3. Colofon
Titel: Jubileumboek 2001-2011
Auteurs: E.J Lammers (eindredactie); B. De Bie;
S. De Meulenaer; M. De Rouck; M. De Samblanx;
C. Devlies; J. Denolf en J. Buys; R. Hoskens;
M. Janssoone; C. Lefebvre; F. Philipsen; J.-P. Servais
en C. Dendauw; F. Staelens; L. Toelen; en J. Vlogaert.
Uitgever: Instituut van Forensische Auditoren vzw.
ISBN-nummer: D/2011/9415/14.
Datum: Maart 2011.
Alle rechten voorbehouden. Behoudens uitdrukkelijk bij
wet bepaalde uitzonderingen mag niets uit deze uitgave
worden verveelvoudigd, opgeslagen in een geautomati-
seerd gegevensbestand, of openbaar gemaakt, op welke
wijze dan ook, zonder uitdrukkelijke voorafgaande en
schriftelijke toestemming van de auteurs en van de
uitgever.
Instituut van Forensische Auditoren vzw.
Institut des Auditeurs de Fraude asbl.
Institute of Forensic Auditors.
Statutaire zetel: Kloosterlaan 5, 3001 Leuven, België.
Kantooradres: Berkenlaan 8B, 1831 Diegem, België.
info@forensicaudit.be
www.forensicaudit.be
BTW-nummer: BE-0475.133.516
KBC Bank: 427-5164381-58
Gerechtelijk arrondissement Leuven
3
4. Inhoud
Vooraf...................................................................................................................................................... 7
Ten geleide (E.J. Lammers) ................................................................................................................ 9
We moeten de krachten bundelen, publieke én private (C. Devlies)................................................. 11
IFA in vogelvlucht................................................................................................................................. 21
Missie en visie ................................................................................................................................... 23
Forensic auditor ................................................................................................................................. 23
Forensic audit .................................................................................................................................... 23
Strategie ............................................................................................................................................. 24
Nationale Beroepsfederatie ............................................................................................................... 25
Organigram........................................................................................................................................ 26
Raad van bestuur ............................................................................................................................... 27
Raad van advies ................................................................................................................................. 27
Bestuurscommissies .......................................................................................................................... 28
Leden ................................................................................................................................................. 30
Registered Forensic Auditors ............................................................................................................ 30
IFA 2001-2011: Artikelen ..................................................................................................................... 35
Digitale aspecten (B. De Bie) ............................................................................................................ 37
Privaat wettelijk kader 2001-2011 (S. De Meulenaer) ...................................................................... 43
Evolutie van de fraude in de financiële sector (M. De Rouck) ......................................................... 47
Forensic auditing en corporate governance: een bewogen decennium (M. De Samblanx)............... 55
Tien jaar fraudebestrijding (J. Denolf en J. Buys)............................................................................. 61
Publiek-Private Samenwerking (R. Hoskens) ................................................................................... 71
European Anti-fraud office (OLAF) (M. Janssoone) ........................................................................ 77
Forensic accounting en forensic auditing: van creatief boekhouden tot fraudeonderzoek (Chr.
Lefebvre) ........................................................................................................................................... 81
Beschouwingen over de internationale aanpak van de carrouselfraude (F. Philipsen) ..................... 97
De bevoegdheden van de Hoge Raad voor de Economische Beroepen (J.-P. Servais en
C. Dendauw).................................................................................................................................... 105
Forensische Audit in België (F. Staelens) ....................................................................................... 127
De bedrijfsrevisor en fraude, een eeuwenoud verhaal maar in volle evolutie (L. Toelen).............. 147
Forensic audit in international context (J. Vlogaert) ....................................................................... 153
4
9. Ten geleide
Geachte lezer,
Voor u ligt het Jubileumboek 2001-2011 van het Instituut van Forensische Auditoren
(IFA), dat is samengesteld ter gelegenheid van het 10-jarig jubileum van het Instituut.
Met het Jubileumboek willen we u inzicht geven in het ontstaan van het Instituut
op 7 maart 2001, in de ontwikkeling gedurende de eerste 10 jaar van haar bestaan, en
in de ambities voor de toekomst. Het IFA-archief vormde een belangrijke basis voor
het verzamelen van de informatie.
Het Jubileumboek wordt ingeleid door de heer Carl Devlies, Staatssecretaris voor de
coördinatie van de fraudebestrijding.
Dit wordt gevolgd door een overzicht op hoofdlijnen van het Instituut in zijn huidige
opzet.
Vervolgens bevat het Jubileumboek een reeks bijdragen van personen die een
belangrijke rol hebben gespeeld in de ontwikkeling van het Instituut. Elk vertegen-
woordigt een belangrijke stakeholdergroep. In alfabetische volgorde: Bart De Bie,
Stijn De Meulenaer, Martine De Rouck, Michel De Samblanx, Johan Denolf en Jan
Buys, Rudy Hoskens, Miguel Janssoone, Chris Lefebvre, Frank Philipsen, Jean-Paul
Servais en Cathérine Dendauw, Frank Staelens, Luc Toelen en Johan Vlogaert.
Ten slotte geeft het Jubileumboek een waaier van historische informatie over het
Instituut, zoals de statuten, de gedragscode, de norm voor permanente vorming, de
namen alle bestuurders, adviseurs en commissieleden van de eerste 10 jaar, het register
van Registered Forensic Auditors, conferenties en trainingen van de afgelopen 10 jaar,
en vele andere gegevens. Hierdoor kan het Jubileumboek ook als naslagwerk dienen.
De redactie heeft zorgvuldigheid betracht om de zaken correct weer te geven en om
geen belangrijke zaken over te slaan. We verontschuldigen ons op voorhand voor
eventuele weglatingen en vergissingen.
Ik feliciteer het IFA met haar 10-jarig jubileum en wens haar alle succes voor de
komende 10 jaar.
Evert-Jan Lammers RFA
Eindredacteur
9
11. We moeten de krachten bundelen, publieke én private
Interview met Carl Devlies, Staatssecretaris
voor de coördinatie van de fraudebestrijding
‘Als staatssecretaris voor de Coördinatie van de fraudebestrijding, heb ik de taak alle
krachten te bundelen, de publieke maar ook de private. Zeker bij de bestrijding van de
fraude waarvan private organisaties het slachtoffer zijn, de zogenaamde horizontale
fraude, is er ruimte voor meer publiek-private samenwerking. Vandaag wordt daar
zinloos en nodeloos dubbel werk geleverd.’ Aan het woord is Carl Devlies, die, zo
erkent vriend en vijand, op het vlak van de fraudebestrijding een mooi palmares kan
voorleggen. ‘Maar er blijft nog een hele weg af te leggen’ nuanceert de staatssecretaris
de eigen resultaten.
U bent de eerste staatssecretaris voor de Coördinatie van de fraudebestrijding in
dit land. Dat betekent dat de strijd tegen de fraude tot uw aantreden in
verspreide slagorde gevoerd werd?
Carl Devlies: Ook in het verleden waren er al tal van gemeenschappelijke initiatieven
op het vlak van fraudebestrijding. Maar dat gebeurde al te veel op ad-hoc-basis en
weinig structureel. De aftredende regering heeft de strijd tegen de fraude voor het eerst
systematisch op een gecoördineerde wijze aangepakt.
Die gecoördineerde aanpak werd ook structureel verankerd door de oprichting van een
college en een ministercomité voor de strijd tegen de fraude. Het College, dat
voorgezeten wordt door mezelf, is samengesteld uit de topmensen van de sociale,
fiscale, economische, politie- en gerechtelijke diensten die betrokken zijn bij de strijd
tegen de fraude. Het college stelt jaarlijks een actieplan op.
Het Ministerieel Comité is samengesteld uit de premier, mezelf en de zeven ministers
die op de een of andere manier met de strijd tegen de fiscale en sociale fraude te
maken hebben. De premier zit het Comité voor. Het Comité moet de actieplannen
goedkeuren, opvolgen en evalueren. Door de vervroegde verkiezingen zijn er tot
dusver nog maar twee actieplannen goedgekeurd. Maar samen zijn ze wel goed voor
meer dan 100 actiepunten.
11
12. Beide actieplannen zijn intussen grotendeels uitgevoerd. Op welke realisaties bent
u bijzonder trots?
Het meest trots ben ik zonder enige twijfel op de verbeterde gegevensuitwisseling,
zowel binnen als tussen overheidsdiensten. Zo is er eind 2009 tussen Financiën en de
sociale inspecties een protocol over gegevensuitwisseling ondertekend. Het protocol
bepaalt dat de federale sociale en fiscale inspectiediensten op structurele basis alle
gegevens uitwisselen die nuttig zijn in de strijd tegen de fiscale en sociale fraude.
De uitwisseling gebeurt zowel spontaan als op vraag van een van de partijen en slaat
op alle individuele gegevens waarvan een administratie of inspectiedienst kennis heeft
of krijgt bij het uitvoeren van controles. Uiteraard worden hierbij de wettelijke regels
op het vlak van de privacy gerespecteerd.
Hoe zit het met de gegevensuitwisseling binnen de sociale zekerheid?
Binnen de sociale zekerheid hebben we werk gemaakt van het systematisch kruisen
van de gegevens in de diverse databanken binnen de sociale zekerheid. Die
systematische kruising maakt het mogelijk onterechte cumuls van uitkeringen op te
sporen, bijvoorbeeld van een werkloosheids- met een pensioenuitkering of van een
werkloosheids- met een ziekteuitkering.
Door het kruisen van gegevens werden in 2009 - de cijfers voor 2010 zijn nog niet
beschikbaar - ruim 21.000 personen betrapt op het cumuleren van werkloosheids-
uitkeringen met loon. Dat is vijf keer meer dan in 2005 en resulteerde in een terug-
vordering van onterechte werkloosheidsuitkeringen ten belope van ruim 16 miljoen
euro.
Ook de gevensuitwisseling binnen de fiscus verloopt nu vrij en vlot?
Wat de fiscus betreft, is nu wettelijk bepaald dat binnen de FOD Financiën de ene
dienst vrij gebruik kan maken van de gegevens die door de andere diensten werden
ingewonnen. Daarmee wordt trouwens uitvoering gegeven aan een van de
aanbevelingen van de parlementaire onderzoekscommissie naar de Grote Fiscale
Fraudedossiers.
Wel blijft die gegevensuitwisseling vandaag nog steeds gebaseerd op de algemene
privacywet van 1992. Dit heeft als nadeel dat de gegevensuitwisseling binnen
Financiën door de rechtbanken enkel a posteriori kan getoetst worden op het respect
voor de privacy. Omwille van de rechtszekerheid is een specifieke privacywet
aangewezen; een wet die a priori bepaalt aan welke privacyregels de gegevens-
uitwisseling binnen Financiën is onderworpen.
12
13. De uitwerking van het ontwerp van privacywet voor Financiën was in een ver gevor-
derd stadium. Maar de val van de regering maakt dat de nieuwe wet een zaak wordt
van de volgende regering en parlement.
Een andere opvallende realisatie is de invoering van het uniek elektronisch
proces-verbaal voor alle sociale inspectiediensten.
De invoering van het epv door de vier grote sociale inspectiediensten is net succesvol
afgerond. In een volgende fase zullen ook de andere sociale inspectiediensten het epv
invoeren. Het epv staat symbool voor de meer gecoördineerde aanpak van de strijd
tegen de sociale fraude door de sociale inspectiediensten.
En ook de politie is nu volop ingeschakeld in de strijd tegen de sociale fraude?
We hebben zopas de gemengde ondersteuningscel voor de strijd tegen de ernstige en
georganiseerde sociale fraude geïnstalleerd. Het uitgangspunt is dat de strijd tegen de
sociale fraude een opdracht blijft voor de sociale inspecties. Maar in geval van ernstige
en georganiseerde sociale fraude met crimineel oogmerk kunnen de sociale inspectie-
diensten het parket voorstellen om de politie mee het onderzoek te laten voeren.
