IT belangrijkste wapen tegen fraude


Fraude in de bouw, de vastgoedsector, hypotheken, belastingtoeslagen, nepartsen en met BTW. De lijst met oplichterij wordt steeds langer en ook in Nederland lijkt corruptie schering en inslag. Volgens Mark Raben, Director Innovation & Product Strategy bij SAP Nederland, is het dan ook tijd om big data in te zetten tegen de fraudeurs. “Jammer dat IT niet grootschaliger wordt ingezet om dit maatschappelijk probleem gerichter aan te pakken.”

De Association of Certified Fraud Examiners (ACFE) is de grootste antifraude organisatie, die in november een seminar houdt met de titel 'Big Data & Internal Investigations'. Er zijn sprekers van de Hogeschool Leiden, Universiteit Maastricht, Universiteit Leiden, Internationaal Tribunaal VN en ABN AMRO. Vreemd genoeg niemand van de overheid, hoewel zorg- en uitkeringsfraude zeer bedenkelijke fenomenen zijn. Toch geeft dit seminar wel aan dat het onderwerp ‘hot’ is. En dat mag ook wel, want uit een wereldwijd onderzoek van ACFE blijkt dat er heel veel geld verloren gaat als gevolg van fraude, terwijl de pakkans verontrustend laag is.

Kleine pakkans
De uitkomsten van het onderzoek van ACFE ‘Report to the nations on occupational fraud and abuse 2012 Global fraud study’ zijn schokkend. Zo blijkt dat de gemiddelde onderneming vijf procent van haar omzet verliest als gevolg van fraude. De meest voorkomende vorm is die van werknemers die goederen achterover drukken. Maar de maximale schade daarbij blijft beperkt tot circa 90.000 euro per jaar. Financiële fraude komt in acht procent van de gevallen voor, maar hier gaat het dan wel om minstens 750.000 euro per geval.


Fraude komt het meest voor in de banksector en andere financiële dienstverlening, gevolgd door de overheid en andere publieke organisaties. De maakindustrie is respectievelijk de derde sector met het grootste verlies. “Maar wat het meest opvallend is”, zegt Raben, “is dat het zo lang duurt voordat een fraudegeval aan het licht komt. De gemiddelde ontdekkingstijd is achttien maanden.” Wat hem nog meer schokte, is dat de meeste organisaties geen controlemechanismen of andere methoden in gebruik hebben om malversaties tijdig op te sporen. “En dat terwijl toch is gebleken dat er een overduidelijke correlatie is tussen de aanwezigheid van antifraude controles en lagere fraudebedragen en een kortere duur van het bedrog. Organisaties die om het even welke van de zestien gebruikelijke antifraude mechanismen in gebruik hebben, ervaren minder verlies.”

Tips
De meest gebruikelijke maatregelen zijn onder meer: externe audits van de boekhouding, een door medewerkers ondertekende gedragsregeling, een onafhankelijke controlecommissie, een hotline, training voor managers, verplichte baanrotatie, en een beloning voor klokkenluiders.

Sinds het eerste onderzoek blijkt dat fraude het meest aan het licht komt door tips. In 2012 was dit bij ruim 40 procent van de gevallen. Gevolgd door 15 procent van de managers die de gang van zaken controleert en 14 procent door interne audits. En dan volgen er nog acht methoden, waarvan ‘per ongeluk’ op de vierde plaats staat, en ‘IT’ als laatste (met circa 1 procent). De constatering dat gebruikmaking van informatietechnologie om fraude te detecteren nauwelijks voorkomt, verbaast Raben. “Dat geeft toch wel weer aan dat er een heel grote onbekendheid bestaat met deze materie. Dat kunnen wij onszelf aantrekken”, zegt deze vertegenwoordiger van de IT-industrie.


Maatschappelijk belang
Hij wijst erop dat bij fraude en corruptie echt een maatschappelijk belang speelt. “Op het moment dat een verzekeringsmaatschappij wordt opgelicht, leidt dat uiteindelijk tot hogere premies en dus tot maatschappelijke onvrede. In Nederland zijn een voertuigenverzekering bij het bezit van een auto en een zorgverzekering verplicht; daar ontkom je niet aan. Belastingfraude en uitkeringsfraude leiden tot minder inkomsten en hogere uitgaven bij de overheid dan noodzakelijk. Dit is dan ook een onderwerp dat terecht politieke belangstelling heeft. Het is niet voor niets dat minister Schippers op Prinsjesdag een plan van aanpak heeft gepresenteerd om de zorgfraude te bestrijden.” Hij zou echter wel willen dat er meer aandacht is voor de rol die informatietechnologie op dit vlak kan spelen.

Vrijwel alle informatieverkeer – en dat geldt ook, misschien wel juist, voor financiële transacties – verloopt tegenwoordig digitaal. Hier kunnen we de term big data met gemak hanteren. Want het gaat om enorme hoeveelheden gegevens. Te veel om met de hand uit te zoeken, zoals gebruikelijk bij audits en controle door managers. Dat is bovendien foutgevoelig, omdat veel auditeurs en managers niet op de hoogte zijn van de jongste wet- en regelgeving, en bovendien door vermoeidheid wel wat cijfers over het hoofd kunnen zien. Dit verklaart de lage pakkans en de lange tijd die sjoemelaars hebben om hun ongewenste acties voort te zetten. “Wij hebben Fraud Management-software op de markt gebracht die hierbij een rol kan spelen. Voor de verzekeringsbranche hebben we zelfs een speciale versie van de programmatuur ontwikkeld”, zegt Raben.

