What lies beneath
Bias & Co (3)
What lies beneath – Bias & Co (3)
In de bijdrage van vorige week brachten we de psychologische mechanismen in kaart die de ware aard van ernstige frauderisico’s vertekenen of zelfs aan ons zicht onttrekken. Vanaf deze week gaan we nadenken over hoe we daarin verandering kunnen brengen.
Ofschoon de medewerkers, betrokken bij een fraud risk assessment (FRA), een volledig beeld moeten hebben van de soorten fraudes die bestaan, om in te kunnen schatten welke fraudes kunnen optreden en wat de impact daarvan kan zijn, hebben we in de vorige bijdragen pogen aan te tonen dat het om te beginnen geen sinecure is om frauderisico’s te identificeren. De vertekeningen van de werkelijkheid, die tijdens het identificatieproces kunnen optreden, zijn veelvuldig en blijken bovendien ingebakken in de menselijke natuur.
We begrijpen frauderisico’s vooral verkeerd omdat we ons laten leiden door verhalen, sensaties en emoties, met als gevolg dat we een slecht beeld hebben van de kans dat bepaalde gebeurtenissen zich zullen voordoen. In het dagelijkse leven zijn we niet introspectief genoeg om te beseffen dat we minder begrijpen hoe de dingen gaan dan we denken. Daarnaast is de notie van ‘frauderisico’ vaak te abstract voor ons en richten we ons op eenduidige gebeurtenissen die gemakkelijk voorstelbaar zijn. We zagen al dat we ons zorgen maken over risico’s, maar alleen over de verkeerde.
Dat we met modellen zoals de fraudedriehoek, de archetypen van Wells en de raamwerken van de ‘anti-frauderichtlijn’ van de ACFE, IIA en AICPA geloven fraude op het spoor te kunnen komen, geeft de meesten van ons waarschijnlijk een veilig en zeker gevoel. Dat het om een vals gevoel gaat, verliezen we uit het oog omdat we zoveel waarde aan deze modellen hechten, ook al weten we dat fraude in se naar zijn aard misleidend is, met name gericht op het verhinderen van ontdekking en bijgevolg moeilijk in het keurslijf van een model te ‘proppen’.
Rekening houdend met al wat voorafgaat menen wij dan ook dat het veilig is te mogen stellen dat de identificatie van frauderisico’s wordt vertekend door subjectiviteit. Alsof dit nog niet volstaat, gaan we zien dat ook het inschatten van kans en impact hieraan onderhevig is. De vraag die zich dan ook opwerpt is of kans en impact wel überhaupt kunnen ingeschat worden.
De klassieke methodiek aangevuld met commentaren
In Bias & Co (2) gaven we al aan dat de drie auditdisciplines dezelfde analysemethode hanteren om kans en impact te bepalen en dat die analyse in elke discipline de basis vormt voor de organisatie van de uit te voeren beheerscontroles.
Er dienen minstens drie categorieën ‘kans’ (lage, redelijke en waarschijnlijke kans) en minstens evenveel categorieën impact (zonder, enige en substantiële impact) onderscheiden te worden. Verslaggevingsfraude blijkt de grootste substantiële impact te hebben terwijl hij het minst vaak voorkomt. Verslaggevingsfraude draagt dan ook de kenmerken van de Zwarte Zwaan in zich.
-
Wat is ‘kans’?
De wetenschapsfilosofie stelt dat ‘Chance is just another word for probability’. ‘Kans’ is dus gewoon een ander woord voor ‘waarschijnlijkheid’.
Kansen inschatten is dus wat in de wetenschapsfilosofie de ‘subjectieve interpretatie van waarschijnlijkheid’ wordt genoemd, wat inhoudt dat een uitspraak over waarschijnlijkheid ons alleen iets zegt over hoe waarschijnlijk de persoon die de uitspraak doet iets vindt. Dat betekent dat, wanneer iemand bijvoorbeeld stelt dat ‘de waarschijnlijkheid op verslaggevingsfraude 1 op 5000 is’, dit alleen iets zegt over hoe waarschijnlijk hij dat vindt.
