs criminelen die zelf niet capabel zijn om authentiek ogende fraudedocumenten te ontwerpen, een aanzienlijke bedreiging inhouden voor hun doelwitten.
De global village
Het internet heeft de legitieme zakenwereld bevrijd van de ketenen van geografische locaties, maar ook criminelen kunnen nu grensoverschrijdend opereren. Veel consumenten zijn misschien wel op hun hoede bij een buitenlands poststempel op een brief of een vreemd accent in een cold call, maar al deze waarschuwingssignalen kunnen uit een online aanval worden gefilterd door middel van spoofing van e-mail- of webadressen en door gebruik te maken van teksten die door een native speaker zijn gecontroleerd.
Rachel Sexton, Partner, Ernst & Young LLP UK, Forensic & Integrity Services, heeft een gedragsverandering opgemerkt: "Ik denk dat technologie de criminelen in staat heeft gesteld om op afstand van hun slachtoffers te blijven. We zien aanvallen vanuit de hele wereld komen, bijvoorbeeld gericht op Britse banken. Het wordt allemaal veel geraffineerder doordat de criminelen heel ergens anders wonen en relatief anoniem blijven terwijl ze deze aanvallen uitvoeren."
Niet alleen kunnen bestaande vormen van misdrijf zich gemakkelijker verspreiden, maar technologische ontwikkelingen hebben ook nieuwe vormen van criminaliteit gecreëerd. De ontwikkeling van cryptovaluta's en de beschikbaarheid hiervan als mechanismen voor het anoniem of onder een pseudoniem opslaan of overdragen van fondsen, hebben bepaalde aspecten van de economische misdaad getransformeerd. Toch lijkt conventionele bedrijfsfraude vooralsnog te blijven plaatsvinden met behulp van fiduciair geld.
Claire Jenkins, Forensic Accountant bij UK Companies House: "Ik denk dat de vraag is: in hoeverre voel je je op je gemak wanneer je zaken doet met iemand die volledig in cryptovaluta's betaald wil worden? Is het waarschijnlijk, zelfs in deze tijd, dat mensen deze vorm van betaling accepteren? Ik betwijfel het."
Terwijl een meerderheid van de respondenten van de EY Global Fraud Survey 2018 aangaf dat hun organisaties al op korte termijn regelmatig gebruik zouden gaan maken van digitale betalingssystemen, verwachtte slechts 4% zaken te gaan doen met behulp van cryptovaluta's. Maar in situaties waarin het vertrouwen toch al is aangetast, is het beeld heel anders. De mogelijkheden om anoniem fondsen over te dragen, hebben enorme implicaties voor zowel het witwassen van geld als bredere vormen van economische criminaliteit, zoals mensenhandel.
Gedreven door globalisering en digitalisering wordt het frauderisico steeds complexer en verandert het risicolandschap steeds sneller. Moderne auditprofessionals maken steeds vaker gebruik van forensische specialisten en technologieën om deze frauderisico's te detecteren en te beheersen.
Nieuwe horizons
Het bijhouden van een administratie en het beheren van gegevens zijn altijd cruciaal geweest voor succesvolle zakelijke besluitvorming. Auditing, en het vertrouwen dat hierdoor wordt gecreëerd voor de stakeholders, is afhankelijk van beheersbare en betrouwbare gegevens. Maar in het digitale tijdperk zijn er meer gegevens dan ooit tevoren beschikbaar, zowel qua volume als qua variëteit.
Hier ligt een mogelijkheid voor accountants om nog meer voordeel te halen uit de toenemende hoeveelheid data, door betere inzichten te genereren en de maximale waarde uit de informatiebronnen te halen. Accountants kunnen samenwerken met compliance- en risico-afdelingen om risicogebieden te identificeren en ze kunnen helpen bij het beoordelen van de effectiviteit van de bestaande controlemechanismen.
Aan de andere kan ook de criminele wereld gebruikmaken van deze mogelijkheid. Het is al lang bekend dat een lijst met klanten van een bedrijf zeer waardevol is voor directe concurrenten. Steeds vaker worden criminelen echter niet meer hierdoor gemotiveerd, maar eenvoudigweg door de persoonlijke informatie waarover een bedrijf beschikt.
