Bedrijven hebben grote moeite met openen e-mailarchieven

5 april 2007

De laatste jaren zijn er twee belangrijke ontwikkelingen waar te nemen in het bedrijfsleven op het gebied van automatisering van bedrijfsgegevens. Ten eerste zijn bedrijven van klein tot groot uitgerust met ERP-systemen (Enterprise Resource Planning) ter ondersteuning van de administratieve organisatie en de interne controle op die administratie. Ten tweede worden bedrijven zich (gedwongen) bewust van het feit dat elektronische berichtenuitwisseling (e-mail) onderdeel uitmaakt van de bedrijfsvoering en dat zulke berichten net als schriftelijke correspondentie een belangrijke rol spelen. Tegenwoordig kunnen elektronische documenten en e-mailberichten een belangrijke sleutel zijn voor het leveren van bewijs in bijvoorbeeld een intern fraudeonderzoek, maar ook in een extern opgelegd onderzoek. Daarom zijn in de VS op 1 december 2006 de Federal Rules on Civil Procedures (FRCP) herzien, waarbij Electronic Stored Information (ESI) een centrale rol speelt. Zie in dit verband ook het artikel ‘Digitaal bewijs weggooien mag niet meer’ in de Automatisering Gids van 2 maart 2007. 

Het niet mogen weggooien van digitaal bewijs is niet het voornaamste probleem. Door deze nieuwe regels wordt het voor alle bedrijven belangrijk om te weten welke elektronische data ze in huis hebben en op welke manier die beschikbaar zijn. Voor beursgenoteerde ondernemingen geldt al een strenger regime door de Sarbanes Oxley-regelgeving (SOx). Overigens is het, in tegenstelling tot wat het eerder genoemde artikel doet vermoeden, wel toegestaan om digitaal bewijsmateriaal weg te gooien als het bedrijf maar kan aantonen dat dit op een gereguleerde manier is gebeurd. Echter, in de praktijk weten werknemers in veel gevallen al niet eens waar ze hun e-mail moeten bewaren, laat staan dat ze weten wanneer ze e-mail mogen (of moeten) vernietigen. Bedrijven moeten zich niet alleen afvragen welke digitale informatie in de organisatie aanwezig is, zij moeten ook regels implementeren voor de retentie van die informatie. Dat kan bijvoorbeeld middels een ‘records management policy’. