Economic Crime Survey Nederland 2017 - PwC · 2017. 10. 4. · Economic Crime urvey ederland 2017 7...

www.pwc.nl/forensicservices

Economic Crime Survey Nederland 2017

In samenwerking met:

PwC

Inhoud

Inleiding 3

Prevalentie van financieel-economische criminaliteit 6 Omvang van financieel-economische criminaliteit 7 Schade van financieel-economische criminaliteit 15 Daders van financieel-economische criminaliteit 16

Preventie en detectie 22 Preventieve maatregelen 23 Detectie van financieel-economische criminaliteit 27

Criminogeniteit binnen organisaties 28 Gelegenheid maakt de dief 29 Ethische bedrijfscultuur 31 Target- en bonuscultuur 32

Conclusie 36

Methodologische verantwoording 40

De vragen 44

Literatuur 46

Colofon 50

2

Bij PwC in Nederland werken ruim 4.700 mensen met elkaar samen vanuit 12 vestigingen. PwC Nederland helpt organisaties en personen de waarde te creëren waarnaar zij op zoek zijn. Wij zijn lid van het PwC-netwerk van firma’s in 157 landen met meer dan 223.000 mensen. Wij zien het als onze taak om kwaliteit te leveren op het gebied van assurance-, belasting- en adviesdiensten. Vertel ons wat voor u belangrijk is. Meer informatie over ons vindt u op www.pwc.nl

3

Inleiding

Schade is omvangrijk PwC doet elke twee jaar onderzoek naar financieel- economische criminaliteit en de oorzaken en gevolgen hiervan. Fraude, corruptie, cyber -criminaliteit en andere vormen van financieel- economische criminaliteit komen nog altijd frequent voor en de schade voor betrokken organisaties is vaak omvangrijk. Het in kaart brengen van de omvang, schade, preventie en andere facetten van financieel-economische criminaliteit is belangrijk. Niet alleen belangrijk voor mij en mijn collega’s, zodat wij onze klanten op een juiste manier kunnen bedienen. Maar vooral belangrijk voor u, zodat u zich beter kunt wapenen tegen deze specifieke vorm van criminaliteit.

Overlast onveranderd hoogUit de nieuwe versie van de Economic Crime Survey, die wederom in samenwerking met de Vrije Universiteit tot stand is gekomen, blijkt dat de ontwikkeling van financieel-economische criminaliteit in Nederland sinds 2014 stabiel is gebleven. Dat is op zich goed nieuws, zij het dat de overlast onveranderd hoog is. Te hoog. Bijna driekwart van de organisaties geeft aan dat ze in de afgelopen twee jaar minstens éénmaal in aanraking is gekomen met diefstal van geld en goederen, fraude, corruptie, diefstal van informatie, concurrentie-vervalsing of cybercriminaliteit. De schade voor personen, organisaties en het maatschappelijk en economisch verkeer is aanzienlijk en wordt desondanks nog altijd onderschat.

Investeren in preventie en opsporing We moeten dan ook alert blijven en meer investeren in het verbeteren van preventie- en opsporingscapaciteiten. Daarnaast zijn een goed ethisch en compliance-raamwerk nodig en is de voorbeeldfunctie aan de top én van het middenmanagement uitermate belangrijk.

Iedere leidinggevende heeft namelijk een voorbeeldfunctie. Het topmanagement kan nog zo zijn best doen, het middenkader kan dat met slecht gedrag eenvoudig teniet doen. Vandaar dat preventie en compliance in de haarvaten van de organisatie moeten zitten. Tenslotte zijn ook de medewerkers een voorbeeld voor hun collega’s (tone at the top, beat at the middle and drum of the feet). De bestrijding van criminaliteit moet - meer nog dan nu al het geval is - een strategische uitdaging zijn waarvan iedereen in de organisatie zich bewust is en verantwoordelijk voor voelt.

Deskundigheid inhuren loontGelukkig zien we in ons onderzoek ook een positieve kentering. Meer organisaties, instellingen en overheden beseffen dat het loont om deskundigheid op het gebied van de opsporing of het voorkomen van criminele zaken in te lenen of in te huren. Sinds het aantrekken van experts met specifieke dossierkennis noteren ze een opmerkelijke afname van het aantal geobserveerde criminele feiten.

Grotere concurrentiekracht Meer experts in huis vertaalt zich dus in een grotere alertheid en weerbaarheid, en indirect in een grotere concurrentiekracht en een stevigere ketenpositie.

Mijn collega’s en ik zijn dagelijks bezig met het voorkomen en bestrijden van financieel- economische criminaliteit. Daarvoor bezoeken we een verscheidenheid aan organisaties en regelmatig is de eerste boodschap: we hebben onze zaken op orde. Maar als we dan kritisch doorvragen, blijken de zaken vaak toch net iets anders te liggen. Regelmatig merken we dat de bewustwording rondom fraude te wensen overlaat. Terwijl het weerbaar maken van een organisatie juist daarmee begint. Maar bewustwording is pas de eerste stap: uiteindelijk gaat het over het bewust zijn van alle gelederen binnen de organisatie en de noodzaak om bewust te blijven. Met deze achtste editie van onze Economic Crime Survey willen we dan ook niet alleen de kennis, maar ook de awareness vergroten. We dagen u daarbij uit kritisch na te denken over de huidige processen binnen uw organisatie, waarbij geldt: dare to be stupid.

4 PwC

Maar deze bevinding heeft ook een keerzijde: ze maakt duidelijk dat we nog lang niet alle criminele feiten in beeld hebben en dat organisaties met onvoldoende deskundigheid in huis extra kwetsbaar zijn.

Informatie over het onderzoekSinds 2001 brengt de mondiale organisatie van PwC elke twee jaar de Global Economic Crime Survey uit. Dit onderzoek wordt uitgevoerd onder managers en hogere leidinggevenden in ruim honderd landen. In 2016 is de meest recente versie van de Global Economic Crime survey gepubliceerd. Hier waren 6.337 respondenten bij betrokken vanuit 115 landen uit alle delen van de wereld. PwC Nederland heeft er in 2005 voor gekozen om op basis van de data van de Global Economic Crime Survey zelf onderzoek te doen naar de situatie in Nederland. Sinds 2011 verricht PwC Nederland haar eigen onderzoek. In 2012 is de Vrije Universiteit in Amsterdam hier bij aangesloten. Deze samenwerking resulteerde in drie rapporten die in 2014 en 2015 gepubliceerd zijn. In het eerste rapport werd een algemeen beeld geschetst van de aard, omvang, schade en oorzaken van financieel-economische criminaliteit in Nederland. Het tweede rapport was meer specifiek gericht op de snelle ontwikkelingen binnen de wereld van cybercriminaliteit. Het derde en laatste rapport stond in het teken van bedrijfscultuur en in hoeverre dit bijdraagt aan de prevalentie van financieel-economische criminaliteit binnen een organisatie.

OnderzoeksstrategieDe huidige versie van de Economic Crime Survey is opnieuw tot stand gekomen in samenwerking met de Vrije Universiteit. Het onderzoek is uitgevoerd door de afdeling Forensic Services van PwC Nederland, onder supervisie van prof. dr. mr. Wim Huisman en dr. Victor van der Geest van de afdeling Criminologie van de Vrije Universiteit.

In 2016 is een vragenlijst opgesteld in samenwerking met de Vrije Universiteit met vragen over het aantal incidenten, de impact, de oorzaken en de preventie van verschillende vormen van financieel-economische criminaliteit. Deze vragen zijn voorgelegd aan personen die zich in hun dagelijkse werk bezighouden met de aanpak, het voorkomen en/of in kaart brengen van financieel-economische criminaliteit.

In de huidige Economic Crime Survey hebben we ervoor gekozen om één rapport uit te brengen, waarbij we verschillende onderwerpen extra belichten. De onderwerpen uit de Economic Crime Survey 2014 behandelen we opnieuw in het huidige onderzoek. De huidige vragenlijst kwam grotendeels overeen met de vragenlijst van de Economic Crime Survey uit 2014. Om die reden konden we vergelijkingen maken en opvallende verschillen benoemen. In vergelijking met 2014 is er wel een belangrijke toevoeging, namelijk het Internet of Things. Dit relatief nieuwe fenomeen borduurt voort op de bedreiging van cybercriminaliteit en is actueler dan ooit.

Betrouwbare benchmark Naast de geconstateerde trends biedt het onderzoek een indringend beeld van hoe gevoelig de verschil-lende sectoren zijn voor de diverse vormen van financieel-economische criminaliteit. Het laat zien hoe dader- en slachtofferprofielen veranderen en hoe organisaties hierop reageren en anticiperen.

De Economic Crime Survey 2017 is het meest uitgebreide representatieve onderzoek naar het voorkomen en bestrijden van financieel-economische criminaliteit in Nederland. Bovendien is het een betrouwbare benchmark om uw eigen ervaringen en die van uw organisatie aan af te meten en om inspiratie op te doen voor te nemen vervolgstappen.

Amsterdam, september 2017

Andreas MikkersPartner Forensic Services & Data Analytics

5Economic Crime Survey Nederland 2017

Economic Crime Survey Nederland 2017De opvallendste bevindingen op een rij

73% van de 875 respondenten geeft aan dat hun organisatie in de afgelopen 24 maanden in aanraking is gekomen met financieel-economische criminaliteit.

- Diefstal van geld, goederen of fraude - Corruptie- Diefstal van informatie- Concurrentievervalsing- Cybercriminaliteit

63%

26%

38%

23%

34%

In de industriële sector wordt de meeste financieel-economische criminaliteit gerapporteerd.

De perceptie van veiligheid rondom het Internet of Things komt niet overeen met de gerapporteerde incidenten.

van de respondenten geeft aan de beveiliging van het Internet of Things niet op orde te hebben, terwijl

van de respondenten aangeeft een inbreuk te hebben gehad op het Internet of Things en

van de respondenten aangeeft dit niet te weten.

In het onderwijs daarentegen het minste.

Financieel- economische criminaliteit wordt door experts meer gerapporteerd dan door niet-experts.

Prevalentie corruptie volgens experts

Prevalentie corruptie

volgens niet-experts

7%

42%

9%

35%

26%

Organisaties nemen meer preventieve maatregelen dan twee jaar geleden. Richtlijnen, gedrags codes en interne audits zijn populair.

Detectie van financieel-economische criminaliteit gebeurt het meeste door diezelfde interne audits, gevolgd door interne tips.

32%

Organisaties met een compliance-

programma

6 PwC

Prevalentie van financieel-economische criminaliteit


In welke mate speelt financieel-economische criminaliteit een rol binnen organisaties in Nederland? In dit onderzoek wordt ingegaan op deze vraag, door als eerste naar de omvang, schade en daders van financieel-economische criminaliteit te kijken. Meerdere vormen van financieel-economische criminaliteit zullen hierbij de revue passeren, waarbij extra aandacht zal worden besteed aan cybercriminaliteit. Dit heeft als reden dat cybercriminaliteit (en meer specifiek het Internet of Things) door haar snelle ontwikkelingen en nieuwe verschijningsvormen, actueler is dan ooit. Als tweede zal worden ingegaan op de maatregelen die organisaties nemen om financieel-economische criminaliteit tegen te gaan. Tenslotte wordt gekeken welke factoren bijdragen aan de aanwezigheid van financieel-economische criminaliteit binnen bepaalde organisaties. Hierbij zullen aspecten als gelegenheid, toezicht, maar vooral ook cultuur worden belicht.

Figuur 1 Expertise en geobserveerde financieel-economische criminaliteit

0% 10% 20% 50%40% 70%60%30% 80%

Diefstal van informatie

Diefstal van geld of goederen of fraude

Corruptie

Concurrentievervalsing

Cybercriminaliteit

Geen expert op specifiek gebied Wel expert op specifiek gebied

Omvang van financieel-economische criminaliteitDe respondenten in dit onderzoek zijn geselecteerd op het feit dat ze experts zijn op het gebied van financieel-economische criminaliteit. Deze experts hebben aangegeven met welke vormen van financieel-economische criminaliteit ze zich dagelijks bezig houden. Zo geeft 84 procent aan functioneel expert te zijn op het gebied van diefstal van geld, goederen of fraude, 53 procent op het gebied van cybercriminaliteit, 68 procent op het gebied van diefstal van informatie en 46 procent op het gebied van concurrentievervalsing. Tenslotte geeft 57 procent aan expert te zijn op het gebied van corruptie. Deze percentages zijn alle vijf een verhoging ten opzichte van de vorige editie van de Economic Crime Survey (PwC, 2014). Deze selectievraag resulteerde uiteindelijk in 875 respondenten die zich met minstens één van de vijf vormen van financieel-economische criminaliteit bezig houden.

Aan deze 875 experts is allereerst de vraag gesteld hoe vaak hun organisatie in de afgelopen twee jaar in aanraking is gekomen met vijf verschillende vormen van financieel-economische criminaliteit. Deze vormen zijn diefstal van geld of goederen of fraude, corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit.

Van de 875 experts geeft 73 procent aan dat de organisatie in de afgelopen twee jaar ten minste één keer in aanraking is gekomen met één van de vormen van financieel-economische criminaliteit. Dit percentage komt overeen met het percentage uit vorige editie. Toen gaf ook bijna driekwart van de respondenten in Nederland aan in aanraking te zijn gekomen met enige vorm van financieel-economische criminaliteit. Deze cijfers zijn in de Global Economic Crime Survey fors lager, maar blijven eveneens stabiel. In 2014 en 2016 geven namelijk respectievelijk 37 procent en 36 procent van de respondenten aan dat hun organisatie in aanraking is gekomen met enige vorm van financieel-economische criminaliteit.

Een mogelijke verklaring voor het gerapporteerde verschil bij de Nederlandse en mondiale versie van de Economic Crime Survey kan de steekproef zijn. De respondenten in het huidige onderzoek houden zich namelijk dagelijks bezig met het in kaart brengen, voorkomen of aanpakken van financieel-economische criminaliteit, terwijl de respondenten uit de Global Economic Crime Survey overwegend leidinggevende functies hebben. Dit kan verklaren dat deze laatste groep minder criminaliteit rapporteert. Dit idee wordt versterkt door het feit dat de experts uit het huidige onderzoek een hogere prevalentie rapporteren van de vormen van financieel-economische criminaliteit waar zij in hun dagelijkse functie mee te maken hebben. In figuur 1 is te zien dat bijvoorbeeld 42 procent van de experts op het gebied van corruptie deze specifieke vorm van criminaliteit melden, terwijl slechts

71%

42%

49%

42%

52%

25%

7%

13%

5%

13%

8 PwC

7 procent van de respondenten die niet expert zijn op dit gebied deze vorm melden. Dit verschil gaat tevens op voor de andere vormen van financieel-economische criminaliteit.

Een deel van het zogenaamde dark number wordt hiermee blootgelegd. Het dark number is een term die wordt gebruikt om niet gerapporteerde criminaliteit aan te duiden. Bij de rapportage van criminaliteit is altijd in zekere mate sprake van een dark number, bijvoorbeeld omdat er geen slachtoffers zijn of slachtoffers niet bereid zijn het incident te melden om een verscheidenheid aan redenen. Wij vermoeden daarmee dat de Nederlandse versie van de Economic Crime Survey een betrouwbaarder beeld geeft van de omvang van financieel-economische criminaliteit.

Verschillende vormen van financieel-economische criminaliteitIn figuur 2 is de prevalentie van de verschillende vormen van financieel-economische criminaliteit weergegeven. Hierbij is te zien dat 63 procent van de respondenten in de afgelopen twee jaar in aanraking is gekomen met diefstal van geld of goederen of fraude, 26 procent met corruptie en 38 procent met diefstal van informatie, 23 procent met concurrentievervalsing en 34 procent met cybercriminaliteit.

Er valt een licht stijgende lijn waar te nemen ten opzichte van de vorige editie van de Economic Crime Survey. Toen gaf namelijk 64 procent van de respondenten aan dat de organisatie de afgelopen 24 maanden in aanraking is gekomen met diefstal van geld, goederen en fraude, 21 procent met corruptie, 27 procent met diefstal van informatie, 18 procent met concurrentievervalsing en 23 procent met cybercriminaliteit. Cybercriminaliteit laat hiermee de grootste stijging zien.

Financieel-economische criminaliteit verschilt per organisatie In het huidige onderzoek is onderzocht in welke mate de gerapporteerde prevalentie van financieel-economische criminaliteit verschilt tussen sectoren en tussen organisaties met een verschillende omvang.

In de survey is gevraagd in welke sector de experts werkzaam zijn. Hierbij was er de keuze uit 18 sectoren. Om deze sectoren in beeld te brengen is gekozen voor een minimum aantal respondenten

Figuur 2 Prevalentie van financieel-economische criminaliteit

Figuur 3 Prevalentie van financieel-economische criminaliteit per sector

0% 50% 60%40%30%20%10%

0%

20%

10%

40%

30%

60%

50%

80%

70%

90%

70%




Corruptie

Cybercriminaliteit

Industrie Groot- en detailhandel

Vervoer en opslag

Informatie en communi-

catie

Financiële instellingen

Advisering (Semi-) overheids-instellingen

Onderwijs Gezond-heids- en

welzijnszorg

Overige dienst-

verlening

Overige sectoren

33 17 13

17 7 2

16 5 2

25 9 4

20 9 5

Diefstal van geld of goederen of fraude Corruptie Diefstal van informatie Concurrentievervalsing Cybercriminaliteit

Ten minste één keer Meer dan 5 keer Meer dan 10 keer

69

77 77

50

64

37

64

52

70

58

70

42

11

33

2630

21

39

3

26

10

34

51

25

37

4539 39

35

27

37

20

42

32

16

27 2430

24

1511

1510

31

44

14

47

38

51

2932 32

28

20

34


per sector. Hierbij is een grens getrokken bij 40 respondenten. De overige acht sectoren waar minder dan 40 respondenten werkzaam zijn, zullen als ‘overige’ worden meegenomen. In figuur 3 is de prevalentie van financieel-economische criminaliteit per sector weergegeven.

Uit figuur 3 blijkt dat de verhoudingen tussen de verschillende vormen van financieel-economische criminaliteit vergelijkbaar zijn over de verschillende sectoren. Diefstal van geld, goederen en fraude scoort in elke sector relatief hoog, terwijl corruptie en concurrentievervalsing minder voorkomen. De industriële sector komt het meest in aanraking met financieel-economische criminaliteit, gevolgd door vervoer en opslag, overheidsinstellingen en de financiële sector. In het onderwijs wordt daarentegen de minste criminaliteit gerapporteerd.

Daarnaast kan het aantal personeelsleden van een organisatie invloed hebben op de prevalentie van financieel-economische criminaliteit. Aan de respondent is gevraagd hoeveel werknemers

werkzaam zijn bij hun organisatie. Hierbij kon men kiezen uit categorieën die varieerden van ‘alleen ik’ tot ‘10.000 of meer personeelsleden’. De prevalentie van financieel-economische criminaliteit en de verhouding met het aantal werknemers in Nederland is in figuur 4 weergegeven.

Uit figuur 4 blijkt dat de organisaties met 100 tot 999 werknemers iets meer financieel-economische criminaliteit rapporteren dan de kleinere en grotere organisaties. Daarnaast blijkt dat het aantal werknemers in Nederland geen verschil maakt in de verhouding van de verschillende vormen financieel-economische criminaliteit. Diefstal van geld, goederen of fraude blijft het meest genoemd, terwijl corruptie en concurrentievervalsing in alle groottes van organisaties minder voorkomt.

Diefstal van geld of goederen of fraudeWanneer respondenten aangaven dat de organisatie in de afgelopen twee jaar in aanraking is gekomen met diefstal van geld of goederen of fraude, is vervolgens gevraagd om dit te specificeren. De respondenten konden één of meerdere van deze vormen selecteren of een andere vorm van diefstal of fraude beschrijven. Van de respondenten gaf 64 procent aan dat de organisatie te maken heeft gehad met diefstal van geld of goederen of fraude. Binnen deze categorie is onderscheid gemaakt tussen diefstal van geld, diefstal van goederen, boekhoudfraude, belastingfraude en fraude met facturen. Uit figuur 5 komt naar voren dat diefstal van goederen (70%) en diefstal van geld (50%) het meest frequent voorkomen. Daarnaast komen boekhoudfraude, belastingfraude en fraude met facturen bij elkaar in 48 procent van de gevallen voor. Slechts 3 procent gaf aan dat er sprake was van een andere vorm van diefstal van geld of goederen of fraude. Deze

Figuur 5 Diefstal van goederen of geld of fraude

0% 50% 70%60%40%30%20%10% 80%

Belastingfraude

Diefstal goederen

Diefstal van geld

Boekhoudfraude

Fraude met facturen

Anders

70%

50%

22%

9%

17%

3%

Minder dan 100 werknemers 100 tot en met 999 medewerkers 1.000 of meer medewerkers

Figuur 4 Prevalentie financieel-economische criminaliteit en aantal werknemers in Nederland


Concurrentie- vervalsing

Cyber- criminaliteit

Corruptie Diefstal van informatie

0%

10%

20%

40%

30%

60%

50%

80%

70%

55%

22%35%

25%34%

70%

32% 43%26% 33%

69%

27% 34%15%

34%

10 PwC

CorruptieWanneer gekeken wordt naar de frequentie van corruptie komt naar voren dat 26 procent van de respondenten wel eens te maken heeft gehad met corruptie in de afgelopen twee jaar. Wanneer men naar het begrip corruptie kijkt, is het van belang om een onderscheid te maken tussen enerzijds het aanbieden van geld, goederen of diensten en anderzijds het vragen van geld, goederen of diensten in ruil voor een wederdienst. Deze vormen worden respectievelijk actieve en passieve corruptie genoemd (zie figuur 6). De experts gaven aan dat zowel actieve als passieve corruptie in 60 procent van de gevallen voorkwam. In deze antwoordcategorie waren meerdere antwoorden mogelijk. Dit laat zien dat een deel van de organisaties geconfronteerd wordt met zowel actieve als passieve corruptie. Voor actieve corruptie komen de gegevens vrijwel overeen met de gegevens van 2014, maar passieve corruptie is met 9 procent gestegen.

Diefstal van informatieVan de respondenten gaf 38 procent aan dat hun organisatie in aanraking is gekomen met diefstal van informatie. Wanneer we deze categorie verder specificeren zijn de volgende onderdelen te onderscheiden: diefstal van intellectueel eigendom, diefstal van vertrouwelijke informatie, spionage en productvervalsing. Onder intellectueel eigendom worden rechten op intellectuele creaties, zoals merken, vormgeving, uitvindingen, software, teksten en foto’s verstaan. Ruim een derde van de respondenten (36%) gaf aan hiermee in aanraking te zijn gekomen in de afgelopen twee jaar. Diefstal van vertrouwelijke informatie, zoals bedrijfs- of klantgegevens, scoorde binnen deze categorie het hoogst met 58 procent. Verder kwamen industriële of economische spionage en productvervalsing en overtreding van patent- en merkrechten het minst voor met respectievelijk 16 en 15 procent. Zie figuur 7 voor meer informatie.

ConcurrentievervalsingDe respondenten is tevens gevraagd in welke mate de organisatie gedurende de afgelopen twee jaar geconfronteerd is met concurrentievervalsing. Van de respondenten gaf 22 procent aan dat hier sprake van is geweest. Binnen concurrentievervalsing wordt onderscheid gemaakt tussen zes onderdelen. Hierbij werd prijsafspraken het meest gekozen (39%). Verder koos 33 procent van de respondenten voor aanbestedingsvervalsing, 29 procent voor misbruik van economische machtspositie en 27 procent voor marktverdeling. Daarnaast koos 12 procent voor markt beperkende fusies en overnames en tot slot koos 10 procent voor marktverstorende concurrentie van de overheid (zie figuur 8).

Figuur 6 Corruptie

0% 50% 60%40%30%20%10% 70%

Passieve corruptie

Actieve corruptie

60%

60%

Figuur 7 Diefstal van informatie

0% 50% 60%40%30%20%10% 70%

Productvervalsing en overtreding van patent- en merkrechten

Diefstal van vertrouwelijke klanten/of bedrijfsgegevens

Industriële/economische spionage

Diefstal van intellectueel eigendom

Anders

58%

36%

15%

16%

7%

Figuur 8 Concurrentievervalsing

0% 50%40%30%20%10%

Aanbestedingsvervalsing

Prijsafspraken

Misbruik van economische machtspositie

Marktverdeling

Marktbeperkende fusies of overnames

Marktverstorende con-currentie van de overheid

Anders

33%

39%

29%

27%

10%

12%

4%

uitkomsten komen in sterke mate overeen met de uitkomsten van het rapport uit 2014, waarbij diefstal van goederen bij 77 procent van de gevallen voorkwam en diefstal van geld bij 51 procent van de gevallen. De samengestelde categorie fraude werd in 2014 in 37 procent van de gevallen genoemd.


CybercriminaliteitDe respondenten zijn gevraagd naar de methode van de cybercriminaliteit die hun organisatie gedurende de afgelopen twee jaar heeft getroffen. Daarbij zijn acht verschillende methoden voorgelegd. Deze zijn terug te vinden in figuur 9. Het gebruik van virussen wordt het meest genoemd (81%), gevolgd door phishing en pharming (77%) en hacken (60%). De methode die het minst vaak gerapporteerd wordt, is cyberspionage (38%).

Om beter vat te krijgen op cybercriminaliteit, onderscheiden wetenschappers dikwijls verschillende categorieën van cybercriminaliteit (zie bijvoorbeeld Zhang e.a. (2012) of Erp, Stol, en van Wilsem (2013)). Hier onderscheiden wij twee vormen van cybercriminaliteit:1. Destructieve cybercriminaliteit, ook wel

cybervandalisme, waarbij de computer of het ICT netwerk doelwit is van de crimineel; en

2. Instrumentele cybercriminaliteit, waarbij de crimineel de computer of het ICT-netwerk gebruikt om de delicten te faciliteren.

Om na te gaan in hoeverre deze twee verschillende vormen voorkomen, is nagevraagd met welk doel de respondent denkt dat de cybercriminaliteit gepleegd is. Daarbij hadden de respondenten de mogelijkheid om één of meer van de zeven doelen te kiezen. Vier van deze doelen zijn destructief (stilleggen van het ICT systeem, destabiliseren van het ICT systeem, binnendringen in het ICT systeem en het destabiliseren van de organisatie) en drie zijn instrumenteel van aard (diefstal van geld of goederen, informatiediefstal en manipuleren van informatie). Voor deze zeven doelen is gekozen, omdat deze doorgaans goed waar te nemen zijn voor de betrokkenen en omdat ze op zichzelf exemplarisch zijn voor destructieve en instrumentele cybercriminaliteit. Dit betekent niet dat met deze vragen de twee vormen van cybercriminaliteit elkaar uitsluiten; destructieve cybercriminaliteit kan gebruikt worden voor instrumentele doeleinden en instrumentele cybercriminaliteit kan leiden tot destructie. In die situaties zouden respondenten items uit beide categorieën aanvinken.

Figuur 10 toont aan dat iets minder dan de helft van de respondenten aangeeft dat de cybercriminaliteit vermoedelijk gericht was op het binnendringen van het systeem en bijna een kwart gaf aan dat de cybercriminaliteit gericht was op het destabiliseren van het systeem. De categorie destabiliseren van de organisatie is met 7 procent het minst gekozen doel.

Met betrekking tot instrumentele cybercriminaliteit toont figuur 10 aan dat 44 procent van de respondenten denken dat de cybercriminaliteit uit de afgelopen twee jaar bedoeld was om informatie te ontfutselen. Vergeleken met 2014 is dit percentage gestegen, toen gaf slechts 28 procent aan te maken hebben gehad met informatiediefstal. Dit ligt in lijn met de algemene stijgende lijn aan bedrijven die informatie van derden monitoren en verkopen (vaak tegen zeer hoge fees).

Figuur 9 Cybercriminaliteit

Figuur 10 Frequenties van vormen van destructieve en instrumentele cybercriminaliteit

0%

0%

100%

50%

80% 90%70%

40%

60%50%

30%

40%30%

20%

20%10%

10%

Illegaal onderscheppen van gegevens

Phishing of pharming

Illegaal downloaden

Virussen

DoS-aanvallen

Hacken

Intentionele beschading van systemen of computers

Identiteitsdiefstal

Cyberspionage

Manipulatie informatie

Anders

47%

77%

Binnendringen systeem 46%

53%

Stilleggen systeem 15%

81%

Destabiliseren organisatie 7%

46%

60%

Destabiliseren systeem 22%

43%

Diefstal geld of goederen 32%

38%

23%

42%

Informatiediefstal 44%

29%

12 PwC

Figuur 11 toont de prevalentie van het aantal cybergerelateerde incidenten waarmee de organisatie geconfronteerd is naar omvang van de organisatie (in Nederland). Dit figuur toont dat het al dan niet geconfronteerd worden met cybercriminaliteit niet gerelateerd is aan de omvang van de organisatie. Cybercriminaliteit wordt door 34 procent van de grote organisaties (1.000 of meer werknemers), 34 procent van de respondenten uit middelgrote organisaties (100 tot en met 999 werknemers) en 38 procent van de respondenten uit kleine organisaties (minder dan 100 werknemers) gerapporteerd. Dit is opvallend, want traditionele criminaliteit was wel gerelateerd aan organisatiegrootte. Een mogelijke verklaring is dat kleine organisaties net zo goed als grotere organisaties waardevolle IP kunnen bezitten of andere informatie met een hoge waarde.

Cybercriminaliteit expertiseZoals eerder is aangegeven, kan de expertise op een bepaald gebied de perceptie van de prevalentie beïnvloeden. Om die reden is nagegaan in hoeverre de respondenten in het panel functioneel belast zijn met het aanpakken, voorkomen of in kaart brengen van cybercriminaliteit. Deze personen noemen we voor het gemak cybercriminaliteit experts. Van de respondenten gaf 53 procent aan functioneel belast te zijn met cybercriminaliteit. De rest van de respondenten (47%) gaf aan uit hoofde van de functie niet belast te zijn met het in kaart brengen, voorkomen of aanpakken van cybercriminaliteit. In het onderzoek van 2014 gaf slechts 38 procent aan functioneel belast te zijn met cybercriminaliteit. We zien hier dus een toename van 11 procent. Het grootste gedeelte van de experts (36%) houdt zich bezig met het voorkomen van cybercriminaliteit, 23 procent houdt zich bezig met het in kaart brengen van cybercriminaliteit en een kleiner gedeelte houdt zich actief bezig met de aanpak (19%).

Figuur 12 geeft de percentages cybercriminaliteit experts weer, daarnaast zijn de experts op de andere gebieden samengevoegd onder de categorie ‘traditionele experts’. Dit figuur toont dat relatief veel cybercriminaliteit experts werkzaam zijn in de industriële sector (14%) of bij financiële instellingen (13%). Binnen het onderwijs (5%) en de organisaties die zich bezig houden met vervoer en opslag (5%) zijn relatief weinig cybercriminaliteit experts werkzaam.

Het percentage respondenten dat aangaf dat hun organisatie getroffen is door cybercriminaliteit verschilt relatief veel tussen specifieke experts en anderen. Dit suggereert dat het voor niet experts moeilijker is om cybercriminaliteit waar te nemen. Deze tendens is eerder in het rapport al beschreven. Op het gebied van cybercriminaliteit geeft 52 procent van de experts aan dat deze specifieke vorm van criminaliteit in het afgelopen jaar ten minste één keer is voorgevallen. Dit is vele malen meer dan de niet-experts, slechts 13 procent van hen rapporteerde dat cybercriminaliteit is voorgevallen in de afgelopen twee jaar.

Internet of Things Het Internet of Things, ook wel het internet der dingen, is een nieuw onderdeel in de Economic Crime Survey 2017. Naast het huidige onderzoek heeft PwC U.S. in 2016 een rapport geschreven over het Internet of Things en de gevolgen voor de gehele industrie (PwC, 2016a). De hedendaagse definitie van het internet der dingen is: “Een voorgestelde ontwikkeling van het internet, waarbij alledaagse voorwerpen zijn verbonden met het netwerk en gegevens kunnen

Figuur 11 Prevalentie cybercriminaliteit naar omvang van de organisatie

0% 50% 60%40%30%20%10% 70%

Meer dan 5 keer

Meer dan 10 keer

Ten minste 1 keer

8% 10% 11%

10% 4%4%

16% 20% 23%

1.000 of meer werknemers 10 tot 999 werknemers Minder dan 100 werknemers

Figuur 12 Percentage traditionele experts en cybercrime experts uitgesplitst naar sector

0% 30%25%20%15%10%5%

Vervoer en opslag

Overige dienstverlening

Advisering, onderzoek en overige specialistische

zakelijke dienstverlening9% 7%

Financiële instelling 13% 7%

Informatie en communicatie 11% 6%

Industrie 14% 8%

(Semi-)overheidsinstellingen 7% 10%

Gezondheids- en welzijnszorg 12% 15%

Groot- en detailhandel; reparaties in auto’s 6% 14%

5% 5%

Onderwijs 5% 9%

4% 5%

Cybercriminaliteit experts Expert in andere financieel-economische criminaliteit


uitwisselen” (Oxford dictionaries, 2016). Hierbij kan men denken aan thermometers, ijskasten en printers.

