Deloitte.

Audit .Accounting. Tax. Consulting. Corporale Finance.

Fraude en de bedrijfsrevisor.Philip MaeyaertFrank Staelens

14 September 2007

Fraudedriehoek

Thll Fraud Trianll_ -------

4 © 2007 Deloitte

Kenmerken van fraude – Fraude driehoek

Oppor

tuni

teit Rationalisering

Motief• Financiële problemen

• Onrealistische doelstellingen op het werk

• Druk om levensstijl te handhaven

• Schulden

• Opportuniteit via het werk:

• geen duidelijke regelafbakening

• slechte interne controle

• Opportuniteit via de individu zelf:

• goede operationele kennis

• “onmisbaar”

• “Iedereen doet het”

• “Ik heb altijd onbetaald overwerk gedaan voor de baas”

• “Ik deed het om aan te tonen dat hun systeem lek is”

• “Ik ben gepasseerd voor opslag/promotie te krijgen”

Definitie boekhoudkundige fraude

8 © 2007 Deloitte

Definitie boekhoudkundige fraude

• Opzettelijke, misleidende weergave van financiële informatie door één of meerdere personen die deel uitmaken van het personeel of de directie door middel van manipulatie, aanmaak of aanpassing van documenten of bestanden, misbruik van vennootschapsgoederen, inschrijving van fictieve operaties, valse waarderingen, etc.

• Onderscheidt zich van een vergissing door het bestaan van een opzettelijk karakter al of niet in samenwerking met een derde. Fraude onderscheidt zich van het maken van fouten door het opzet waarbij misleiding wordt gebruikt om een onrechtmatig of onwettig voordeel te behalen.

• In het algemeen vormt ze een inbreuk op de wet van 17 juli 1975 en het koninklijk besluit van 30 januari 2001.

Verantwoordelijkheden van de bedrijfsrevisoren vandaag

10 © 2007 Deloitte

Verantwoordelijkheid van de revisor

• De preventie van fraude behoort tot de verantwoordelijkheid van de beleidsorganen van de onderneming.

• Het objectief van de revisor is zich een oordeel te vormen over de jaarrekening, maar hij garandeert niet dat het systeem fraude voorkomt.

• Hij organiseert zijn controles in die mate dat hij een redelijke zekerheid verkrijgt om fouten (niet-opzettelijke/opzettelijke) te ontdekken.

BLIJK GEVEN VAN PROFESSIONEEL SCEPTICISME.

11 © 2007 Deloitte

Een professionele kritische houding is de sleutel!

Een professionele kritische houding is een attitude die veronderstelt dat de auditor een kritische beoordeling maakt van de geldigheid van de verkregen auditbewijsstukken en de antwoorden op vragen, en andere informatie verkregen van de directie en diegenen die belast zijn met het bestuur in vraag durft stellen.

12 © 2007 Deloitte

Te volgen procedures

• Evalueren van interne controles die gericht zijn op het voorkomen van fraude en onwettige praktijken

• Aanpassen van audit procedures in het geval van frauderisico’s • Verrichten van bijkomend onderzoek in het geval van

aanwijzingen van fouten• Onderbouwen van het niet-opzettelijk of opzettelijk karakter• In het geval van opzettelijke fouten: rapportering aan het

Directiecomité• In het geval van betrokkenheid leden Directiecomité of

onvoldoende opvolging vanwege het Directiecomité: rapportering aan de Raad van Bestuur

• Aanbevelingen formuleren voor het management om dezelfde fouten te voorkomen of het risicomanagement te verbeteren

• Impact onderzoeken op de jaarrekening en eventueel het commissarisverslag

13 © 2007 Deloitte

Impact jaarrekening

• Inschatten materialiteit in functie van het algemeen objectief van het getrouw beeld

• Aanleg provisies in het geval van “vermoedelijke risico’s”

• Notie indirecte risico’s ?

14 © 2007 Deloitte

Impact op het commissarisverslag

• Toelichtende paragraaf : – In het geval van een onzekere impact op de

jaarrekeningen • Terughoudende verklaring:

– In het geval er onvoldoende tijd was voor verder onderzoek,

– In geval er onzekerheid blijft of de fraude gestopt is en/of wanneer het getrouw beeld niet kan gegarandeerd worden

• Negatieve verklaring:– In het geval het management weigert om mee te

werken aan het onderzoek of weigert om bepaalde correctieve maatregelen te nemen

15 © 2007 Deloitte

Beroepsgeheim

• Algemeen principe: de revisor is gehouden aan zijn beroepsgeheim (art. 458 SW)

• Uitzonderingen:

–Rapportering faillissementsrisico’s aan rechtbanken van koophandel

–Melding witwasvermoedens aan CFI

–Verhoor door een Onderzoeksrechter

–Verklaringen onder eed voor rechtbanken

16 © 2007 Deloitte

Algemene principes te respecteren inzake waardering• Het komt aan het bestuursorgaan toe om de regels vast te stellen die

leiden tot het opstellen van de rekeningen.• Zij moeten beantwoorden aan de algemene principes inzake

voorzichtigheid, oprechtheid en goede trouw• Principe van scheiding der boekjaren (art 33).• Bestendigheid van de waarderingsregels (art 30 K.B./W.Venn.). Het is

evenwel mogelijk hiervan af te wijken.• De waarderingsregels moeten aangepast worden naar aanleiding van

een belangrijke aanpassing van de ondernemingsactiviteiten, de structuur van het patrimonium of economische of technologische omstandigheden en wanneer de voorheen toegepaste waarderingsregels niet meer beantwoorden aan het objectief van het getrouw beeld.

• Iedere aanpassing van de waarderingsregels gaat in het algemeen gepaard met een bijkomende toelichting in de bijlagen van de jaarrekening (cijferimpact) teneinde tegemoet te komen aan het objectief van het getrouw beeld:– Bestellingen in uitvoering;– Herwaarderingsmeerwaarden.

17 © 2007 Deloitte

Schaduwzones van het boekhoudrecht

•Historische waarde <> Marktwaarde

•Monetaire elementen <> Niet-monetaire elementen

•Duurzaam karakter of niet, vb: Waardevermindering

•Voorzichtige inschatting, vb: geproduceerde immateriële vaste activa

Enkele kernpunten in de evolutie van het denken over fraude uit ISA 240

19 © 2007 Deloitte

International standard ISA 240

• De focus wordt verlegd van het reactieve naar het proactieve of preventieve

• Fraude =

– Bedriegelijke financiële verslaggeving– Manipulatie, vervalsing of wijziging van gegevens of

documenten met financiële overzichten– Bewust onjuist weergeven of opzettelijk weglaten van

gebeurtenissen, transacties of andere belangrijke informatie

– Opzettelijk verkeerd toepassen van waarderingsgrondslagen inzake waardering, rubricering, presentatie en toelichting

– Afwijkingen wegens misbruik van vennootschapsgoederen

20 © 2007 Deloitte

Bedriegelijke financiële informatieVoorbeelden:

– Vastleggen van fictieve journaalposten– Het op niet passende wijze aanbrengen van

veronderstellingen die een aangepaste oordeelsvorming met zich meebrengt

– Het niet, laattijdig of te vroeg verwerken van gebeurtenissen en transacties die zich in de transactieperiode hebben voorgedaan

– Het achterhouden van informatie mbt omstandigheden die een impact zouden kunnen hebben op de financiële positie van de entiteit

– Het aangaan van complexe transacties die opgezet zijn om een verkeerde voorstelling te geven van de financiële positie van de entiteit

– Het wijzigen van de registratie en voorwaarden mbt belangrijke en ongebruikelijke transacties

Vloeit vaak voort uit het doorbreken van de leiding van de interne controleprocedures die de indruk maken goed te werken.