Economische criminaliteit klinkt op het eerste gezicht misschien als een uitgekauwd onderwerp. Maar onder de oppervlakte duiken voortdurend nieuwe frauderoutes en spelers op. Terwijl je onophoudelijk deze nieuwe risico's aan het bestrijden bent, kun je misschien beter even een pauze nemen om te kijken of je niet beter een transformatie kunt doorvoeren in de manier waarop je mensen, processen en technologieën inzet.
Het is een uitdaging om uit te zoeken waar dergelijke activiteiten precies passen in de matrix van economische criminaliteit, waarbij de uitkomsten dienen als informatie voor de reactie van de regelgever. In een spectrum dat uiteenloopt van fraude tot het witwassen van geld en mogelijk zelfs mensenhandel, is er ook ruimte om doelbewust te richten op de inkomstengenererende systemen van bedrijven als een middel om inkomsten te genereren voor dieven.
Hoofdstuk 2
Beleid en praktijk
De uitdaging: zorgen dat regelgevende en aanverwante infrastructuren proportioneel en goed toegerust zijn om innovatie te ondersteunen en tegelijkertijd essentiële waarborgen te bieden.
Met het veranderende technologische landschap als uitgangspunt hebben ACCA en EY gekeken naar de veranderende rol van toezichthouders, andere overheidsinstellingen en boekhoudkundige professionals bij de bestrijding van economische criminaliteit in het digitale tijdperk. Uit dit onderzoek kwam een duidelijk punt naar voren: de voor het rapport geïnterviewde professionals waren het erover eens dat het algemene doel van het toezicht en de historische spanningen tussen de sector en de innovatie niet zijn veranderd.
Er is nog steeds een dringende behoefte om wet- en regelgeving te creëren die financiële innovatie ondersteunt, en tegelijkertijd de risico's voor consumenten en bedrijven beperkt, gesteund door gecontroleerde informatie ten behoeve van de besluitvorming. Auditors kunnen beoordelen of een bedrijf voldoende controlemechanismen heeft ingevoerd om te voldoen aan de sectorspecifieke wet- en regelgeving in de jurisdictie waarin het bedrijf actief is.
Daarbij gaat het niet alleen over wet- en regelgeving inzake bijvoorbeeld het witwassen van geld, corruptie en belastingontduiking, maar ook over zaken die verband houden met gegevensbescherming, milieu-impact, de behandeling van werknemers en andere kwesties.
Voor toezichthouders en beleidsmakers levert de economische criminaliteit in het digitale tijdperk een aantal specifieke uitdagingen op, naast de uitdagingen waarop al eerder antwoorden zijn geformuleerd. Het gaat hierbij onder meer om uitdagingen op het gebied van anonimiteit, toegankelijkheid en verantwoording.
Anonimiteit
Doordat transacties online plaatsvinden, kunnen fraudeurs hun identiteit verbergen of een valse identiteit gebruiken. Ondoorzichtig fondsenbezit en gecompliceerde financiële structuren zijn al lang bekend als methoden om het zicht van toezichthouders te vertroebelen. En contant geld is natuurlijk het klassieke middel om niet-traceerbare betalingen "onder de tafel" te verrichten.
De anonimiteit van cryptovaluta's voegt nu een nieuwe methode toe om betalingen uit te voeren. Deze valuta's zijn van nature anoniem (of pseudoniem, om precies te zijn). Anders gezegd: het adres waarheen de gelden worden overgemaakt is zichtbaar, maar dit biedt geen betrouwbare informatie over de identiteit van de feitelijke tegenpartij of de personen op de achtergrond.
Hierdoor zien we het volgende: "Cryptovaluta's hebben secundaire markten voor criminele activiteiten doen ontstaan doordat de uiteindelijke begunstigde van gelden niet rechtstreeks gevolgd of getraceerd kan worden", aldus Narayanan Vaidyanathan, Head of Business Insights, ACCA. "En dat is een uitdaging die we eerder niet in deze vorm hadden".
Deze versterkte anonimiteit creëert nieuwe uitdagingen voor beleidsmakers, toezichthouders en compliance- en auditprofessionals die het witwassen van geld en andere criminele activiteiten proberen te bestrijden. De hiermee gepaard gaande uitdagingen voor "Know Your Customer" (KYC) vormen de kern van de aanpak van dit probleem. Over deze ruimte wordt nu al fel gestreden tussen criminelen en degenen die hen willen onderscheppen, en die strijd zal in de toekomst alleen maar feller worden.