De subjectieve interpretatie neemt dus de waarschijnlijkheid van ‘iets’ als maatstaf van de kracht van iemands persoonlijke overtuigingen. Echter, we kunnen geen exact getal plakken op de kracht van onze overtuigingen, ofschoon we in staat zouden moeten zijn om een precieze cijfermatige waarschijnlijkheid toe te kennen aan alle uitspraken waarover we een mening hebben. De subjectieve interpretatie van waarschijnlijkheid impliceert dat er geen objectieve data over waarschijnlijkheid bestaan, los van wat mensen geloven. Niemand heeft het juist of fout want iedereen drukt gewoon uit hoe sterk hij of zij de zaak in kwestie gelooft. Natuurlijk moet er ook een objectief feit zijn of er bijvoorbeeld verslaggevingsfraude is of niet, er bestaat alleen geen objectief feit over hoe waarschijnlijk die fraude is volgens de subjectieve interpretatie.
Mogelijkerwijze is dat de reden waarom in de literatuur noch op ‘kans’ noch op ‘impact’ een (exact) getal wordt geplakt.
Om de kans te ‘bepalen’ (wat een krachtiger formulering is dan ‘inschatten’) dat een bepaalde fraude voorvalt, kan volgens de forensische literatuur gebruik gemaakt worden van verschillende bronnen, zoals (1) eigen ervaringen van de organisatie in het verleden, (2) ervaringen in de sector, (3) de ‘exposure’ van de organisatie, (4) de complexiteit van het proces, en (5) informatie over het interne beheersysteem, zoals het aantal mensen dat betrokken is bij de interne beheersing van het proces.
We zagen echter al bij de inventarisatie van de identificatieproblemen dat minstens een van deze bronnen waarschijnlijk op de een of andere manier gebiased is.
-
Wat is impact?
Impact is de mate van ernst van de gevolgen van een gebeurtenis. ‘Impact’ en ‘resultaat’ zijn bijgevolg synoniemen.
Wat impact is, is één ding; impact ‘meten’ is nog iets anders en in de praktijk aartsmoeilijk, zoals blijkt uit het voorbeeld van Ahold. De fraude bij Ahold bedroeg 880 miljoen dollar maar vrat miljarden dollars beurswaarde weg. Uiteindelijk betaalde Ahold een schadevergoeding van 1,1 miljard dollar aan de gedupeerde aandeelhouders.
Impact is bovendien relatief. De globale impact van een verlies van bijvoorbeeld 150.000 euro is voor een kleine onderneming veel groter dan de relatieve impact van eenzelfde verlies voor een grote organisatie.
-
‘Kans + impact’ versus ‘kans x impact’
De geraadpleegde literatuur spreekt doorgaans over ‘kans en impact’ en zet beide begrippen dus naast elkaar. Er zijn evenwel argumenten om beter te spreken over ‘kans maal impact’.
Verwachtingswaarde of de asymmetrie van kans x impact
In hun handboek ‘Management Control Systems’ stellen Merchant en Van der Stede dat het eerste risico dat een organisatie loopt goed haalbare budgettargets zijn omdat dergelijke targets managers niet zouden aanmoedigen om hun uiterste best te doen. De auteurs noemen dit ‘a potential serious risk’ waartegen organisaties zich kunnen beschermen door managers stimulansen (‘incentives’) te geven om hun budgettargets te overtreffen.
Daar stelt Taleb in ‘Misleid door toeval’ tegenover dat een prestatie op een bepaald gebied niet mag beoordeeld worden aan de hand van de resultaten; dat kan alleen aan de hand van de kosten van het alternatief (dat wil zeggen, als het anders was gelopen).
We zijn het niet eens met de stelling van Merchant en Van der Stede dat het eerste risico van organisaties goed haalbare targets zouden zijn. Moeilijker haalbare targets, de zogenaamde ‘big hairy audacious goals’, worden volgens de auteurs verondersteld de competitiviteit van werknemers aan te scherpen. Echter, dergelijke targets zouden weleens kunnen aanzetten tot targetmanipulatie wat naar onze mening meer kan kosten dan bijvoorbeeld een paar procent misgelopen omzet.