Wat hebben beide actieplannen opgebracht?
Beide actieplannen zorgen recurrent voor 600 miljoen euro meerontvangsten per jaar.
Had de aftredende regering haar regeerperiode volledig kunnen uitdoen, was dat
1 miljard euro geworden.
Is dit, met alle respect, geen druppel op een hete plaat? De Oostenrijkse professor
Schneider schat de schaduweconomie in België op 17,9 procent van het BBP of
60 miljard euro per jaar.
Professor Schneider definieert fraude erg ruim. Volgens Schneider behoren
bijvoorbeeld ook belastingontwijking en alle doe-het-zelf-activiteiten van particulieren
tot de schaduweconomie. Wij houden ons aan de cijfers van de Nationale Bank. De
Nationale Bank schat de zwarte economie in ons land op 3,8 procent van het BBP.
Als je uitgaat van een BBP van circa 350 miljard in 2010 en van een overheidsbeslag
van 48 procent van het BBP, betekent dit dat de fraude vorig jaar leidde tot 6,4 miljard
euro aan verloren inkomsten voor de staat. Dus wie beweert dat het volstaat de fraude
het land uit te bannen om onze overheidsfinanciën te saneren, draait de bevolking een
rad voor de ogen. Maar dit is uiteraard geen reden om de fraude op haar beloop te
laten.
13
14. Kunt u een becijferde doelstelling naar voor schuiven voor de komende jaren?
Ik denk dat als de volgende regering van de fraudebestrijding opnieuw een prioriteit
maakt, een aantal bijkomende initiatieven worden genomen en bestaande initiatieven
worden voortgezet, de fraudebestrijding jaarlijks recurrent 2 miljard euro extra kan
opleveren.
Aan welke initiatieven denkt u?
Samen met het College voor de fraudebestrijding hebben we 12 bouwstenen voor de
fraudebestrijding tijdens de volgende legislatuur opgelijst. Het gaat om 12 prioriteiten,
initiatieven die zo snel mogelijk moeten worden gerealiseerd of voortgezet. Het zal u
niet verbazen dat we pleiten voor een verdere verbetering van de gegevensuitwisseling
binnen en tussen de overheidsdiensten die zich met fraudebestrijding bezighouden.
Bouwstenen voor de fraudebestrijding tijdens de volgende legislatuur
1 Verdere coördinatie, een noodzaak
2 Betere fiscale gegevensuitwisseling
3 Optimalisering gegevensuitwisseling binnen de overheidssector
4 Invoering Una Via
5 Uitbreiding minnelijke schikking
6 Uitbreiding minigerechtelijk onderzoek
7 Opheffing bankgeheim in de inkomstenbelastingen
8 Een sectoraal beleid als sluitstuk van de fraudebestrijding
9 Effectieve recuperatie van verbeurd verklaarde vermogensvoordelen
10 Betere inningen
11 Strijd tegen de corruptie
12 Uniforme toepassing van de fiscale en sociale wetgeving
De volledige tekst van de ‘bouwstenen’ kan u vinden op: http://www.carldevlies.be
Ook een verdere coördinatie van de fraudebestrijding is voor ons een must. College en
Ministerieel Comité voor de fraudebestrijding moeten verder blijven functioneren.
Voorts is het ook aangewezen dat er opnieuw een lid van de regering bevoegd is voor
de coördinatie van de fraudebestrijding of deze opdracht meekrijgt in zijn/haar
bevoegdheidsdomein.
14
15. Een regeringslid dat zich uitsluitend bezighoudt met de coördinatie van de
fraudebestrijding is dus geen absolute vereiste?
Neen, maar dat is natuurlijk wel de optimale situatie. Het maakt ook duidelijk hoe
prioritair de fraudebestrijding voor de nieuwe regering wordt. Want als het
regeringslid dat belast is met de coördinatie van de fraudebestrijding ook nog andere
bevoegdheden heeft, moet hij daar uiteraard ook een deel van zijn tijd en energie in
steken.
In de ‘bouwstenen’ wordt ook gepleit voor een soepeler opheffing van het
bankgeheim.
Klopt en intussen hebben we binnen de aftredende meerderheid hierover ook een
akkoord kunnen bereiken. Opgelet, wij willen de bankgegevens van de burgers niet te
grabbel gooien. Discretie blijft de regel. Maar als er concrete aanwijzingen van fraude
zijn, zal het bankgeheim opgeheven kunnen worden. Ten gevolge van een erg strikte
interpretatie van de wetgeving is dat vandaag niet het geval. Als het bankgeheim wordt
opgeheven, zal Financiën vanaf 11 juli 2011 ook de toelating krijgen om bij alle
banken en verzekeringsinstellingen de rekeningnummers van de betrokkene(n) op te
vragen.
Omdat de nummers snel meegedeeld moeten kunnen worden en er in België een 200-
tal banken en verzekeringsinstellingen actief zijn, zal bij de Nationale Bank een
centraal aanspreekpunt voor de hele sector worden opgericht. Voor alle duidelijkheid:
het gaat hier niet om een superdatabank, noch om een vermogenskadaster, wel om een
uniek aanspreekpunt.
Ook de invoering van de ‘Una-Via’regel is een ‘bouwsteen’.
Het gaat allicht om de belangrijkste van alle bouwstenen. De invoering van una via is
ook een kernaanbeveling van de parlementaire onderzoekscommissie naar de grote
fiscale fraudedossiers.
Op mijn initiatief werd in de schoot van het College van de fraudebestrijding een
expertenwerkgroep opgericht die zich over de concrete uitvoering van de aanbeveling
van de onderzoekcommissie heeft gebogen. Het resultaat is een voorstel dat de basis
kan vormen voor de uitvoering van deze aanbeveling.
De “Una-Via”regel is een toepassing van het subsidiariteitprincipe. De strijd tegen
fiscale fraude is hierbij in beginsel een opdracht van de fiscale administraties. Maar in
geval van ernstige en georganiseerde fiscale fraude, en alleen in dat geval, kan het
noodzakelijk zijn om gebruik te maken van de strafrechtelijke weg.
15
16. Wordt er ernstige en georganiseerde fiscale fraude vastgesteld, moet er zo snel
mogelijk beslist worden of de feiten strafrechtelijk dan wel administratief zullen
worden vervolgd. Doel is dubbel werk te vermijden.
Hiertoe moet volgens de genoemde werkgroep een overlegstructuur opgericht worden,
waarin verantwoordelijken van fiscus, gerecht en politie zitting hebben. Om dit
overleg mogelijk te maken, is een aanpassing nodig van het Charter van de belasting-
plichtige.
Het blijft ultiem echter aan de procureur des Konings toekomen om te beslissen of de
strafrechtelijke weg moet worden gevolgd.
Belangrijk is ook dat als besloten wordt tot een strafrechtelijke vervolging door het
openbaar ministerie, de fiscale administratie in ons voorstel weliswaar nog de
verschuldigde belastingen mag berekenen en inkohieren; maar ze mag geen admini-
stratieve boete of belastingverhoging meer opleggen.
Omdat Una Via dubbel werk zal voorkomen, zal het gerecht zich meer en beter
kunnen concentreren op de dossiers van ernstige en georganiseerde fiscale fraude.
Eveneens met de bedoeling gerechtelijke capaciteit vrij te maken voor de strijd tegen
de ernstige en georganiseerde fiscale fraude, stellen we in de bouwstenen voor de
mogelijkheid tot het sluiten van een minnelijke schikking uit te breiden tot er een
vonnis of arrest in kracht van gewijsde is uitgesproken. Nu kunnen minnelijke
schikkingen enkel afgesloten worden in de fase van het opsporingsonderzoek.
Een ‘bouwsteen’ die de forensische auditoren rechtstreeks aanbelangt, is de strijd
tegen de corruptie. Wat stelt u hier concreet voor?
Ik ben een grote voorstander van een betere samenwerking tussen alle private en
publieke actoren die bij de corruptiebestrijding betrokken zijn. Het gaat dan om de
interne en externe auditoren bij de bedrijven en overheidsdiensten, de werkgevers- en
werknemersorganisaties, het federaal antifraudecomité en uiteraard de politie en het
gerecht.
Zeker bij de bestrijding van de fraude waarvan private organisaties het slachtoffer zijn,
de zogenaamde horizontale fraude, is er ruimte voor meer publiek-private samen-
werking. Want vandaag wordt daar zinloos en nodeloos dubbel werk geleverd.
Vandaag moet bij een publiek onderzoek van vooraf aan begonnen worden, het al door
private actoren verrichte werk is dan van nul en generlei tel meer. Het is duidelijk dat
dit een verspilling is van mensen, geld en middelen. Ik laat op dit ogenblik door een
werkgroep in de schoot van het College voor de fraudebestrijding onderzoeken hoe
16
17. een publiek onderzoek kan voortbouwen op het al verrichte private onderzoek door
auditoren.
Voorts moet me van het hart dat ook de andere cijferberoepen, zeker diegenen die een
maatschappelijke functie uitoefenen zoals de revisoren, meer moeten bijdragen tot de
strijd tegen corruptie en fraude. Zeker wanneer het fraude betreft met gemeenschaps-
gelden moet de revisor een pro-actievere rol spelen bij het melden van de fraude.
Daartoe is het onvoldoende dat een door het management aan de commissaris gemelde
fraude alleen leidt tot een bijzondere vermelding in de verslaggeving van de
commissaris.
Transparency International klaagt elk jaar opnieuw aan dat België nog steeds
geen klokkenluiderregeling heeft.
In tegenstelling tot de Vlaamse ambtenaren kunnen de federale ambtenaren nog steeds
geen beroep doen op een klokkenluiderregeling. De aftredende federale regering was
ver gevorderd met de opstelling van een wetsontwerp ter zake, maar door de
vervroegde verkiezingen is dat ontwerp nooit gefinaliseerd.
Door het uitblijven van een nieuwe regering lag dit dossier tot voor kort stof te
vergaren. Maar onlangs beslisten we de draad opnieuw op te nemen. We gaan het
ontwerp met CD&V en CdH op korte termijn finaliseren en mijn partijvoorzitter, die
in deze materie zeer beslagen is, zal het ontwerp binnenkort als wetsvoorstel bij het
parlement indienen.
Waarom is fraudebestrijding voor u zo belangrijk?
De eerste en belangrijkste reden waarom de strijd tegen de fraude volgens mij absolute
prioriteit verdient is dat fraude ongelijkheid creëert tussen wie binnen en wie buiten de
lijntjes kleurt.
In economisch en budgettair moeilijke tijden moet je als overheid inspanningen vragen
van burgers en bedrijven. Het komt erop aan ervoor te zorgen dat die inspanningen
voor iedereen zonder onderscheid gelden. De brave burger en het bonafide bedrijf
treffen, terwijl de fraudeurs er fluitend van onder kunnen muizen, dat kan en mag niet.
Dat is ook de reden waarom ik zo gebeten ben op fraudeurs: ze vervalsen het spel. De
strijd tegen de fraude is een strijd voor gelijkheid en rechtvaardigheid. Omdat niemand
gelijker is, moeten we die strijd blijven voeren. Dat die strijd voor de overheid ook nog
geld in het laatje brengt, is in deze budgettair moeilijke tijden mooi meegenomen.
Maar geld mag niet de drijfveer vormen van de strijd tegen de fraude.
17
18. Ik wil geen heksenjacht ontketenen, zeker niet. Maar we moeten er wel voor zorgen
dat de regels voor iedereen gelijk zijn. Heel wat bedrijven hebben het vandaag al
moeilijk genoeg om de eindjes aan elkaar te knopen, zonder dat ze nog eens de
oneerlijke concurrentie moeten ondergaan van malafide bedrijven die het niet zo nauw
nemen met de fiscale en sociale wetgeving.
18
23. Missie en visie
De missie van het IFA is het, als de representatieve organisatie van forensic auditors in
België, bijdragen aan de uitbouw en de kwaliteit van de beroepsuitoefening en de
integrale private en publieke rechtsbedeling.