Zo snel mogelijk
Bij fraudebestrijding gaat het erom zo snel mogelijk te handelen nadat eenmaal ‘iets’ is ontdekt. Dat betekent dat een organisatie wel een draaiboek moet hebben met de te ondernemen acties op een constatering dat iemand onoorbaar heeft gehandeld. Maar het betekent ook dat eventuele misstanden zo snel mogelijk aan het licht moeten komen. Hierbij speelt IT een belangrijke rol. Het is zaak al die gegevens te doorzoeken op afwijkingen. Denk hierbij aan tijdstippen waarop iemand handelingen verricht, want buiten reguliere kantoortijden mag je verwachten dat medewerkers niet aan het werk zijn. Zo moet IT ook incidenten kunnen opsporen als iemand met bedragen manipuleert waartoe hij niet is gerechtigd. “Je moet verschillende gegevens aan elkaar koppelen. Er is een bestand met alle codes die artsen krijgen om te kunnen declareren bij verzekeringsmaatschappijen. Sommige artsen zijn overleden, of zitten in de gevangenis, waarbij iemand dan hun code gebruikt om handelingen te declareren. Het moet toch niet zo moeilijk zijn om de gebruikte codes te verifiëren. Toch is dat misschien helemaal niet nodig. Stel dat je zoveel declaraties binnen krijgt op één code, waarbij het vrijwel in de tijd gezien onmogelijk is dat iemand zoveel doet. Dergelijke frauduleuze handelingen komen dankzij het gebruik van IT meteen aan het licht, zodat de fraudeur niet de gelegenheid krijgt om door te gaan met zijn verwerpelijke praktijken. Iedereen moet er in de praktijk scherper op zijn, dan weet ik zeker dat we dit fenomeen grotendeels de baas kunnen zijn”, stelt Raben.

Real-time
Met de in-memory database SAP HANA is het mogelijk om enorme hoeveelheden gegevens real-time te analyseren. “Dan kun je die ontdekkingstijd terugschroeven van achttien maanden naar achttien seconden of misschien nog minder. Op het moment dat je een afwijking ontdekt, dan kun je ervoor kiezen om de fraudeur nog een tijdje door te laten gaan om meer bewijsmateriaal te verzamelen, of meteen de politie in te schakelen. In dat draaiboek moet staan hoe je moet handelen. Maar het begint met het implementeren van een systeem dat real-time, de klok rond, het hele jaar door, razendsnel analyseert of er afwijkingen voorkomen.” Want dat is wat het systeem doet: gedragingen afzetten tegen de ingevoerde parameters. Zo vindt het patronen, verbanden en correlaties, in relatie tot wat is gedefinieerd als toelaatbaar gedrag. De meeste BI-leveranciers hebben algoritmen ontwikkeld voor wie dit werk een koud kunstje is. “Maar je moet wel over een database beschikken die in staat is die snelheden te halen”, geeft Raben aan.

Welke tips hij nog meer heeft? “Je moet ervoor zorgen dat het systeem waarschuwingen afgeeft bij de juiste personen op het moment dat het afwijkingen constateert. Zorg dat de fraudeurs hun verfoeilijke werk niet meer kunnen voortzetten, of volg hun handelingen nauwgezet om later in te grijpen. Vorm een dossier. Daarbij kun je verschillende geografieën in het dossier opnemen, want de software is niet aan landsgrenzen gebonden.”

Hij vindt eveneens dat de regels voor fraudedetectie in het systeem makkelijk aanpasbaar moeten zijn. De wereld van (overheids)afspraken en regelingen verandert immers constant. Tot slot geeft hij aan dat het nodig is een simulatieomgeving te bouwen om de werking van het systeem voor fraudebeheer te testen met als doel het aantal valse alarmen te minimaliseren. “Maar misschien het belangrijkst nog wel is de boodschap tussen de oren te krijgen van de beslissers dat IT hier een cruciale rol kan vervullen”, aldus Raben.

Daling fraude internetbankieren
De daling bij fraude via internetbankieren in Nederland bleek het eerste half jaar van 2013 significant. In het eerste half jaar van 2012 ging nog bijna 25 miljoen euro verloren bij de Nederlandse banken; een jaar later is dat 4,2 miljoen euro; een daling van 82 procent. Volgens de Vereniging van Nederlandse Banken is de teruglopende opbrengst voor cybercriminelen het gevolg van betere fraudeherkenning, voortvarend politieoptreden en een alerter publiek. De activiteiten van de fraudeurs zelf zijn niet afgenomen; alleen het effect ervan.

Wellicht hebben zij hun activiteiten uitgebreid, want in België is juist sprake van een enorme toename van fraudegevallen met internetbankieren. De eerste helft van 2013 leverde al net zoveel problemen op als over heel 2012. Een voorlichtingscampagne zoals de Belgische overheid voorstaat, helpt wel, maar een betere fraudeherkenning via Fraud Management-software bij de banken zet meer zoden aan de dijk.

Auteur: Teus Molenaar is journalist