Risico’s identificeren
Om tot een grondige lijst van de fraudescenario’s te komen kunt u een brainstormsessie organiseren met medewerkers van verschillende disciplines. Tijdens deze sessie formuleert de groep met behulp van de fraudedriehoek verschillende fraudescenario’s die kunnen optreden. Vervolgens kijkt u voor elk van de scenario’s welke frauderisico’s kunnen optreden. De risico’s worden vastgelegd in een frauderisicoraamwerk.
Failure Mode and Effects Analysis (FMEA)
Met behulp van een Failure Mode and Effects Analysis (FMEA) kunt vervolgens de gesignaleerde frauderisico’s prioriteren. Met deze techniek geeft u scores aan de ernst, frequentie en detecteerbaarheid van de frauderisico gebeurtenis. Op basis van deze scores kunt u de risico prioriteit score (RPS) bepalen, waarbij een hogere score een groter risico is. Op deze manier heeft u in een helder overzicht welke frauderisico’s het meeste aandacht vragen en waarvoor de beheersing verder geoptimaliseerd moet worden.
Beheersing
Nadat de fraudescenario’s zijn overwogen en de frauderisico’s zijn vastgesteld en geprioriteerd, moet u bepalen welke beheersingsmaatregelen, voor zover aanwezig, al zijn ingevoerd om deze risico’s te beperken. Hierbij kunt u gebruik maken van overzicht van beheersmaatregelen (‘best practices’), zoals wij die op basis van onze ervaringen opgesteld hebben.
Soft controls
Veel organisaties hebben formele mechanismen ingevoerd (bijv. hulplijnen voor klokkenluiders, online formulieren of speciale emailadressen) om de melding te bevorderen van mogelijke frauduleuze handelingen en zwakke punten in de interne controle, die de organisatie aan frauderisico’s zouden kunnen blootstellen. Echter deze mechanismen werken alleen als sprake is van een veilige werkomgeving en het management de medewerkers stimuleert om open en transparant met elkaar te communiceren. Daarom is het belangrijk om bij de frauderisicoanalyse de soft controls in de organisatie mee te nemen.