Hiertoe ontwikkelt het IFA normen en standaarden, legt die vast en bewaakt die.
Daarvoor zijn open dialoog en externe gerichtheid onmisbaar. Het IFA is dan ook een
organisatie met open vensters, die een dialoog met beleidsmakers en andere belang-
hebbenden zoekt.
Forensic auditor
De taak van de forensic auditor bestaat er onder meer in om vanuit zijn financieel-
economische en controletechnische achtergrond een bijdrage te leveren aan het
vaststellen van feiten in een commercieel of juridisch geschil, veelal fraude of een
vermoeden daarvan.
Forensic audit
Omdat de wettelijke context en de gewoonten van de beoefenaren van land tot land
verschillen, bestaat er niet één internationale definitie. In België wordt forensic audit
als volgt gedefinieerd:
“Forensic audit is het geheel van activiteiten bestaande uit het verzamelen,
controleren, bewerken, analyseren van en rapporteren over gegevens, met het oog op
waarheidsbevinding en/of bewijsvoering, in een geijkt referentiekader, op het terrein
van juridische/financiële geschillen en/of onregelmatigheden (waaronder fraude) en
het geven van preventieve adviezen op dit terrein.”
Het IFA vervult een belangrijke rol in het opleiden en permanent vormen van forensic
auditors. De namen van de erkende beoefenaren vindt u terug in een door het IFA
beheerd register: Registered Forensic Auditors of kortweg RFA.
Alle leden onderschrijven de door het IFA ontwikkelde deontologische code die u kunt
terugvinden op onze website.
23
24. Onze stakeholders - het bedrijfsleven, de gerechtelijke instanties, beleidsmakers, de
academische wereld en andere beroepsorganisaties - kunnen te allen tijde een beroep
doen op de diensten van het IFA.
Strategie
Om deze missie te realiseren heeft het IFA vijf strategische beleidsdoelstellingen ont-
wikkeld:
1. Ontwikkelen en aanreiken van een reglementair en wettelijk kader voor forensic
audit
Gezien de (internationale) ontwikkelingen in zowel de publieke als de private
sector moet er gestreefd worden naar een duidelijke én wettelijke omkadering voor
de uitoefening van forensic auditactiviteiten. Het IFA zal daarom beleidsadviezen
ten behoeven van de regering formuleren omtrent de wenselijkheid de beroeps-
uitoefening nader te reglementeren. Op basis van een grondige doorlichting van de
bestaande wetgeving probeert het IFA bij te dragen aan het uitwerken van een
wetsvoorstel ter zake.
2. Verbreden van het draagvlak voor forensic audit
Teneinde te kunnen optreden als de vertegenwoordiger van zijn leden en ook als
dusdanig te worden erkend, zal het IFA o.m. de volgende initiatieven nemen:
Het uitbouwen van een gestructureerd en recurrent overleg met aanverwante
beroepsgroepen, instituten en publiekrechtelijke organisaties
Het opstarten van overleg met de academische wereld (universiteiten en
management schools)
Het intensifiëren van de contacten met beleidsmakers en toezichthouders
binnen politiek, justitie, overheden en bedrijfsleven
Het aantrekken van nieuwe leden en sponsors.
3. Bevorderen van de publiek-private samenwerking (PPS)
Het PPS-karakter van zowel de opleidingen, het ledenbestand als de raad van
bestuur maakt het IFA uniek als organisatie. Na een eerste aanzet op het vlak van
PPS-projecten inzake fraudebestrijding wil het IFA enkele nieuwe projecten in dit
verband realiseren.
24
25. 4. Professionaliseren van de werkingsstructuur van het IFA
Om de professionele werking van het IFA te blijven garanderen, zullen vaste
huisvesting en een professioneel secretariaat worden gerealiseerd.
5. Stellen van de randvoorwaarden voor een kwalitatief goede beroepsuitoefening
Hoewel dit uiteraard een permanente opdracht is van het IFA, zal het op korte
termijn de volgende beleidspunten realiseren:
Het operationeel maken van de tuchtorganen, zoals voorzien in de statuten
Het opstellen van normen en standaarden, meer in het bijzonder voor
persoonsgerichte onderzoeken
Het uitwerken van een programma van permanente vorming.
Nationale Beroepsfederatie
Het bereiken van een wettelijke erkenning van ons beroep blijft één van de prioriteiten
van het IFA.
Intussen werd het IFA in september 2009 door de Hoge Raad voor de Zelfstandigen en
de KMO erkend als nationale beroepsfederatie (conform de wet van 28 mei 1979 en
het uitvoeringsbesluit van 10 augustus 2004).
Zoals ook in het verleden heeft het Instituut er een prioriteit van gemaakt de contacten
met de vertegenwoordigers van de andere beroepsorganisaties te verzorgen: de Hoge
Raad voor de Economische Beroepen (HREB), het Instituut van Accountants en
Belastingconsulenten (IAB), het Instituut der Bedrijfsrevisoren (IBR) en het
Beroepsinstituut van Boekhouders en Fiscalisten (BIBF).
Daarnaast tevens enkele niet wettelijk erkende beroepsorganisaties zoals Institute of
Internal Auditors Belgium (IIA Belgium), Information Systems Audit and Control
Association (ISACA), Koninklijke Vereniging van Belgische Actuarissen (KVBA) en
Association of Certified Fraud Examiners (ACFE) Belgium Chapter.
Ook de contacten met de diverse politieke organen werden niet uit het oog verloren:
contacten met vertegenwoordigers van de Ministeries van justitie, van binnenlandse
zaken, van economie en van middenstand.
Het Instituut bleef actief deelnemen aan de werking van het Permanent
Beveiligingsplatform (PBO).
25
26. Tenslotte werden goede contacten onderhouden of verder uitgebouwd met o.a. de
Commissie voor het Bank-, Financie- en Assurantiewezen (CBFA), Belgische
Federatie van de Financiële Sector (Febelfin), European Corporate Security
Association (ECSA), de Cel voor Financiële Informatieverwerking (CFI) en
Transparency International Belgium.
Organigram
Algemene Ledenvergadering *
Raad van advies Raad van bestuur *
Het Bureau *
Vaste bestuurscommissies:
Erkenningscommissie
Ethiek en normen
Opleiding en permanente vorming
Publiek-private samenwerking
Studies en publicaties
Juridische zaken
Public relations en fondsenwerving
Ad hoc commissies
* Statutaire organen
26
27. Raad van bestuur
De Raad van bestuur van het Instituut is met ingang van de Algemene Ledenverga-
dering van 17 juni 2008 als volgt samengesteld:
Naam Professionele hoofdfunctie
Frank Staelens RFA* voorzitter Partner Deloitte Forensic and Dispute Services
Ludo Caris * penningmeester Partner Callens Pirenne & Co.
Miguel Janssoone RFA * secretaris Investigator European Anti-Fraud Office OLAF
Evert-Jan Lammers RFA* Partner TRIFORENSIC
Bart De Bie RFA Vennoot i-Force
Stijn De Meulenaer RFA Advocaat-vennoot Everest Law
Johan Denolf RFA Directeur Ecofin, Federale Politie
Francis Desterbeck RFA Directeur COIV
Rudy Hoskens RFA Partner PWC Dispute Analysis & Investigations
Chris Lefebvre RFA Em. Professor KULeuven
Martine De Rouck RFA Head of Fraud Protection Office BNP Paribas Fortis
Johan Vlogaert RFA Head of Fraud Investigations, EIB
* Frank Staelens, Ludo Caris, Miguel Janssoone en Evert-Jan Lammers vormen samen
het Bureau, conform art. 13 van de statuten van het Instituut.
Raad van advies
De volgende personen zijn lid van de Raad van advies (allen sinds 2008) en worden in
deze functie telkens uitgenodigd om de vergaderingen van de Raad van bestuur bij te
wonen:
Michel J. De Samblanx RFA Professor Universiteit Antwerpen
Peter Leyman RFA Senior Manager Deloitte Forensic and Dispute Serv.
Ludo Swolfs Erevoorzitter Instituut van de Bedrijfsrevisoren
Frederik Verhasselt RFA Corporate Security Manager Umicore
Nadja De Buyser RFA Bedrijfsrevisor-vennoot A&F Services
27
28. Bestuurscommissies
Erkenningscommissie
Michel J. De Samblanx RFA Professor Universiteit Antwerpen
Marc Exelmans RFA Head of Investigations Belgium, BNP Paribas Fortis
Miguel Janssoone RFA Investigator European Anti-Fraud Office (OLAF)
Commissie Ethiek en normen
Michel J. De Samblanx RFA Professor Universiteit Antwerpen
Stijn De Meulenaer RFA Advocaat-vennoot Everest Advocaten
Evert-Jan Lammers RFA Partner TRIFORENSIC
Ludo Swolfs Erevoorzitter Instituut van de Bedrijfsrevisoren
Commissie Opleiding en permanente vorming
Rudy Hoskens RFA Partner PWC Dispute Analysis & Investigations
Veronique De Mets Commissaris DJF/CDGEFID, Federale Politie
Trui Racquet RFA Senior Manager PWC Dispute Analysis & Investig.
Kurt Verbeke RFA Commissaris CDBC, Federale Politie
Commissie Publiek-private samenwerking
Bart De Bie RFA Vennoot i-Force
Rudy Hoskens RFA Partner PWC Dispute Analysis & Investigations
Johan Denolf RFA Directeur DJF/CDGEFID, Federale Politie
Commissie Studies en publicaties
Evert-Jan Lammers RFA Partner TRIFORENSIC
Chris Lefebvre RFA Emeritus Professor KULeuven
28
29. Commissie Juridische zaken
Stijn De Meulenaer RFA Advocaat-vennoot Everest Advocaten
Jan Buys RFA Adjunct-directeur DJF/CDGEFID Federale Politie
Commissie Public relations-fondsenwerving
Frank Staelens RFA Partner Deloitte Forensic and Dispute Services
Redactieraad IFA Newsletter
(onderdeel van de commissie studies en publicaties)
Evert-Jan Lammers RFA (Hr.) Partner TRIFORENSIC
Michel De Samblanx RFA Professor Universiteit Antwerpen
Miguel Janssoone RFA OLAF
Chris Lefebvre RFA Em. Professor KU Leuven
Anton Penneman RFA OLAF
Linda Van FOD Financiën
Jan Mariën Trainee TRIFORENSIC
Kurt Verbeke RFA Commissaris CDBC, Federale Politie
Jochen Van Aalst Inspecteur CDGEFID, Federale politie
Johan Lemmens RFA Vennoot Alaska
Boekhouding
Nadja De Buyser RFA Bedrijfsrevisor-vennoot A&F Services
Secretariaat
Christelle Couturiaux Management Assistant Deoitte
Commissaris
Dirk Stragier Bedrijfsrevisor-vennoot Mazars & Guérard
29
30. Leden
Het ledental van het Instituut bedraagt 448 per 31 december 2010. Dit is als volgt
opgebouwd:
Registered Forensic Auditors
Aantallen
Het register van Registered Forensic Auditors werd geopend in 2003. In de afgelopen
jaren hebben de aantallen leden en RFA’s zich als volgt ontwikkeld (aantallen per 31
december):
* 2002 2003 2004 2005 2006 2007 2008 2009 2010
Leden 155 200 135 110 145 175 250 268 448
RFA’s - 45 52 57 68 92 133 156 176
Groei - 45 7 5 11 24 41 23 20
* 2002 was het eerste volledige boekjaar van het Instituut.