21 © 2007 Deloitte

Misbruik van vennootschapsgoederen

Voorbeelden:

– Zwarte ontvangsten/betalingen

– Het ontvreemden van activa/diefstal van gelden, goederen of informatie

– De entiteit laten betalen voor niet geleverde goederen of diensten (fictieve prestaties, overfacturatie, fictieve markup via tussenfacturatie…)

– Het gebruik van activa voor eigen gebruik (vb. activa in pand geven voor eigen leningen, gebruik materiaal/personeel)

– Valse of misleidende registraties of documenten om te verbergen dat activa ontbreken of in pand gegeven zijn

22 © 2007 Deloitte

Impact ISA 240• Deze richtlijn vereist dat de auditor:

– Gedurende de gehele controle een professioneel kritische houding handhaaft, waarbij de auditor het altijd voor mogelijk acht dat, onafhankelijk van zijn opinie over de integriteit van het management, er zich fraude kan voordoen

– Er van uitgaat dat “het omzeilen van interne controles door het management” en “onregelmatige herkenning van ontvangsten” bestaande risico’s zijn

– Een meeting belegt met zijn teamleden om de mogelijke aanwezigheid van fraudrisico’s te bespreken - zich afvraagt of een gesignaleerde afwijking een indicatie van fraude kan zijn

– Bijkomende werkzaamheden verricht rond frauderisico’s – om vermoedelijke frauderisico’s in te dekken dienen oa auditprocedures ontworpen en uitgevoerd te worden met het doel om ongewone of overwachte verbanden, boekingen, aanpassingen, schattingen, transacties of trends te identificeren - specifieke testen uitvoert om:

– De in het grootboek verwerkte journaalposten en andere correcties kan onderzoeken op juistheid

– Schattingen te beoordelen op abnormale verschillen – Inzicht te verkrijgen in de economische redenen van belangrijke transacties

– Overweegt om voor de bijkomende werkzaamheden en de specifieke testen data analyse software te gebruiken – het gebruik van electronische testen wordt aanbevolen

– Management interviews opzet om informatie te verzamelen rond de wijze waarop de toezichthoudende organen het risico van een afwijking van materieel belang als gevolg van fraude onderkennen - een schriftelijke bevestiging krijgt van de leiding met betrekking tot frauderisico’s

– Nagaat wat het belang zou kunnen zijn van de frauderisico’s - de interne controlemaatregelen die het residueel karakter van deze risico’s kan verminderen evalueert

– Het volledige proces van bespreking over inschatting tot bijkomende werkzaamheden documenteert

23 © 2007 Deloitte

Wettelijke valkuilen

•Privacy- & databeschermingswetgeving•Belgacom-wet & CAO 81•Uitgangscontroles & CAO 89•Camerabeveiliging & CAO 68•Arbeidswetgeving•Wet veiligheidsadviseurs•Wet privé-detectives

Jaarrekeningfraude: oorzaken en vormen

25 © 2007 Deloitte

Jaarrekeningfraude - oorzaken• onjuiste verklaring m.b.t. de inkomsten (50%)

– vroegtijdige of te late boeking van de inkomsten (26%)

– fictieve inkomsten (24%)

• onjuiste verklaring m.b.t. onkosten/passiva (18%)

• onjuiste verklaring m.b.t. de activa (50%)

– te hoog opgegeven bestaande activa (37%)

– boeking van fictieve activa of oneigen activa (12%)

– kapitalisatie-elementen die als onkosten zouden geboekt moeten worden (6%)

• gebrekkige onthullingen (8%)

• verduistering van activa (12%)

26 © 2007 Deloitte

Voorbeelden:

A De inkomsten uit langlopende consultingcontracten onmiddellijk boeken.

B posten openhouden om inkomsten uit het eerste deel van de volgende periode te boeken (mogelijks door manipulatie van de systeemklok).

C nevencontracten afsluiten met grote klanten (vb. verdelers) om inkomsten te boeken voor goederen die kunnen ingeruild worden.

D fictieve inkomsten creëren door valse verkopen aan “SPE’s” (Special Purpose Entities).

E fictieve inkomsten creëren door valse verkopen door middel van fictieve facturen en/of klanten.

F journaalposten manipuleren om de inkomsten te verhogen.

G het niet-boeken van kortingen voor aankoop van grote hoeveelheden bij grote klanten.

Onjuiste verklaring over de inkomsten

27 © 2007 Deloitte

Onjuiste verklaring over de inkomsten• Case:

Microstrategy, een producent van data-mining software, kondigde in maart 2000 aan dat zij hun inkomsten en opbrengsten voor 1998 en 1999 herzien. Een wijziging van de waarderingsregels veranderde de opbrengst van $ 12.6 miljoen in een verlies van meer dan $ 34 miljoen. In plaats van de inkomsten te spreiden over de verschillende jaren voor langlopende consultingcontracten, had de firma ze onmiddellijk geboekt. De aandelen verminderden in waarde van $ 333 in maart 2000 tot minder dan $ 22 in mei 2000, en op dat ogenblik was Microstrategy verwikkeld in minstens drie rechtszaken met aandeelhouders en onderworpen aan onderzoeken vanwege de SEC.

• Vragen voor de bedrijfsrevisor:

– Is de manier waarop inkomsten worden gedefinieerd, een redelijke maatstaf om de inkomsten van het bedrijf te meten gedurende de periode waarover verslag wordt uitgebracht?

– Komen de inkomstenmaatregelen en de waarderingsregels overeen met deze die worden aangewend in de sector?

– Indien de inkomsten worden gemeten op een andere of ongebruikelijke manier, wordt dit dan vermeld in de voetnoten van de jaarrekening?

28 © 2007 Deloitte

Voorbeelden:H het uitsluiten van leveranciersfacturen of de terugbetalingen

aan leveranciers overdrijven.I het niet-communiceren van commerciële conflicten,

faillissementen en/of schadevergoedingen.J inkomsten boeken in plaats van een schuld voor leningen en

investeringen aangeboden door speculatieve kapitalisten/investeerders.

K Nevencontracten afsluiten met verkopers om de koopprijs te drukken in het lopende jaar maar deze dan te verhogen in het volgende jaar.

L het manipuleren van de herstructureringskosten om aldus verborgen reserves aan te maken (vb. faciliteit sluitingskosten).

M het manipuleren van de inkomsten om verliezen in te brengen zonder enig effect op de staat van inkomsten.

Onjuiste verklaring over onkosten en/of schulden

29 © 2007 Deloitte

Onjuiste verklaring over onkosten en/of schulden

Case: In 1999, maakte WR Grace geen melding van de herziening van de overgeschatte herstructureringskost, wat aanleiding gaf tot een toename van de operationele inkomsten. SEC heeft WR Grace vervolgd wegens fraude omdat dit niet werd aangegeven.

Vragen voor de bedrijfsrevisoren: –Is de jaarrekening een redelijke maatstaf om de operationele

onkosten en schulden van de lopende periode weer te geven? –Zijn de meettechnieken voor kosten en schulden consistent

met deze die de sector hanteert? –Zijn er voldoende meldingen in de voetnoten over de

schattingen van onkosten en schulden, vooral de boekhoudkundige verwerking van de provisies voor onzekere toekomstige kosten?

30 © 2007 Deloitte

Voorbeelden: N manipuleren van provisies voor dubieuze debiteuren en

verouderde voorraad (door het manipuleren van de ‘ageing’ of door de CFO die beslist hoeveel er moet geboekt worden ongeacht de realiteit).

O manipuleren van waarderingen voorraad, rollend materieel (vb. bestelwagens) of andere activa

P manipuleren/vermijden van afschrijvingen

Q kapitaliseren van kosten op ongepaste wijze.

R boeken van fictieve leningen en/of eigendom.

S boeken van fictieve cash door het gebruik van fictieve intercompany rekeninguittreksels en/of fictieve bankstaten

Onjuiste verklaringen over de activa

31 © 2007 Deloitte

Onjuiste verklaringen over de activa

• Case:Phar-Mor kocht 299 US aan drogisterijen gedurende een periode van 10 jaar en leed verliezen gedurende die hele periode. De verliezen werden gedumpt in een vuilbakrekening en vervolgens herverdeeld onder de 300 drogisterijen onder vorm van een fictieve voorraadwaarderingen. Valse opbrengsten werden aldus geboekt hoewel het bedrijf producten verkocht onder de prijs. Tijdens stocktellingen werden voorraden soms verschoven tussen de verschillende drogisterijen. De procedurekosten voor de revisor zijn opgelopen tot meer dan $ 300 miljoen. De CFO die er geen persoonlijk belang bij had, werd veroordeeld tot 33 maanden gevangenis. De CEO kreeg een gevangenisstraf van 5 jaar.

• Vragen voor de bedrijfsrevisoren: – Weerspiegelt de boekhouding de echte waarden en

waardeveranderingen gedurende de lopende periode? – Is de boekhoudkundige verwerking consistent met deze in de sector? – Worden de waardeaanpassingen en/of nieuwe of ongebruikelijke

meettechnieken volledig gemeld?

32 © 2007 Deloitte

Voorbeelden: T valse of misleidende verklaringen geven betreffende de financiële

situatie van het bedrijf, de technologische doorbraken, grote verkopen of andere toekomstige projecten.

U het niet-melden van transacties zoals consultingovereenkomsten, technologie-aankopen, huren en verkopen van gebouwen, vb. met bedrijven gelieerd met stichters/investeerders.

V het gebruik van afgeleide producten om het financiële risico te beheren.