Nederland staat momenteel op de vijfde plaats in de ranglijst van landen die het meest gebruik maken van het Internet of Things (World Economic Forum, 2016). In Nederland zijn 24,7 apparaten per honderd inwoners verbonden met het internet. Tevens voorspelt het adviesbureau Gartner (2017) uit Amerika dat in 2020 grofweg 20 miljard apparaten aan het internet der dingen verbonden zullen zijn. Deze voorspellingen zijn echter vrij arbitrair en verschillen per bron. Het World Economic Forum voorspelt bijvoorbeeld dat zelfs rond de 50 miljard apparaten aan het internet der dingen verbonden zullen zijn in 2020 (Mohammed, 2015).

In het huidige onderzoek is dan ook gevraagd in hoeverre voorwerpen verbonden zijn met het netwerk binnen verschillende onderdelen van de organisatie. Hierbij werd gekeken naar het productieproces, het operationele proces, het logistieke proces en het beveiligingsproces. Bij het antwoord op deze vraag konden de experts kiezen tussen een schaal van 1 tot en met 5 (waarbij 1 staat voor ‘helemaal niet’ en 5 voor ‘helemaal wel’). Hierbij is te zien dat de categorieën niet veel uiteenlopen. De hoeveelheid verbonden voorwerpen worden namelijk allemaal rond de gemiddelde antwoordcategorie ingevuld. In het operationele proces zijn volgens de respondenten de meeste apparaten verbonden met het internet en bij het productieproces het minst. De uitkomsten hiervan zijn in figuur 13 weergegeven.

Inbreuk op deze verbindingDe beveiliging van slimme apparaten die met het internet verbonden zijn, staat te weinig in de belangstelling bij bestuurders (PwC, 2016b). Door onjuiste instellingen van het apparaat ontstaat het risico dat deze apparaten direct vanaf het internet te benaderen zijn. Cybercriminelen kunnen zo informatie die is opgeslagen op deze apparaten, opvragen of veranderen. Tevens is het apparaat,

afhankelijk van het type, mogelijk op afstand te bedienen. Dit kan ernstige gevolgen hebben wanneer vertrouwelijk informatie van cliënten of van organisaties wordt opgevraagd of aangepast door hackers.

Het grote voordeel van het Internet of Things is dat alles in connectie met elkaar staat. Hier ligt echter tevens een omvangrijk risico. Data analyse algoritmen kunnen veilig worden gemaakt met een bepaald ontwerp, echter zijn de meeste voorwerpen van het Internet of Things niet wezenlijk ontworpen met veiligheid als hoogste prioriteit (Stolpe, 2016). Dit kwam duidelijk naar voren toen op 7 maart 2017 het Financieel Dagblad kopte: “Wikileaks beschuldigt CIA van geavanceerde spionage” (FD, 2017). Klokkenluidersorganisatie WikiLeaks heeft een groot aantal documenten openbaar gemaakt over de digitale spionagepraktijken van de Amerikaanse inlichtingendienst CIA. Hieruit blijkt onder andere dat de CIA microfoons in smart-tv’s kan gebruiken om burgers te bespioneren. Er zijn echter ook een stuk meer gevaarlijke voorbeelden te bedenken. Zo gaf de Amerikaanse Food & Drug Administration (FDA) begin 2017 toe dat St. Jude Medical’s implanteerbare hartapparatuur kwestbaar is voor hacks. Eenmaal binnen, kan de hacker de batterij uitputten of onjuist pacing en schokken toedienen. Een ander voorbeeld is het Chinese Tencent Keen Security Lab dat recent Tesla auto’s wist te hacken. Ze wisten hierbij de lichten, displays, deuren en remmen te beïnvloeden. Bibi van den Berg van de Cyber Security Raad merkt daarover op: “Dit is nog maar het topje van de ijsberg als het gaat om kwetsbaarheden in het internet of things” (van Noort, 2017c).

Hoogleraar Internetveiligheid Michel van Eeten ziet “een lawine van gehackte apparaten” op ons afkomen. Sla een rapport over cyberveiligheid open en bij Internet of Things staan allerlei waarschuwingen over mogelijke hacks (van Noort, 2017b). Harvard-onderzoeker Bruce Schneier waarschuwde begin dit jaar dat we met het Internet of Things “een wereldomspannende robot” aan het creëren zijn, opgebouwd uit alle apparaten met een internetverbinding. Als de beveiliging zo gammel blijft als nu, kan die robot zich op elk moment tegen ons keren (van Noort, 2017a).

Figuur 13 In hoeverre zijn voorwerpen verbonden met het netwerk

0 4 5321

Logistiek proces

Beveiligingsproces

Operationeel proces

Productieproces

3,4

3,2

3,3

3,0

14 PwC

De risico’s van het Internet of Things zijn op te delen in twee categorieën:• Veiligheidsrisico’s:

- Door de grote hoeveelheid apparaten die verbonden zijn met het netwerk kan een virus op een grootschalig systeem enorme globale gevolgen hebben;

- Veel objecten, zoals auto’s en pacemakers kunnen worden gehackt waardoor er een levensbedreigende vorm van hacken ontstaat die voorheen niet bestond;

- Apparaten kunnen gebruikt worden om een aanval mee uit te voeren.

• Privacy risico’s:- Doordat veel objecten met het internet

verbonden zijn hebben mensen niet door dat data over hen wordt verzameld;

- Het is nog niet duidelijk waar de data wordt opgeslagen en wat er precies mee wordt gedaan.

Bevindingen uit de ECSAan de respondenten werd de vraag gesteld of de organisatie in de afgelopen 24 maanden is getroffen door een inbreuk op de voorwerpen die verbonden zijn via het netwerk. Van de respondenten gaf 35 procent een bevestigend antwoord, 39 procent een ontkennend antwoord en 26 procent gaf aan hier geen inzicht in te hebben. Deze resultaten zijn weergegeven in figuur 14.

Een probleem van cybercriminaliteit, en daarmee digitale inbraak, is echter dat mensen niet altijd weten dat ze slachtoffer zijn geworden (Domenie et al., 2013). Dit zogenaamde dark number is altijd in enige mate aanwezig bij de registratie van criminaliteit, maar naar alle waarschijnlijkheid ligt dit getal een stuk hoger als het gaat om cybercriminaliteit. Het is goed mogelijk dat een groot deel van de respondenten niet door heeft gehad dat ze slachtoffer zijn geweest van een inbreuk op het internet der dingen. Om die reden zouden we kunnen stellen dat minstens 35 procent van de respondenten slachtoffer is geworden van een inbreuk op de apparaten, maar dat dit aantal naar alle waarschijnlijkheid hoger ligt.

Aan de respondenten in de ECS is tevens gevraagd hoe groot zij de kans inschatten dat in de toekomst wordt ingebroken op deze voorwerpen die verbonden zijn met het netwerk. De respondenten konden kiezen uit vijf antwoorden, waarbij 1 voor een zeer kleine kans staat en 5 voor een zeer grote kans. Deze vraag werd wederom opgedeeld in de verschillende onderdelen van het bedrijf. De resultaten staan in figuur 15. Hierbij kwam naar voren dat de respondenten verwachten dat inbreuk op het Internet of Things de grootste schade kan berokkenen in het beveiligingsproces. Kans op inbraak op voorwerpen die te maken hebben met het productieproces worden het laagst ingeschat.

Vervolgens is aan de respondenten gevraagd in hoeverre inbreuk op de verbinding met deze voorwerpen schade kan toebrengen aan een aantal onderdelen van het bedrijf. De respondenten verwachten de minste schade aan de veiligheid van de medewerkers. Zo denkt 30 procent dat een inbreuk op het Internet of Things helemaal geen schade zal toebrengen aan de veiligheid van de medewerkers. De reputatie van de organisatie zal volgens de respondenten meer schade ondervinden aan een inbreuk op het netwerk. De gemiddelden van de antwoorden zijn in figuur 16 weergegeven.

Figuur 15 Hoe groot is de kans dat er wordt ingebroken op de voorwerpen die zijn verbonden met het netwerk?

0 4321

Beveiligingsproces

Productieproces

2,8

Operationele proces 2,6

Logistiek proces 2,5

2,4

Figuur 14 Is uw organisatie in de afgelopen twee jaar getroffen door een (digitale) inbreuk op de voorwerpen die verbonden zijn via het netwerk?

35%

26%

39%

Meer dan 5 keer 8%

Meer dan 10 keer 2%

Tenminste één keer 25%

Weet niet

Nooit

Ja


Tot slot is aan de respondenten de vraag gesteld in hoeverre zij vinden dat de beveiliging op orde was van voorwerpen die verbonden zijn via het netwerk. Hierbij was het wederom mogelijk om dit aan te geven aan de hand van een schaal van 1 tot en met 5, waarbij 1 stond voor helemaal niet op orde en 5 voor helemaal wel op orde. Bij deze vraag scoorden de onderdelen 3 (37%) en 4 (38%) het hoogst, wat betekent dat ze de beveiliging redelijk op orde schatten. Slechts 2 procent van de respondenten geeft aan dat de beveiliging helemaal niet op orde is. Voor meer informatie, zie figuur 17. Wanneer een apparaat naar behoren functioneert, kijken de meeste gebruikers niet meer om naar het apparaat. Tijdig veranderen van wachtwoord en uitvoeren van updates zou al veel problemen buiten de deur kunnen houden.

Opmerkelijk hierbij is dat de respondenten aangeven dat de beveiliging van de voorwerpen die verbonden zijn via het netwerk vrij goed op orde is. De twee antwoordcategorieën die aangeven dat de beveiliging niet op orde is, scoren slechts 9 procent. Zoals eerder besproken, geeft echter 35 procent van de respondenten aan dat de organisatie is getroffen door een inbraak op de voorwerpen die verbonden zijn via het netwerk. De perceptie van veiligheid en beveiliging komt dus niet overeen met de prevalentie van inbreuk op deze apparaten.

Schade van financieel-economische criminaliteitOm de schade in kaart te brengen van financieel-economische criminaliteit zijn een aantal vragen voorgelegd aan de respondent.

Ten eerste is gevraagd in hoeverre er schade als gevolg van financieel-economische criminaliteit is opgetreden op het gebied van reputatie, arbeidsmoraal, zakenrelaties, autoriteiten, tijd (management en autoriteit) en de aandelenkoers. Hierbij kon de respondent kiezen uit de antwoordcategorieën: geen, gering, matig, hoog of geen idee. De gemiddelden van de antwoorden op deze vraag zijn in figuur 18 weergegeven. Hierbij staat 1 voor de categorie ‘geen’ en 4 voor de categorie ‘hoog’. Tijd wordt hierbij het meest genoemd. Reputatieschade scoort daarentegen minder hoog.

Figuur 16 In hoeverre kan schade worden toegebracht aan apparaten die zijn verbonden met het netwerk

Figuur 17 In hoeverre is de beveiliging op orde van voorwerpen die verbonden zijn via het netwerk?

Figuur 18 Schade als gevolg van financieel-economische criminaliteit

0 4 5321

De veiligheid van de andere mensen

De producten of diensten van de organisatie

De reputatie van de organisatie

De continuïteit van de organisatie

De veiligheid van de medewerkers

3,3

3,0

2,5

3,2

2,4

37%

17% 7%

2%

38%

Helemaal niet op orde

Niet op orde

Op orde noch niet op orde

Op orde

Helemaal op orde

0 321

Arbeidsmoraal

Reputatie

Zakenrelaties

Relatie met de autoriteiten

Tijd (als gevolg van controle door en eisen

van de autoriteit)

Aandelenkoers

2,4

2,3

2,1

1,9

2,5

Tijd (afhandeling door management) 2,8

1,5

16 PwC

Aan de respondenten is tevens gevraagd om de vijf verschillende vormen van financieel-economische criminaliteit te rangschikken naar de ernst van de opgelopen financiële schade gedurende de afgelopen twee jaar en de ernst van de verwachte schade in de toekomst. Figuur 19 geeft de gemiddelde antwoorden van de respondenten op deze vraag weer en laat zien dat de perceptie van de respondenten over de toekomst aardig overeenkomt met de gerapporteerde prevalentie uit het verleden. Respondenten schatten de opgelopen schade als gevolg van diefstal van geld of goederen of fraude relatief het hoogst in. Respondenten denken dat concurrentievervalsing en corruptie minder schade berokkenen aan de organisatie. Hierbij dient echter de reeds bovengeschetste kentering (zie opmerkingen bij figuur 18) op het gebied van de toenemende aandacht voor corruptievervolging in acht gehouden te worden. Naast de verhoogde pakkans zal ook de schade toenemen. Hierbij moet rekening gehouden worden met het feit dat corruptie vaak pas achteraf bekend wordt – tenzij de top van de organisatie erbij betrokken is – en het moeilijk is vooraf de schade in te schatten. De schade onderschatten is echter gevaarlijk, omdat uit figuur 19 afgeleid zou worden dat er relatief meer preventieve en detectieve beheersingsmaatregelen zouden kunnen worden ingezet ter voorkoming van diefstal, terwijl anti corruptie controls wellicht ook versterking behoeven.

Figuur 20 geeft de relatieve opgelopen schade door cybercriminaliteit weer per sector. Dit figuur laat zien dat de relatieve schade vooral hoog wordt ingeschat bij de financiële instellingen en in de informatie en communicatie sector. De opgelopen schade van cybercriminaliteit is daarentegen relatief laag in de groot- en detailhandel.

Daders van financieel-economische criminaliteitVervolgens zijn een aantal vragen gesteld over de daders die betrokken waren bij de meest recente en meest ernstige vorm van financieel-economische criminaliteit. Ten eerste is gevraagd naar de daders van het meest recente delict waar de organisatie mee in aanraking is gekomen. Hierbij is afzonderlijk gevraagd naar de meest recente cybercriminaliteit en de meest recente ‘traditionele’ criminaliteit. In figuur 21 zijn flinke verschillen waarneembaar. Cybercriminaliteit wordt voornamelijk door externe daders gepleegd (73%), terwijl de overige vormen van financieel-economische criminaliteit meer door interne daders wordt gepleegd. Dit beeld komt overeen met de gegevens uit de vorige editie van de Economic Crime Survey.

Figuur 19 Relatieve schade, opgelopen en verwacht als gevolg van financieel-economische criminaliteit

Figuur 21 Verdeling interne en externe dader van het meest recente delict

0

0%

1

20%

2

40%

4 4,53,5

70%

2,5

50%

1,5

30%

0,5

10%

3

60%

5

80%


Cybercriminaliteit

Zowel interne als externe dader

Externe dader

Interne dader

Verwachte schade Opgelopen schade

Cybercriminaliteit Traditionele criminaliteit

4,1

2,9

3,7

Diefstal van informatie3,43,5

Concurrentievervalsing2,5

2,4

Corruptie2,5

2,4

3,0

Figuur 20 Relatieve schade door cybercriminaliteit in de afgelopen twee jaar naar sector

0,0 5,04,03,02,01,0

Onderwijs 2,1

(Semi-) overheidsinstellingen 2,1

Groot- en detailhandel 1,9

Gezondheids- en welzijnszorg 2,2

73%

17%

10%9%

43%

48%

Industrie 2,5

Informatie en communicatie 2,9

Advisering, onderzoek en overige 2,6

Financiële instellingen 3,0


Dit grote verschil in het percentage externe daders tussen cybercriminaliteit en ‘traditionele’ financieel-economische delicten is mogelijk te verklaren door het feit dat de fysieke afstand tussen daders en potentiële slachtoffers geen obstakel vormt bij cybercriminaliteit. Bij ‘traditionele’ financieel-economische delicten moeten dader en slachtoffer vaak op hetzelfde moment op dezelfde plek fysiek aanwezig zijn om het delict te kunnen plegen. Eigen werknemers voldoen vanzelfsprekend frequent aan deze voorwaarde, waardoor het aantal interne daders bij ‘traditionele’ delicten mogelijk hoger is. Omdat deze fysieke aanwezigheid bij cybercriminaliteit geen belemmering vormt, is het voor externe criminelen mogelijk eenvoudiger om organisaties via cybercriminaliteit tot slachtoffer te maken.