RFA's
Overige
30
31. De verhouding tussen de ontwikkeling van het ledental en de toename van het aantal
RFA’s s als volgt (start van het RFA-register: 2003):
500
400
300
Aantal leden
200
Aantal RFA's
100
0
2002 2003 2004 2005 2006 2007 2008 2009 2010
Samenstelling RFA-register
Het register met 176 Registered Forensic Auditors is als volgt samengesteld:
85% Man
15% Vrouw
100%
58% Hoofdzakelijk werkzaam in private sector
40% Hoofdzakelijk werkzaam in publieke sector
2% Overige (zoals academische sector) en onbekend
100%
87% Nederlandstalig
13% Franstalig (of anderstalig en wordt aangesproken in het Frans)
100%
48% Erkenning op basis van diploma Masterclass Forensic Auditing of equivalent
40% Erkenning middels het waiverprogramma (2007-2009)
12% Erkenning op basis van een leeropdracht forensic auditing
100%
Het volledige register van Registered Forensic Auditors is opgenomen in de bijlagen.
31
32. Erkenningsvoorwaarden
Het register van Registered Forensic Auditors is ingevoerd in 2003. In de jaren 2007
en 2008 werd tijdelijk de mogelijkheid geboden om middels een waiverprocedure
erkend te worden als RFA.
In 2009 bleek dat de verzoeken om erkenning op basis van de waivervoorwaarden
aanhielden. Daarom heeft de Algemene vergadering besloten om de
waivervoorwaarden ook na 31 december 2008 toe te passen als reguliere
erkenningsvoorwaarden, verankerd in de statuten.
Komen in aanmerking voor erkenning als Registered Forensic Auditor (voor de
letterlijke tekst wordt verwezen naar art. 11 van de statuten van het Instituut):
Personen in het bezit van het diploma Masterclass Forensic Auditing van de
Universiteit Antwerpen Management School, of equivalent; en
Personen belast met een relevante leeropdracht op het gebied van Forensic
Auditing; en
Personen met een academische of hogere beroepsopleiding en minstens 3 jaar
praktijkervaring op het gebied van fraude en forensic auditing (full time
equivalent); en
Overige personen met minstens 7 jaar praktijkervaring op het gebied van fraude en
forensic auditing (full time equivalent).
Voorts moeten de kandidaten kunnen aantonen dat ze in voldoende mate een van de
officiële Belgische landstalen beheersen, alsmede dat ze voldoende kennis hebben van
het Belgisch recht om het werk van forensic auditor te kunnen uitoefenen in België.
Cursus “Legal Intake”
Voor dit laatste zijn de trainingen “Legal Intake” ontwikkeld, waarin de relevante
juridische aspecten die verband houden met forensische audit worden toegelicht.
Curriculum op hoofdlijnen:
1. Wettelijk kader forensic audit
Wet privé-detective
Wet private veiligheid
Nieuwe wet privaat onderzoek?
32
33. 2. Fraude met de onderneming als slachtoffer.
2.1. Strafprocedure:
Onrechtmatig verkregen bewijs
Bruikbaarheid van rapport van derde (privé-detective/forensic auditor)
2.2. Arbeidsrecht:
Recht op privacy vs werknemer-werkgeververhouding (art 22 GW; Wet 8/12/1992)
CAO 81
Ontslagrecht (hoofdzakelijk dringende reden)
Onrechtmatig verkregen bewijs ne bruikbaarheid rapport van derde privédetective /
forensic auditor).
2.3. Enkele vaak voorkomende misdrijfvormen:
Informaticacriminaliteit
Art. 314bis Sw.
Art. 491 Sw. (oplichting)
Art. 496 Sw. (misbruik van vertrouwen)
Art. 246 (publieke omkoping) en 504bis Sw. (private omkoping)
3. Fraude met onderneming/ondernemer als dader.
3.1. Fiscaal strafrecht:
Procedure
Wisselwerking fiscus/OM
Vaak voorkomende misdrijfvormen: Fiscale fraude, fiscale valsheid,
witwassen, kasgeldconstructies, BTW-caroussels ...
Preventieve witwaswetgeving.
3.2. Korte inleiding tot vennootschapsrecht:
Inleiding (vennootschapsvormen, …)
Aansprakelijkheden (vennootschap en bestuurders), met oog voor AS
voortvloeiend uit interne deficiëntie en geschillen binnen de
vennootschap/bestuurders en rol van de forensic auditor daarin.
3.3. Ondernemingsstrafrecht.
33
37. Digitale aspecten
Bart De Bie RFA
Inleiding
De rol van ICT wordt steeds belangrijker in ons maatschappelijke en economische
verkeer. Zelfs voor de meest eenvoudige handelingen wordt tegenwoordig wel
gebruikgemaakt van één of meer (mobiele) ICT-toepassingen. Zijn de zegeningen van
ICT groot, tegelijkertijd brengt deze ontwikkeling ook bijzondere risico’s met zich
mee. Als er iets misgaat, in het bijzonder wanneer er ook opzet in het spel is, ontstaat
al gauw de noodzaak van digitaal sporenonderzoek.
Vaak denken IT-professionals : “Dit kan ik ook. Snel even een aantal (gratis) tooltjes
downloaden en we onderzoeken dit zelf wel”. Een degelijk digitaal forensisch
onderzoek dient echter omzichtig aangepakt te worden en is veel meer dan data
recovery alléén. Digitale sporen moeten kunnen worden getraceerd en geanalyseerd,
en moeten worden bewaard en gepresenteerd op een manier die enerzijds praktisch
haalbaar is en anderzijds tegemoetkomt aan de wettelijke eisen die worden gesteld aan
bewijsmateriaal. Dit omvangrijke werkterrein, dat nog volop in ontwikkeling is, wordt
aangeduid met de term IT-Forensics.
IT-Forensics omvat enerzijds het onderzoek op digitale gegevensdragers (computer
forensics) en anderzijds de toepassing van - al dan niet financiële -
onderzoekstechnieken op digitale data (forensic data-analyse).
Wie heeft baat bij IT-Forensics ?
Sinds het einde van de jaren negentig maken ondernemingen gebruik van ‘Computer
Incident Response Teams’ (CIRT’s) om adequaat te reageren op een ‘firewall’ alarm
of een ‘intrusion’ in hun netwerkomgeving. Daarnaast onderzoeken ze in toenemende
mate interne veiligheidsbekommernissen of dienen ze op zoek te gaan gaan naar
(digitaal) bewijs van een of andere frauduleuze activiteit. Daartoe doen zij steeds meer
beroep op het gebruik van netwerk-georiënteerde forensische IT-technologie die het
hen mogelijk maakt om ondernemingsbreed een professioneel antwoord te bieden op
incidenten, interne onderzoeken en electronische recovery.
Politie- en inspectiediensten worden in de recherche- en controlepraktijk in
toenemende mate geconfronteerd met een geautomatiseerde omgeving voor het
vergaren van informatie en/of bewijs. Dat stelt nieuwe eisen : de opsporing van daders
37
38. en bewijsvoering in cyberspace vereist een gedegen onderzoeksmethodiek die IT-
kennis en vaardigheden verenigt in een forensisch kader.
Tenslotte kunnen ook andere overheidsorganisaties en militiaire inlichtingendiensten
niet blijven toekijken vanop de zijlijn. Ook zij voelen de behoefte om te investeren in
IT-Forensics.
Methodologie
Om een ‘forensisch verantwoord’ onderzoek uit te voeren, dient de specialist dit
onderzoek uit te voeren onder dusdanig gecontroleerde omstandigheden dat (1) er
sprake is van een volledige documentatie, (2) het gevoerde onderzoek herhaald kan
worden, en (3) de resultaten verifieerbaar zijn.
Een dergelijke methodiek veronderstelt dat:
geen digitaal gegeven werd beschadigd, vernietigd of anderszins aangetast;
geen computervirus werd geïntroduceerd op de gegevensdrager tijdens het
analyseproces;
geëxtraheerde en mogelijks relevante data zorgvuldig wordt bewaard en beschermd
tegen latere mechanische of electromagnetische schade;
een voortdurende bewakingsketen werd inplaatsgesteld en onderhouden;
operationele bedrijfsactiviteiten slechts voor een zo beperkt mogelijke tijd worden
aangetast;
de door een beroepsgeheim beschermde informatie gevrijwaard blijft en bijgevolg
niet onrechtmatig wordt vrijgegeven.
Gebruikte tools
Bovenstaande ontwikkeling brengt met zich mee dat de forensische IT specialist
ervaring moet hebben met een brede waaier van computer hard- en software om
tegemoet te komen aan de zeer uiteenlopende situaties waarmee hij in de praktijk kan
worden geconfronteerd. Hij zal bovendien gebruik maken van een reeks tools voor het
traceren en/of capteren van relevante data in een informatiesysteem of voor het
recupereren dan wel toegankelijk maken van gewiste, geëncrypteerde of beschadigde
bestanden. Zowel de publieke als de private digitale speurders gebruiken vooral
erkende en uitgebreide tools met licenties zoals FTK en EnCase. Voor sommige
onderzoeken wordt dan weer gebruik gemaakt van kleine (open source) tools zoals:
Linux tools, hash berekeningen, netcat en dd. Deze tools worden getest en geverifieerd
en zijn wereldwijd erkend voor dit soort toepassingen. Belangrijkste is en blijft
evenwel dat de forensic IT specialist kan aantonen welke resultaten we met welke
tools werden bereikt en dat de bron-data nooit door de tools aangetast of gewijzigd
werden.
38
39. ‘Smoking gun e-mails’
Naast de analyse van de financiële administratie en de digitale sporen in data
warehouses, kan e-mail onderzoek een belangrijke rol spelen bij het zoeken naar de
‘digitale’ waarheid. Zo stond er in de Financial Times van 7 September 2005 een
interessant artikel met als titel: ‘Anything you e-mail may be used in evidence’.
Aanleiding was de veroordeling van de Amerikaanse zakenbank Morgan Stanley door
een rechtbank in Florida tot het betalen van een schadevergoeding en een boete van in
totaal 1,45 miljard dollar aan een Amerikaanse investeerder. Het probleem was dat de
bank niet in staat bleek om oude back-ups te doorzoeken en daardoor informatie
onvolledig of niet op tijd kon produceren. Hierna worden een aantal voorbeelden
gegeven van zogenaamde ‘smoking gun’ e-mails, die van cruciaal belang zijn geweest
in bekende schandalen:
Een e-mail van een topmanager bij Shell, waarin hij aangaf ‘sick and tired about
lying’ te zijn inzake de overgewaardeerde olie- en gasreserves. Deze e-mail kwam
aan het licht in een intern onderzoek. Het schandaal zorgde ervoor dat de
beurswaarde van Shell met miljarden dollars daalde en dat het bedrijf, zowel in de
VS als in Europa, flinke boetes kreeg.
Een technologieanalist van Credit Suisse First Boston is veroordeeld op grond van
één e-mail aan zijn collega’s, waarin hij hen vroeg om hun bestanden ‘op te
ruimen’.
Een aandelenanalist van Merrill Lynch kreeg een boete van vier miljoen dollar en
zijn werkgever een boete van honderd miljoen dollar nadat was gebleken dat hij via
e-mail collega’s had aangeraden om aandelen te kopen in bedrijven waar de bank
voor werkte.
Vermeldingswaardig in dit verband is nog een vrij recent voorbeeld van een e-mail die
een belangrijke rol speelde in een onderzoek van de Europese Commissie: In
september 2009 werd, in het kader van een mededingingsonderzoek door de EU,
e-mailverkeer openbaar tussen Intel en computerfabrikanten. Uit een e-mail van juli
2002 bleek dat ten gevolge van afspraken met Intel, HP niet meer dan vijf procent van
zijn PC’s met AMD-processors kon uitrusten.
Toenemende aandacht voor forensic readiness
Het wordt steeds belangrijker voor een feitelijk onderzoek in een digitale omgeving
dat een grote hoeveelheid gegevens ter beschikking staat voor de onderzoekers. Een
eerste probleem ontstaat wanneer niet alle gegevens worden bijgehouden door het
systeem. Hierdoor zal het voeren van dergelijke onderzoeken uiteraard worden
bemoeilijkt. Een aantal tests kunnen bijgevolg niet worden uitgevoerd en conclusies
kunnen niet worden geformuleerd. Hierdoor is de kans groot dat de onregelmatigheid
niet ontdekt wordt. Het is van groot belang dat de data zo gedetailleerd mogelijk,
39
40. alsook over een voldoende lange periode wordt bijgehouden. Dit is een strenge
voorwaarde om de volledigheid van het onderzoek te kunnen garanderen.