"Het vermogen om snel en efficiënt de juiste Know Your Customer-controles te bepalen en uit te voeren, is nog steeds de heilige graal van elke compliance-afdeling voor financiële criminaliteit", zei David Higginson, Partner, Ernst & Young LLP UK, Forensic & Integrity Services.
Toegankelijkheid
Financiële criminaliteit is als activiteit gemakkelijker toegankelijk geworden, vanwege het bestaan van experts die verlaagde toetredingsdrempels vinden om financiële misdrijven te plegen, de verspreiding van grote hoeveelheden informatie op het internet en het feit dat veel daders voldoen aan het stereotype van de 'geharde crimineel'.
Vanwege de eigenschappen van de markt voor digitale criminaliteit kan iemand ook de diensten van cybercriminelen inhuren als die persoon zelf niet weet hoe dergelijke misdaden moeten worden uitgevoerd. Door deze mate van toegankelijkheid is het niet langer noodzakelijk om verbonden te zijn met de hackerswereld of te beschikken over een uitgebreid netwerk van contacten of kennis op dit gebied.
Craig: "Een 14-jarige kan op zijn slaapkamer zitten, malware downloaden en een botnet rekruteren om deel te nemen aan een geavanceerde cyberaanval, misschien zelfs zonder het zelf volledig te beseffen. Deze 'gamification' van cyberaanvallen is heel verontrustend".
Een ander facet van de grotere toegankelijkheid is de aanzienlijke toename van grensoverschrijdende activiteiten en de globalisering van economische criminaliteit. De wet- en regelgeving blijft van nature gefocust op jurisdicties.
"De kans dat je wordt opgelicht vanuit Jakarta is net zo groot als de kans dat dit gebeurt vanuit Kiev of een van de eilanden van de Filipijnen", waarschuwt Harbinson.
De crimineel en diens doelwit kunnen zich bevinden in totaal verschillende jurisdicties, waarvan de opsporingsinstanties geen onderlinge contacten hebben. Vanwege deze ongekende toegang tot een wereldwijde verzameling potentiële doelwitten is economische criminaliteit schaalbaar geworden op een niveau dat voorheen ondenkbaar was. En dit brengt aanzienlijke uitdagingen met zich mee voor de regelgeving, omdat het voor overheidsinstanties moeilijk is om hun handelingen grensoverschrijdend net zo snel te coördineren als de criminelen.
Accountability
Kunstmatige intelligentie (of meer specifiek, augmented intelligence en assisted intelligence) kan steeds vaker niet alleen processen, maar ook beslissingen automatiseren. Dat werpt lastige vragen op gezien het geavanceerde karakter van sommige technologieën. Algoritmische modellen kunnen bijvoorbeeld bijzonder complex zijn en het is voor compliance-afdelingen of toezichthouders niet altijd eenvoudig te begrijpen hoe en waarom deze modellen bepaalde resultaten opleveren.
Dit mag echter geen excuus voor zakelijke actoren zijn om zichzelf van elke verantwoordelijkheid te vrijwaren. Uiteindelijk is een 'rechtspersoon' volgens de hedendaagse juridische structuren een individu of een organisatie. De implicatie hiervan is dat menselijk toezicht niet achterwege gelaten kan worden door simpelweg de verantwoordelijkheid over te laten aan een algoritme.
"Het is geweldig dat we algoritmen hebben die kunnen helpen bij het beoordelen van fout-positieven, het identificeren van verdachte handelingen en het signaleren van frauduleuze activiteiten of patronen. Maar het is moeilijk om volledig op deze algoritmen te vertrouwen, want als ze witwasactiviteiten over het hoofd zien of als fout-positief negeren, blijft het risico bij de onderneming”, zei Sexton.
De belangrijkste uitdaging hierbij is het bereiken van het juiste evenwicht in de regelgeving tussen menselijk toezicht en vertrouwen op machines. Wanneer dat verkeerd gaat, kan dit leiden tot grote onvrede in organisaties. Immers, wanneer iets goed gaat krijgt de technologie de eer, maar wanneer het fout loopt krijgt de mens de schuld. De uitdaging is om te zorgen voor proportionele en eerlijke wet- en regelgeving en de bijbehorende regimes, die voldoende ruimte bieden aan innovatie en tegelijkertijd essentiële waarborgen bieden voor de verantwoording.