Case: Metallgesellschaft had klantencontracten waarbij petroleum werd verkocht tegen prijzen die werden vastgesteld in 1992 voor periodes die opliepen tot 10 jaar. Om het risico in te dekken maakten zij gebruik van afgeleide producten. Zij gingen echter zover dat wanneer de olieprijs plots daalde, de verliezen opliepen tot $ 1.5 miljard.

Andere ontoereikende meldingen

33 © 2007 Deloitte

Voorbeelden:

W Betalen consulting fees aan een niet-geregistreerd bedrijf, een lege vennootschap of een bedrijf waarin het management financiële belangen heeft

X Collusie met leveranciers of klanten, die leiden tot het overfacturatie vanwege leveranciers of onderfacturatie/ opmaak extra kredietnota’s aan klanten

Y Verduistering door middel van parallelle circuits en bankrekeningen waarvan geen melding wordt gemaakt in de boekhouding

Z Diefstal van informatie (vb. klantendatabase of informatie over productieprocessen wordt gekopieerd voor verkoop aan een concurrent).

Misbruik van vennootschapsgoederen

34 © 2007 Deloitte

Relatief waarschijnlijk

Rel

atie

fbel

angr

ijkFSF RISK MAP

M

S K H

G

L

T

N O

C

E

AB

P

U

F

V

RQ

D

J

I

W

XY Z

Video “Cooking the books”

37 © 2007 Deloitte

Video “Cooking the books” Vragen

1. Welke zijn de elementen of de omstandigheden die ertoe leidden dat Minkow fraude pleegde?

2. Welk type van bewijsstukken heeft Minkow vervalst?3. Hoe heeft Minkow de testen van de auditor

ondergraven?4. Hoe heeft Minkow de onafhankelijkheid en de

professionele kritische houding van de auditors in het gedrang gebracht?

5. Hoe hebben de revisoren gefaald?

38 © 2007 Deloitte

Video “Cooking the books” Antwoorden1. Welke zijn de elementen of de omstandigheden die

ertoe leidden dat Minkow fraude pleegde?

Barry startte een tapijtenschoonmaakbedrijf toen hij 16 jaar was. Hij maakte nooit officiële winst en kon dus niet gemakkelijk aan een banklening geraken. Hij krijg uiteindelijk een lening aan woekerinteresten. Hij raakte verstrikt in woekerleningen waarbij hij de ene lening gebruikte om de andere af te betalen. Bovendien, om een lening te verkrijgen, moest het bedrijf winstgevend doen lijken. Hij gebruikte een vervalste jaarrekening om zoveel mogelijk geld te kunnen lenen bij banken.

Barry’s motivatie, was dus de noodzaak om zijn bedrijf te kunnen houden, ook al was zijn bedrijf verlieslatend.

39 © 2007 Deloitte

Video “Cooking the books” Antwoorden

2. Welk type van bewijsstukken heeft Minkow vervalst?

Barry moest elke betrokken partij overtuigen (revisoren, banken, etc.) dat zijn cijfers echt waren. Hij moest ze dus misleiden. Om de fraude te kunnen plegen, deed hij o.a. het volgende:– Hij zei dat hij meer geld nodig had omdat hij een nieuwe business

line wou opzetten, namelijk restauratiewerken (restauratie van gebouwen beschadigd door brand en overstromingen).

– Hij creeërde valse klanten, valse facturen en valse cheques. De valse klantentegoeden werden gebruikt om bankleningen te verkrijgen.

– Hij maakte valse kosten, zoals leveringen en contracten voor de restauratiewerken.

– Hij stelde een valse jaarrekening op voor de bank (en later voor de SEC).

40 © 2007 Deloitte

Video “Cooking the books” Antwoorden

3. Hoe heeft Minkow de testen van de auditor ondergraven?

– vervalste het betalingsdoel van cheques om auditcontroles te doorstaan.

– gebruikte valse cheques om het bestaan van klantentegoeden te bewijzen.

– Creatief kopiëren van documenten.– leidde de revisoren weg van de valse restauratiezaak.– vroeg om bepaalde rekeningen niet te laten bevestigen om

business niet te schaden.– Er werden consistente afspraken gemaakt onder het

topmanagement, zonder andere personeelsleden hierbij te betrekken

41 © 2007 Deloitte

Video “Cooking the books” Antwoorden

4. Hoe heeft Minkow de onafhankelijkheid en de professionele kritische houding van de auditors in het gedrang gebracht?–hij trok voordeel uit zijn imago in de media en de

aandelenprijs van het bedrijf.

–Hij was bijzonder vriendelijk jegens de revisoren: hij dineerde met hen; hij liet zich bij hen thuis uitnodigen om te dineren met hun gezin.

–Hij trok voordeel uit de rivaliteit tussen revisorenfirma’s, hij oefende druk uit op de revisoren door te dreigen naar een andere firma over te stappen.

–Hij zorgde ervoor dat de revisoren zich belangrijk voelden door hen raad over de business te vragen (en leidde ook hun aandacht af).

42 © 2007 Deloitte

Video “Cooking the books” Antwoorden

5. Hoe hebben de revisoren gefaald?–De bankconfirmaties bevatte onvoldoende informatie. De

revisoren hebben geen verdere informatie gevraagd.–Barry vroeg hen om sommige van de niet-bestaande klanten

niet op te bellen want anders kon dit zijn zaak schade berokkenen. De revisoren hebben deze klanten niet opgebeld.

–De revisoren hebben geen cruciale vragen gesteld over de restauratiezaak: bouwvergunningen, verkeersvergunningen, payroll records, etc.

–De revisoren aanvaardden als bewijsmateriaal de restauratiecontracten ter waarde van miljoenen dollars zonder enige specificatie op te vragen over de uit te voeren werken.

–Zwakke analyse en evaluatie van de bewijzen wegens gebrek aan inzicht in de business en het aanvaarden van fotokopies.

–Onvoldoende overwogen of de situatie wel normaal was of waar al het geld naartoe ging.

Data-analyse

Auditors worldwide are discovering their most eHective tooi to combat fraud is data inquiry, analysis, and reporting sohware. Powerful, interactive sohware with audit-specific commands that quickly sifts through mountains of electronic data - enabling yoo to effectivelv detect and prevent fraud throughout your organization,

44 © 2007 Deloitte

Fraudetesten

------

PHASEI I I~ ~

Data retrieval

Data quality review

Data clea ni ng

~ AQI testing

1. ccrn ets ]f rt."' 31 Ileb.,en OirEctor'3.'I\1,n'gEment frd >.IJp •• rs;Clr3!Cm e rs

~ Accounts \I011n ,oreert"",on, J - m"".'" ""OO1]ng "mr"" :, I !Sf' nt r r.-rrrlTmrrkenM,...:flw ;r,nlJnn 4 In JS J" ennes rercr' '''' rn iI1

w

" " "

~IS SlnQ nT,," m"ter n,l~ r.I. ["l "'TP Mrl merts ~11 me 1'F"" '''" cr ' rrrl rl'yf'f' n,rk "" nlJnlS In ~"nl ns r''i,nl' Lrn:l cllstanan :l ocCJrren:~ on 5J5~rse al)] n:er OJfI:3l'I 3: : oun15 maltal cns OT SlaE aoreerr erts 'lim SJJp ler3 0: cuslmers ~"l" ,i "' ',"""al ", l ri ", "I ~'" LU "riU "riL! ""lrie> l LO '-" ;"" J l .... bUal Ll kt ",l",;,lL, fU I 'tL"'" li al j'l'Iui, "" Lr " Li l r ,-'''' d' L ~urLII"'" urc"" II~ ,",t l'd,,,",IU I; eN"- 1 ~ .OOJ EU J CLolur.,"r"'L,~ i "" 11 kt 1t rt Ui ,le, tJLI i, "'" " l iY" r "y iu" , P"'i,er1: te,ti-.-

pernnnQ ;n1

dl3pOSai cr ei:CepJOnS

45 © 2007 Deloitte

Detail fraudetesten

Nummer van test OmschrijvingTest 1: Nazicht gerelateerde partijen Vergelijking van mandaten van directors met klanten/leveranciersdatabank op

- BTW nummer- naam- AdresVergelijking van personeelsdatabank met klanten/leveranciersdatabank op- adres- bankrekeningnummer

Test 2: Concentratie van manuele boekingen - Top 10 klanten/leveranciers met grootste aantal manuele boekingen- Top 10 klanten/leveranciers met hoogste bedrag geboekt via manuele boekingen- Top 10 klanten/leveranciers met grootste aantal transfers naar of van andere klanten/leveranciersrekeningen- Top 10 klanten/leveranciers met hoogste bedrag geboekt via transfers naar of van andere klanten/leverancierrekeningen