Een andere problematiek treedt op de voorgrond wanneer de gegevens van mindere
kwaliteit blijken te zijn. Dikwijls worden gegevens wel bijgehouden door het systeem,
maar is de kwaliteit zeer slecht. Ook in dit geval zullen tests niet of moeilijk kunnen
worden uitgevoerd. Dit kan bijvoorbeeld het geval zijn wanneer het onduidelijk is
welke betekenis bepaalde data heeft (aankoopbedrag, aantallen, eenheidsprijzen,
verkoopbedrag...). Het is dus van belang dat de data zeer gedetailleerd word
gedefinieerd in het systeem.
De oorzaak van het probleem ligt bij het feit dat de beschikbaarheid en kwaliteit van
digitale gegevens geen eis vormen bij de toetsing van informatiesystemen bij
organisaties. Om zich als organisatie toch voor te bereiden op mogelijke fraude en
onderzoeken naar fraude kunnen volgende stappen een oplossing bieden in de richting
van ‘forensic readiness’:
vaststelling van de processen waarin gegevens worden gegenereerd die nodig zijn
voor een onderzoek ;
bepaling van gegevensbronnen van potentieel bewijsmateriaal;
bepaling van de manier waarop vastgelegd en gearchiveerd wordt;
implementatie van beleid om bewijsmateriaal op te slaan en te gebruiken ;
het proactief detecteren van mogelijke integriteitschendingen ;
opstellen van een procedure om te bepalen wanneer een formeel onderzoek wordt
ingesteld ;
de creatie van bewustzijn bij werknemers.
Tot slot
IT Forensics valt niet meer weg te denken en heeft een vaste plek verworven in
onderzoeksland. Meer nog er staan de forensische IT specialisten nog heel wat
uitdagingen te wachten. Een eerste uitdaging is de vaststelling dat de opslag van data
maar blijft groeien. Terabyte schijven zijn geen uitzondering meer. De toekomst ligt
dan ook in het vooraf bepalen van kenmerken die een file (of een deel van een disk)
belangrijk maken voor het onderzoek. Alleen deze delen worden dan voor het
onderzoek veiliggesteld. Deze methode wordt al toegepast in verschillende forensische
tools (Logical Evidence Files). Een twee uitdaging is ongetwijfeld dat door de verdere
automatisering steeds meer informatie aanwezig zal zijn waar een forensisch IT
onderzoeker mee kan werken.
Dit zal leiden tot tools die steeds meer kennis in zich hebben met alle risico's van dien.
De vragen die zich hierbij o.m. stellen zijn: Hoe controleer je of verifieer je de
juistheid en volledigheid van steeds complexere tools? Hoe kun je de juistheid
40
41. verifiëren en wordt het hierdoor niet moeilijker om bewijs aan de rechter te
presenteren?
Wat er ook van zij, de juistheid van de bevindingen van een IT Forensic onderzoeker
zal steeds bepaald worden door meerdere factoren. Eén bewijs is immers geen bewijs:
meerdere bevindingen dienen met elkaar in overeenstemming te zijn. En tenslotte nog
dit: er zal steeds gebruik dienen te worden gemaakt van geverifieerde gereedschappen
en terdege opgeleide onderzoekers. Het IFA heeft wat dit laatste punt betreft, in
samenwerking met de FCCU van de Federale politie, een belangrijke voortrekkersrol
gespeeld.
Bart De Bie RFA
Vennoot, i-Force
41
43. Privaat wettelijk kader 2001-2011
Stijn De Meulenaer RFA
Alhoewel het IFA pas dit jaar haar tiende verjaardagskaarsje uitblaast lijkt het soms
alsof de vraag naar wettelijke erkenning van het statuut van de Forensische Auditor al
langer meegaat.
Toen ondergetekende in 2006 als adviseur werd opgenomen woedde de discussie in
alle geval reeds volop, en dit is op vandaag - helaas - nog steeds het geval. Het
probleem is inmiddels genoegzaam bekend: de wetgeving die in België vandaag
voorhanden is inzake ‘private veiligheid’ dateert van begin de jaren ’90 en is tot stand
gekomen in een tijdperk waarin er (alleszins in België) nog geen sprake was van
forensische audit, maar waar destijds wel een duidelijke noodzaak bestond aan
regulering, ja zelfs sanering van de sector.
Zowel de wet van 10 april 1990 tot regeling van de private en bijzondere veiligheid als
de wet op de privé-detective van 19 april 1991 voorzien een vrij rigide kader
waarbinnen de private actoren die actief zijn op het vlak van private opsporing (wet
privé-detective) of op het vlak van private veiligheid (hoofdzakelijk bewakings-
firma’s) zich kunnen voortbewegen.
Dit kader was destijds een absolute noodzaak om wantoestanden die zich in hoofd-
zakelijk de sector van de privé-detectives voordeden in de jaren ’80 te vermijden.
Het beroep van forensische auditor ontstond echter in een gans andere context, waar
openheid, transparantie en deontologie hoog in het vaandel worden gevoerd. Om dit te
onderlijnen heeft het IFA van bij aanvang geopteerd voor een vorm van zelfregulering
die werd opgenomen onder de vorm van een heuse deontologische code waartoe de
leden van het IFA - en sedert enkele jaren ook de RFA’s - zich nu reeds sedert
meerdere jaren verbinden bij de uitoefening van hun professionele taken.
Alhoewel zelfregulering in het eerste decennium van dit millennium (en nog steeds)
een hoog goed was, bleek al snel dat dit geen heiligmakend middel was en stak de
draak van de Wet op de Privé-detective steeds meer de kop op.
Op haar website en in haar publicaties stelde de Directie Private Veiligheid – die onder
meer bevoegd is voor de controle op de naleving van de Wet op de Privé-detective en
de Wet op de Private Veiligheid – vrij kort na de oprichting van het IFA onomwonden
43
44. dat ook de forensische auditoren zich dienden te conformeren aan de Wet op de Privé-
detective met haar vergunnings- en (erger) meldingsplicht.
De reactie van het IFA bleef niet uit: in verschillende publicaties werden argumenten
aangevoerd op basis waarvan werd geconcludeerd dat forensische audit, minstens
bepaalde aspecten ervan, niet onder het toepassingsgebied van de Wet op de Privé-
detective zouden vallen. Wie het bij het rechte eind heeft, blijft tot op vandaag bij
gebrek aan rechtspraak hieromtrent onduidelijk.
Alhoewel het officiële standpunt van het IFA tot op vandaag luidt dat de forensische
auditor perfect legaal kan werken zonder dat hij hiervoor als privé-detective vergund
dient te zijn, nam het IFA de discussie te baat om te streven naar een betere
bescherming en omkadering van het beroep van de forensische auditor.
In eerste instantie werden daarom contacten gelegd met andere beroepsinstituten,
hetgeen zelfs leidde tot een ontwerp van wetsvoorstel waarin werd voorzien in de
oprichting van een overkoepelend beroepsinstituut voor zowel forensische, interne als
IT-auditoren. De idee achter dit initiatief is duidelijk: door te voorzien in een eigen
juridisch statuut zou de discussie over de toepasselijkheid van de - vanuit het oogpunt
van de forensische auditor - verouderde Wet op de Privé-detective en de Wet op de
Private Veiligheid van zelf verdwijnen. Praktische en strategisch verschillende
inzichten tussen de verschillende auditberoepen verhinderden echter dat dit initiatief
verder werd benaarstigd.
Bij (voorlopig) gebrek aan draagvlak voor de creatie van een eigen wettelijk kader,
besloot het IFA om een tweede route te verkennen: in plaats van te streven naar een
eigen en nieuw wettelijk kader werd het pad geëffend om het bestaande wettelijk kader
van binnenuit uit te hollen. Dit doel kon (en kan) worden bereikt doordat de Wet op de
Privé-detective voorziet in de mogelijkheid voor de Regering om middels een
Koninklijk Besluit bepaalde beroepsgroepen uit te sluiten van het toepassingsgebied
van voornoemde wet (hetgeen bijvoorbeeld reeds gebeurde voor de gerechts-
deskundigen).
Om deze alternatieve route te bewandelen werd een concreet stappenplan uitgewerkt.
De eerste stap werd in 2010 bereikt, toen het IFA officieel werd erkend als beroeps-
vereniging. De tweede stap wordt momenteel voorbereid en bestaat in het verkrijgen
van een wettelijk erkende beroepstitel voor de ‘forensische auditor’. De derde fase -
die eveneens momenteel wordt voorbereid - bestaat tenslotte in het verkrijgen van een
Koninklijk Besluit dat het erkend beroep van ‘forensische auditor’ uitsluit van het
toepassingsgebied van de Wet op de Privé-detective.
Net toen er licht leek te komen aan het eind van de tunnel ontving het IFA begin 2010
een kopij van een “voorontwerp van wet op het Privaat Onderzoek”, een document dat
44
45. werd voorbereid op de Directie Private Veiligheid en dat tot doel heeft om de
bestaande wetten op de Privé-detective en de Private Veiligheid op te heffen en te
herzien in één nieuwe wet op het Privaat Onderzoek.
In een eerste analyse van het werkdocument - dat er geen twijfel over laat bestaan dat
ook het beroep van de forensische auditor (overigens net zozeer dat van de interne
auditor) wordt geviseerd - lichtte het IFA een aantal ‘pijnpunten’ op, waaronder niet in
het minst de zeer breed geformuleerde en niet voor interpretatie openstaande
meldingsplicht. Het afgelopen jaar heeft het IFA dan ook tal van initiatieven genomen
en contacten gelegd die er uiteindelijk voor hebben gezorgd dat de onmiddellijke
totstandkoming van de nieuwe wet op dit ogenblik niet meer ter tafel ligt.
De door het IFA bestelde en door de Universiteiten van Gent (UGent) en Brussel
(VUB) uitgevoerde “haalbaarheidsstudies m.o.o. het uitwerken van een pragmatisch
en realistisch regelgevend kader voor ‘publiek-private samenwerking’ (PPS) in het
kader van fraudeonderzoek” hebben er bijvoorbeeld voor gezorgd dat er op dit
ogenblik op het kabinet van Staatssecretaris Carl Devlies een werkgroep is opgericht
die - weliswaar vanuit de optiek van PPS - de noodzaak aan regelgeving voor het
beroep van de forensische auditor onder de loupe neemt.
Alhoewel de huidige politieke context weinig zekerheid kan bieden en de uitkomst van
bijvoorbeeld de werkgroep binnen het Staatssecretariaat van de heer Devlies nog
onduidelijk is, is het IFA ervan overtuigd dat de stappen die tot op vandaag werden
gezet haar leden de grootst mogelijke garantie trachten te bieden op een oplossing voor
de problematiek die de uitoefening van het beroep van forensische auditor kan
verhinderen, minstens ernstig bemoeilijken.
Wordt vervolgd, maar hopelijk duurt dat niet te lang meer…
Stijn De Meulenaer RFA
Advocaat-vennoot Everest Law
45
47. Evolutie van de fraude in de financiële sector; fraude typologie,
modus operandi, fraudebestrijding, organisatie van de instellingen
Martine De Rouck RFA
Gedurende de afgelopen 10 jaar, is zowel de interne als de externe fraude binnen de
financiële sector aanzienlijk geëvolueerd, dit zowel op vlak van de fraudetechnieken
en van de belangen van de fraudeurs als op vlak van de bewustwording en de middelen
van de fraudebestrijding van de Banken.