Moet wettelijke of juridische verantwoordelijkheid anders worden toegepast bij een gebrekkig kredietmodel dat opzettelijk wordt gemanipuleerd voor frauduleuze doeleinden, dan bij een model dat onbedoeld wordt gevoed met onzuivere gegevens? Om dit goed te kunnen inschatten, moeten toezichthouders een zekere mate van gedetailleerd inzicht hebben in de technologische ontwikkelingen en de gevolgen hiervan voor verantwoording en integriteit.
Hoofdstuk 3
Aandacht voor best practices
Nieuwe technologieën creëren mogelijkheden voor misbruik, maar ze kunnen ook helpen bij de bestrijding van criminaliteit, zowel door detectie als door preventie.
De inzet van AI en forensische data-analyse om de risicobeoordeling bij banken en financiële instellingen te verbeteren, heeft belangrijke gevolgen voor de effectiviteit van controlemechanismen tegen witwassen en overtredingen van sancties. Bovendien kunnen activiteiten worden gestroomlijnd en kan de consistentie worden verbeterd dankzij robot process automation (RPA), terwijl compliance- en auditprofessionals minder tijd hoeven te besteden aan routinematige, regelgebaseerde taken en zich beter kunnen concentreren op gebieden met verhoogd risico.
Een kruiscontrole van identiteitsgegevens om een rekening te verifiëren kan snel en goedkoop genoeg worden uitgevoerd om de beveiliging te verbeteren zonder de klantervaring onnodig te hinderen. Hierdoor komt de 'heilige graal' van Higginson binnen handbereik, zoals beschreven in het vorige hoofdstuk.
Op dezelfde manier kan een analyse van de uitgaven op onkostenrekeningen van salesteams helpen bij het identificeren van omkoping of faciliterende betalingen die niet voldoen aan het bedrijfsbeleid.
Harbinson beschreef het probleem als volgt: "Als je ziet dat er veel geld wordt uitgegeven aan bars, hotels, restaurants, stripclubs… dan moet er iemand zijn die daarnaar kijkt en controleert of dit allemaal wel klopt, en of het toegestaan is. Als je iemand een creditcard geeft, of een onkostenrekening, waar wordt die dan voor gebruikt? En overtreedt de organisatie dan bewust of onbewust de wet?"
Daarnaast kunnen meer specifieke tools helpen bij due diligence en onderzoek. Speciale applicaties kunnen voor due diligence en onderzoek worden ingezet, waarbij rekening wordt gehouden met unieke risico's die specifiek zijn voor bepaalde sectoren, regio's of organisaties.
Door de beschikbaarheid van geavanceerde AI en tools voor forensische data-analyse kunnen bedrijven veel méér doen dan alleen enkele onrechtmatige betalingen onderscheppen.
Dankzij de mogelijkheden om naast gestructureerde gegevensbronnen ook ongestructureerde data te analyseren en de bevindingen te integreren door middel van gedragsanalyse en analyse van sociale netwerken, kunnen werkgevers (binnen de grenzen van lokaal geldende privacywetgeving) verschillende technieken zoals voorspellende modellen, audioanalyse, text mining en geospatiale analyse met elkaar combineren om een compleet beeld te krijgen van de indicaties voor risico's. Deze informatie kan worden gebruikt om beslissingen over escalatie te nemen en interventies te richten op de gebieden waar ze het meest effectief zijn.
Hoewel deze tools intern waardevol kunnen zijn voor een organisatie, is het gebruik ervan bij de bestrijding van nieuwe grensoverschrijdende vormen van economische criminaliteit vaak problematisch.
"We benutten nog maar een fractie van de mogelijkheden van wat AI en data-analyse kunnen doen voor de detectie en preventie van fraude", zegt Todd Marlin, EY Global Forensic Technology Leader. “Maar dit zijn middelen om een doel te bereiken. Terwijl ondernemingen meer investeren in verdere invoering van technologie, moeten ze in het achterhoofd houden dat het uiteindelijke doel is om betere inzichten en meer transparantie te creëren, en dat een solide en veilige datastrategie de sleutel is om dat doel te bereiken".