Taleb geeft een voorbeeld van asymmetrische kansen en resultaten dat kan gezien worden als tegenargument voor de stelling van Merchant en Van der Stede. Asymmetrische kansen betekenen dat de waarschijnlijkheid voor elke gebeurtenis niet vijftig procent is, maar dat de waarschijnlijkheid aan de ene kant hoger is dan aan de andere kant. Asymmetrische resultaten houden in dat de uitbetalingen niet gelijk zijn.
Stel, een individu kiest voor een gokstrategie waarbij hij een kans van 999 op 1.000 heeft om 1 euro te verdienen (gebeurtenis A) en een kans van 1 op 1.000 om 10.000 euro te verliezen (gebeurtenis B). Zijn verwachting is in dit geval dat hij, op basis van de vermenigvuldiging van de kansen met de corresponderende resultaten, een verlies van om en nabij 9 euro zal lijden.
| Gebeurtenis | Kans | Resultaat = Impact | Verwachtingswaarde |
| A | 999/1000 | 1€ | 0,999€ |
| B | 1/1000 | -10.000€ | -10€ |
| Totaal | -9.001€ |
De waarschijnlijkheid van het verlies is op zichzelf totaal irrelevant; men moet bij de beoordeling de grootte van het resultaat erbij betrekken. A is in dit geval veel waarschijnlijker dan B. Er is een grote kans dat ik geld verdien door op gebeurtenis A te wedden, maar dat is geen goed idee.
De auteur vraagt zich vervolgens af hoe het kan dat mensen dit niet zien. Waarom verwarren ze ‘waarschijnlijkheid’ en ‘verwachting’, dat wil zeggen ‘waarschijnlijkheid’ en ‘waarschijnlijkheid maal het resultaat’ (dus: kans x impact)? Hij beantwoordt zijn vraag door te stellen dat dit voornamelijk komt doordat mensen in hun opleiding vooral voorbeelden van symmetrische situaties voorgeschoteld krijgen, zoals het opgooien van een munt, waarbij dit verschil er niet toe doet.
Tot zover de argumentatie van Taleb. Nu gaan we Merchant en Van der Stede confronteren met Taleb door bovenstaand voorbeeld als volgt te wijzigen:
Laten we het voorbeeld nemen van een moeilijker haalbare omzettarget en aannemen dat de kans dat die target gehaald wordt, gebeurtenis A, 70% is en de kans op fraude omwille van die moeilijker target, gebeurtenis B, 30%. Stel nu dat A de kans op een omzetstijging van 10% inhoudt en B de kans op een schade van 40% (bijvoorbeeld 40% fictieve omzet door manipulatie van de omzeterkenning):
| Gebeurtenis | Kans | Resultaat =Impact | Verwachtingswaarde |
|---|---|---|---|
| A | 70% | 10% | 7% |
| B | 30% | -40% | -12% |
| Totaal | 100% | -5% |
Moraal van het verhaal: de organisatie die het uiterste van haar managers vergt zou weleens meer kunnen verliezen dan winnen met haar aanpak. In ons voorbeeld is dat risico duidelijk aanwezig. Prestaties – hier: het behalen van opgelegde targets – mogen dan ook niet beoordeeld worden aan de hand van de resultaten; organisaties moeten rekening houden met de kostprijs van mogelijke alternatieven, te meer omdat de (schijnbare) positieve gevolgen van een daad alleen ten goede komen aan de handelende (of manipulerende) persoon, omdat die zichtbaar zijn, terwijl de aandeelhouders, het personeel en andere belanghebbenden ooit zullen geconfronteerd worden met de negatieve gevolgen, die – althans voorlopig – onzichtbaar zijn.
De twee voorbeelden suggereren dan ook dat eerder ‘verwachtingswaarden’ (kans x impact) moeten geanalyseerd worden dan ‘kans en impact’.