In figuur 22 is de verdeling interne en externe daders van het meest recente delict uitgesplitst naar organisatie grootte. Hier is te zien dat kleine organisaties meer te maken hebben met externe daders en grotere

Figuur 22 Wie was de dader van het meest recente delict naar organisatie grootte


Interne dader Externe dader0%

10%

20%

30%

40%

50%

60%

36%47%48%

38%49%

30%

18 PwC

(mede-)verantwoordelijk zijn voor het meest ernstige delict is te zien dat in 63 procent van de gevallen één dader aanwezig is. In 23 procent van de gevallen zijn er twee daders aanwezig, drie of meer daders kwam aanzienlijk minder vaak voor (14%).

DaderprofielenOm een duidelijk beeld te scheppen van de daders van financieel-economische criminaliteit, is middels een aantal vragen in de survey getracht een profiel op te stellen van de daders van het meest ernstige delict, deze profielen zijn te zien in figuur 24 en 25. Overeenkomstig met andere uitkomsten van onderzoek naar criminaliteit is een groot deel van de daders een man. Slechts een vijfde van de respondenten geeft aan dat de dader van het meest ernstige delict een vrouw was. De gemiddelde leeftijd van de dader ligt rond de 34 jaar. In 2014 was de gemiddelde leeftijd 37 jaar, hier valt dus een kleine daling waar te nemen.

Uit figuur 24 blijkt dat in 23 procent van de gevallen de interne dader werkzaam is in het middenmanagement of is hij/zij manager. Opvallend is dat in slechts 6 procent van de gevallen de (hoofd)dader werkzaam is in het top/senior management. Dit zou te maken kunnen hebben met onderzoekbias van de experts. Corporate security heeft namelijk de neiging om ‘naar beneden’ te kijken in plaats van naar boven (White, 2014).

In figuur 25 is te zien dat de externe dader vaak een individu is, die geen zakelijke relatie heeft met de organisatie (28%). Een klant of opdrachtgever als externe dader komt ook veel voor, namelijk in 19 procent van de gevallen. De overheid en idealistische organisaties/groeperingen worden het minst vaak genoemd (beiden ongeveer 3%). Deze bevindingen komen overeen met de bevindingen uit 2014.

Daders van cybercriminaliteitOmdat daders van cybercriminaliteit in sterke mate verschillen van daders van traditionele financieel-economische criminaliteit, zijn extra vragen gesteld over de daders van cybercriminaliteit. In de survey is op twee manieren vragen gesteld over daders van cybercriminaliteit. Allereerst is aan alle respondenten die werkzaam zijn voor een organisatie die minstens één keer in de afgelopen 2 jaar is geconfronteerd met cybercriminaliteit, gevraagd naar de daders van het meest recente cyberdelict waarmee hun organisatie in aanraking is gekomen. Daarnaast zijn aan alle respondenten vragen gesteld over de daders van het meest ernstige cyberdelict waarmee de organisatie gedurende de twee voorafgaande jaren mee te maken

Figuur 24 Daderprofiel interne dader

0% 90%80%70%60%50%40%30%20%10%

Vrouwelijk

Mannelijk

Andere werknemers

Middenmanagement

Topmanagement

Anders

22%

78%

69%

6%

23%

3%

Figuur 25 Daderprofiel externe dader

0% 90%80%70%60%50%40%30%20%10%

Vrouwelijk

Mannelijk

Individu (geen zakelijke relatie met organisatie)

Klant/opdrachtgever

Zakenpartner, leveranciers, dienstverlener, oid

Concurrent

Overheid

Idealistische organisaties/groeperingen

17%

83%

28%

3%

9%

15%

19%

3%

Figuur 23 Meest ernstige delict

0% 60%50%40%30%20%10%

Interne dader

Externe dader

Zowel interne als externe dader

43%

48%

9%

organisaties meer met interne daders. Naast het meest recente delict is er ook aandacht besteed aan het meest ernstige delict. De resultaten staan in figuur 23. De dader van dit delict is in 42 procent van de gevallen een interne dader en in 48 procent van de gevallen een externe dader. Deze gegevens laten zien dat het meest ernstige delict vaker door een externe dader gepleegd wordt in vergelijking met het meest recente delict.Wanneer men kijkt naar hoeveel daders in totaal


Bij zowel het meest recente delict als het meest ernstige delict is allereerst gevraagd of de dader een interne of een externe dader was. Figuur 26 toont aan dat in beide gevallen de dader meestal een externe dader is. Daarnaast blijkt in een klein aantal gevallen een interne en externe dader samen te werken. Onbekende dadersAan de respondenten, die hebben aangegeven dat het meest ernstige delict een vorm van cybercriminaliteit was, zijn ook een aantal vragen gesteld over de kenmerken van de dader. Doordat veel van deze delicten gepleegd worden door externe cybercriminelen, geven veel respondenten aan niet te weten wie de dader van de cybercriminaliteit was. Van de respondenten die een vorm van cybercriminaliteit als meest ernstige delict van de afgelopen twee jaar zien, zegt 77 procent niet te weten of de dader een man of een vrouw is. Van de respondenten geeft 21 procent aan dat de dader een man is en door slechts 2 procent van de respondenten wordt een vrouwelijke dader genoemd.

Figuur 26 Interne en externe daders van de meest recente en meest ernstige cybercriminaliteit

0% 20% 40% 70%50%30%10% 60% 80%

Intern

Extern

Zowel intern als extern

Meest ernstig Meest recent

9%

59%

14%

70%

10%

3%

heeft gehad. Bij deze vraag gaven 105 van de 875 respondenten aan dat een vorm van cybercriminaliteit het meest ernstige delict was. In de meeste gevallen was deze meest ernstige cybercriminaliteit het verspreiden van virussen, gevolgd door phishing en pharming. Cyberspionage, illegaal downloaden en intentionele beschadiging van systemen of computers wordt door slechts een enkeling genoemd.

20 PwC

Wanneer de dader van het meest ernstige cyberdelict een externe dader was, is de respondent ook gevraagd om de relatie van de dader tot de organisatie te benoemen. Figuur 27 toont aan hoe vaak de mogelijke relaties genoemd worden. Het vaakst blijkt de externe dader een individu zonder zakelijke relatie met de organisatie (25%) te zijn. De meeste respondenten geven echter aan niet te weten wie de externe daders zijn (47%).

Gevolgen voor de daders In de survey is ook gevraagd naar acties die ondernomen zijn tegen de dader bij het meest recente delict dat hun organisatie heeft ondervonden. Hierbij is onderscheid gemaakt tussen cybercriminaliteit en traditionele criminaliteit, en tussen de reacties op interne en externe daders.

Met betrekking tot de externe daders van traditionele criminaliteit is er in veel gevallen voor gekozen om aangifte te doen (40%). Verder wordt zowel de keuze om de autoriteiten in te lichten als een waarschuwing te geven, in 19 procent van de gevallen gekozen. In 9 procent van de gevallen worden geen stappen ondernomen.

Wanneer men kijkt naar de gevolgen voor de interne dader van traditionele criminaliteit, is te zien dat bij het merendeel van de gevallen wordt gekozen voor ontslag van de desbetreffende persoon (62%). Verder kiest 27 procent van de organisaties er voor om aangifte te doen en in 16 procent van de gevallen komt de dader er met een waarschuwing vanaf. Deze resultaten zijn in figuur 28 en 29 weergegeven.

Er is vervolgens meer specifiek gevraagd naar de afhandeling van daders van cybercriminaliteit. Figuur 30 toont de omvang van de verschillende stappen die worden genomen tegen interne en externe daders. Bij interne daders wordt vaak aangifte gedaan (33%) of een rechtszaak aangespannen (29%). Ook stappen die alleen tegen interne daders kunnen worden genomen – zoals overplaatsing, een vertrekregeling of ontslag – worden vaak ondernomen. Ontslag wordt door 55 procent van de respondenten genoemd. In slechts 3 procent van de gevallen worden er geen stappen ondernomen tegen de interne dader. Bij een externe dader gebeurt dit veel vaker, namelijk in 17 procent van de gevallen. Dit komt mogelijk doordat de organisaties niet weten wie het delict heeft gepleegd en daardoor mogelijk vaker denken dat het ondernemen van stappen geen zin heeft. Wanneer wel stappen worden ondernomen tegen externe daders, dan doet men in de meeste gevallen

Figuur 27 Externe daders van meest ernstige cybercriminaliteit waar organisatie mee in aanraking is gekomen

0% 10% 15%5%

Een concurrent

30%20% 25%

Een idealistische organisatie 5%

De overheid 3%

Een individu 25%

8%

Zakenpartner, leverancier of dienstverlener 7%

Klant/opdrachtgever 5%

Figuur 28 Gevolgen externe dader meest recente delict

Figuur 29 Gevolgen interne dader meest recente delict

0%

0%

50%

70%

40%

50% 60%

30%

30% 40%

20%

20%

10%

10%

Collega-bedrijven gewaarschuwd

Autoriteiten ingelicht


Waarschuwing

Waarschuwing

Aangifte gedaan

Aangifte gedaan

Ontslag

Bestaande contracten opgezegd

Rechtzaak aangespannen

Publiciteit opgezocht

Vertrekregeling


Overplaatsing

Geen stappen ondernomen

Weet niet

Weet niet


16%

10%

19%

16%

19%

27%

40%

62%

15%

9%

12%

7%

9%

4%

11%

4%

7%

3%


Interne en externe daders van cybercriminaliteitInterne daders van cybercriminaliteit, of insiders, worden doorgaans gedefinieerd als individuen met rechtmatige toegang tot het ICT-systeem van een bedrijf (Hunker & Probst, 2011).

Externe daders kunnen in verschillende groepen onder-verdeeld worden (Europol, 2013 en Dasselaar, 2005): 1. White hats: hackers die hun technologische expertise

gebruiken voor legale en constructieve doeleinden.2. Black hats of crackers: hackers die hun

technologische expertise gebruiken voor illegale doeleinden.

3. Grey hats: hackers die ethische grenzen overschrijden, maar zonder slechte bedoelingen. Te denken valt aan het testen van beveiliging.

4. Hacktivists: hackers die ICT gebruiken voor hun ideologische doeleinden.

5. Script kiddies: ‘Wannabee hackers’ met weinig technologische expertise, maar wel significante schade kunnen aanbrengen door technieken van anderen.

6. Political of religious extremists: hackers die ICT gebruiken om terroristische daden te plegen.

Figuur 30 Afhandeling van het meest recente cyberdelictcriminaliteit

0% 10% 20% 40% 50%30% 60%



Waarschuwing


Externe dader Interne dader

29%

12%

18%

3%

10%

Aangifte gedaan33%

39%

24%

10%

17%

2017 vaker aangegeven dat tegen interne daders een rechtszaak wordt aangespannen. In 2014 werd dit door 12 procent gezegd, in 2017 gaf 29 procent van de respondenten dit aan.

In 2014 was het aantal respondenten dat een interne dader van het meest recente cyberdelict rapporteerde kleiner dan in 2017, in het huidige onderzoek is deze groep twee keer zo groot. Ook de groep externe daders is in 2017 gestegen. Dit verschil in respondenten moet als kanttekening gezien worden wanneer deze vergelijking gemaakt wordt.

Deze bevindingen zijn opvallend in het licht van de meldplicht datalekken. Deze meldplicht geldt sinds 1 januari 2016 en houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben waarbij persoonsgegevens zijn gelekt. In de praktijk blijkt echter dat dit niet altijd gebeurt, wat aansluit bij de huidige bevindingen. De vraag is ook in hoeverre het voor organisaties loont om deze melding te maken.

aangifte (39%). Daarnaast wordt bij een kwart van de externe daders de autoriteiten ingelicht, bij interne daders is dit slechts in 12 procent van de gevallen.

De verschillen tussen 2014 en 2017 zijn hier groot. In 2014 wordt bij de interne dader in 33 procent van de gevallen een waarschuwing gegeven, terwijl dat in 2017 nog maar 18 procent is. Dit zou kunnen betekenen dat nu strenger wordt opgetreden en geen waarschuwingen meer gegeven worden. Er wordt in

22 PwC

Preventie en detectie

23

Preventieve maatregelenOm eerder beschreven financieel-economische criminaliteit tegen te gaan, neemt elke organisatie in meer of mindere mate maatregelen.

Een weerbare organisatie beschikt over een evenwichtig stelsel aan preventieve, detectieve en reactieve beheersingsmaatregelen. Het doel is om non-compliance alsmede de gelegenheid tot criminaliteit te bedwingen. De traditionele aanpak is gebaseerd op het inzetten van controls (beheersingsmaatregelen), checks & balances, interne audits, beleid en het interne controle raamwerk. De detectieve component bestaat doorgaans uit interne en externe audits, monitoren van de compliance, de effectiviteit van de beheersingsmaatregelen, transacties en tenslotte rapportage. De natuurlijke reactie na inbreuk is het nieuw ontdekte gat in de beheersingsmaatregelen te dichten met een nieuwe control. Deze aanpak kent haar grenzen in termen van kosten en effectiviteit. Een overvloed aan controls is onoverzichtelijk en niet effectief, waardoor het weer leidt tot nieuwe risico’s.

Wellicht biedt de fraude driehoek (Albrecht, 2014) een beter aansluitingspunt voor de opzet van een uitgebalanceerd en daarmee effectiever integriteitsraamwerk voor een organisatie, oftewel de integriteitsdriehoek (figuur 31). Hierbij wordt het gedrag van medewerkers (maar ook klanten, leveranciers etcetera) ingedeeld in drie hoofdcomponenten: gelegenheid, druk en rechtvaardiging (rationalisatie). Ter voorkoming van fraude en criminaliteit wordt de nadruk gelegd op het implementeren van harde veiligheidsbeheersingsmaatregelen, men denkt onder andere aan toegangspoortjes en wachtwoordbeveiliging. Zodra een lek gevonden is, wordt het door een maatregel afgedicht. Door deze eenzijdige wijze van beheersing verliest men oog op twee belangrijke gedragscomponenten, te weten de druk die de medewerker ervaart (bijvoorbeeld vanuit opdrachtgevers of de organisatie zelf) en de rechtvaardiging die de medewerker zoekt voor zijn gedrag (bijvoorbeeld slecht voorbeeldgedrag door leidinggevenden en collega’s of het ontbreken van duidelijk beleid). Door aan de drie componenten een

Figuur 31 De integriteitsdriehoek

Gedrag Medewerker Leverancier

Etc.

Rationalisatie/

Rechtvaardiging

Gelegenheid

Druk

Controls• Evenwichtige targets• Evenwichtig bonus

systeem (consistentie met gedragscomponent)

• Klokkenluidersregeling

Controls• Managementstijl• Voorbeeldgedrag• Competenties• 360º feedback• HR opvolging waarden en normen programma’s

Controls• Veiligheidsmaatregelen• Risk management• Internetbeveiliging


24 PwC

evenwichtig geheel van beheersingsmaatregelen te koppelen wordt op een positieve wijze meer aandacht gelegd op het gedrag, in plaats van slecht gedrag als uitgangspunt te nemen en enkel de nadruk te leggen op primaire veiligheidsmaatregelen. Een uitgebalanceerd stelsel van alle drie de vormen beheersingsmaatregelen is hierbij nodig.

Bevindingen Economic Crime Survey Aan de ondervraagde experts zijn dertien mogelijke preventieve maatregelen voorgelegd en is hen gevraagd om aan te geven in hoeverre deze maatregelen zijn getroffen dan wel in hoeverre de organisatie van plan is deze te gaan treffen in de toekomst.

De meest genoemde preventieve maatregelen waarvan organisaties gebruik maken, zijn transparante richtlijnen, gedragscodes en een sanctiebeleid. Ruim 50 procent van de organisaties maakt hier gebruik van. In figuur 32 is te zien dat andere relatief populaire preventieve maatregelen het uitvoeren van systematische interne controles en audits (51%), het aanstellen van een vertrouwenspersoon voor ethische dilemma’s (45%) en actieve monitoring van intern en extern elektronisch verkeer (40%) zijn. Het regelmatig wisselen van personeel op kwetsbare posities en de aanwezigheid van een interne forensisch technologische onderzoeker worden minder vaak genoemd. Opvallend is dat in vergelijking met 2014 (met uitzondering van transparante richtlijnen, gedragscodes en sanctiebeleid) voor alle maatregelen geldt dat meer organisaties dergelijke maatregelen hebben getroffen.

Daarnaast is gevraagd welke maatregelen de organisatie van plan is te gaan treffen in het komende jaar. Voor alle maatregelen geeft ongeveer 12 procent van de respondenten aan dat de maatregel gepland staat voor volgend jaar, alleen de maatregel waarbij een interne forensisch technologische onderzoeker wordt aangesteld wijkt hier enigszins van af (8%).