In veel jurisdicties worden beperkingen opgelegd aan gegevensoverdracht. Dit is vaak een uitdaging voor bedrijven die gegevensbronnen moeten kunnen onderzoeken voor grensoverschrijdende transacties. Maar dankzij nieuwe ontwikkelingen zoals homomorfe versleuteling, waarmee versleutelde gegevens op afstand kunnen worden onderzocht zonder dat grensoverschrijdende gegevensoverdracht nodig is, zouden toch alle analytische tools gebruikt kunnen worden.
Door op grote schaal gebruik te maken van technologieën zoals zero-knowledge proof, waarmee versleutelde informatie kan worden geverifieerd, en self-sovereign identity, waarbij de identiteit van een persoon wordt geverifieerd zonder uitvoerige gegevensoverdracht, zou de noodzaak voor data-aggregatie binnen bedrijven nog verder beperkt kunnen worden. Wanneer het niet langer noodzakelijk is om grote archieven vol met potentieel waardevolle informatie in herbruikbare vorm te bewaren, worden bedrijven minder aantrekkelijk als doelwit voor criminelen.
Samenwerken aan verbeterde detectie en preventie
Veel van de panelleden zagen een behoefte aan informatie-uitwisseling en samenwerking tussen instanties en bedrijven. Ze formuleerden deze aanbeveling op verschillende niveaus, van samenwerking tussen regelgevers en afzonderlijke bedrijven tot en met internationale samenwerking.
Dit werd vaak genoemd als een effectiever antwoord op economische criminaliteit dan een traditioneel strafrechtelijk regime: het ondersteunen van een cultuur van samenwerking tussen instanties en bedrijven wordt effectiever geacht dan alleen het opleggen van straffen.
Anne McCormick, Ernst & Young EMEIA Public Policy and Network Engagement Leader: "Auditors hebben een rol te spelen, maar vormen slechts één onderdeel van een veel breder ecosysteem". Leiders op het gebied van cyberbeveiliging maken onderscheid tussen verschillende niveaus van informatie-uitwisseling die belangrijk zijn om de detectie van economische criminaliteit te verbeteren:
- Binnen de organisatie. Scott Jarrell, leider van Forensic Data Analytics van EY Americas, Forensic & Integrity Services, merkte op dat er nog steeds verbeteringen nodig zijn in de manier waarop bedrijven informatie intern delen tussen afdelingen: "Historisch gezien hebben veel financiële instellingen gewerkt in een informatiesilo en de mogelijkheid om kruisverwijzingen te maken naar gegevens van andere bedrijven zou belangrijker moeten worden". Een rapport uit 2015 van EY en Chartis stelt: "Daarom is een geïntegreerde aanpak nodig voor het beheersen van de risico's van financiële criminaliteit en de compliance, zodat criminele aanvallen en fraude beter gedetecteerd kunnen worden".
- Binnen de publieke en private sector. De geïnterviewde panelleden beschreven de noodzaak voor toezichthouders en financiële instellingen om nauwer samen te werken bij een gezamenlijke aanpak van economische criminaliteit. Ondersteuning van realtime informatie-uitwisseling tussen verschillende sectoren biedt duidelijke voordelen om de opsporing en preventie van criminaliteit te versterken — maar er zijn ook uitdagingen. Mark Le Page, directeur van Ernst & Young LLP UK, Advisory, merkte op dat sommige toezichthouders, zoals de Britse Financial Conduct Authority, ook een mandaat hebben om de vrije mededinging te beschermen. Daarom werd gewaarschuwd dat bij het uitwisselen van informatie tussen sectoren en financiële instellingen ook terdege rekening moet worden gehouden met commerciële belangen, zoals de bescherming van intellectuele eigendommen.
- Wereldwijd. Volgens panelleden vereist de groei van grensoverschrijdende criminaliteit dat toezichthouders en wetshandhavers hun respons in dezelfde mate opschalen. Sexton: "Omdat financiële criminaliteit tegenwoordig wereldwijd is, treedt dit probleem niet alleen op binnen één jurisdictie of zelfs maar alleen binnen de EU. Het omspant een groot aantal verschillende jurisdicties". Een centrale boodschap vanuit het ACCA & EY Small and Medium-sized Enterprises (SME) Network was dat overheden en financiële instellingen moeten samenwerken.