Helaas worden organisaties en hun medewerkers niet betaald in waarschijnlijkheden, maar in euro’s. Het gaat er daarom niet om hoe waarschijnlijk het is dat een gebeurtenis zich voordoet, maar hoeveel er wordt verdiend of verloren wanneer deze of gene gebeurtenis zich voordoet. Hoe vaak er winst of verlies wordt gemaakt is irrelevant; wat telt, is de grootte van het resultaat.
Of iets zich al dan niet voordoet, is slechts van belang als de impact enorm is. Hoe zeldzamer de gebeurtenis, hoe minder we de impact ervan kunnen kennen en hoe meer we ons vertrouwen op theorie. Niet toevallig richt onze studie zich dan ook op verslaggevingsfraude omdat deze fraudevorm, volgens de tweejaarlijkse frauderapporten van de ACFE, het minst vaak voorkomt maar de grootste impact heeft. Fraude met bedrijfsmiddelen is weliswaar het waarschijnlijkst maar heeft de kleinste impact terwijl corruptie, met een redelijke kans en dito impact hierop, de middengroep vormt.
Terug naar af, of toch niet?
Ofschoon ‘verwachtingswaarde’ een goed alternatief vormt voor ‘kans en impact’ moeten we de lezer toch waarschuwen.
De techniek van de verwachtingswaarde heeft weliswaar als voordeel dat frauderisico’s mathematisch kunnen becijferd worden maar de cijfers zijn geen objectieve en exacte getallen. De techniek wordt dan ook naar verwachting gebiased door dezelfde systematische fouten als het geval was bij het identificeren van frauderisico’s.
In het slechtste geval zullen de berekeningen een gevaarlijk vals gevoel van veiligheid geven aan de organisatie en haar fraud risk assessment team. De organisatie gaat immers bij het kiezen van de juiste fraudebeheersmaatregelen steunen op de conclusies van het assessment team. Wanneer de conclusies niet sluitend zijn, dan zullen de gekozen beheersmaatregelen dat ook niet zijn.
De cijfers in de voorbeelden hierboven zijn dan ook niet meer dan maatstaven van de kracht van iemands persoonlijke overtuigingen. Daar een volledige organisatie aan overleveren zou meer dan één brug te ver zijn.
Niettemin is het onzes inziens altijd beter om fraude te voorkomen dan te genezen, toch zeker in het geval van verslaggevingsfraude. Wanneer in dat kader verwachtingswaarden worden berekend, wordt bij voorrang die waarde weerhouden die de impact van fraude het meest beperkt, ook al moet de organisatie dan haar targets neerwaarts bijstellen. Het strekt dus zeker tot aanbeveling om met ‘pessimistische’ verwachtingswaarden te werken wanneer verslaggevingsfraude het potentieel zwaarste risico voor de organisatie is: de enorme asymmetrie van kans en impact bij dit soort fraude moet immers tot nadenken stemmen.
Maar ook die aanpak is niet zaligmakend. In het assessment team, of in de raad van bestuur, die uiteindelijk de mate van risicoaanvaarding moet vaststellen, kunnen namelijk stemmen opgaan dat de uitkomst bij de haren gegrepen is. Critici binnen het team zouden hun expertmacht kunnen aanwenden om de verwachtingswaarde af te zwakken of de raad van bestuur zou kunnen opwerpen dat de voorgestelde maatregelen te duur, te veel of te tijdrovend zijn of nog erger: dat een doorgedreven focus op veiligheid de doelstellingen van de organisatie in de weg staat.
Echter, wanneer er echt fraude in het spel is, dan kost dat reputaties en miljarden euro’s aan aandeelhouderswaarde. Het zal uiteindelijk dan ook aan de proceseigenaar van de FRA zijn om samen met het bevoegde orgaan van de organisatie die gordiaanse knoop door te hakken.
In de bijdrage ‘Bias & Co (2)’ werd reeds het onderscheid tussen inherente, beheerste en restrisico’s aangestipt. Volgende week diepen we deze categorisering van frauderisico’s verder uit en zullen we vaststellen dat er nog een ‘col buiten categorie’ is: stil bewijs.
Marc Peeters
Registered Fraud Auditor IFA Belgium