Zoals in de meeste economische sectoren, zijn de activiteiten en producten bijzonder
veel geëvolueerd in de bancaire wereld. Hierdoor hebben de fraudeurs zich ook
moeten aanpassen om zich te richten naar nieuwe producten. Als één van de beste
voorbeelden, hebben de dematerialisatie van de effecten die met zich meebracht dat
het veel moeilijker werd om effecten te verduisteren. Het is inderdaad moeilijker om
een boekhoudkundige verrichting te verduisteren dan materiële naamloze effecten die
van hand tot hand overdraagbaar zijn.
De producten en activiteiten zijn geëvolueerd en parallel hiermee ook de middelen ter
beschikking van de fraudeurs. De onophoudelijke evolutie van Internet heeft er
enerzijds voor gezorgd dat de fraude internationaal is geworden en anderzijds dat ze
een uitgebreid gamma tools - vrij - ter beschikking hebben om hun misdaden te
plegen. Vandaag, wanneer men zijn wagen of iets anders wil verkopen via internet, is
het niet ongewoon om een mail te ontvangen van een kandidaat koper, vaak afkomstig
uit Afrika, en dit met de enige bedoeling om informatie te bekomen over de verkoper
zoals de volledige identiteit, het rekeningnummer en indien mogelijk een kopie van de
identiteitskaart van de verkoper.
Een ander veel voorkomend geval is het ontvangen van een e-mail die zogezegd
afkomstig is van Visa of Mastercard, vol met schrijffouten, met de vraag om je
persoonlijke bankgegevens te updaten. We worden dus op een constante en
permanente manier onderworpen aan fraudepogingen die van overal ter wereld kunnen
komen voor zover daar een internetverbinding voorhanden is.
Ten opzichte van deze evolutie, zijn de bancaire instellingen, zeker heel bevoorrechte
doelwitten, verplicht om zich op hun beurt aan te passen om zich zo goed mogelijk te
beschermen. En de eerste etappe in het beschermingsproces, is de bewustwording
geweest dat financiële instellingen ook kunnen blootgesteld worden aan dit soort
fraudepogingen.
47
48. In de laatste 10 jaar, is het zeker deze bewustwording die de meest belangrijke stap
geweest is in het bestrijden van fraude die de professionele wereld heeft gedaan. Deze
bewustwording heeft zich geconcretiseerd op verschillende vlakken.
De meeste financiële instellingen hebben een gespecialiseerde dienst in het leven
geroepen ter bestrijding van fraude. We zullen het hierna hebben over “interne
onderzoekers”
In de loop van de tijd, omwille van de stijging van het aantal fraudegevallen en de
verscheidenheid van deze gevallen, heeft de opleiding van deze gespecialiseerde
medewerkers ook aan belang gewonnen. De banken hebben in het begin beroep
gedaan op externe professionelen, eveneens gespecialiseerd in fraude, zoals
politiemannen, om raad te verstrekken aan hun “interne onderzoekers”. Onder de
verschillende externe experten waarop de banken beroep doen, citeren we de IT
specialisten wier competenties bijzonder geapprecieerd worden in de strijd tegen
fraude, gezien de informatica vandaag toelaat om malafide feiten te plegen op afstand
op een quasi ongestrafte manier.
Later, gezien er hier een nieuwe niche activiteiten werd ontdekt, doken Consultants op
met precies de fraude bestrijding als core activiteit. Deze Consultants doen twee
dingen; ofwel voeren zij zelf het onderzoek uit voor een onderneming die met fraude is
geconfronteerd maar niet de nodige interne resources heeft om een onderzoek uit te
voeren; ofwel verzorgen zij de opleiding van de “interne onderzoekers” van de bank.
Naast deze opleidingen voor de “interne onderzoekers”, hebben de banken de laatste
jaren ook een werkelijke proactiviteit ontwikkeld op gebied van preventie en detectie
van de fraude. Daar waar de banken vroeger enkel onderzoek uitvoerden op basis van
klachten of “meldingen”, heeft het management door de bewustwording van verhoogd
frauderisico zich de middelen toegeëigend om zoveel mogelijk te handelen alvorens de
fraude gebeurt.
Bijgevolg, naast de investeringen in opleiding, hebben de banken ook geïnvesteerd in
de aankoop of de ontwikkeling van informatica tools die gedragingen of verrichtingen
detecteren die mogelijk op fraude zullen uitmonden.
De fraude preventie is eveneens aan de orde en heeft zich op belangrijke wijze
ontwikkeld de laatste jaren. Concreet betekent dit dat de bank opleiding verschaft aan
haar medewerkers, in bijna alle metiers van de bank, om hen ervan bewust te maken
dat er een fraude risico bestaat voor bijna alle verrichtingen en om hen de middelen te
geven om tekenen van potentiële fraude te erkennen (externe fraude, twijfelachtige
klanten, …). Deze opleidingen kunnen ook meer doelgericht worden, bijvoorbeeld op
specifieke producten, of specifieke metiers,… Deze opleidingen worden voornamelijk
gegeven of opgezet door “interne onderzoekers” van de Bank. Dit heeft twee
voordelen: het laat toe om zich te baseren op concrete gevallen die zich voordeden en
48
49. behandeld werden door deze “interne onderzoekers” en het geeft te kennen aan de
medewerkers dat er binnen de Bank een dienst is van “interne onderzoekers”.
Naast deze interne preventieve opleidingen, heeft de bank recentelijk een systeem op
punt gesteld van “fraud risk assessment” en werkt ze aan een continue verbetering van
dit systeem. Deze assessments worden ontwikkeld en voorbereid door medewerkers
gespecialiseerd in fraude en zijn bestemd om toegepast te worden door elke business
in de Bank. Elke manager van elke business is in principe het meeste in staat om
fraude risico’s in zijn business te identificeren. Hij moet nadien deze Fraud Risk
Assessment tot een goed einde brengen en moet ervoor zorgen dat de belangrijkste
tekortkomingen geïdentificeerd worden en dat controles of systemen verbeterd worden
om fraudes te voorkomen.
Naast deze bewustwording binnenin de onderneming, organiseert de professionele
wereld zich ook om de “mondialisering” van de fraude tegen te gaan. Organisaties
zoals de ACFE werden gecreëerd met de bedoeling ervaringen uit te wisselen tussen
professionelen van de fraudebestrijding in alle economische sectoren. Conferenties
worden regelmatig georganiseerd om deze uitwisseling toe te laten en om een
permanente reflectie over de protectie van onze activiteiten tegen mogelijke fraude te
stimuleren.
Men kan wel stellen dat de fraudebestrijding binnen de financiële wereld - en
waarschijnlijk ook binnen andere sectoren - een business op zich is geworden, een
volwaardig metier die permanent evolueert.
Wat fraude technieken betreft, hebben we de laatste 10 jaar belangrijke verschuivingen
ervaren. Waar begin jaren 2000 de fraudes gelinkt aan materiële effecten transacties
hoogtij vierden is met de dematerialisatie van de fysische effecten deze fraudevorm
sterk afgenomen. Diverse modus operandi werden hierbij, in hoofdzaak door interne
medewerkers toegepast :
Het achterhouden van al dan niet een gedeelte van de door de klant aangeboden
effecten of coupons ter gelegenheid van een transactie, bijvoorbeeld een
terugbetaling op vervaldag of een couponbetaling. Deze techniek is ook beter
bekend als "toilettage".
Het afleveren van valse effecten aan de klant door gebruik te maken van eigen
ontworpen of gekopieerde stukken.
Ontvreemden van effecten en coupons uit de voorraden van de Bank of tijdens het
transport tussen de hoofdzetel en de filialen.
Fictief creëren van rente door materialisatie van coupons bij opvragen van kasbons
uit een effectenrekening.
Externe fraudeurs hebben ook meermaals geprobeerd de Banken op te lichten via het
aanbieden van vervalste effecten of effecten die met verzet waren betekend (verzet op
49
50. effecten wordt dikwijls geplaatst naar aanleiding van een verdwijning of diefstal).
Tegen 2013, wanneer de deadline verstrijkt voor het aanbieden van de fysische
effecten, verwachten we nog een piek inzake het aanbieden van ontvreemde in casu
vervalste effecten.
Ook op het gebied van cashverrichtingen en de klantentegoeden gerelateerde fraudes
hebben we een evolutie gekend de laatste 10 jaar. Met het verschuiven van de
cashverrichtingen van het klassieke loket naar de Selfruimte en ATM's is de
opportuniteit tot interne fraude afgenomen. Ook omwille van het wegvallen van
manuele registraties eigen specifieke klantentegoeden zoals spaarboekjes en
voorlopige rekeningen is het misbruik met deze producten sterk afgenomen. De
mogelijkheid om de rekeningafschriften met de uittrekselprinter af te drukken aan de
hand van de bankkaart, biedt de klant ook een bijkomende garantie inzake het correct
rapporteren van de transacties.
Keerzijde van de informatisering en automatisering van de verrichtingen is dat
malafide individuen zich gaan toespitsen op nieuwe technieken van fraude. Waar
vroeger bijvoorbeeld fraudes met papieren overschrijvingen een belangrijk risico
vormde, komt deze modus de laatste jaren volledig in de schaduw te staan van nieuwe
technieken zoals ‘phishing’, ‘skimming’ en ‘hacking’. Waar vroeger externe fraude
veelal het werk was van individuele opportunisten, zien we de laatste jaren eerder een
toename van de georganiseerde fraudes waar bendes gebruik maken van ‘money
mules’ om zo elk spoor naar de finale bestemming van de ontvreemde gelden te
verdoezelen.
Wat de typologie van de fraudes betreft, verwijzen we eveneens naar de evolutie van
de fraude. Vroeger, was de fraude in het algemeen vrij eenvoudig te identificeren om
dat de omgeving vrij beperkt en “gesloten” was. Geldfluxen waren gelimiteerd,
meestal lokaal, in batch verwerkt en complexere verrichtingen gebeurden in een
context die nog voor iedereen vatbaar en begrijpbaar was. Vandaag gaat de radicale
verandering van de omgeving ten gevolge van de mondialisering gepaard met een
verhoging van de fluxen en met een ‘real time’ uitwisseling. De complexiteit van
sommige verrichtingen heeft bepaalde controles onmogelijk gemaakt.
De fraude types zijn ook veranderd in de loop van de jaren in functie van:
Verbeteringsmaatregelen die genomen worden om fraude tegen te gaan op extern
vlak (CBFA, CTIF …) zowel als op intern vlak;
Het verdwijnen van fraude gevoelige producten (circulaire cheques, pensioenen,
…);
Nieuwe producten die op hun beurt worden gebruikt voor frauduleuze doeleinden
(mortgage fraud);
Veranderingen in gedrag van fraudeurs die hun technieken aanpassen aan een
strengere omgeving;
50
51. Nieuwe technologieën voor de relatie bank/klant (PC Banking,…), enz.
De meest frequente fraudes zijn de externe en interne fraudes, maar ook deze specifiek
verbonden aan internet, aan beursplaatsingen en/of balansvervalsingen.
Op vlak van interne fraude, zijn de risico’s uiteraard verbonden aan het gedrag van het
personeel om bepaalde behoeften te voldoen of die onder een zekere externe druk
gebruik maken van de opportuniteit geboden door de gebreken in de organisatie om
zich persoonlijk of een derde te verrijken.
Zoals vroeger vermeld, zijn er de diefstal van waarde, frauduleus gebruik van debet-
en creditkaarten, het leegmaken van slapende rekeningen en valse kredieten. Daarnaast
zijn er ook andere types fraude zoals frauduleuze manipulaties van data, fraude in het
badgen of misbruiken van de diensten ter beschikking gesteld door de Bank.
Op niveau van externe fraudes, zelfs al zijn er nog punctuele misdaden, worden we
vaker en vaker geconfronteerd met misdadige organisaties die tussenpersonen
gebruiken tegen betaling.
Ook al is het gebruik van PC Banking exponentieel aan het groeien, toch zijn er
gevallen waar klanten nog per briefwisseling of per e-mail handelen en zodoende een
opportuniteit schenken aan kandidaten fraudeurs om de boodschappen te
onderscheppen en te vervalsen.