Test 3: Heractiveerde/inactieve/geblokkeerde klanten/leveranciersrekeningen

- Top 10 van heractiveerde klanten/leveranciersrekeningen- Top 10 van eenmalige klanten/leveranciers - Top 10 van transacties op verwijderde/geblokkeerde/inactieve klanten/leveranciers- Top 10 van nieuwe klanten/leveranciers- Top 10 van lang openstaande facturen- Slapende grootboekrekeningen- Nieuwe grootboekrekeningen

46 © 2007 Deloitte

Detail fraudetesten

Nummer van test OmschrijvingTest 4: Ongewone boekingen - Vast actief of voorraad P/L

- Vast actief of voorraad of handelsvorderingen/schulden Vast actief of voorraad of handelsvorderingen/schulden- Bank resultatenrekening- Resultatenrekening resultatenrekening (exclusief reeclassificaties) - Bank Over te dragen/Toe te rekenen rekeningen- Handelsvordering/schulden resultatenrekening (manuele boekingen)- Niet handelstegenpartij voor klanten en leveranciers

Test 5: Gegevensdatabank-testing Ontbrekende essentiële gegevens- Ontbrekende/Incorrecte BTW- Ontbrekende/Incorrecte naam- Ontbrekende/Incorrecte adresIdentificatie van identieke bankrekeningnummers in de leveranciersdatabank

Test 6: Test op duplicaten - Identieke banktransacties- Identieke aankoopfacturen- Identieke verkoopfacturen

47 © 2007 Deloitte

Detail fraudetesten

Nummer van test OmschrijvingTest 7: Oude documenten Identificatie van oude documenten geboekt tijdens de periode onder nazicht

Test 8: Creditnota’s - Klanten met hoge bedragen creditnota’s - Klanten met hoge percentages aan credit nota’s- Leveranciers met lage bedragen aan creditnota’s- Leveranciers met lage percentages aan creditnota’s- Gebruikers die groot aantal creditnota’s registreren- Boekingen van creditnota’s met verwijzing naar commissies

Test 9: Testen op periode-einde en boekingen met ongewone karakteristieken

- Ronde bedragen geboekt voor/na periode-einde- Hoge bedragen geboekt/voor/na periode-einde- Boekingen met ongeldige omschrijving voor/na periode-einde- Boekingen voor periode einde die na periode einde worden tegengedraaid- Boekingen op afsluitdatum- Boekingen met ongeldige omschrijving- Boekingen met blanco datum- Boekingen met ongeldige transactiecode- Boekingen gelinkt aan ongeldige gebruiker- Boekingen gedaan tijdens weekends of vakanties- Gebruikers met een hoog percentages periode-eindeboekingen- Gebruikers met een laag aantal boekingen

48 © 2007 Deloitte

Detail fraudetesten

Nummer van test OmschrijvingTest 10: Testen van sequentie - Ontbrekende documenten mbt handelsvorderingen

- Ontbrekende documenten mbt handelsschulden

Test 11: Cash transacties boven 15.000 Euro Identificatie van cash transacties boven 15.000 Euro

Test 12: Klanten/leveranciers in gevoelige regio’s en testen van commissies

- Klanten/leveranciers in gevoelige regio’s met een groot aantal transacties- Klanten/leveranciers in gevoelige regio’s met hoge bedragen- Klanten/leveranciers in gevoelige regio’s met onvolledige naam- Entiteiten in gevoelige regio’s geregistreerd als klant of leverancier- Boekingen van creditnota’s met verwijzing naar commissies- Klanten met verwijzing naar consultancy of advocatuur- Leveranciers met verwijzing naar consultancy of advocatuur- Transacties met verwijzing naar commissies of royalty’s

49 © 2007 Deloitte

Detail fraudetesten

Nummer van test OmschrijvingTest 14: Volledigheid circularisatie - Alle grootboekrekeningen gerelateerd aan banken (zelfs als saldo nul is op

periode-einde)- Alle boekingen met verwijzingen naar advocaten

Test 15: Testen van BTW - Geldigheid van BTW nummers in databank- Klanten met belastingsvrijgestelde code- Boekingen (facturen/CN’s) na maandafsluiting- Onvolledige BTW codes in databank en transactieniveau-BTW codes die niet gelinkt zijn aan BTW rapportering- Transacties geboekt in grootboek maar niet gerapporteerd in BTW aangifte- Vergelijking tussen rekeningen gebruikt voor BTW boekingen met officiële BTW rekeningen- Verkocht aan buitenland en getransporteerd naar België met vrijstelling van BTW

Test 16: Testen van handelsschulden - 3-way match- Betalingen zonder clearing code- Gezondheidscontrole van facturen- Klantengedrag- Analyse van duplicaten en varianties- Controle op kredietlimieten- Splitsen van facturen

50 © 2007 Deloitte

Detail fraudetesten

Nummer van test Omschrijving

Test 17: Testen van handelsvorderingen - 3-way match- Betalingen zonder clearing code- Gezondheidscontrole van facturen- Leveranciersgedrag- Analyse op duplicaten

Test 18: Testen van voorraad - Voorraadwaardering- Negatieve bedragen- Nulbedragen- Lager dan kost of marktprijs

Test 19: Veiligheidstesten - Kopiëren van gevoelige informatie zonder businnessreden- Delen van paswoorden- Niet toegelaten boekingen

Getuigenissen over fraudezaken van vorig jaar

52 © 2007 Deloitte

Case: belangenconflicten

• Waarover ging het?

– De aanleiding was het ontvangen van bankuittreksels voor een onbekende bankrekening één maand nadat de voormalige directeur met pensioen ging.

– Het versturen van open confirmaties aan de banken, leidde tot verschillende bankrekeningen die niet in de boeken voorkwamen en die werden gebruikt om activa te verduisteren.

– Het onderzoek van de tegenstrijdig belangen toonde dat de voormalige directeur rechtstreekse of onrechtstreekse conflicten had met 8 leveranciers en 3 klanten.

– Deze tegenstrijdigheden resulteerden in een collusie met de leveranciers die leidde tot overfacturatie en overbetaling, en een collusie met klanten die leidde tot onderfacturatie en onderbetaling en het uitgeven van onnodige kredietnota’s.

53 © 2007 Deloitte

Met het oog op het analyseren van de bestemming van > 50.000 transfers op 43 verschillende bankrekeningen, hebben we 4 lijsten opgesteld:

– Lijst 2: transactielijst van gekende partijen volgens de mastergegevens, met betalingen die steeds werden uitgevoerd op dezelfde bankrekening gedurende de onderzoeksperiode

– Lijst 2: transactielijst van gekende partijen volgens de mastergegevens, met betalingen die werden uitgevoerd op verschillende bankrekeningen gedurende de onderzoeksperiode

– Lijst 3: transactielijst van partijen die niet werden opgenomen in de mastergegevens

– Lijst 4: lijst van partijen met gemeenschappelijke bankrekeningen

Uitgebreid onderzoek van deze lijsten resulteerde in bewijzen van het gebruik van fictieve leveranciers en fictieve facturen voor “slapende” leveranciers in combinatie met de ingave van persoonlijke bankrekeningen in de mastergegevens over de leverancier.

Case: belangenconflicten

54 © 2007 Deloitte

Case: Fraude erfenis• Waarover ging het?

Het gebruik van de volgende verduisteringstechnieken door de voormalige aandeelhouders: • niet-geboekte verkoop aan particuliere klanten (zwarte kas)• aankoop door middel van facturatie via immobiliënkantoren van voormalige

aandeelhouders

• Opname facturen voor fictieve consultancy fees• Betaling van kortingen voor aankoop grote hoeveelheden op buitenlandse

rekeningen• Compensatie van verliezen door een jaarlijkse fictieve mark-up van de

voorraden van 2 tot 4%

55 © 2007 Deloitte

Case: Fraude erfenis

• Besluit:

– Due-diligenceprocedures bevatten best ook anti-fraudeprocedures– De rechtspersoon, onafhankelijk van de aandeelhouders, blijft

verantwoordelijk ten aanzien van de belastingautoriteiten– De regularisatie van fiscale fraude kan veel geld kosten (309% boete voor

geheime commissielonen, 200% boete voor BTW-ontduiking, het verwerpen van de boekhouding en/of niet-aanvaarden van aftrekbare fiscale verliezen)

– Niet-regularisatie is geen optie voor internationale groepen wegens reputatierisico

– Het risico op het niet-recupereren van schade veroorzaakt door het voormalige management is reëel omwille van de lange procedures en de mogelijkheid tot het organiseren van persoonlijk faillissement

56 © 2007 Deloitte

BTW case• Waarover ging het?