Het recht op individuele privacy vormt een duidelijke hindernis voor openlijke informatie-uitwisseling. "De wetten inzake gegevensprivacy die we nu hebben, en de AVG [Algemene Verordening Gegevensbescherming] in het bijzonder, bemoeilijken het uitwisselen van informatie", zei Nick Maginot, Partner, Ernst & Young Australia, Forensic & Integrity Services. Het is duidelijk noodzakelijk een compromis te vinden tussen enerzijds overheidsinterventie op het gebied van persoonlijke privacy en informatie-uitwisseling tussen instellingen zonder toestemming, en anderzijds de uiteenlopende nieuwe uitdagingen die het gevolg zijn van economische criminaliteit in een digitaal tijdperk.
Jack Jia, Partner, Ernst & Young China, Forensic & Integrity Services: "Het delen van gegevens met derden of het gebruiken van gegevens voor aanvullende analyses kan een uitdaging zijn. Stel dat een bank zich zorgen maakt over bepaalde creditcardtransacties. Ze willen de creditcardtransacties ter beoordeling naar een externe provider van data-analyses sturen. Maar het overdragen van gegevens aan externe partijen kan een inbreuk op de gegevensprivacy inhouden".
Een verschoven paradigma: preventie van economische criminaliteit
Het nut van nieuwe detectie-instrumenten voor het opsporen van criminaliteit in het bedrijfsleven moet door zowel managers als toezichthouders en opsporingsinstanties worden onderschreven. Het gebruik van deze instrumenten moet worden aangemoedigd binnen wettelijke kaders, die zijn aangepast om ook waarde toe te kennen aan bewijs dat is gegenereerd of verzameld door AI-tools. Criminelen zullen eerder afzien van illegale activiteiten als ze tot de slotsom komen dat het risico van detectie te groot is.
Integriteit is de sleutel om een organisatie tot een "vijandige omgeving" voor economische criminaliteit te maken. Voortbouwend op de kernelementen van governance, cultuur, controlemechanismen en inzichten, kan een bedrijf menselijke factoren combineren met uitgebreide tools op basis van innovatieve technieken, zodat de kloof tussen de intenties en de acties van de organisatie wordt overbrugd.
Terwijl ondernemingen investeren in verdere invoering van technologie, moeten ze in het achterhoofd houden dat het uiteindelijke doel is om betere inzichten en meer transparantie te creëren.
Informatie die door verbeterde monitoring en analyse in de controleomgeving wordt verzameld, leidt tot betere inzichten in de menselijke beslissingen die bepalend zijn voor het bedrijf. Hierdoor kunnen de bestuursmechanismen worden aangepast om een compliance cultuur te creëren en te versterken waarin 'het juiste doen' de standaardhandeling wordt en de opportuniteitskosten van de gevolgen van 'verkeerde handelingen' worden vermeden.
Deze vernieuwde en geëvolueerde structuren vereisen veranderingen in de vaardigheden en benaderingswijzen van werknemers en managers, maar ook in het beleid en de processen. Bedrijven moeten in hun personeel investeren, zodat ze inzicht krijgen in de implicaties van effectief gebruik van AI, en in de juridische consequenties en de reputatieschade die ontstaan als de risico's waarmee AI gepaard gaat, verkeerd worden ingeschat.
Een intrinsiek menselijk element in de strijd tegen criminaliteit is de klokkenluider. Meerdere panelleden wezen op het belang van effectieve klokkenluidersregelingen die zowel de preventie als de opsporing van economische criminaliteit ondersteunen. Harbinson zag bijvoorbeeld "de ontwikkeling van klokkenluidersregelingen binnen de eigen organisatie" als een cruciaal aspect van de verdediging tegen economische criminaliteit. Hij voegde daaraan toe dat deze bescherming ook "toegankelijk moet zijn voor de leveranciers en de klanten van de organisatie".
Uit een reeks onderzoeken van ACCA naar het bewustzijn bij kleinere bedrijven van omkoping en corruptie, en de impact hiervan op die bedrijven, bleek dat de ondervraagden grootschalige vervolging pas op de vierde plaats zetten van de vijf voorgestelde bestrijdingsmethoden. De invoering van wetgeving en regelingen voor klokkenluiders steeg op de ranglijst van effectieve methoden van de derde plaats in 2007 via de tweede plaats in 2013 naar de eerste plaats in 2019.
In het midden- en kleinbedrijf, met zijn beperkte middelen, is het van essentieel belang dat er toegang is tot stakeholderprogramma's, zij het van de overheid of van supply chain-partners. De praktische uitdagingen voor een effectieve implementatie van klokkenluidersregelingen mogen niet worden onderschat. Het creëren van wet- en regelgeving en procedures is minder dan de helft van de oplossing. Culturele factoren, zowel in het bedrijfsleven als in de samenleving, staan vaak de effectiviteit van dergelijke initiatieven in de weg.