Nog te vaak worden cheques, en in het bijzonder buitenlandse cheques, vervalst en
gebruikt om gelden van de Bank te verduisteren via directe creditering.
We zien vandaag ook een belangrijke groei in de aanvragen naar kredieten, van het
gebruik van valse documenten (identiteitskaarten, salarisfiches en vervalste facturen)
ter staving van het gebruik van het krediet. Deze valse documenten maken het de
misdadigers mogelijk om rekeningen te openen, over kredietkaarten te beschikken
evenals over kredieten.
Deze opsomming is niet exhaustief. Er zijn ook nog de kaartfraudes, de
chequeruiterijen, wissel ruiterijen, verzekeringsfraudes, insider trading, enz.
Al deze fraudes zijn mogelijk omdat er zwakheden zijn in de organisatie, in de
systemen en in de procedures. Uiteraard worden de zwakheden van sommige
medewerkers, het niet respecteren van de instructies en het gebrek aan gezond
verstand van sommigen handig misbruikt door de kandidaten fraudeurs die meestal
hun fraude voorbereiden in functie van de zwakheden van de organisatie die zij zullen
misleiden.
51
52. Een studie van PWC in 2001, in België, kwam tot de volgende vaststellingen:
51% van de Belgische ondernemingen waren slachtoffer in de loop van de twee
laatste jaren van een verduistering;
87% van de misbruiken werden gepleegd door personeelsleden van deze onder-
nemingen;
De fraude heeft uiteraard een negatieve financiële impact op de onderneming maar
veroorzaakt ook neveneffecten op de gang van zaken, op de moraliteit van het
personeel, op het management en op het risico beheer.
Bij de fusie van Generale Bank en ASLK in 1999/2000 had de Bank al ingezien dat
een nieuwe metier moest ingevoerd worden binnen de Audit gespecialiseerd in het
beheer van zowel interne als externe fraude. Tot dan werd deze functie reactief vervuld
door auditeurs bovenop hun basis missie.
Op 14 september 2000 integreerde Fortis Bank in haar arbeidsreglement een artikel 20
waarin bepaald wordt dat een onderzoek op eventuele tekortkomingen van het
personeel enkel kan uitgevoerd worden door de dienst Investigations die hiervoor
speciaal in het leven werd geroepen, en dit wanneer het gaat over eventuele fraudes of
bij tekortkomingen die een grondig onderzoek vragen.
In mei 2004 werd een specifieke deontologische code geïmplementeerd ter
bestemming van het net, zowel voor statutaire als voor zelfstandige kantoren, met de
bedoeling fraudetoestanden en niet-deontologische situaties te identificeren. Op deze
manier werd het bestaan van deze dienst bevestigd en won de functie van Investigator
aan belang binnen de Bank. Dit mondde uit op een steeds meer doorgedreven
specialisatie van de metier.
In 2005 wou de Bank zich profileren als een solide en betrouwbare partner en creëerde
een intern waarschuwingssysteem met de bedoeling om elk belangrijk misbruik die
een belangrijke schade zou aanbrengen of kunnen aanbrengen aan het financiële
statuut, de resultaten of de reputatie van de Bank.
Einde 2005 verliet de dienst Investigations de Audit en werd een totaal onafhankelijke
entiteit.
Op 1 augustus 2007, nam het Executive Committee van de Bank het engagement om
strikt de Corporate Governance regels van de Ondernemingen te respecteren.
Hierdoor kon de Bank geen enkele afwijking noch oneerlijk of frauduleus gedrag
dulden en dit principe werd hard geconcretiseerd in een Anti-Fraude Policy door het
Executive Committee.
52
53. Dit basis principe is de zero-tolerance-to-fraud.
Gezien de internationalisering van de Bank werden de competenties van Investigations
Belgium uitgebreid en « Group Investigations » werd gecreëerd als een onafhankelijke
functie om het management te begeleiden in de implementatie van de Anti-Fraud
Policy.
Er werd ook een charter geschreven waarin de rol van alle betrokken partijen wordt
beschreven - van de kleinste medewerker tot het Executive Committee, doorheen alle
lagen van het management.
Er werd ook een officiële gedragscode ontwikkeld voor de Investigators die
onafhankelijkheid, integriteit, transparantie en objectiviteit garandeert.
Dit resulteert in de volgende activiteiten voor Group Investigations:
Deelname aan de fraude preventie en detectie initiatieven;
Ondersteuning van het management om op aangepaste wijze het frauderisico in te
schatten;
Bijdrage in het sensibiliseren aan het fraude risico;
Onderzoek van de fraude gevallen en ongewenst gedrag;
Raadgeving aan het management in de remediëring en herstelling van de fraude-
gevallen.
Martine De Rouck RFA
Head of Fraud Protection and Investigations, BNP Paribas Fortis
53
55. Forensic auditing en corporate governance:
een bewogen decennium
Prof. Michel J. De Samblanx RFA
Vooraf
In de loop van de voorbije 10 jaar is de roep naar meer controle en meer audit intensief
toegenomen. Toch kunnen zij een corrupt beleid niet bijsturen noch integer maken.
Inleiding
In het voorbije decennium zijn een aantal belangrijke initiatieven genomen rond
corporate governance. De grote fraudes die wereldwijd plaatsvonden bij het begin van
het huidige millennium, hebben de wetgever ertoe aangezet initiatieven te nemen om
in te grijpen in het beleid en de communicatie van de grote ondernemingen. Zowel op
nationaal niveau als binnen het Europese kader werden wetgevende initiatieven
genomen. De namen van deze fraudes klinken ons nu nog altijd vertrouwd in de oren:
Worldcom, Parmalat, Enron, Lernout en Hauspie, Ahold.
Daarnaast hebben we in 2007 de kredietcrisis gehad. Het hele (Westerse) kapita-
listische systeem daverde op zijn grondvesten en sedertdien is het vertrouwen in de
financiële wereld volledig verdwenen. Ten gevolge van deze kredietcrisis hebben de
overheid en de wetgever belangrijke stappen gezet in een verdere reglementering en
een verder toezicht op het financiële verkeer. In het kielzog van deze kredietcrisis
hebben we ook een aantal schandalen en grote fraudes gekend, waarbij oplichters van
het kaliber Bernard Madoff (gearresteerd op 11 december 2008) niet van aard zijn om
dit vertrouwen te herstellen.
De private sector ten slotte, heeft belangrijke stappen gezet om tot meer behoorlijk
bestuur te komen. Zo heeft de commissie corporate governance in België in 2009 een
nieuwe code gepubliceerd1 en bestudeert deze commissie momenteel verbeteringen die
aan deze code moeten worden aangebracht. Hierbij gaat het om beursgenoteerde
vennootschappen, maar ook voor de kleine en middelgrote ondernemingen wordt een
dergelijke code aangepast aan de gewijzigde economische realiteit (juni 2009).
Hierna gaan we nader in op enkele belangrijke stappen in het wetgevende kader.
1
Zie: www.commissiecorporategovernance.be
55
56. Het embryo van een duaal model
Vooreerst hebben we de wet gehad van 20 augustus 20022. Daarin staan een aantal
belangrijke bepalingen die naar de onafhankelijkheid van de commissaris verwijzen
alsook naar de bepalingen inzake de onafhankelijke (externe) bestuurders. Daarnaast is
in deze wet het embryo vervat voor een duaal systeem. Daarbij wordt een
functiescheiding geregeld tussen de raad van bestuur, die met de toezichtsfunctie is
belast, en het directiecomité, dat met de uitvoerende functie is belast. In onze
“traditionele” wetgeving komen beide bevoegdheden toe aan één enkel orgaan,
namelijk de raad van bestuur. Slechts een minderheid van vennootschappen heeft van
deze mogelijkheid gebruik gemaakt.
Dit behoeft geen commentaar: niemand doet graag afstand van macht, ook de
bestuurders niet. Dit is de reden waarom men in een overgrote meerderheid van
ondernemingen een ‘uitvoerend’ of een ‘executief’ comité aantreft. Dit wijst er
inderdaad op dat de splitsing tussen de raad van bestuur en het directiecomité in deze
vennootschappen niet statutair is vastgelegd en in de praktijk is omgezet.
Eens te meer kunnen we er onze verwondering over uiten dat ook de commissie
corporate governance geen aanbeveling heeft geformuleerd voor een duaal model, daar
waar het overduidelijk is dat in een gezond bestuursmodel toezicht en uitvoering
idealiter van elkaar worden gescheiden. De commissie heeft hier een kans gemist,
maar dat is misschien mede te wijten aan het gewicht van de uitvoerende bestuurders
in deze commissie.
De onafhankelijkheid van de commissaris en het versterkt
maatschappelijk toezicht op de bedrijfsrevisoren
Zoals in het vorige hoofdstuk al aangegeven, bevat de wet van 2 augustus 2002 ook
een aantal bepalingen aangaande de onafhankelijkheid van de commissaris en een
aantal vereisten die eigen zijn aan de uitvoering van zijn opdracht als onafhankelijk
toezichthouder.
Belangrijke wijzigingen werden aan het statuut van de commissaris aangebracht, maar
tegelijkertijd werd het maatschappelijk toezicht op de bedrijfsrevisoren aanzienlijk
verscherpt. Veel van deze reglementering is rechtstreeks van Europa afkomstig. De
wijzigingen die werden aangebracht in de wet van 22 juli 1953 (oprichting van het
Instituut van Bedrijfsrevisoren), aan het KB van 10 januari 1994 (houdende de
plichtenleer van de bedrijfsrevisoren) en de bepalingen aangaande de opleiding en
2
2 augustus 2002. - Wet houdende wijziging van het Wetboek van vennootschappen alsook van de
wet van 2 maart 1989 op de openbaarmaking van belangrijke deelnemingen in ter beurze genoteerde
vennootschappen en tot reglementering van de openbare overnameaanbiedingen (Belgisch
Staatsblad 22 augustus 2002).
56
57. stage, aangaande het openbaar register en de kwaliteitscontrole, werden in diverse
Koninklijke besluiten in de eerste helft van 2007 opgenomen3.
Installatie van een auditcomité bij beursgenoteerde
vennootschappen en financiële instellingen
Met de wet van 17 december 20084 heeft de Wetgever de beursgenoteerde vennoot-
schappen en de financiële instellingen verplicht een onafhankelijk auditcomité te
installeren. Dit comité, dat binnen de raad van bestuur functioneert, moet het toezicht
van deze raad versterken. Volgens deze wet is het auditcomité samengesteld uit niet-
uitvoerend bestuurders. Tenminste één lid van het auditcomité is een onafhankelijk lid
van het wettelijk bestuursorgaan in de zin van artikel 526ter van het Wetboek van
Vennootschappen en beschikt over de nodige deskundigheid op het gebied van
boekhouding en/of audit. Bovendien beschikken de leden van het auditcomité over een
collectieve deskundigheid op het gebied van de activiteiten van vennootschap en op
het gebied van boekhouding en audit.
Dit auditcomité, dat een duidelijke stap is in de goede richting voor een onafhankelijk
toezicht, is tegelijkertijd een gemiste kans. De wetgever had kunnen bepalen dat alle
leden van het auditcomité onafhankelijke bestuurders moeten zijn. Deze bijkomende
vereiste zou de kracht en de impact van het toezicht binnen de vennootschap nog
aanzienlijk hebben versterkt.
Ook hier kunnen wij onze verwondering uiten aangaande de stelling van de commissie
corporate governance. De commissie bepaalt dat het auditcomité in meerderheid
onafhankelijke leden moet tellen. Eens te meer is dit een gemiste kans: in de gevolgde
logica ware het beter geweest dat alle leden onafhankelijke bestuurders zouden zijn.
Eens te meer is de achterliggende motivering er een van macht. Immers de
vertegenwoordigers van de hoofdaandeelhouder (interne niet-onafhankelijke, maar
weliswaar wel niet-uitvoerende bestuurders) houden hierdoor een greep op de agenda
van het auditcomité en op het verloop van de besprekingen binnen dit auditcomité. Het
3
Zie onder andere:
Koninklijk besluit van 10 januari 1994 betreffende de plichten van de bedrijfsrevisoren.