– Onderzoek bij de klanten door de politie en de belastingautoriteiten wegens vermoedens van witwassen van geld en BTW-fraude

– Inkomsten uit verkoop van producten aan buitenlandse herverkopers op niveau van een Belgische dochteronderneming voor een totaal bedag van 11 miljoen EUR

– Onregelmatigheden vastgesteld tijdens onderzoek van achtergrondinformatie voor alle buitenlandse herverkopers

– Belangrijkste risico’s: – Financieel risico betreffende regularisatie van de BTW situatie: 7 miljoen EUR– Risico van vervolging wegens vermoedelijke betrokkenheid van het management– Reputatierisico– Faillissementsrisico

• Conclusie:

– Zelfs dochterondernemingen met een kleine bijdrage tot het geconsolideerde resultaat kunnen verantwoordelijk zijn voor grote risico’s

– Noodzaak om de evolutie tussen verkoop en BTW-betalingen op te volgen in BTW- gevoelige sectoren

57 © 2007 Deloitte

Fraud indicator scorecard

t , ,

of fa sificalion of m cunents , C of VAT number W, C

in fraud databases/ Jubl t bleek lists , C , , , C , C , Ó , C

" , C , C , ; , C

W, , , C , C , C W, ,

annual :lccClJnts, 50cial securl)! SLJnmons .. ) , C

58 © 2007 Deloitte

Kredietmanager case• Waarover ging het?

– het opzetten van rekeningen voor fictieve klanten door de manager die verantwoordelijk was voor het kredietcontrole departement

– het gebruik van een valse rekening om bedragen te transferen tussen rekeningen, betalingsverschillen op te kuisen, niet opgevraagde kortingen van klanten te gebruiken voor andere doeleinden, organiseren van verduistering en het verbergen van niet-betalingen van goederen die werden geleverd aan betrokken bedrijven

– het gebruik van uitstaande kredietnota’s om uitstaande facturen van fictieve klanten te vereffenen

– potentiële schuld aan klanten wegens kredietmisbruik van > 4 miljoen EUR– meervoudige wijzigingen in de mastergegevens om de bestemming van de

kredietnota’s te veranderen– meervoudige afschrijvingen op klanten na schuldonderhandelingen– het gebruik van ‘re-aging’ technieken om lang uitstaande kredietnota’s te verbergen– het endosseren van cheques betreffende kredietnota’s om te incasseren op

persoonlijke bankrekeningen voor een bedrag van > 500.000 EUR – collusie met het boekhoudpersoneel van klanten om betalingen te verkrijgen op

bankrekeningen die niet vermeld stonden op de facturen – hoewel deze bankrekeningen werden geopend in naam van het bedrijf, waren zij niet gekend door het bedrijf

– gebrekkige scheiding van functies – de kredietmanager kon nieuwe klantenrekeningen aanmaken, de mastergegevens van de klant wijzigen, cash toewijzen, kredietnota’s opstellen, document transfereren tussen klantenrekeningen, munteenheden wijzigen, herinneringen stopzetten, slechte betalers afschrijven, gebruikers toegang verschaffen tot het betalingssysteem, medeondertekenen van betalingen aan klanten en ontvangen van betalingen van klanten.

59 © 2007 Deloitte

• Conclusie:

– de fraude bleef verborgen gedurende 8 jaar wegens de gebrekkige interne controle

– toont het nut aan van het screenen van managers voor indiensttreding

– transfers van documenten tussen klantenrekeningen is mogelijk binnen de meeste boekhoudkundige systemen

– de meeste boekhoudkundige systemen laten wijzigingen toe door administrators in debug mode die bijna niet op te sporen zijn (afhankelijk van de security logs op mainframe level)

– het neerleggen van klachten bij de overheid leidt soms tot nog meer vragen dan antwoorden

Kredietmanager case

BTW-carrousel

61 © 2007 Deloitte

facturen met BTWgoederenstroom

LeverancierNL LU LU NL

BELGIE

Strofirma ATrader

Bufferfirma

Wisselkantoor

Rekening trader

Rekening strofirma A

facturen zonder BTWbetalingen in het zwartofficiële betalingen

StrofirmaStrofirma

Organisator AankoperAankoper

Zwart magazijnZwart magazijn

62 © 2007 Deloitte

• Valsheid in geschriften;

• Gebruik van postbusadressen;

• Offshore bedrijven als mandataris;

• Onverklaarbare omzetstijgingen;

• Activering van slapende vennootschappen;

• Overschakeling activiteiten naar fraudegevoelige sectoren;

• Niet-betalen van BTW schulden;

• Onvolledige boekhouding;

• Verliestransacties;

Fraude-indicatoren

63 © 2007 Deloitte

• Tussenkomst van marginalen;

• Tussenkomst van derden;

• Uniformiteit van de factuurstructuur en/of goederenomschrijving;

• Snelheid van betalen is belangrijker dan de kosten;

• Grote cash betalingen;

• Cascade betalingen;

• Geografische spreiding woonadres/sociale zetel en adressen dienstverleners;

• Terugvloeiing van bedragen;

• Gebruik van fictieve entiteiten.

Fraude-indicatoren (vervolg)

64 © 2007 Deloitte

• Zij doet intracommunautaire aankopen van reële of fictieve goederen;

• Zij betaald haar BTW schuld niet af;

• Zij werd sinds kort opgericht of overgenomen;

• Haar omzet stijgt aanzienlijk;

• Haar zaakvoerder is een marginaal persoon of een stroman;

• Zij werkt op commissie voor rekening van de werkelijke organisator;

• Zij heeft een postbusfunctie;

• Zij krijgt geen uitstel van betaling van haar leveranciers;

• Haar bruto marge is negatief als gevolg van verliestransacties.

Kenmerken van een strofirma

Witwassen

66 © 2007 Deloitte

Witwasmelding I• Aan en verkoop wagens door X nv en Y nv via Z garages in

Duitsland, die eveneens wordt gecontroleerd door de zaakvoerder van X en Y nv

• Indicaties dat de activiteiten van X naar Y nv werden verlegd, nadat X nv geen auto’s meer kon verwerven ingevolge achterstallige BTW-schulden

AANWIJZINGEN VAN WITWASSEN:• BTW carrousel gevoelige sector• Laattijdige verwerking uitgaande facturen• Laattijdige verwerking inkomende facturen• Verkopen beneden aankoopprijs• Grote kastransacties – inning cheques via andere

bankinstellingen • Achterstallige BTW-schulden

67 © 2007 Deloitte

Witwasmelding II• De bvba X press bvba werd opgericht op 28 November 2006 met als activiteit

persagentschap. Sinds de oprichting deden zich de volgende feiten voor: • Onmiddellijke opname van het gestorte minimumkapitaal in cash• Opmaak verkoopfacturen voor een totaalbedrag van ongeveer 280.500 EUR

tijdens de eerste vier maanden • Opmaak alle verkoopfacturen aan de Franse vennootschap Y met summiere

beschrijving prestaties en zonder concrete contracten • Ontvangst aankoopfacturen, met de vermelding “paid in cash” en summiere

beschrijving geleverde prestaties, vanwege de Tsjechische venootschapp Z, die volgens de informatie op hun site actief zijn in de sexindustrie

• Handgeschreven aankoopfactuur van de zaakvoerder van de bvba X press voor een bedrag van 130.000 EUR voor de overname van een concept en een website

• Regelmatige afhaling van cash bedragen, waaronder bedragen > 15.000 EUR, van de bankrekening

AANWIJZINGEN VAN WITWASSEN• Combinatie van gevoelige sectoren, gevoelige regio’s, ongebruikelijke

omzetstijging, cashtransacties > 15.000 EUR en het gebruik van onregelmatige facturen

68 © 2007 Deloitte

Witwasmelding III• 70% van de aandelen van X nv zijn in handen van 'Y BV'• Vorig jaar verkreeg 'Z BV' vertegenwoordigd door de h. Harry 50% van de

aandelen van Y BV in handen. De h. Harry werd aangesteld als bestuurder. • De h. Harry is tevens bestuurder van Interim BV

• BESCHRIJVING VAN DE FEITEN• Het rollend materiaal van X nv werd verkocht aan Interim BV voor de prijs van

10 mio EUR. Interim BV verhuurt dit materiaal aan X nv . De betaling in verband met deze verkoop heeft bij ons weten nog niet plaatsgevonden.

• Voor 100.000 EUR aan facturen vanwege Interim BV werden uitbetaald aan privé-personen.

• AANWIJZINGEN VAN WITWASSEN• De h. Harry zou betrokken zijn geweest bij verschillende faillissementen. In

publieke bronnen is sprake van fraude rond de faillissementen. Tevens wordt verwezen naar mogelijke veroordelingen voor oplichting en eventuele lopende onderzoeken in Nederland.