De rol van auditprofessionals
Naast de interne controlemechanismen die door bedrijven worden ingezet, moeten we ook kijken naar de mogelijke impact op het beroep van auditor. Bij een onderzoek van ACCA naar de percepties onder het grote publiek bleek dat veel ondervraagden vinden dat auditors verantwoordelijk moeten zijn voor het blootleggen van fraude op elk niveau (ongeacht materialiteitsoverwegingen en de huidige regelgevingskaders).
Slechts 30% van alle ondervraagden wereldwijd erkende dat er wellicht grenzen zijn aan het vermogen van auditors om fraude op te sporen. In het Verenigd Koninkrijk verwachtte 69% van de ondervraagden dat auditors fraude kunnen opsporen die gevolgen heeft voor het jaarverslag of dat ze alle fraude kunnen opsporen en melden, ongeacht omvang of impact.
Historisch gezien zou de beroepsgroep op deze verwachtingen hebben gereageerd door te zeggen dat een analyse van 100% een dermate intensieve inzet van mensen en middelen vereist, dat dit economisch niet haalbaar is, hoe aantrekkelijk deze ambitie ook zijn mag en wat de conceptuele rol van de auditor ook is. Maar de technieken die worden gebruikt om afwijkend gedrag in realtime te detecteren en te voorspellen, kunnen in een historische audit worden toegepast om patronen te achterhalen die alleen achteraf zichtbaar worden.
Uiteraard blijft het opsporen van alle economische criminaliteit een onmogelijkheid omdat er vastberaden criminelen zijn die gelijkwaardige technologieën inzetten om zich aan detectie te onttrekken. Maar als de kosten voor het verbergen van de misdaad zwaarder wegen dan de voordelen die door de misdaad worden verkregen, is dit alleen al voldoende om rationele criminelen af te schrikken.
Zelfs al biedt analyse het voordeel dat aandachtspunten gesignaleerd kunnen worden, er blijft toch een rol weggelegd voor de bekwame en sceptische auditor. De effectiviteit van deze mechanismen is niet alleen afhankelijk van een doeltreffende inzet van technologie, maar ook van menselijk ingrijpen. "We moeten evenveel investeren in het trainen van mensen om voorspellingen op de juiste manier te gebruiken als in het genereren van de voorspellingen zelf", concludeerde Alex Albright, een onderzoeker van Harvard die onderzoek deed naar veronderstelde vooringenomenheid bij beslissingen over borgtochtverlening met behulp van AI, blijkens een citaat in Wired.
De uitdaging voor de auditwereld gaat net zozeer over het vaardigheidstekort als over de technologiekloof. Professionals moeten uiteraard mogelijkheden ontwikkelen om nieuwe tools te gebruiken, zodat ze interne compliance-functies kunnen ondersteunen door hun fraudebestrijdingsmaatregelen te evalueren. Maar om maximaal profijt uit deze inspanningen te halen, moeten ze hun bevindingen op een effectieve manier interpreteren en presenteren aan het management en de toezichthouders.
Professionals moeten helder en effectief communiceren over de resultaten van hun assurance-werkzaamheden. Dit helpt degenen die verantwoordelijk zijn voor fraudedetectie om betere systemen te ontwikkelen, en degenen die verantwoordelijk zijn voor het opstellen van wet- en regelgeving om kaders en voorschriften te implementeren waarin de mogelijkheden van de nieuwe technologie tot uiting komen.
Dit geïntegreerde en responsieve kader van bestrijdingsmaatregelen en assurance zal uiteindelijk helpen om vertrouwen te creëren in het vermogen van bedrijven om de maatschappelijke risico's van digitale economische criminaliteit te beheersen.
Samenvatting
Het mes van de technologie snijdt aan twee kanten: het is een vector voor criminaliteit, maar het is ook een middel om enorme hoeveelheden nieuwe waarde te creëren en deze te beschermen tegen financiële criminelen. Maar technologische tools alleen zijn niet genoeg om misdaad te bestrijden. De mens geeft de doorslag. En professionele accountants staan hierbij als vertrouwde actoren centraal in elke organisatie.