Figuur 32 Heeft uw organisatie de volgende maatregelen getroffen om financieel-economische criminaliteit tegen te gaan?

0% 10% 20% 40% 50%30% 60%

Transparante richtlijnen, gedragscodes en

sanctiebeleid

Systematische interne controles en audits

Een vertrouwenspersoon voor ethische dilemma’s

Actieve monitoring van intern en extern elektronisch verkeer

Aanwezigheid van IT-deskundigen

Een noodprocedure voor het afsluiten van het

IT-netwerk

Gedragscodes voor het corruptiebestrijdings beleid

voor externe partijen

Klokkenluidersmeldpunt

Systematische risicoanalyse van

markten, sectoren, etc.

Due diligence controles bij corporate transacties

Evaluaties van de effecten van het compliance beleid

Regelmatige wisseling van personeel op

kwetsbare posities

Aanwezigheid van een interne forensisch

technologische onderzoeker

Ja Gepland volgend jaar

13%

13%

13%

12%

11%

11%

12%

14%

13%

12%

12%

12%

8%

26%

38%

52%

51%

26%

33%

22%

28%

45%

17%

28%

40%

12%


vereisten naast zich neerleggen omwille van het (korte termijn) zakelijk voordeel. Een ander gevaar is dat compliance onvoldoende of niet begrijpelijk is voor de medewerker. Indien compliance betekent dat weten regelgeving wordt vertaald in procedures en beleid met een hoog juridisch gehalte, zal niet-naleving alleen maar toenemen, omdat de medewerkers het niet meer begrijpen of zullen ze onbewust het verkeerde doen. Het is belangrijk dat compliance voor alle medewerkers begrijpbaar is en binnen alle lagen van de organisatie leeft. Voor een effectieve compliance is het van groot belang dat het beleid daarbij in woord en daad aansluit bij de bedrijfsprocessen. Voor meer informatie, zie figuur 33.

In totaal geeft 32 procent van de respondenten aan dat de organisatie waarin zij werkzaam zijn, beschikt over een compliance programma. Vergeleken met vorig jaar is dit aantal gestegen, toen gaf slechts 25 procent van de respondenten aan een compliance programma te hebben. Middel- en grote organisaties rapporteren even vaak dat zij een compliance programma hebben, kleine organisaties daarentegen rapporteren een lager

Figuur 33 Het compliance huis (PwC 2017)

Ambitie,

doelstellingen, strategie, �toon aan de top

Vestigingen en afdelingen (waaronder Finance, Legal, HR, inkoop, IT & Internal Audit)

Training en bewustzijn

Compliance risico identificatie

& beoordeling

4. Compliance risico management

5. Compliance cultuur

3. Compliance thema’s

6. Compliance versnellers

2. Compliance governance

1. De richting van compliance

Compliance principes

Compliance organisatie

Compliance landschap

5 & 6:

4:

3: Beschrĳf de belangrĳkste compliance thema’s.

Beschrĳf hoe compliance in de praktĳk werkt.

Beschrĳf hoe compliance is verankerd binnen alle ‘haarvaten’ van de organisatie.

1 & 2: Beschrĳf hoe compliance binnen de organisatie werkt en is ingericht. Beschrĳf daarbĳ ook de gewenste compliance cultuur.

Compliance monitoring & incident

management

Compliance rapportage

Compliance risico-beheersing

Anti-w

itwas

Fraude en �

diefstal

Med

edinging &

antitrust

Vergunningen

en�ontheffingen

Privacy &

D

ata security

Gastintegriteit

Preventie

Veilig en �

betrouw

baar�sp

elen

Het compliance huis biedt structuur voor effectieve inrichting van de compliance functie.

Compliance programmaCompliance programma’s hebben een steeds grotere rol in de preventie van financieel-economische criminaliteit onder organisaties. Hoewel compliance letterlijk vertaald ‘naleving’ betekent, wordt er binnen het bedrijfsleven naast de (internationale) weten regelgeving, de interne normen en voorschriften alsmede het monitoren van en het toezicht houden op de naleving hiervan onder verstaan (Bleker & Houben, 2017; Van Erp, Huisman, van de Bunt & Ponsaers, 2008).

Compliance programma’s hebben als doel om in de gehele organisatie te streven naar naleving van de geldende weten regelgeving alsmede interne normen en voorschriften. Compliance vereisten worden steeds complexer. Door grote fraudes hebben toezichthouders en wetgevers ingrijpende regulering opgesteld welke verwerkt moet worden binnen de organisatie. De kunst is om een uitgebalanceerde compliance op te stellen om te voorkomen dat regels dermate disruptief worden voor de uitoefening van de kerndoelstellingen van de organisatie dat medewerkers de compliance

26 PwC

percentage compliance programma’s (25%). Aan de respondenten is vervolgens gevraagd in hoeverre dit compliance programma zich richt op bedrijfsethiek, cybercriminaliteit, concurrentievervalsing, diefstal van geld of goederen of fraude. Figuur 34 geeft de gemiddelde antwoorden van de respondenten op deze vraag weer. Daarbij geeft een hogere score (schaal 1 - 5) aan dat het compliance programma zich in zeer sterke mate richt op de gekozen categorie. Hieruit blijkt dat de compliance programma’s van de organisaties zich voornamelijk richten op naleving met betrekking tot bedrijfsethiek/business principles en minder op een specifieke vorm van financieel-economische criminaliteit. Hier ontbreekt de balans tussen de drie componenten van de integriteitsdriehoek. Daarnaast lopen organisaties het gevaar dat ze de meeste energie steken in een beleid dat achteraf een ‘papieren tijger’ blijkt te zijn.

Figuur 35 Compliance programma en financieel-economische criminaliteit

0% 10% 20% 40% 50%30% 60% 70%

Corruptie

Geen compliance programma Wel compliance programma

32%

Cybercriminaliteit43%

34%

Concurrentievervalsing27%25%

Diefstal van informatie46%

38%

28%

Diefstal van geld, goederen of fraude 69%

62%

Figuur 34 In hoeverre richt het compliance programma zich op de volgende zaken?

2,8 3,2 3,43,0

Corruptie


Diefstal van geld, goederen of fraude

Cybercriminaliteit


Naleving met betrekking tot bedrijfsethiek/

business principles

3,83,6

3,1

3,2

3.3

3,4

3,5

3,7

Integriteitsbeleid wordt vaak gezien als de ‘softe’ mensgerichte kant van de organisatie. Er ontstaan glossy boekjes met vaak inspirerende teksten, maar het schort veelal aan een effectieve opvolging. Niet alle beheersingsmaatregelen aan de kant van integriteit zijn ‘soft’ en ook voor deze maatregelen geldt wederom dat ze niet effectief zijn indien ze niet als communicerende vaten in contact staan met de overige beheersingsmaatregelen rond druk en gelegenheid.

Om iets te kunnen zeggen over de preventieve werking van compliance programma’s, is gekeken of organisaties zonder een compliance programma vaker in aanraking komen met financieel-economische criminaliteit dan organisaties met een compliance programma. Figuur 35 laat de resultaten zien. Hieruit blijkt dat organisaties met compliance programma’s vaker financieel-economische criminaliteit rapporteren dan respondenten uit een organisatie zonder een compliance programma. Dit verschil is te verklaren aan de hand van de controle-paradox: wanneer men ergens meer mee bezig is en controle uitoefent, wordt het simpelweg meer geconstateerd.

Kwetsbare positiesIn het kader van de preventie en bestrijding van financieel-economische criminaliteit is het van belang om te weten waar de kwetsbaarheden in de organisatie zitten. Personeelsleden op kwetsbare posities moeten wellicht beter in de gaten gehouden worden en zouden bijvoorbeeld extra trainingen kunnen krijgen om de veiligheid binnen de organisatie te waarborgen.

In de modelaanpak Basisnormen Integriteit Openbaar Bestuur en Politie wordt een definitie gegeven van ‘kwetsbare functies’ (Rijksoverheid, 2005). Een kwetsbare functie in relatie tot integriteit wordt als volgt gedefinieerd: “functies die extra risico’s op integriteitsinbreuken met zich meebrengen, onder meer door het werken met gevoelige informatie, het kunnen beschikken over geld en de omgang met zakelijke relaties”.

De respondenten is gevraagd welk percentage van de medewerkers van de organisatie naar schatting op kwetsbare posities werkt. Gemiddeld wordt er gerapporteerd dat een derde van de medewerkers uit een organisatie op een kwetsbare positie werkt.

TrainingenOm de kans op financieel-economische criminaliteit binnen de organisatie te verminderen, kunnen organisaties proberen het doen en laten van de


Figuur 36 Prevalentie trainingen voor medewerkers op kwetsbare posities

0% 10% 15% 20%5%

Elke twee jaar

Meer dan twee jaar

Jaarlijks

Onregelmatig

Nooit

Weet niet

35%25% 30%

5%

12%

29%

20%

17%

16%

• Als binnen een organisatie trainingen plaatsvinden, is dit vaak op het gebied van integriteit (37%), cyberveiligheid (28%) en risicomanagement (28%);

• In 2014 gaf slechts 19 procent van de respondenten aan dat er trainingen aangeboden werden op het gebied van cyberveiligheid, terwijl dit in 2017 is gestegen naar 28 procent;

• Trainingen op het gebied van bestrijding van concurrentievervalsing (9%) en anticorruptie (11%) vinden het minst vaak plaats.

Zoals eerder in dit rapport is aangetoond, werkt een derde van de werknemers op een kwetsbare positie binnen de organisatie. Het trainen van deze medewerkers is mogelijkerwijs extra van belang in het voorkomen van financieel-economische criminaliteit. De respondenten is daarom gevraagd hoe vaak trainingen plaatsvinden voor medewerkers die werkzaam zijn op kwetsbare posities. In figuur 36 is te zien dat bij 17 procent van de ondernemingen nooit trainingen plaatsvinden voor personeelsleden op kwetsbare posities. Indien deze medewerkers wel getraind worden, vinden de trainingen vaak jaarlijks (29%) of op onregelmatige basis (20%) plaats. In 12 procent van de gevallen worden medewerkers op kwetsbare posities eens in de twee jaar getraind, en slechts sporadisch vinden zulke trainingen minder vaak plaats dan eens in de twee jaar (5%).

Detectie van financieel-economische criminaliteitOndanks de preventieve maatregelen die veel organisaties treffen, komt de meerderheid van de organisaties toch in aanraking met financieel-economische criminaliteit. Wanneer dit het geval is, is het van belang dat organisaties overgaan van preventie naar detectie. De respondenten is gevraagd welke vormen van detectie zij hanteren en hoe financieel-economische criminaliteit aan het licht komt.

In figuur 37 is te zien dat respondenten aangeven dat financieel-economische criminaliteit relatief vaak aan het licht komt door interne audit (36%) of een interne tip (30%).

Een groot gedeelte van de respondenten geeft aan dat criminaliteit door toeval aan het licht is gekomen (27%). Slechts een klein percentage van de respondenten meldt dat financieel-economische criminaliteit aan het licht is gekomen door de media (3%) of door een andere afdeling (5%) zoals Corporate Security Department of Risk Management. Een externe audit (14%) of externe tip (15%) wordt relatief minder vaak genoemd.

medewerkers te beïnvloeden door hen trainingen aan te bieden. Aan de respondenten is gevraagd op welke van de volgende gebieden de organisatie trainingen aanbiedt voor eigen medewerkers: ethiek, integriteit, cyberveiligheid, anticorruptie, bestrijding van concurrentievervalsing, risicomanagement, security & control en IT-infrastructuur.

De meest opvallende bevindingen zijn:• In 71 procent van de gevallen antwoordt de

respondent dat in zijn organisatie één van deze genoemde trainingen plaatsvindt;

Figuur 37 Hoe komen vormen van financieel-economische criminaliteit binnen uw organisatie doorgaans aan het licht?

0% 40%30%20%10%

Wisseling van personeel en taken

Interne tip

Klokkenluidermeldpunt

Externe tip

Externe audit

Interne audit

Geautomatiseerd elektronisch meldsysteem

Toeval

Handhavende diensten/politie

Compliance afdeling

Andere afdeling

Media

13%

30%

11%

15%

14%

36%

12%

27%

8%

10%

3%

5%

28 PwC

Criminogeniteit binnen organisaties

29

Gelegenheid maakt de diefIn dit afsluitende hoofdstuk wordt gekeken naar de criminogeniteit binnen organisaties. Criminogeen betekent misdaad bevorderend en criminogeniteit wordt derhalve gebruikt om misdaad bevorderende verschijnselen gezamenlijk en ongespecificeerd aan te duiden (Boutellier, Scholte en Heijnen, 2009). Er wordt dus gekeken naar de factoren die bijdragen aan de totstandkoming van financieel-economische criminaliteit binnen organisaties.

Eén van de meest aangehaalde criminologische theorieën stelt dat criminaliteit plaatsvindt, wanneer drie factoren samen komen: (1) de aanwezigheid van een gemotiveerde dader, (2) een aantrekkelijk doelwit en (3) de afwezigheid van adequaat toezicht op het doelwit (Cohen & Felson, 1979).

Organisaties kennen vele verschillende potentiële gemotiveerde daders, zoals klanten, opdrachtgevers, zakenpartners, afnemers, leveranciers, concurrenten, personeelsleden en leidinggevenden. Zij hebben direct contact met de organisatie en zijn daarmee in de gelegenheid financieel-economische delicten te plegen. Het huidige onderzoek wijst uit dat interne daders (de eigen medewerkers en leidinggevenden) een groot deel van de financieel-economische criminaliteit voor hun rekening nemen. Een voor de hand liggende verklaring is dat zij vanwege hun werk direct toegang hebben tot het (aantrekkelijke) doelwit.

Een doelwit kan een persoon, object of locatie zijn. Organisaties beschikken doorgaans over geld, gewilde goederen en waardevolle (geheime) informatie. Om deze reden vormen veel organisaties een aantrekkelijk doelwit voor het plegen van financieel-economische criminaliteit. Een doelwit wordt voor een potentiële dader aantrekkelijker naarmate de (materiële en immateriële) waarde groter is, het doelwit zichtbaarder is en het eenvoudiger is om het doel te krijgen of het plegen van het delict relatief eenvoudig is.

Om te voorkomen dat gemotiveerde daders vrij spel hebben, houden organisaties toezicht. Dat betreft in eerste instantie het ‘natuurlijke’ toezicht door collega’s en leidinggevende. Dit kan ook worden uitgevoerd door compliance officers, beveiligers of forensische onderzoekers. Daarnaast geven organisaties trainingen aan hun personeel om hen goed toe te rusten voor het uitvoeren van deze ‘toezichttaken’. Dat betreffen trainingen die zich richten op detectie en risicomanagement of trainingen op het gebied van specifieke kwetsbaarheden (bijvoorbeeld ten aanzien van cyberveiligheid). Naast het ‘natuurlijke’ toezicht investeren veel organisaties in beveiligingssystemen of in organisatorische maatregelen zoals roulatie van functies of een klokkenluidersmeldpunt.

Situationele of gelegenheidstheorieën veronder-stellen dat het plegen van delicten vooral afhankelijk is van situationele kenmerken en minder van individuele kenmerken. Volgens deze theorieën kan in principe iedereen zich inlaten met delinquente handelingen. De gelegenheidstheorie stelt dat de kans op deelname aan criminele activiteiten groter wordt, als de gelegenheid groot is. Gelegenheid maakt immers de dief.

De populaire theorie wordt niet alleen gebruikt voor reguliere straatcriminaliteit, maar ook voor criminaliteit binnen organisaties (Benson & Madensen, 2007). Hier is immers ook sprake van een dader, doelwit en toezicht. Het enige verschil met reguliere criminaliteit is dat deze drie factoren bij fraude vaak niet fysiek samen komen. Eck en Clarke (2003) beargumenteren dat in het geval van fraude, deze drie factoren niet zozeer fysiek samen komen, maar in een netwerk. Dit netwerk voorziet daders van een “plaats” om het slachtoffer te benaderen.

Een goed voorbeeld hiervan is het Internet of Things. Hierbij worden apparaten die zijn verbonden met het netwerk een aantrekkelijk doelwit voor hackers. Zo kunnen apparaten met gebrekkige beveiliging door criminele en vijandige overheden ook gekaapt worden en ingezet worden als cyberwapen.