• Indicaties van misbruik van vennootschapsgoederen (betaling facturen B&J Jobs Interim op rekening van privé-personen).

69 © 2007 Deloitte

Witwasmelding IV

•(1) Verschillende ontvangsten in contanten > 15.000 EUR vanwege niet geïdentificeerde partijen, firma’s waarvan geen bewijs van registratie kan worden teruggevonden en zonder opmaak van transportdocumenten

•(2) Betaling via bankoverschrijving door opdrachtgevers uit belastingsparadijzen waarvan de naam verschillend is van de naam van de klant

Bijlagen

71 © 2007 Deloitte

• Het verlies aan omzet als gevolg van fraude en misbruiken wordt voor een gemiddeld bedrijf geschat op zo’n 6% (ACFE);

• De jaarlijkse omzet van georganiseerde misdaad wordt geraamd op zo’n 1,500 miljard EUR (OECD);

• Tussen de 2 à 5 % van het bruto globaal product zou jaarlijks worden witgewassen (OECD);

• In 1996 werd de jaarlijkse witwasomzet al geraamd op 590 miljard USD (FATF);

• 55% van de wereldwijde geldstromen zouden via offshore centra transiteren (OECD);

• Georganiseerde BTW fraude is op zich al goed voor zo’n 15% verlies aan BTW inkomsten in België (CDGEFID).

Statistieken

72 © 2007 Deloitte

73 © 2007 Deloitte

Forty Common Forms of Fraud

1. Pilfering Stamps 2. Stealing merchandise, tools, supplies, and other equipment items 3. Removing small amounts from cash funds and registers 4. Failing to record sales of merchandise and pocketing the cash 5. Creating overages in cash funds and registers by under-recording 6. Overloading expense accounts or diverting advances to personal use 7. Lapping collections on customer's accounts 8. Pocketing payments on customer's accounts, issuing receipts on scraps of paper or in self-designed receipt books 9. Collecting an account, pocketing the money, and charging it off; collecting charged-off accounts and not reporting 10. Charging customer's accounts with cash stolen 11. Issuing credit for false customer claims and returns 12. Failing to make full bank deposits and keeping part of the money 13. Altering dates on deposit slips to cover stealing 14. Making round sum deposits -- attempting to catch up by end of month 15. Carrying fictitious extra help on payrolls, or increasing rates or hours 16. Carrying employees on payroll beyond actual severance dates 17. Falsifying additions on payrolls; withholding unclaimed wages 18. Destroying, altering, or voiding cash sales tickets and pocketing the cash 19. Withholding cash sales receipts by using false charge accounts 20. Recording unwarranted cash discounts 21. Increasing amounts of petty-cash vouchers and/or totals in accounting for disbursements 22. Using personal expenditure receipts to support false paid-out items 23. Using copies of previously used original vouchers, or using a properly approved voucher of the prior year by changing the date 24. Paying false invoices, either self-prepared or obtained through collusion with suppliers 25. Increasing amounts of suppliers' invoices through collusion 26. Charging personal purchases to company through misuse of purchase orders 27. Billing stolen merchandise to fictitious accounts 28. Shipping stolen merchandise to an employee or relative's home 29. Falsifying inventories to cover thefts or delinquencies 30. Seizing checks payable to the company or to suppliers 31. Raising canceled bank checks to agree with fictitious entries 32. Inserting fictitious ledger sheets 33. Causing erroneous footings of cash receipts and disbursement books 34. Deliberately confusing postings to control and detail accounts 35. Selling waste and scrap materials and pocketing proceeds 36. Selling door keys or the combinations to safes or vaults 37. Creating credit balances on ledgers and converting to cash 38. Falsifying bills of lading and splitting with the carrier 39. Obtaining blank checks (unprotected) and forging the signature 40. Permitting special prices or privileges to customers, or granting business to favored suppliers, for kickbacks

74 © 2007 Deloitte

Red flags

Accounts Payable Process

• Recurring identical amounts from the same vendor. • Unusual even dollar or high cash disbursement amounts for routine odd dollar or low value purchase. • Multiple remittance addresses for the same vendor. • Vendor addresses do not agree with vendor approval application. • Sequential invoice numbers from the same vendor or invoice numbers with an alpha suffix. • Payments to vendor have increased dramatically for no apparent reason. • Lack of segregation of duties between the following:

– Processing of accounts payable invoice and updates to vendor master files – Check preparation and posting to vendor account – Check preparation and mailing of signed checks

• No proper documentation of additions, changes, or deletions to vendor master file. • Excessive credit adjustments to a particular vendor and/or credit issued by unauthorized department (credits involving quantities

and price). • Systematic pattern of adjustments to accounts payable for goods returned. • No reconciliation performed of accounts payable subledger to general ledger control account. • Insufficient supervisory review of accounts payable activity. • Lack of documentation for payment of invoices. • Cash disbursements for unrecorded liabilities and routine expenses (e.g., rent) when all expenditures must be vouchered prior to

payment. • Excessive miscodings to same expense account. • Payments made on copies of invoices, not originals. • Paid invoices not properly canceled, allowing for reprocessing. • High volume of manually prepared disbursement checks. • Unrestricted access to blank checks, signature plates, and check-signing equipment. • Missing or easy access to blank checks, facsimile, and manual check preparation machines. • Vendor invoices are received by department other than accounts payable (purchasing). • Vendor complaints noted by credit rating services regarding slow or no payments not justified by disbursement schedule.

75 © 2007 Deloitte

Red flags

Purchasing Process

• Turnover among buyers within the purchasing department significantly exceeds attrition rates throughout the organization. • Purchase order proficiency rates fluctuate significantly among buyers within comparable workload levels. • Dramatic increase in purchase volume per certain vendor(s) not justified by competitive bidding or changes in production

specifications. • Unaccounted purchase order numbers or physical loss of purchase orders. • Rise in the cost of routine purchases beyond the inflation rate.• Unusual purchases not consistent with the categories identified by prior trends or operating budget.

Payroll Process

• Dramatic increase in labor force or overtime not justified by production or sales volume. • Turnover within the payroll department significantly exceeds attrition rates throughout the organization. • Missing or easy access to blank checks, facsimile, and manual check preparation machine. • Tax deposits are substantially less than those required by current payroll expenses. • High volume of manually prepared payroll checks.

Cash Receipts Process

• Improper safeguarding of cash under lock and key. • No segregation of duties between the following:

– Receiving cash and posting to customer accounts – Issuing receipts and deposit preparation

• Infrequent bank deposits, allowing cash to accumulate. • Consistent shortages in cash on hand. • Consistent fluctuations in bank account balances. • Closing out cash drawer before end of shift. • Excessive number of voided transactions on a regular basis without proper explanation. • Missing copies of pre-numbered receipts. • Not balancing cash to accounts receivable subledger. • Insufficient supervisory review of cashier's daily activity.

76 © 2007 Deloitte

Red flagsAccounts Receivable Process

• Lack of accountability for invoice numbers issued. • Lack of segregation of duties between the following:

– Processing of accounts receivable invoices and posting to subledger– Posting to accounts receivable subledger and cash receipts

• Lack of policies and procedures regarding write-offs to satisfy industry standards. • Frequent undocumented and/or unapproved adjustments, credits, and write- offs to accounts receivable subledger. • Low turnover or slow collection cycle for accounts receivable. • Dramatic increase in allowance for doubtful accounts in view of positive economic events and stringent credit policies. • No reconciliation of accounts receivable subledger to general ledger control account. • Insufficient supervisory review of accounts receivable activity as well as customer account aging schedule. • Unrestricted access to subledgers and general ledger.

Inventory/Production Process• Credit balances in inventory accounts. • Consistent fluctuations in inventory accounts between months (e.g. debit balance one month, credit balance the next). • Excessive inventory write-offs without documentation or approvals. • Unusual volume of adjustments, write-offs, and disposal of material, inventory, or fixed assets. • Unrestricted access to inventory storage areas by non-responsible employees and/or vendors. • Significant weaknesses in inventory cut-off procedures. • No policy regarding identification, sale, and disposal of obsolete and surplus materials. • Finished goods inventory turnover rate does not correlate with operating cycle. • No segregation of duties between:

– Receipt of inventory and issuing of materials – Recording of inventory accounts and ordering materials – Identification of obsolete and surplus materials and sale and disposal of such materials

• There is no policy regarding inventory levels to be maintained (i.e., minimums, maximums, reorder points). • Systematic pattern of improperly labeled inventory and raw materials. • Poor review of inventory accounts, write-offs, and physical access to storage areas. • Lack of regular physical inventories carried out by independent personnel. • Consistent production overruns beyond sales demand and backlog orders. • Excessive production waste, spoilage, or other loss of raw materials. • Physical replacement of finished goods within production area beyond a reasonable period of time. • Abnormal expenditures for external maintenance services beyond normal repairs and capability of internal repair service personnel. • Extended delay of goods marked for shipment maintained within shipping area.