Koninklijk besluit van 26 april 2007 tot organisatie van het toezicht en de kwaliteitscontrole en
houdende het tuchtreglement voor de bedrijfsrevisoren.
Koninklijk besluit van 30 april 2007 betreffende de toegang tot het beroep van bedrijfsrevisor en tot
opheffing van het koninklijk besluit van 13 oktober 1987 betreffende de stage van de kandidaat-
bedrijfsrevisoren.
Koninklijk besluit van 30 april 2007 betreffende de erkenning van bedrijfsrevisoren en het openbaar
register.
Koninklijk besluit van 7 juni 2007 tot vaststelling van het huishoudelijk reglement van het Instituut van
de Bedrijfsrevisoren.
4
17 december 2008. - Wet inzonderheid tot oprichting van een auditcomité in de genoteerde
vennootschappen en de financiële ondernemingen (Belgisch Staatsblad van 29 december 2008).
57
58. is het referentiekapitalisme dat het in het kader van het vennootschaptoezicht gehaald
heeft op het stakeholdermodel.
En bij de overheid?
In 2001 werd bij de Vlaamse overheid een auditcomité geïnstalleerd5. Daar waar bij
aanvang de opdrachten zich uitsluitend tot hoofdzakelijk situeerden op het vlak van de
klassieke audit, stellen we nu vast dat zowel de forensische audit als de binnen het
kader van de forensische expertise ontwikkelde knipperlichten meer en meer impact
krijgen.
In 2010 heeft ook de Federale overheid een auditcomité opgezet. Hiertoe was reeds
beslist met een aantal Koninklijke besluiten van 2007, maar pas deze regering heeft
alle maatregelen genomen om dit auditcomité op de goede rails te zetten6.
Forensische audit
Zowel bij de grote fraudes als bij de kredietcrisis werden vragen gesteld naar controle
en toezicht, zowel op niveau van de uitvoering - het internecontrolesysteem - als op
niveau van de raad van bestuur (het auditcomité en de interne audit) als van de externe
auditor (de commissaris). Met de Amerikaanse wetgeving (Sarbanes-Oxley) werd de
verantwoordelijkheid van de CEO en de CFO strafrechtelijk vastgelegd (geldelijke
boete en/of gevangenisstraf) voor zover de certificatie die zij afleggen over het
internecontrolesysteem achterafgezien niet met de werkelijkheid overeenstemt. Deze
certificatie heeft zowel betrekking op het feit dat de onderneming over een adequaat
internecontrolesysteem beschikt als op het feit dat dit systeem tijdens de
rapporteringsperiode goed heeft gewerkt.
Op wetgevend vlak in België zijn deze bedenkingen uitgemond in een striktere
reglementering rond de samenstelling van de raad van bestuur (integratie van onaf-
hankelijke bestuurders) en op een striktere reglementering van de onafhankelijkheid
van de externe auditor.
Gezien de toegenomen verantwoordelijkheid van beleidsvoeders en van de toezicht-
houders is ook de roep om forensische auditoren aangescherpt. Zo worden in heel wat
grotere auditkantoren de mandaatdossiers (waar één van de partners de functie van
commissaris uitoefent), gescreend op frauderisico en fraudewaarschijnlijkheid.
5
Dit was tengevolge van het besluit van 8 september 2000 - Besluit van de Vlaamse regering
betreffende de oprichting en de werking van de entiteit Interne Audit in het Ministerie van de Vlaamse
Gemeenschap. Dit besluit werd geactualiseerd op 16 april 2004 en op 16 maart 2007.
6
17 augustus 2007. - Koninklijk besluit tot oprichting van het Auditcomité van de Federale Overheid
(ACFO).
58
59. In grote organisaties, zowel private ondernemingen als bij de overheid, wordt in
toenemende mate geïnvesteerd in forensische audit. Vaak wordt deze activiteit gezien
als een complement van interne audit en dan ook binnen de interne auditdienst
geherbergd. Eventueel wordt deze forensische activiteit als een bijkomende opdracht
voor het lijnmanagement gezien in het kader van de monitoringverantwoordelijkheid
ten aanzien van het interne controlesysteem.
Wij stellen daarbij vast dat de toegevoegde waarde initieel lag op gebied van
onderzoek naar vastgestelde fraude. Meer en meer stellen we evenwel een
verschuiving vast naar de preventie. Daarbij worden instrumenten ontwikkeld om
fraude te voorkomen maar ook om fraude in een zo vroeg mogelijk stadium op te
sporen en te stoppen. Dit kan mede gezien worden in het kader van het in control
statement dat van het management en van de bestuurders wordt verwacht.
Dit alles heeft als gevolg dat er een behoefte is aan een meer geformaliseerd kader
voor deze betrokkenheid van forensische audit, zowel naar kwaliteit als naar
transparantie. De regels van toegang tot beroepsuitoefening en een normenkader voor
de forensische auditor dringen zich op. Deze structuur wordt bij voorkeur wettelijk
verankerd. Het Instituut van Forensische Auditoren heeft in het verleden zowel zelf
een professioneel kader uitgetekend, dat door de tijd heen wordt verfijnd, als een
uiterst positieve bijdrage geleverd aan alle initiatieven die door de politieke wereld
werden genomen om het beroep wettelijk te organiseren. Dit is een warme oproep om
op zeer korte termijn deze initiatieven te hernemen.
Besluit
Zoals steeds in de reeds lange geschiedenis van de mensheid is vandaag gewoon de
overgang tussen gisteren en morgen. Dat is ook zo in de economische wereld en in de
wereld van de economische beroepen (de “cijferberoepen”). Hoe meer fraude-
schandalen en hoe grotere financiële en andere crisissen, hoe sterker de roep naar
verscherpte interne controle en verscherpt toezicht. We zullen er echter nooit in slagen
alle kwalen op deze manier weg te werken.
Een goed bestuur stoelt op integriteit, transparantie en verantwoordelijkheid. Interne
controle en audit kunnen dit beleid ondersteunen. Maar noch controle, noch audit
vervangen een hoogstaande ethiek in zaken en beleid.
Prof. Michel J. De Samblanx RFA
Stichtend erevoorzitter van het Instituut van Forensische Auditoren
59
61. Tien jaar fraudebestrijding7
Johan Denolf RFA en Jan Buys RFA
Voorliggende tekst over 10 jaar politionele fraudebestrijding is geen nostalgische
terugblik op wat was, maar nooit meer zal zijn. Het wil een vooruitblik zijn op de
wijze waarop fraudebestrijding in de toekomst zal evolueren.
Tien jaar politiehervorming: verandering
van structuren, statuten en processen
De wet op de politiehervorming dateert van 7 december 19988. Hierdoor worden drie
politiediensten vervangen door één politiedienst, gestructureerd op een lokaal (actueel
195 zones) en een federaal niveau. 1 april 2001 is voor de meeste politieambtenaren
evenwel een mijlpaal door de invoering van het nieuwe statuut. Veel belangrijker dan
de nieuwe structuur en het statuut, is echter dat de criminaliteitsaanpak en de
veiligheidszorg ingrijpend werden gewijzigd.
De invoering van een algemene nationale gegevensbank (ANG) en de
arrondissementele informatiekruispunten (AIK’s) moet vooreerst borg staan voor een
optimalisering van de informatiestromen. De achterliggende gedachte was dat de
fouten uit de affaire “Dutroux” nooit meer mochten worden gemaakt. Het rapport van
comité P in de zaak “Van Uytsel” laat evenwel uitschijnen dat de zwakke schakel niet
de structuren, statuten en processen zijn, maar de mentaliteit van bepaalde
onderzoekers die relevante informatie niet willen delen met collega’s of niet op
gepaste wijze de ANG willen voeden. Nieuwe begeleidende maatregelen (vorming,
bewustmaking en effectiever toezicht) dringen zich dus op.
Een tweede grote kentering in de wijze van werken is de planmatige aanpak van
veiligheidsfenomenen door het werken met Nationaal Veiligheidsplannen, eerst
jaarlijks, dan tweejaarlijks en sinds 2004 is de cyclus vierjaarlijks geworden. Met de
opmaak van het politioneel nationaal veiligheidsbeeld (NPVB) over de impact van
veiligheidsfenomenen, de dreiging van de daders en de kwetsbaarheid van doelwitten
of slachtoffers is het startschot voor het nieuwe Nationaal Veiligheidsplan (2012-2015)
gegeven. In elk veiligheidsplan worden prioritair aan te pakken fenomenen opgesomd.
7
Auteurs: Johan Denolf, Directeur Directie Economische en Financiële Criminaliteit, Federale
Gerechtelijke Politie en Jan Buys, adjunct-directeur van dezelfde directie.
8
Wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op
twee niveaus, B.S. 5 januari 1999.
61
62. De integrale en geïntegreerde aanpak van EcoFin-criminaliteit kwam in alle
voorgaande NVP’s voor. Het werken met strategische en operationele doelstellingen
voor prioritaire fenomenen, het opvolgen van de implementatie ervan aan de hand van
indicatoren en het evalueren van het behalen van doelstellingen is in het
politielandschap zeker vernieuwend. Toch blijven er ook nog pijnpunten: het NVP
kadert normaliter binnen een bredere visie van verschillende federale overheids-
diensten (FOD Justitie, FOD Binnenlandse Zaken, FOD mobiliteit,…) en dit
uitgewerkt in een Kadernota Integrale Veiligheid. De laatste Integrale Kadernota
dateert evenwel van 20049. Tweede heikel punt is het ontbreken van de koppeling van
de aanpak van prioritaire fenomenen met de beschikbaarheid aan personeel enerzijds
en materiële middelen anderzijds. Dit kan men niet uit de weg blijven gaan.
Privacy, het omgaan met de beschikbaarheid van
data en bijzondere opsporingstechnieken
Een belangrijke maatschappelijke evolutie is de grotere toegankelijkheid van data.
Voor overheidsdiensten algemeen en politiediensten in het bijzonder, wordt het
opsporen van fraude een digitale strijd. Opsporen van misdrijven kan door het
selecteren van de juiste informatie uit een zee van gegevens. Technieken van
‘data mining’ zijn het middel bij uitstek, maar er blijven nog een aantal horden te
nemen. Vooreerst voorzien de huidige wetten (wetboek van strafvordering en wet op
het politieambt) niet in een voldoende aangepast reglementair kader voor
dataverwerking.
Wat technisch mogelijk is, ligt juridisch niet altijd binnen de mogelijkheden van
rechtshandhavingsdiensten. De kern van het probleem is de moeilijke evenwichts-
oefening tussen efficiënte en effectieve fraudebestrijding en anderzijds het recht op
privacy. Doortastend overheidsoptreden kan te ingrijpend worden. Het
maatschappelijke debat hierover is zeker nog niet ten gronde gevoerd. Door de
schaarste van de publieke middelen zal de vraag evenwel steeds luider klinken: “Waar
dienen de wettelijke grenzen te worden gelegd, rekening houdend met principes van
proportionaliteit en subsidiariteit”?
Ook de bijzondere opsporingsmethoden kunnen in één adem met de privacy worden
vernoemd daar zij er een ingrijpende inmenging op vormen. Deze technieken kunnen
uiteraard slechts voor zover ze expliciet in een wet zijn opgenomen (legaliteits-
beginsel). Daarenboven dient bij de toepassing van deze methoden telkens te worden
nagegaan of de maatregel in verhouding is tot het te beschermen doel (proportiona-
liteitsbeginsel). Ook vraagt de wetgever eerst de minder ingrijpende middelen aan te
wenden vooraleer een beroep wordt gedaan op de bijzondere technieken en bijzondere
opsporingsmethoden (subsidiariteitsprincipe). Toch ziet men een evolutie om ook in
9
Kadernota Integrale Veiligheid 2004, goedgekeurd door de ministerraad van 30 maart 2004.
62