30 PwC

Dat gebeurt bijvoorbeeld in zogeheten botnets: netwerken van zombiecomputers- en apparaten die aanvallen kunnen uitvoeren. Zo bleek eind 2016 een internationaal botnet (genaamd Mirai) te bestaan dat bestond uit gehackte Internet of Things apparaten. Met behulp van smart devices voerde Mirai succesvolle aanvallen uit waardoor miljoenen mensen niet op websites als Twitter en Netflix konden komen (van Noort, 2017b). Bovendien is te zien en dat er weinig toezicht is op dit gebied en dat er sprake is van gebrekkige wetgeving (Stolpe, 2016). Tenslotte zijn er genoeg gemotiveerde daders die vrij simpel kunnen inbreken op en gebruik maken van deze apparaten vanwege de gebrekkige beveiliging.

Bevindingen ECS betreffende criminogeniteitIn de Economic Crime Survey worden de experts gevraagd naar hun perceptie van criminogeniteit. Er is gevraagd in hoeverre zij denken dat het ‘gebrekkig toezicht’, de ‘aantrekkelijk van de organisatie als doelwit’ en de ‘moraliteit van het personeel’ een rol spelen bij het ontstaan van financieel-economische criminaliteit binnen hun organisatie. In figuur 38 is te zien dat de respondenten denken dat een aantrekkelijk doelwit het meest uitlokt tot financieel-economische criminaliteit, maar dat de verschillen marginaal zijn. In figuur 39 is vervolgens te zien dat respondenten uit kleinere organisaties de factoren die criminaliteit verklaren, lager inschatten dan experts uit grotere organisaties.

Figuur 38 Perceptie over onstaan financieel-economische criminaliteit

Gebrekkig toezicht

Gebrekkig toezicht

Aantrekkelijk doelwit

Aantrekkelijk doelwit

Gebrekkige moraliteit

Gebrekkige moraliteit

0

1

2

3

4

5

3,0 3,2 2,9

Figuur 39 Gebrekkig toezicht, aantrekkelijk doelwit en moraliteit personeel naar grootte organisatie

100 of minder werknemers 100 tot en met 999 medewerkers 1.000 of meer medewerkers

2,0

2,2

2,4

2,6

2,8

3,0

3,2

3,4

2,8 2,92,7

3,13,3

3,13,13,3

3,0

Een begrip dat nauw samenhangt met ethische bedrijfscultuur is de ‘toon aan de top’. De toon aan de top heeft namelijk invloed op de ethische bedrijfscultuur van organisaties. De toon aan de top wordt vaak beschouwd als een factor die de hele organisatiecultuur doordringt. De toon aan de top moet aangeven welke ‘beat’ in het midden dient te worden aangegeven, zodat de ‘drum of the feet’ eenduidig is binnen de organisatie. Een goede toon aan de top wordt beschouwd als een voorwaarde voor goed bestuur van een organisatie. Toon aan de top is onvoldoende om zorg te dragen voor een ethische cultuur. Daarnaast bestaat het probleem dat de top in feite onfeilbaar dient te zijn (Bleker & Houben 2017). Immers, alle goede woorden vervagen bij een niet-integere gedraging. Oftewel, integriteit komt te voet en vertrekt te paard. Er wordt ook wel gezegd dat het topmanagement een dubbele rol heeft: zowel het creëren van gedragscodes als het naleven hiervan (O’Regan, 2004). Een juiste toon aan de top wordt bewerkstelligd door ethische leiders die ontvankelijk zijn voor bezorgdheid van medewerkers, waarde hechten aan ethiek en integriteit en adequaat reageren wanneer ze zich bewust worden van wangedrag (Brooks & Dunn, 2010). Een positieve toon aan de top kan volgens experts bijdragen aan het voorkomen van fraude en andere onethische praktijken (Wood, 2015).


Ethische bedrijfscultuurZoals gesteld, veronderstellen situationele of gelegenheidstheorieën dat situationele kenmerken meer dan individuele kenmerken bijdragen aan de totstandkoming van criminaliteit. Dit zou betekenen dat organisatiecultuur een belangrijke rol speelt bij de totstandkoming van financieel-economische criminaliteit binnen organisaties. Ethiek speelt een cruciale rol bij een juiste organisatiecultuur. Een ethische organisatiecultuur refereert naar de gedeelde percepties van werknemers over het ethische beleid en de praktijken en procedures van de organisatie (Martin & Cullen, 2006). De ethische organisatie is geen optelsom van de ethiek van iedere afzonderlijke medewerker. Het ethische gehalte van de organisatie ligt in de gemeenschappelijk gedeelde visie over de positie van de organisatie binnen de samenleving en de positie van de werknemer binnen de organisatie. Een ethische organisatie kan plaats geven aan medewerkers met zeer verschillende achtergronden en daarmee ook van huis uit meegekregen waarden komend bijvoorbeeld vanuit religie. Echter de existentiële vraag rond het ‘waarom’ van de organisatie delen zij en zij willen en kunnen deze waarden en normen samen delen (Bleker & Houben, 2017).

Leiderschap speelt een cruciale rol bij een ethische organisatiecultuur. In een ethische organisatiecultuur wordt goed leiderschap als een cruciale factor beschouwd in het verklaren van integer en niet-integer gedrag op de werkvloer (Brown & Trevino, 2006; Lasthuizen, 2008). Onderzoekers zijn het er over eens dat het topmanagement een primaire

institutionele crime enabler is, omdat topmanagers de institutionele omgeving effectief kunnen manipuleren (Bleker & Houben, 2017; Choi & Chang, 2009; Purvis, Sambamurthy & Zmud, 2001).

Bevindingen ethische cultuur en financieel-economische criminaliteitIn figuur 40 is weergegeven hoe de respondenten die met een bepaalde vorm van financieel-economische criminaliteit (bijvoorbeeld corruptie) in aanraking zijn gekomen, hun organisatie inschatten op het gebied van ethiek. Deze ethiek konden respondenten inschatten aan de hand van vier stellingen, waarbij de respondent de keuze had uit vijf antwoordcategorieën. Deze varieerden van 1 (helemaal mee oneens) tot 5 (helemaal mee eens). De gemiddelden zijn in figuur 40 te vinden. Hierbij zijn twee dingen opvallend. Ten eerste dat organisaties die in aanraking zijn gekomen met financieel-economische criminaliteit hoger scoren op ethisch gedrag (‘medewerkers binnen mijn organisatie houden zich aan de regels en voorschriften’ en ‘in mijn organisatie spelen ethische principes een belangrijke rol bij het nemen van beslissingen’) dan op egoïstisch gedrag (‘medewerkers binnen mijn organisatie laten zich vooral leiden door hun eigen belang’ en ‘in mijn organisatie is het vooral ‘ieder voor zich’’). Dit kan verklaard worden aan de hand van de controle paradox. Wanneer organisaties zich meer bezig houden met het tegengaan van financieel-economische criminaliteit (zoals het nastreven van ethische principes), wordt wellicht ook meer financieel-economische criminaliteit gerapporteerd. Ten tweede valt op dat deze tendens voor alle vijf de vormen van financieel-economische criminaliteit gelijk is.

Medewerkers binnen mijn organisatie houden zich aan de regels en voorschriften Medewerkers binnen mijn organisatie laten zich vooral leiden door hun eigenbelang In mijn organisatie spelen ethische principes een belangrijke rol bij het nemen van beslissingen In mijn organisatie is het vooral ‘ieder voor zich’

Figuur 40 Ethische organisatiecultuur in samenhang met financieel-economische criminaliteit

0

1

2

3

4


Corruptie Diefstal van informatie

Concurrentie- vervalsing

Cyber- criminaliteit

3,60 3,53 3,62 3,55 3,65

2,76 2,99 2,81 2,892,78

3,49 3,49 3,53 3,48 3,52

2,522,85

2,602,84

2,56

32 PwC

Ethische organisatiecultuur naar organisatiegrootteIn figuur 41 is de perceptie over onethische organisatie cultuur aangegeven naar grootte van de organisatie. Hierbij werden vier stellingen voorgelegd aan de respondenten en de gemiddelden van de antwoorden op deze stellingen zijn in dit figuur weergeven. De respondenten uit verschillende groottes van organisaties antwoorden relatief hetzelfde op deze vragen. Er is dus geen sprake van een verschil in ethische bedrijfscultuur bij kleine en grote organisaties.

Target- en bonuscultuur werkt criminogeenEen meer specifiek onderdeel van een ethische organisatiecultuur is een target- en bonuscultuur. Vele wetenschappelijke studies zijn het er over eens dat een target- en bonuscultuur frauduleus gedrag uitlokt (Braithwaite, 2009; Carson, 2003; Cools, 2006; Cremer, 2010; Mikkers, Schut, Colk,

Medewerkers binnen mijn organisatie houden zich aan de regels en voorschriften

Mederwerker binnen mijn organisatie laten zich

vooral leiden door hun eigenbelang

In mijn organisatie spelen ethische principes een

belangrijke rol bij het nemen van beslissingen

In mijn organisatie is het vooral ‘ieder voor zich’

Figuur 41 Perceptie over ethische bedrijfscultuur naar grootte van organisatie


0

0,5

1,0

1,5

2,0

2,5

3,0

3,5

4,0

3,803,40

2,40 2,392,42

3,45 3,64

2,55 2,70 2,61

3,63 3,54

Huisman & Denkers, 2015). Een verklaring hiervoor wordt geboden door de sociologische strain theorie. Agnew (2009) stelt dat mensen over kunnen gaan op crimineel gedrag wanneer er een gat is tussen de voor ogen hebbende doelen en de voor handen hebbende middelen om deze doelen te bereiken. Er ontstaat dan een spanning (‘strain’) om deze doelen toch te behalen. De meeste mensen zullen zich conform de regels blijven gedragen, maar sommige mensen zullen meer crimineel, egoïstisch gedrag laten zien om deze spanning tegen te gaan. Het geven van incentives werkt alleen bij simpele taken, maar sorteert een averechts effect bij meer complexe taken – zoals vaak het geval is binnen het bedrijfsleven (Ariely, Gneezy, Loewenstein & Mazar, 2009; Himmelstein, Ariely & Woolhandler, 2014). Bij complexe taken bestaan immers meer mogelijkheden om de gestelde doelen op een niet conformistische manier te behalen (Agnew, 2009; Ariely, Gneezy, Loewenstein & Mazar, 2009).Deze bijdrage van de Economic Crime Survey gaat na in hoeverre een target- en bonuscultuur binnen

Een belangrijk deel van de salarissen in onze organisatie

bestaat uit bijzondere beloningen (vb. bonussen).

Onze organisatie verbindt voor medewerkers grote

belangen aan het behalen van targets.

Binnen onze organisatie spelen bijzondere

beloningen (zoals bonussen) een belangrijke rol.

Binnen onze organisatie hecht men grote waarde

aan het behalen van targets.

Figuur 42 Target- en bonuscultuur naar grootte organisatie


0

0,5

1,0

1,5

2,0

2,5

3,0

3,5

2,34 2,622,36

2,872,622,95 2,69

3,30

2,292,67

2,232,95


Bevindingen criminogene target- en bonuscultuurUit figuur 42 blijkt dat in middelgrote organisaties (100 t/m 999 werknemers) het meest sprake is van een target- en bonuscultuur. Dit komt overeen met de resultaten van de vorige editie van de Economic Crime Survey.

In figuur 43 is te zien dat een target- en bonuscultuur het sterkst wordt vertegenwoordigd in de industriële en financiële sector. In het onderwijs en bij overheidsinstellingen spelen bijzondere beloningen een beduidend minder prominente rol. Dit ligt in lijn met met de vorige editie van de Economic Crime Survey.

Figuur 44 laat zien dat een target- en bonuscultuur gerelateerd is aan financieel-economische criminaliteit. Deze vorm van criminaliteit komt namelijk meer voor in organisaties waarin targets en bonussen een belangrijke rol spelen dan in organisaties waar dit niet of minder het geval is. Dit komt overeen met de resultaten uit de vorige editie van de Economic Crime Survey. Target- en bonuscultuur en maatregelenAfgelopen jaren is een roep om harder straffen ontstaan (Huisman, 2016), maar de vraag is of harder straffen de oplossing is. Uit Nederlands criminologisch onderzoek van de afgelopen jaren blijkt namelijk dat het inspelen op moraliteit de voorkeur verdient boven harde afschrikkende maatregelen (Denkers, Peeters & Huisman, 2013; Denkers & Goslinga, 2008; Erp, Huisman, van de Bunt & Ponsaers, 2008). De vraag die nu rijst is in welke mate de verschillende vormen van financieel-economische criminaliteit voorkomen wanneer binnen een organisatie werknemers aangesproken worden op moreel gedrag dan wel gebruik wordt gemaakt van afschrikkende maatregelen.

Afschrikking wordt omschreven als het nalaten van regelovertredend gedrag uit angst voor de straffen die daaraan zouden kunnen worden verbonden (Denkers & Goslinga, 2008; Denkers, Peeters & Huisman, 2013; Wingerde, 2012). In de literatuur is men het er over eens dat afschrikking een zeer beperkte invloed heeft (Andreoni, Erard & Feinstein, 1998; Denkers & Goslinga, 2008; Denkers, Peeters & Huisman, 2013; Wells, 2004). Er wordt namelijk geen duidelijk verband tussen afschrikking en regelnaleving gevonden, maar bovendien kan afschrikking ook contraproductieve effecten met zich mee brengen. Te denken valt aan oproepen van weerstand bij de doelgroep en extra inventieve pogingen om de regels te omzeilen.

Figuur 43 “Bijzondere beloningen spelen een belangrijke rol in onze organisatie” naar sector

0 3,52,5 3,01,0 2,00,5 1,5

Groot- en detailhandel; reparaties in auto’s

Vervoer en opslag

(Semi-) overheidsinstellingen

Gezondheids- en welzijnszorg

Overig

Onderwijs

Informatie en communicatie

Advisering, onderzoek en overige specialistische

zakelijke dienstverlening

Industrie

Financiële instelling

2,97

2,82

2,70

2,59

2,58

2,38

1,95

1,82

1,79

2,53

Figuur 44 Financieel-economische criminaliteit in organisaties met bijzondere beloningen

0 0,2 0,4 0,8 1,00,6 1,2 1,4 1,6

Cybercriminaliteit



Corruptie

Diefstal van geld, goederen of informatie

Bijzondere beloningen spelen belangrijke rol Bijzondere beloningen spelen minder belangrijke rol

1,491,18

0,990,58

0,970,60

0,29

0,22

0,82

0,76

de organisatie samenhangt met de hoeveelheid financieel-economische criminaliteit. De verwachting is dat een organisatie meer in aanraking komt met financieel-economische criminaliteit, wanneer de organisatie zich sterker kenmerkt door een target- en bonuscultuur.

34 PwC

Afschrikking zou niet werken, omdat zekerheid belangrijk is bij straffen en deze zekerheid lang niet altijd een gegeven is bij fraudezaken (Andreoni, Erard & Feinstein, 1998; Wells, 2004).

Het inspelen op normatieve motieven zou daarentegen een veel belangrijkere rol spelen bij het dan wel niet naleven van regels (Denkers & Goslinga, 2008; Denkers, Peeters & Huisman, 2013; Wells, 2004). Met normatieve motieven worden de persoonlijke en sociale normen bedoeld. Persoonlijke normen bepalen of mensen zich aan regels houden of niet (Van der Pligt, Harreveld & Koomen, 2007). Opvoeding, school en vrienden spelen hier een belangrijke rol bij. De meeste mensen zijn zich ervan bewust dat de regels dienen te worden nageleefd. Mensen met zwakke persoonlijke normen zullen hier minder van bewust zijn en dus eerder overgaan tot regelovertredend gedrag.

Figuur 45 Afschrikkende maatregelen en ethische principes in organisaties waar financieel-economische criminaliteit gerapporteerd is

Organisaties zonder target- en bonuscultuur

Organisaties met target- en bonuscultuur

0

0,2

0,4

0,6

0,8

1,0

1,2

1,4

Afschrikkende maatregelen Ethische principes


Naast persoonlijke normen spelen ook sociale normen een rol bij regelnaleving. In organisatieverband lijken sociale normen zelfs een beduidend grotere rol te spelen in de neiging tot regelnaleving. Wanneer de normadressant wordt aangesproken op normen en achterliggende waarden, zal de adressant zich meer verantwoordelijk voelen en minder naar criminaliteit neigen (Gorsira, Denkers & Huisman, 2016). De vraag is nu of het binnen een meer egoïstische bonuscultuur zinvol is om in te spelen op de moraliteit, of dat afschrikking hier toch beter zou werken om frauduleus gedrag tegen te gaan. De verwachting is dat het inwerken op morele normen beter werkt bij organisaties waar minder sprake is van een target- en bonuscultuur. Afschrikkende maatregelen zouden daarentegen beter werken bij organisaties waar juist wel sprake is van een dergelijke (egoïstische) cultuur.