77 © 2007 Deloitte

Red flags

Finance Process

• Significant adjustments to accrued liabilities, accounts receivable, contingencies, and other accounts prior to acquisition of new financing.

• Dramatic change in key leverage, operating, and profitability ratios prior to obtaining financing.

• Adopting a change in accounting principle or revising an accounting estimate prior to obtaining financing.

• Increase in short-term cash and a decrease in receivables while sales are increasing prior to seeking new financing.

• A change in external activities, legal counsel, or treasury department head prior to obtaining new financing.

• A delay in issuance of monthly, quarterly, or annual financial reports prior to seeking new financing.

78 © 2007 Deloitte

Red flag indicators

Telltale Signs of Management and Corporate FraudIn every case of management and corporate fraud telltale signs of the fraud exist for some period or time before a third party detects or discloses it. These signs may be:

•1.Significant observed changes from the defrauder s past behavior patterns

•2.Knowledge that the defrauder has undergoing emotional trauma in his home life or work life

•3.Knowledge that the defrauder was betting heavily, drinking heavily, had a very expensive social life, or was sexually promiscuous

•4.Knowledge that the defrauder was heavily in debt

79 © 2007 Deloitte

Red flag indicators

Telltale Signs of Management and Corporate Fraud

• 5.Audit findings deemed to be errors and irregularities that were considered immaterial at the time

• 6.Knowledge that the company was having financial difficulties such as frequent cash flow shortages, declining sales and/or profits, and loss of market share

• 7.Knowledge that management was showing increasing signs of incompetence i.e., poor planning, organization communications controls, motivation, and delegation, management indecision and confusion about corporate mission! goals, and strategies, and management ignorance of conditions in the industry and in the general economy

• 8.Substantial growth beyond the industry norm versus regulated industries

80 © 2007 Deloitte

Fraud risk management

The Framework - A COSO* Consistent Approach

· Tooe alltle top +-____ ~ • COde of COOWttIEthits • Fraud controI poIicyJplan

• WhistIebIoWer hobine · Pr~1

~'''' • Investigalion polities aod procedures

Monitorlog effecltveness of

,'"'",'" management pmgm~

000"" ActMties

• lOentify lraud riSk factors, fraua riSkS

...-- anCIlralJtl SChemeS anCI invorve ,,,,,,,,i,,, """"'"

~ Unk or map klentilied traud risks aod traud schemes la conIrol actMties

' c..m...;u_ of s,.o......; .... o.,,-oz ........ of'M T .. Adw~y c ...............

81 © 2007 Deloitte

Fraud risk management

A Roadmap for Fraud Risk Management

"Cootinuous Improvement - Measure, Improve and Move' Steps Generally Inetude

Evaluate Identify Risk Action Plan Mitigate Monitor Respond

Evalua\e !he Assess, deRne """" oe

EIlhaocing, "" .. AsSIst in current status .,., ""'"""'" action pi<Itl 10 i~ing conliJllJOUS responding 10

'''' """ '"" .,., """"~~ ana maintainlJlg mon~or1ng poIentJal eflectiveness of controI design of Iraud risk pre'o'elllati...e acllvities occurrences ol

""'- .,., idefltifled 10" ana detective """'h fraud .... it11in the 10 desiglling. "'''''''''''''''' ~"" conImI activibes ""''''''<rI .,., oryaniZatioo Implemeoliog ,_" whlch help -'" anel maintaining Of new controI mitigate frood ....",. fraucl risk i~!ion risks ióeflti1ied ac1ivities 10 alert

~- dlIÎng the during Iraud risk ~,~

""""'"' """ '" ~, potential !raud within !he assessment organization Oesi!pIle Incorporale

Management's ftnclrgs 11'110 accoootability ~.""" lor lTaud control risk assessmenl actiVlties ""'~

Musur., Improv. and Mov. : Tl1is program is a cootmuous inlprovement process lhal requlfes annuaI measurements ol where you'"or~ is in terms or eIIectivety detel1ing, detecting ana preventin!l Imud. Tl1is helps enable ~nsons of wl'lere you .....ere, wI1efe you are now arK! v.nere you Jlee(] to be

82 © 2007 Deloitte

Step 1: Fraud risk assessmentFraud Risk Assessment 1. Doei the cornpany ~ave forma and regularly 5chedu ed procedures to perform fraJd risl:. assei;rnef1ts7

2. Are appropriate personrel n'IOI',ed in :he fra ud ris~ assessmerts?

3. .!Ire fraud risk a;sessments performed at all appropr ale I~els of the organ zation (such a; the errtity leoJel sil}îif cant Iocations or oosi"less un Is, siçnificdf1t acCOl.X1t balance or ma.Of process level)?

4. Does. the 'raud r sk assessmellt indude conside'at on of internal and extemal r sk factors (ine uding pressures or incentives, ra:ionalizations or attitudes, and opportu"lÎ:΀s)?

5. Does the fraud risk. assessment ine ude the idertheatior and e'/aluatio'l of past occtJrrerKe5 ano allegatiom of fraud within the elltÎty and ind.lstr/? Doei it include the evaluations of u'lUsuai finarcial trends or relationsnips ident lied fro'TI drlê!lyt ical pfOce­dLres or lechniques?

6. Does the 'raud r sk assessmertt consic'er!he risk of management's o·,erride of controIs? 7. Does ma'lagernent consider the type, likelihood 5ig-lif cance, ard pefvasivef1eS5 of icientif ed ;raud ri5ks?

8. Äre fraud risk assessmenl5 L.pci:!led per odically la nc ude cons derat ons of changes n operalions. rew information systems, a:quisitiom charges in job mies and resporsibi it es, employees in new positions result~ from self·assessments of contra Is, monitoring acti'/ties, intemal audit f ncings, new or evolving incus:ry tref1ds, and revi5ions to identif ed ·raud ri5ks within the organ za:ion?

9. Does ma'lagernent assess !he des g'1 and operating effecti".-eness ol the fraud risk assessments?

10. Does ma"lagernent adequately document its a55e55ments an:l (onc usion5 regarcir.g the design and operatirg e"fectiveness ol :he Iraud r5k assessments7

11. Is the fraJd risk assemr.ent designed end operalng efect~ely7

83 © 2007 Deloitte

Step 2: create a control environmentControl Environment

1. D,).:!; the (om)oYI~ m.J nt.:l n il are'per !O~C ilt t he top? Did r-olI1ilgcm:nt ilS;C:;:; the :e,nc of Ü'c ofg:nÎziltk,n 10 d2tcrminc f !tv- rul l lJr" ~~mLJr~9'" "tt1ic:~ ~h~'Iinr. ("(")n-;(~til' nno 11 nel n()O"n mmmi ,nir ... tkln > ::rhi~ "'~~'-;~""H'll (",n ~ milrl .. thl'Ollg r ~ro:>nlmous cultura s ~r~~. '"<:jU rll!s ... ,,0 Into!r,/II!'Ns. or b~' Int~na l auall r@'\,'~i->

1. Do t~ l!U(:I!: cof1'Yl'litt~ i'!nd t nO! ooNd 0' dl?ctors n1M! ~ufficl~nt o\''@f''5lg ,- t of rm:M9@ffi~nt's antlfraud progr ... ms and con:ro~-'

J. [)~ lho! Inl@fT1alauait fll'1ctlOn ~1I\iO! 5Uffio~nt 1nliOl\iO!m~nt In antlfraud progr1Vl1s anel (ontrol'>, nc uding man IDring of t~

~ffective~ of antitlaud proqrams alla con: ' ul:5, QI'Jefl :~e 5Ize and camp exity ot the o ' qan lLit on7 Does the ntemal a",ei! f ~ l!Ct Uil rl!:Nrl dirll~tJ~ \u tllii .tUu il <-ullvni. tlit!?

·1. D~ th\! lorll"J"I~ hd'A! <I puLoIi::: l lI!u WUI! uI ;;tI~u.:l(.lm1 lX.. I:with plu\' i~ iol'1> rl! dl.l!J tu ((.lil flid~ ui intll l ~l, r!!ldll!d-"dlly tr dfl~­act o~. il legal acts. anc traud'l made a ' .... Lab e to all oersofYl~1 a~d don manage-,ent requir~ em~I",'ees to cont rm that t..,ey ~ccc:j: olfld ~grc': to tol r;y.,v it' Does :~e fre:jucncy cf Cliceptions u~dcrm i nc tne codes cffc:ti ... cncss? Dcc; the code cc,mply 'Ni lala;lrlirilh" n ll ,..; iII'10 '1'9" i'ltinn~?

