Fraude op de risicoradar: waarom elke CFO dit dossier moet claimen

Veel CFO’s hebben het te druk om zich werkelijk in frauderisico’s te verdiepen. Totdat het misgaat. Dan blijkt ineens precies dát dossier bepalend voor reputatie, continuïteit en soms zelfs persoonlijke aansprakelijkheid. Fraude is al lang geen exotische uitzondering meer, maar een reëel, structureel risico in elke organisatie, van mkb tot beursfonds. Vaak blijkt achteraf dat signalen aanwezig waren, maar onvoldoende zijn onderkend of opgevolgd.

De moderne CFO is veel meer dan de bewaker van de cashflow. Hij of zij is de copiloot naast de CEO. Met financiële kennis, analytische vaardigheden en brede expertise, van ESG en compliance tot digitalisering en globalisering, loodst de CFO de organisatie door complexe uitdagingen. Met cruciale stuurinformatie worden prestaties verbeterd en duurzame groei gefaciliteerd. Maar de CFO is óók de architect van een integere financiële infrastructuur.  Bij fraude gaat de aandacht vaak uit naar individueel gedrag, terwijl in de meeste dossiers het systeem tekortschiet. Te scherpe targets, beloningen die eenzijdig op groei zijn gericht en onvoldoende toegepaste functiescheidingen kunnen leiden tot verhoogde kwetsbaarheid. 

Als de CFO in de boardroom meedoet aan creatief schuiven met omzet over kwartalen, agressieve waarderingen of ‘een kleine accounting tweak’ om convenanten te halen, dan is elke fraudepolicy direct ongeloofwaardig. Als diezelfde CFO daarentegen expliciet ruimte geeft voor tegenmacht, lastige vragen en zelfs het openlijk bespreken van fouten, ontstaat een cultuur waarin manipulatie minder kans krijgt.

Tegelijkertijd is fraude geen puur moreel vraagstuk. Het is keihard vakwerk in risicomanagement. De CFO hoort als eigenaar van het financiële risicoraamwerk een scherp beeld te hebben van waar de grootste kwetsbaarheden zitten: inkoop, verkoop, voorraden, projecten, treasury, payroll. Niet op het niveau van een algemene risicomatrix, maar concreet: waar heeft één persoon te veel vrijheid, waar zijn uitzonderingen normaal geworden, welke landen, klanten of producten hebben een hogere risicokleur? Fraudescenario’s horen net zo vanzelfsprekend op de risicoradar als liquiditeits- of renterisico’s.

​Daar hoort een stevig controleraamwerk bij, maar dan wel een raamwerk dat werkt in de praktijk. De CFO bepaalt de lat voor functiescheiding, autorisaties, het vier-ogen-principe en data-toegang, en zorgt dat IT-systemen die afspraken ondersteunen in plaats van ondermijnen. Handmatige journaalposten, uitzonderingen op limieten, opvallende creditnota’s: het zijn klassieke red flags die juist dankzij slimme rapportages en analyses snel boven komen drijven. De vraag is niet óf de organisatie die signalen kan genereren, maar of de organisatie bereid is daar structureel tijd, budget en talent voor vrij te maken.

Ook beloning en prikkels vragen om een bewustere aanpak. Een bonusplan dat alleen draait om omzet of EBITDA is een uitnodiging om grenzen op te rekken. In een effectief incentiveplan zijn drie dingen in balans: groei, kwaliteit en gedrag. Dat betekent dat niet alleen het niveau van de winst telt, maar ook de herkomst ervan: zijn targets gehaald zonder overschrijding van limieten, zonder opvallend veel late correcties, zonder negatieve auditbevindingen? Je kunt bijvoorbeeld een deel van de variabele beloning koppelen aan ‘schone’ closings, het uitblijven van materiële auditissues of het tijdig melden van risico’s. Daarmee vertel je impliciet: we belonen niet alleen wie de hoogste cijfers haalt, maar vooral wie duurzame, controleerbare resultaten neerzet.

Data-analyses zijn daarbij de praktische bril waarmee je door de cijfers heen kijkt. Vrijwel elke organisatie heeft wel data om handmatige journaalposten uit te lichten, transacties boven bepaalde drempels te monitoren en stamgegevens te scannen op dubbele leveranciers of ‘spookklanten’. Het verschil zit erin of je dat af en toe doet -bijvoorbeeld na een incident- of het structureel inricht als onderdeel van je controlcyclus. Denk aan terugkerende analyses op creditnota’s rond kwartaalafsluitingen, transacties buiten werktijden, opvallende combinaties van gebruiker en bevoegdheden, of marges die in één regio structureel afwijken van de rest. Als de CFO die analyses expliciet vraagt, ze periodiek op de agenda zet en opvolging eist, wordt fraudebewaking een vast onderdeel van de manier waarop de organisatie naar zichzelf kijkt.

Fraude volledig uitsluiten is onmogelijk. En de kwaliteit van leiderschap blijkt op het moment dat er wél iets misgaat. Schakelt de CFO snel naar onafhankelijk onderzoek, transparante communicatie en zichtbare, systemische verbeteringen, dan groeit het vertrouwen. Wordt er vooral een zondebok gezocht en een dun laagje beleid overheen gelegd, dan blijft er jarenlang reputatieschade hangen.

​Last but not least heeft de CFO ook een uitgesproken beschermende rol. Banken, verzekeraars, aandeelhouders en toezichthouders kijken steeds scherper naar integriteit en frauderisico’s, maar óók naar de vraag hoe verstandig de onderneming met die risico’s omgaat. Een belangrijk schakelpunt in dit geheel is de relatie met de externe accountant. Sinds boekjaar 2022 moet de accountant in de controleverklaring expliciet rapporteren over zijn werkzaamheden rond fraude en continuïteit, in een aparte sectie over de ‘controleaanpak frauderisico’s’. Dat vergroot de druk op ondernemingen om zelf hun frauderisico’s scherp in beeld te hebben, omdat eventuele tekortkomingen indirect zichtbaar worden via de toelichting van de accountant.

Al ligt natuurlijk de primaire verantwoordelijkheid voor het voorkomen en beheersen van fraude bij bestuur en toezicht, niet bij de accountant. De CFO doet er verstandig aan de jaarrekeningcontrole te benutten als spiegel én stresstest voor het eigen antifrauderaamwerk: zorgen dat scenario’s, controles, cultuur en risk appetite goed zijn doordacht, zodat de dialoog met de accountant -en diens verplichte rapportage- laat zien dat de organisatie haar verantwoordelijkheid neemt.