Bevindingen target- en bonuscultuur en maatregelenIn figuur 45 is te zien in hoeverre afschrikkende maatregelen enerzijds en ethische principes anderzijds voorkomen binnen een organisatie waar tevens financieel-economische criminaliteit gerapporteerd is. Organisaties zonder een target- en bonuscultuur (die wel financieel-economische criminaliteit rapporteren), maken minder gebruik van afschrikkende maatregelen dan van het inspelen op ethische principes. Dit onderscheid is verwaarloosbaar voor organisaties die wel gebruik maken van targets en bijzondere beloningen.

36 PwC

Conclusie

37

Cybercriminaliteit en andere vormen van financieel-economische criminaliteit in de liftVan de 875 experts die betrokken zijn bij de Economic Crime Survey 2017, geeft 73 procent aan dat de organisatie waar zij werkzaam zijn, de afgelopen 24 maanden in aanraking is gekomen met financieel-economische criminaliteit. Diefstal van geld, goederen of fraude wordt het meest genoemd (63%) – gevolgd door diefstal van informatie (38%), cybercriminaliteit (34%), corruptie (26%) en concurrentievervalsing (23%). Bij de vier laatst genoemde vormen van financieel-economische criminaliteit valt een stijging waar te nemen. Cybercriminaliteit maakt de grootste stijging door, van 23 procent naar 34 procent. Deze trend kan te maken hebben met het feit dat het aantal experts eveneens het meest gestegen is op het gebied van cybercriminaliteit. Experts lijken namelijk meer financieel-economische criminaliteit te rapporteren dan niet-experts.

De relatief hoge prevalentie van cybercriminaliteit ligt in lijn met de resultaten van het nieuwste onderwerp in de Economic Crime Survey: het Internet of Things. Maar liefst 35 procent van de respondenten geeft aan dat hun organisatie slachtoffer is geworden van een inbreuk op het netwerk waaraan een verscheidenheid aan apparaten verbonden zijn. Het Internet of Things kent, nog meer dan andere vormen van financieel-economische criminaliteit, een hoge onwetendheid onder slachtoffers, dus de kans is aanwezig dat dit percentage vele malen hoger ligt. Het is des te opvallender dat maar 9 procent van de respondenten aangeeft dat de organisatie hun beveiliging op dit gebied niet op orde heeft. De impact is echter enorm, dus het is van groot belang dat hier meer bewustzijn voor komt.

Deze digitale financieel-economische criminaliteit wordt in tegenstelling tot traditionele vormen van financieel-economische criminaliteit door meer externe dan interne daders gepleegd. Van alle interne daders werkt 23 procent in het middenmanagement en de kleinste groep van 6 procent in het topmanagement. Van de externe daders heeft ruim een kwart (28%) geen enkele relatie met de getroffen organisatie. Andere mogelijke externe daders zijn onder andere klanten (19%), concurrenten (15%) of zakenpartners (9%).

Preventie en detectieRespondenten geven aan meer preventieve maatregelen te nemen dan in de vorige editie van de Economic Crime Survey. Richtlijnen, gedragscodes en interne audits zijn populair bij de

betrokken organisaties. De vraag blijft in hoeverre integriteitsprogramma’s ook daadwerkelijk verder gaan dan het opstellen van een ‘papieren tijger’ en er actief gestuurd en gemonitord wordt op compliant en in het verlengde daarvan ook integer gedrag. Immers, de integriteitsvraag doemt pas op zodra de keuze tussen het goede en het kwade niet evident is.

Interne audits worden het meest genoemd als methode om financieel-economische criminaliteit te detecteren. Deze interne controle wordt gevolgd door interne tips. Dit laat zien hoe belangrijk een veilige omgeving is voor werknemers om misstanden te melden.

Criminogeniteit van organisatiesIn het laatste hoofdstuk is een aanzet gedaan tot het verklaren van financieel-economische criminaliteit. Deze vraag is voorgelegd aan de respondenten en zij zijn van mening dat een aantrekkelijk doelwit het meest bijdraagt aan de prevalentie van financieel-economische criminaliteit. Toezicht en een gemotiveerde dader zouden er volgens de respondenten iets minder toe doen. Criminologische theorieën stellen echter dat criminaliteit vooral door situationele factoren wordt uitgelokt. Een ethische cultuur zou dus erg belangrijk zijn bij de bestrijding van financieel-economische criminaliteit. Een ethische cultuur is een open cultuur waarbij normatieve, duidelijke en realiseerbare verwachtingen worden geschept die tevens door de toon aan de top worden nageleefd. Dit sluit aan op het laatste onderwerp uit de survey: een target- en bonuscultuur. In organisaties waar sprake is van een target- en bonuscultuur, worden soms dermate ambitieuze doelen gesteld, dat deze alleen op een non-conformistische manier te behalen zijn. Financieel-economische criminaliteit biedt dan een uitweg. Uit het huidige onderzoek blijkt inderdaad dat organisaties met een target- en bonuscultuur meer in aanraking komen met financieel-economische criminaliteit (door interne daders).

Topje van de ijsbergHet huidige onderzoek is gebaseerd op een vragenlijst die is afgenomen bij werknemers die zich dagelijks bezig houden met financieel-economische criminaliteit. Om die reden is de verwachting dat de respondenten een accuraat beeld kunnen schetsen van de stand van zaken omtrent de prevalentie van financieel-economische criminaliteit in hun organisatie en welke maatregelen hier tegen worden genomen. Dit schijnt licht op een doorgaans lastig in kaart te brengen onderwerp, waardoor meer zichtbaar wordt van de zogenoemde ijsberg dan


38 PwC


alleen het topje. Dit brengt een meerwaarde ten opzichte van andere vergelijkbare studies.

Toch moeten de huidige resultaten met de nodige voorzichtigheid geïnterpreteerd worden. Ten eerste hebben de experts binnen het huidige onderzoek verstand van financieel-economische criminaliteit, maar wellicht minder van andere onderwerpen, zoals een target- en bonuscultuur. Daarnaast bestaat de kans dat financieel-economisch experts sommige gemeten constructen overschatten. Een compliance officer overschat wellicht het effect van afschrikkende maatregelen, omdat hij of zij er veel mee bezig is in hun dagelijkse werkzaamheden. De gemiddelde werknemer kan deze constructen wellicht anders ervaren. Ten derde kunnen op basis van de huidige onderzoeksmethode, een survey, geen causale uitspraken gedaan worden. Aan de hand van de huidige resultaten kunnen dus bijvoorbeeld geen uitspraken gedaan worden over welke preventieve maatregelen tot minder financieel-economische criminaliteit leiden. Onderzoeken die meer longitudinaal (meerdere meetmomenten over een langere tijdsperiode) en experimenteel (effect van x op y) van aard zijn, kunnen hier meer uitsluitsel over geven. De vragenlijst komt deels overeen met de vragenlijst van de vorige editie van de Economic Crime Survey, maar dit biedt onvoldoende onderbouwing voor causale uitspraken. Er kunnen immers andere factoren bijdragen aan het gevonden verband, waarvoor in de huidige onderzoeksopzet niet wordt gecorrigeerd.

Tot slotDe Economic Crime Survey biedt stukje bij beetje meer inzicht in financieel-economische criminaliteit bij organisaties. Vele facetten van financieel-economische criminaliteit worden al jarenlang uitgevraagd bij een verscheidenheid aan respondenten en dit levert waardevolle kennis op. De survey biedt echter niet het allesomvattende antwoord op dit veelomvattende vraagstuk. Het huidige onderzoek is uitermate geschikt om als benchmark te gebruiken en de eigen organisatie aan af te meten. Hopelijk nodigt dit uit om kritisch naar uw organisatie te kijken en worden recente ontwikkelingen als het Internet of Things en target- en bonuscultuur hierbij in het achterhoofd gehouden.

40 PwC

Methodologische verantwoording

ProcedureVoor dit onderzoek is gebruik gemaakt van onderzoeksbureau Flycatcher. Dit panel voldoet aan de ISO-kwaliteitseisen voor sociaalwetenschappelijk onderzoek, markt-, en opinieonderzoek. Het Flycatcher panel bestaat uit meer dan 10.000 personen van twaalf jaar en ouder die ongeveer acht vragenlijsten per jaar ontvangen. Bij het openen van de gepersonaliseerde link uit de e-mail, wordt een verificatievraag gesteld en wordt gevraagd of de achtergrondgegevens nog actueel zijn. Wanneer een vragenlijst volledig is ingevuld, ontvangen panelleden een aantal punten die ze kunnen inwisselen voor een cadeaubon naar keuze.

Voor dit onderzoek zijn de respondenten die in 2014 hebben deelgenomen aan de Economic Crime Survey uitgenodigd. Daarnaast is een selectieonderzoek gehouden onder alle Nederlandse werknemers. De onderzoeksgroep is geselecteerd uit het Flycatcher panel en het panel van partnerbureau PanelClix, dat tevens voldoet aan de ISO-kwaliteitseisen. In totaal hebben 1329 panelleden van Flycatcher en 3385 panelleden van PanelClix een uitnodiging gekregen.

Tabel 1 geeft een overzicht van de respons. In totaal zijn er 953 vragenlijsten volledig ingevuld door de respondenten van Flycatcher, wat neer komt op een respons percentage van ruim 71 procent. In de vragenlijst is als eerste een selectievraag gesteld of de target- en bonuscultuur uit hoofde van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van financieel-economische criminaliteit. Hier wordt later meer aandacht aan besteed. Van de 953 respondenten, gaven 618 respondenten aan dat dit het geval is. Van deze 618 respondenten, hebben 345 respondenten de vragenlijst in 2014 ook ingevuld en zijn er 269 nieuw geworven respondenten. Dit aantal ligt echter onder de 875 respondenten van de Economic Crime Survey 2014/2015. In het huidige onderzoek willen we echter graag de uitkomsten vergelijken met de vorige editie van de Economic Crime Survey. Om die reden heeft Flycatcher een partnerbureau benaderd, genaamd PanelClix. Dit partnerbureau heeft 3385 panelleden benaderd met dezelfde selectievraag als Flycatcher. Dit resulteerde in een respons van 271, waarvan 257 respondenten hebben aangegeven in hun functie belast te zijn met het in kaart brengen, voorkomen en aanpakken van financieel-economische criminaliteit. Dit aantal ligt zo hoog, omdat de respondenten in eerste instantie al zijn geselecteerd op basis van de selectievraag.

Tabel 1 Responsoverzicht Flycatcher PanelClix

Aantal benaderde panelleden 1.329 n.v.t.

Foutmeldingen 0 n.v.t.

Netto verstuurd (aantal panelleden – foutmeldingen) 1.329 n.v.t.

Verwijderd wegens slechte responskwaliteit* 9 6

Vragenlijst onvolledig ingevuld/drop-out* 158 22

Respons 953 271

Selectievraag juist beantwoordt 618 257

* De gegevens van deze respondenten zijn niet meegenomen in de respons en de resultaten.


Tabel 2 Selectievraag “Bent u uit hoofde van uw functie belast met …”

In kaart brengen Voorkomen Aanpakken Totaal


303 570 283 731

Corruptie 204 352 190 498

Diefstal van informatie 230 442 209 593

Concurrentievervalsing 165 266 126 401

Cybercriminaliteit 202 312 168 465

Totaal 442 736 370 875

SteekproefVanuit de assumptie dat experts binnen organisaties meer kennis bezitten dan andere medewerkers over de omvang, de gevolgen en de verschijningsvormen van financieel-economische criminaliteit, alsmede over de maatregelen die daartegen binnen de organisatie zijn getroffen, zijn uit het panel alleen de respondenten geselecteerd die in hun functie betrokken zijn bij financieel-economische criminaliteit. Om die reden is de 1224 respondenten die de vragenlijst hebben ingevuld gevraagd of zij uit hoofde van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van vijf verschillende vormen van financieel-economische criminaliteit: diefstal van geld of goederen

of fraude, corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit. Van de respondenten beantwoordden 875 respondenten ten minste één keer bevestigend. Alleen deze 875 respondenten hebben de vragenlijst verder ingevuld. Voor meer informatie over de antwoorden op de selectievraag, zie tabel 2.

In tabel 2 is te zien dat relatief de meeste respondenten zich bezig houden met het voorkomen van financieel-economische criminaliteit, te weten 84 procent van de respondenten. Met het in kaart brengen en aanpakken van financieel-economische criminaliteit houdt respectievelijk 50 procent en 42 procent van de respondenten zich bezig in de uitvoering van hun functie. Daarnaast houden de respondenten zich het meest bezig met diefstal van geld of goederen of fraude, namelijk 84 procent van de respondenten. Met corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit richt respectievelijk 57 procent, 68 procent, 46 procent en 53 procent van de respondenten zich op deze vorm van financieel-economische criminaliteit.

Figuur 46 Functies binnen de organisatie

0 300250100 20050 150

Security/risk officer

Algemeen directeur

Compliance officer

Chief security/ risk officer

Senior security/ risk officer

Juridisch medewerker

Anders

CEO 30

74

Directielid 73

20

31

15

Veiligheidsmanager 31

Accountant/controller 67

Hoofd/manager 167

29

7

Analist/onderzoeker 74

257

42 PwC

RespondentenVan de 875 respondenten die functioneel betrokken zijn bij financieel-economische criminaliteit, is 57 procent man. De respondenten werken ten tijde van de vragenlijst gemiddeld 7 jaar op de huidige afdeling. De respondenten zijn hoog opgeleid. Namelijk 64 procent van de respondenten heeft een HBO of universitaire opleiding afgerond. Twee derde (67%) van de respondenten werkt meer dan 36 uur per week bij de huidige werkgever en ruim de helft van de respondenten (56%) geeft aan een leidinggevende functie te hebben. Tenslotte is gevraagd naar de functie van de respondent. Daarbij zijn twaalf verschillende opties gegeven of konden de respondenten hun eigen functie beschrijven. Van de respondenten koos 71 procent één van de opgegeven opties. Daarvan geeft een deel (39%) aan een leidinggevende functie te hebben, zoals CEO, algemeen directeur, directielid of manager. Daarnaast geeft 9 procent aan een functie te hebben als analist/onderzoeker, 3 procent als security/risk officer, 2 procent als compliance officer, 4 procent als veiligheidsmanager, 8 procent als accountant/controller en 3 procent als juridisch medeweker. Als laatste geeft 29 procent aan iets anders te doen dan de opgegeven opties. Zie figuur 46 voor een overzicht van de functies van de respondenten.

Tevens zijn vragen gesteld over de organisatie waar de respondenten werkzaam zijn. Van de respondenten geeft 14 procent aan dat de organisatie waar zij werkzaam zijn, minder dan 10 werknemers in Nederland in dienst heeft. De grootste groep (28%) wordt vertegenwoordigd door respondenten die bij een organisatie werken die meer dan 1.000 werknemers in dienst heeft. Zie figuur 47 voor meer informatie. Bijna de helft van de respondenten (45%) heeft geen collega’s in het buitenland. Daarentegen geeft 13 procent aan dat zij in een organisatie werken met meer dan 10.000 werknemers wereldwijd. In figuur 48 is meer informatie te vinden. In figuur 49 is te zien dat een beperkt deel van de organisaties (21%) genoteerd is aan een nationale of internationale beurs.

Figuur 47 Aantal personeelsleden in Nederland in %

Figuur 48 Aantal personeelsleden wereldwijd in %

Figuur 49 Beursgenoteerde organisaties in %

0

0

0

50

80

302510

20

20 30

20

40

60 70

5

10

10

15

30

40 50

Minder dan 5

Minder dan 500

10 t/m 49

1.000 t/m 5.000

Alleen ik

Geen buiten Nederland

5 t/m 10

500 t/m 1.000

100 t/m 499

10.000 of meer

Nee

50 t/m 99

5.000 t/m 10.000

Ja

500 t/m 999

1.000 of meer

Weet niet

Weet niet

3

45

5

13

6

9

15

10

11

5

21

21

13

72

11

5

7

28


Figuur 50 Respondenten naar sectoren

0 14012040 10020 60 80

Cultuur, sport en recreatie 28

Financiële instelling 88

Gezondheids- en welzijnszorg 117

Informatie en communicatie 74

Onderwijs 62

Horeca 30

(Semi-)overheidsinstellingen 74

Vervoer en opslag 43

Verhuur van roerende goederen en overige zakelijke dienstverlening 7

Verhuur van en handel in onroerend goed 7

Groot- en detailhandel; reparaties in auto’s 84

Advisering, onderzoek en overige specialistische zakelijke dienstverlening 70

Bouwnijverheid 21

Winning en distributie van water; afval en afvalwaterbeheer en sanering 1

Productie en distributie van én handel in elektriciteit, aardgas, stroom en gekoelde lucht 10

Industrie 98

Winning van delfstoffen 8

Landbouw, bosbouw en visserij 13

Overige dienstverlening 40

Tenslotte is naar de sector gevraagd waarin de respondenten werkzaam zijn. De resultaten staan in figuur 50. De gezondheidszorg is met 117 respondenten het best vertegenwoordigd. Daarnaast doen industrie (98 respondenten), financiële instellingen (88 respondenten) en groot- en

detailhandel (84 respondenten) het goed. De winning en distributie van water/afval (1 respondent) en verhuur van roerende (7 respondenten) en onroerende goederen (7 respondenten) zijn enigszins ondervertegenwoordigd binnen de steekproef.