5. DO@s : ~ @ comp~ny h~v~ an ~lhicslwhi51~~ ow~, hatlinl! wi:.., ad@qual@ p,cc~durl!'S la h~nd~ anonymoLJs camp ain t; (rec~ived trom ns ide and out;jd~ the companyj, and to ac:ept :ontdentÎa s~t:mi~ion 0' concerns abc,ut questio1ab1e ac­ecun: ng. Ir lel MI auounti rg corlral. o r awdllmg m<Jtter51 A.re ti ps and",'histleb r;y., ..... r compl'll r h nv .. stigated and reso l'Nd in a ti rTl@l~ m~nno!r?

6. D,oe the :orman~' ha'..e brmal hirÎn;j an:l pomoticn ~tan:larm. including background chech tor tho;e emp oyre; with in t u­enee 0' __ finallCla leport '1g 0 ' nvolved I" lhe p '~paralio'1 0' :re financlil stalements'?

7 D",", "~" mmpilny h~v,. 'mlT\i! l and ,.".'c:Ti'l" rril ining Ir.!"mp r.y,.,..; anrl r ", ..... Mir,..; on ~,u,.~ nl frillJn.@rh ir;.antirh"rncifo d elhil~AunóJ(.17

8. Doe lhe com~an~ respond In ! tlm~~' and approor lat@ manrer la sIgnificanI contro defia~nc~. a legahoru 0' con(@'ns of 'r~ucl. 1'.00 ~io l il,ion~ of -h" rnd" (")1 t'lhir>k(")ndllrt?

9. D',,>~ IIId'ldY<'1I1e'I'11 d~x~~ 11i~ de"'~11 illII.) upl'ldlilly l'llelIÎVl'IIe>b ui tll~ (.'..>llllull'flvllulvn<'lIt'

1 0 D~ m1I ,1aq~rTlIffit ado!quat~r,.- docLJml!f'lt ils as~ssm~n~ and condus an~ I"@q ~ rdinq the dl!siqn ~nd ooerati,q @ff~cti '.O!nl!ss 0' "rl' rnnn ol Nlliironmrnt?

11 Is Ihe contra erWIrOIl 'Terlt deslglled and Clpilratll1g effectÎVeI~"

84 © 2007 Deloitte

Step 3: design and implement anti fraud controls

85 © 2007 Deloitte

Step 4: sharing information & communication

86 © 2007 Deloitte

Step 5: monitoring activities

Monitoring Activities ,. Are interna aud t ard other s. ac: ively irvo ved in monitorirtg ",nd as.se s.s ng amifraud programs and cO'1troisJ

2. Is the r-ternal aud t act vity adequate lor the size and operatio"lS of the organization?

3. Ive firdings and ' .. ,eaknesses identmed dwing mem toring ê!ctÎ'lÎtÎes incorporated back into \he frat.d risk assessment, the des gn of the control emf ronmert ard antifraLd control .oeliv ties?

4. Does ti"le audit corrmitee h3\E o\'ersi~t of moritoring acti\'it ies7 5. Does nanagement assess tIle design and ope'ating effecti'/eness of monitoring activities1

6. Does r1i3nagement adequately do:umem its êssessments ènd cooclusions regarding the d~g l"l ard operating eftectrveness of the monitorirg activities?

7. Are monitoring a"ld assessmem acti,/tie s. d~gr'led and operatrg eftecti'lely?

87 © 2007 Deloitte

Fraud risk management

Some Examples ol Leading and Delicienl Practices lor Fraud Risk Management

Some deficient practices include:

~ Failing to identify fraud risk management measures in place and if they are appropriate to the needs of the business

~Management failing to set the appropriate Utone at the top"

~ Lack of Management accountability tor fraud risk management

~ lack of Board & Audit Committee independence trom Management and failure 10 oversee AFPC

_ _ """_c ; . u.c. .. __

Some leading practices include:

~Having a planned, integrated and documented approach 10 managing the risk of fraud

~ Management serving as a rale model and communicating the need tor ethical behavior

~ Management actively implementing the fraud management framework

~ Board & Audit Committee undertaking fraud awareness training and actively monitoring Management AFPC

88 © 2007 Deloitte

Fraud risk management

Some Examples ol Leading and Del icient Practices lor Fraud Risk Management (continued)

Same deficient practices include:

~ Faîling 10 include a clear anti­fraud statement within the Code of ConductlEthics

~ Failing 10 assess the effeetiveness of the employee fraud reporting hotline or ather mechanism

~ Inadequate background investigations

~ Fa iling 10 investigate allegations of fraud or failing 10 investigate in a timely manner

Some leading practices include:

~ Enforcing sanctions for these people who commit fraud against the business

~ Management actively encouraging and supporting these employees who make reports in good faith

~ Conducting thorough background investigations particularly for personnel 10 be appointed 10 senior or sensitive positions

~Tra i n ing personnel involved in undertaking investigations

89 © 2007 Deloitte

Fraud risk management

Same Examples of Leading and Deficienl Practices for Fraud Risk Management (continued)

Same deficient practices include:

~Failing to publicize how the business is managing the risk of fraud and failure to communicate ethical standards

<l' FaiJing to define organizational responsibility for fraud risk management

<l' FaiJing to assess the design and operating effeetiveness of anti· fraud contral activities

Same leading practices include:

~ Providing fraud awareness training throughout the business

\) AJlocating appropriate resources to fraud risk management programs

\) Regular assessment of the company's ethica I culture

90 © 2007 Deloitte

Fraud risk management

Some Examples ol Leading and Del icient Practices lor Fraud Risk Management (continued)

Same deficient practices include:

~ Failing to consider Management override of controls or consider Senior Management as a potential perpetrator

~Failu re la conduct ubrainstorming" to identify speeifie fraud schemes and failing la invorve appropriate personnel

~Failure la remediate identified control deficiencies

c:t F ailing to assign responsibility for program and control improvement

Same read ing practices include:

i:J Make the Audit Committee aware of significant adjusting or period­end journal entries

~ Considering speeifie fraud schemes for each significant account balance

~ Mapping fraud risks and schemes la contra! activities

~ Assessing fraud risks by likelihood & significance

~ Conducting fraud risk assessment on a regular basis

91 © 2007 Deloitte

Fraud risk management

Roles & Responsibil ities - Board & Aud it Committee

Board & Audit

Committee Management Staff

Intern al Audit

Some of the Board & Aud it Committee's Roles & Responsibilities Generally Include:

• Understanding what constitutes fraud risk • Establishing whether those charged with governance are appropriately

involved in an oversight capacity. • Overseeing the whistleblower program and enforCÎng the Code of Ethics • Determining that negative responses la any inquiries regarding AFPC

may indicate a potential deficiency in Management's fraud risk supervision process, which then needs to be eva luated.

• Reporting violation5, including fraud, to regulatory agencies

_ ___ c .= .. __

92 © 2007 Deloitte

Fraud risk management

Roles & Responsibilities - Management

Board & Audit

Committee Management Staff Intemal

Audit

Some of Management's Roles & Responsibilities Generally Include:

• Establishing and maintaining antj·fraud programs and contrals • Maintaining adequate documentation of design of anti-fraud programs

and contrals • Evaluating design and operating effeetiveness of anti-fraud programs

and controls • Evaluating and communicating deficiencies • Educating the organization on areas of potential complianee violations • Enforcing Code of Ethics

_ _ lOIIl'_C 4 .= ... __

93 © 2007 Deloitte

Fraud risk management

Roles & Responsibilities - 8taff

Board & Audit

Committee Management Staft Internal

Audit

Some of the Staffs Roles & Responsibilit ies Generally Include:

• Understanding their ro[es • Reading and understanding policies and procedures • Participating in the process of creating astrong contral environment • Reporting incidences of fraud and corruption • Being aware of red flags

_ _ __ 00 __ = " __

94 © 2007 Deloitte

Fraud risk management

Roles & Responsibilities - Internal Audit

Board & Audit

Committee Management Staff

Internat Audit

Some of Internal Audit's Roles & Responsibilities Generally Include : • Determining aspecific fraud practice advisory • Sponsoring Management • Supporting Mana~ement's education of the organization regarding areas

of potential compllance violations • Establishing standard procedures tor response and coordination • Conducting fraud risk assessment • Linking fraud risks to anti·fraud controls • Effective monitoring tor compliance • Communicating, educating, acting as a change agent • Integrating fraud risk assessment within the scope of the internal audit --i!~!;.~;.~,~_. u.c , .. __

A member firm ofDeloitte Touche Tohmatsu