44 PwC

De vragen

AchtergrondkenmerkenDe vragenlijst begint met de vraag of de respondenten uit hoofde van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van de vijf genoemde vormen van financieel-economische criminaliteit. Vervolgens zijn vragen gesteld over de functie van de respondent en hoe lang de respondent werkzaam is binnen de huidige functie. Daarna zijn vragen gesteld over de organisatie. Te denken valt hierbij aan het aantal personeelsleden en de sector.

Prevalentie en schadeDe respondenten is gevraagd in welke mate de organisatie de afgelopen 24 maanden in aanraking is gekomen met de vijf vormen van financieel-economische criminaliteit. Wanneer zij aangeven dat de organisatie daarmee in aanraking is gekomen, worden meer specifieke vervolgvragen gesteld. Als toevoeging ten opzichte van eerdere versies van de Economic Crime Survey is gevraagd naar het Internet of Things. Dit is in kaart gebracht door te vragen in hoeverre voorwerpen verbonden zijn met het netwerk en in hoeverre hier inbreuk op gemaakt kan worden. Wanneer de respondent aangeeft dat de organisatie in aanraking is gekomen met cybercriminaliteit, is gevraagd naar het meest recente geval van cybercriminaliteit.

Te denken valt aan de dader, slachtoffers en afhandeling. Vergelijkbare vragen zijn gesteld over het meest recente (traditionele) delict en het meest ernstige delict dat is afgehandeld in de afgelopen 24 maanden. Over het laatst genoemde is tevens gevraagd naar de financiële schade. Daarnaast is gevraagd aan de respondent om aan te geven van welke vijf vormen van financieel-economische criminaliteit de respondent de meeste schade heeft geleden de afgelopen 24 maanden dan wel verwacht in de toekomst. Tenslotte is gevraagd naar andere schadeposten, zoals reputatie, relaties en tijd.

Detectie en preventieAan de respondenten is gevraagd naar een eventueel compliance programma, trainingen en andere maatregelen om financieel-economische criminaliteit tegen te gaan. Tevens is gevraagd naar de perceptie over kwetsbare posities.

CriminogeniteitAls laatste zijn aan de respondenten vragen voorgelegd over factoren die een rol spelen bij het ontstaan van financieel-economische criminaliteit, het belang van targets en bijzondere beloningen binnen de organisatie en de perceptie over de integriteit van managers.

46 PwC

Agnew, R., Piquero, N.L., & Cullen, F.T. (2009). General Strain Theory and White-Collar Crime. In S. Simpson & D. Weisburd (red.), The Criminology of White-Collar Crime (35-60). New York: Springer.

Albrecht, S. (2014). Iconic Fraud Triangle endures: Metaphor diagram helps everybody understand fraud. Fraud Magazine, 4.

Ariely, D., Gneezy, U., Loewenstein, G., & Mazar, N. (2009). Large states and big mistakes. Review of Economic Studies, 76(2), 451-469.

Andreoni, J., Erard, B., & Feinstein, J. (1998). Tax compliance. Journal of Economic Literature, 36(2), 818-860.

Benson, M.L., & Madensen, T.D. (2007). Situational crime prevention and white collar crime. In H.N. Pontell & G. Geis (Eds.), International handbook of white collar and corporate crime. New York: Springer.

Bleker, S.C., & Houben, R.A.M. (2017). Handbook on Compliance & Integrity Management: Theory & Practice. Wolters Kluwer.

Boutellier, J. C. J., Scholte, R. D., & Heijnen, M. (2009). Criminogeniteit in Amsterdam: een nieuw concept, een monitor en een index. Tijdschrijft voor Veiligheid, 8(3), 30-51.

Braithwaite, J. (1991). Poverty, power, white-collar crime and the paradoxes of criminological theory. Australian and New Zealand Journal of Criminology, 24(1), 40-58.

Braithwaite, J. (2009). Restorative justice for banks through negative licensing. British Journal of Criminology, 49(2), 439-450.

Brooks, L. J., & Dunn, P. (2010). Business & professional ethics for directors, executives & accountants international edition. Cincinnati: South-Western College Pub.

Brown, M. E., & Treviño, L. K. (2006). Ethical leadership: A review and future directions. The Leadership Quarterly, 17(6), 595-616.

Carson, T.L. (2003). Self-interest and business ethics: Some lessons of the recent corporate scandals. Journal of Business Ethics, 43(4), 389-394.

Choi, J. N., & Chang, J. Y. (2009). Innovation implementation in the public sector: An integration of institutional and collective dynamics. Journal of Applied Psychology, 94(1), 245–253.

Cohen, L. E., & Felson, M. (1979). Social change and crime rate trends: A routine activity approach. American Sociological Review, 44(4), 588-608.

Literatuur


Cools, K. (2006). Controle is goed, vertrouwen nog beter. Assen: Van Gorcum.

Cremer, D. de (2010). Fixing bonuses. Business Strategy Review, 4, 90-91.

Denkers, A., & Goslinga, S. (2008). Fraude in beeld. Tijdschrift voor Criminologie, 50, 148-153.

Denkers, A.J.M., Peeters, M.P., & Huisman, W. (2013). Waarom organisaties de regels naleven. Den Haag: Boom Lemma uitgevers.

Domenie, M. M. L., Leukfeldt, E. R., van Wilsem, J. A., Jansen, J., & Stol, W. P. (2013). Slachtofferschap in een gedigitaliseerde samenleving. Den Haag: Boom Lemma.

Eck, J. E., & Clarke, R. V. (2003). Classifying common police problems: A routine activity approach. In M. J. Smith, & D. B. Cornish (Eds.), Theory for Practice in Situational Crime Prevention, Crime Prevention Studies (pp. 7–39). Monsey, NY: Criminal Justice Press.

Erp, J. van, Huisman, W., Bunt, H. van de, & Ponsaers, P. (2008). Toezicht en compliance. Tijdschrift voor Criminologie, 50, 83-95.

Erp, J. van, Stol, D., & Wilsem, J. van (2013). Criminaliteit en criminologie in een gedigitaliseerde wereld. Tijdschrift voor Criminologie, 5(4), 327-341.

FD. (2017, 7 maart). Wikileaks beschuldigt CIA van geavanceerde spionage. Financieel Dagblad. Geraadpleegd op 15 mei 2017, van https://fd.nl/economie-politiek/1191035/wikileaks-beschuldigt-cia-van-geavanceerde-spionage

FDA (2017). Cybersecurity Vulnerabilities Identified in St. Jude Medical’s Implantable Cardiac Devices and Merlin@home Transmitter: FDA Safety Communication. Geraagdpleegd op 31 juli 2017, van https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm535843.htm.

Fortune (2017). This Tesla Investor’s Tech Team Just Hacked the Model X – Again. Geraagdpleegd op 31 juli 2017, van http://fortune.com/2017/07/28/tesla-model-x-tencent/.

Han, W. L., Cao, Y., Bertino, E., & Yong, J. M. (2012). Using automated individual white-list to protect web digital identities. Expert Systems with Applications, 39(15), 11861-11869.

Hancock, B. (2000). Mass network flooding attacks (distributed denial of service - DDoS) surface in the wild. Computers & Security, 19(1), 6-7.

Himmelstein, D.U., Ariely, D., & Woodhandler, S. (2014). Pay-for-performance: toxic or quality?Insights from behavioral economics. International Journal of Health Services, 44(2), 203-214.

Hughes, L. A., & DeLone, G. J. (2007). Viruses, worms, and Trojan horses - Serious crimes, nuisance, or both? Social Science Computer Review, 25(1), 78-98.

Hunker, J., & Probst, C. W. (2011). Insiders and insider threats—an overview of definitions and mitigation techniques. Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications, 2(1), 4-27.

48 PwC

Khonji, M., Iraqi, Y., & Jones, A. (2013). Phishing detection: a literature survey. Communications Surveys & Tutorials, IEEE, 15(4), 2091-2121.

Kjaerland, M. (2006). A taxonomy and comparison of computer security incidents from the commercial and government sectors. Computers & Security, 25(7), 522-538.

Lasthuizen, K. (2008). Leading to integrity. Empirical Research into the Effects of Leadership on Ethics and Integrity, Vrije Universiteit Amsterdam, isbn, 978(90), 813277.

Leeuw, H. B. M. (2012). Zin en onzin van het downloadverbod. Veiligheid in cyberspace, 83-96.

Leukfeldt, E. R., Domenie, M. M. L., & Stol, W. Ph. (2010). Verkenning cybercrime in Nederland 2009. Den Haag: Boom Juridische uitgevers.

Martin, K. D., & Cullen, J. B. (2006). Continuities and extensions of ethical climate theory: A meta-analytic review. Journal of Business Ethics, 69(2), 175–194.

Meulen, R. van der. (2017, 7 februari). Gartner Says 8.4 Billion Connected “Things” Will Be in Use in 2017, Up 31 Percent From 2016. Geraadpleegd van http://www.gartner.com/newsroom/id/3598917.

Mikkers, A., Schut, M., Colk, W. van der, Huisman, W., & Denkers, D. (2014). Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging. Amsterdam: PwC.

Mikkers, A., Schut, M., Colk, W. van der, Huisman, W., & Denkers, D. (2015). Organisatiecultuur en economische criminaliteit. Amsterdam: PwC.

Mirkovic, J., & Reiher, P. (2004). A taxonomy of DDoS attack and DDoS Defense mechanisms. Acm Sigcomm Computer Communication Review, 34(2), 39-53.

Noort, W. van der. (2017a, 5 mei). Hoe jouw waterkoker het internet kan platleggen. NRC. Geraadpleegd van https://www.nrc.nl/nieuws/2017/05/05/hoe-jouw-waterkoker-het-internet-kan-platleggen-8693132-a1557385.

Noort, W. van der. (2017b, 8 mei). Hoe thermostaat en tv cyberwapens konden worden. NRC. Geraadpleegd van https://www.nrc.nl/nieuws/2017/03/08/hoe-thermostaat-en-tv-cyberwapens-konden-worden-7211215-a1549349.

Noort, W. van der. (2017c, 8 maart). ‘CIA kijkt mee via apparaten’. nrc.next, p. 1.

O’Regan, D. (2004). Auditor’s Dictionary: Terms, Concepts, Processes, and Regulations. New York: John Wiley & Sons.

Oxford University Press. (2016). Oxford Dictionary. Oxford, Groot-Brittannië: Oxford University Press.

Pligt, J. Van der, Harreveld, F. van, & Koomen, W. (2007). Bestraffen, belonen en beïnvloeden: Een gedragswetenschappelijk perspectief op handhaving. Den Haag: Boom Juridische Uitgevers.


Purvis, R. L., Sambamurthy, V., & Zmud, R. W. (2001). The assimilation of knowledge platforms in organizations: An empirical investigation. Organization Science, 12(2), 117–135.

PwC (2014). Global Economic Crime survey 2014. Geraadpleegd op 2 maart 2017 vanhttp://www.pwc.nl/nl_NL/nl/assets/documents/pwc-global-economic-crime-survey- 2014.pdf

PwC (2016a). The Industrial Internet of Things. Geraadpleegd op 30 mei 2017, van https://www.pwc.nl/nl/assets/documents/pwc-the-industrial-internet-of-things.pdf

PwC (2016b). Beveiliging Internet of Things moet hoger op bestuursagenda. Geraadpleegd op 30 mei 2017, van http://www.pwc.nl/nl/perscentrum/beveiliging-internet-of-things-moet-hoger-op-bestuursagenda.html

Rijksoverheid. (2005). Modelaanpak Basisnormen Integriteit Openbaar Bestuur en Politie. Brochure. Den Haag: Auteur.

Serracino-Inglott, P. (2013). Is it OK to be an Anonymous? Ethics & Global Politics, 6(4).

Stolpe, M. (2016). The Internet of Things: Opportunities and challenges for distributed data analysis. ACM SIGKDD Explorations Newsletter, 18(1), 15-34.

Mohammed J. (15 december 2015). 5 predictions for the Internet of Things in 2016. Geraadpleegd op 21 maart 2017, van https://www.weforum.org/agenda/2015/12/5-predictions-for-the-internet-of-things-in-2016.

Wells, J.T. (2004). New approaches to fraud deterrence. Journal of Accountancy, 197(2), 72-76.

White, A. (2014). Beyond the Regulatory Gaze? Corporate Security, (In)Visibility, and the Modern State. In K. Walby & R.K. Lippert (Reds), Corporate Security in the 21st Century (pp. 39-55). Basingstoke, UK: Palgrave Macmillian.

Williams, P., Nicholas, D., & Rowlands, I. (2010). The attitudes and behaviours of illegal downloaders. Aslib Proceedings, 62(3), 283-301.

Wingerde, K. van (2012). De afschrikking voorbij. Nijmegen: Wolf Legal Publishers.

Wood, D. A. (2015). An examination of how entry-level staff auditors respond to tone at the top vis-à-vis tone at the bottom. Behavioral Research in Accounting, 27(1), 79–98.

World Economic Forum (2016). Industrial Internet of Things: Unleashing the Potential of Connected Products and Services. Geraadpleegd op 2 mei 2016, van http://reports.weforum.org/industrial-internet-of-things/executive-summary/?doing_wp_cron=1493726186.1124548912048339843750.

Zhang, Y.P., Xiao, Y.,Ghaboosi, K., Zhang, J.Y., & Deng, H.M. (2012). A survey of cyber crimes. Security and Communicatoin Networks, 5(4), 422-437.

50 PwC

Colofon

Projectteam PwCDrs. André Mikkers RA Drs. Noortje Boere Eva van FloresteinSebastiaan van Zijl

Met medewerking van prof. dr. Sylvie Bleker - van Eyk en Matthijs van der Wel MBA

Methodologie en validatieFaculteit der Rechtsgeleerdheid, sectie Criminologie VU AmsterdamProf. dr. Wim HuismanDr. Victor van der GeestDrs. Clarissa Meerts

Extern onderzoeksbureau Flycatcher Internet Research B.V.PanelClix


De informatie zoals opgenomen in deze publicatie is uitsluitend bestemd voor algemene informatiedoeleinden. De informatie in deze publicatie mag niet worden beschouwd als professioneel advies. Wij raden u aan advies in te winnen bij een PwC professional, voordat u beslist of handelt. Hoewel wij de grootst mogelijke zorgvuldigheid betrachten in de samenstelling en het onderhoud van de in deze publicatie verstrekte informatie, kan PwC niet garanderen dat deze informatie compleet, actueel en/of accuraat is. PwC aanvaardt dan ook geen aansprakelijkheid voor directe of indirecte schade die is ontstaan door gebruikmaking van, vertrouwen in of handelingen verricht naar aanleiding van de in deze publicatie verstrekte informatie, tenzij er aan de zijde van PwC sprake is van opzet of bewuste roekeloosheid. PwC geeft geen enkele garantie met betrekking tot deze informatie, noch uitdrukkelijk, noch impliciet, daaronder mede begrepen – maar niet beperkt tot – garanties van prestatie, verhandelbaarheid of geschiktheid voor een bepaald doel.

© 2017 PricewaterhouseCoopers B.V. (KvK 34180289). Alle rechten voorbehouden. PwC verwijst naar de Nederlandse firma en kan soms naar het PwC-netwerk verwijzen. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op www.pwc.com/structure voor meer informatie.

Economic Crime Survey Nederland 2017 - PwC · 2017. 10. 4. · Economic Crime urvey ederland 2017 7...

Documents

Transcript of Economic Crime Survey Nederland 2017 - PwC · 2017. 10. 4. · Economic Crime urvey ederland 2017 7...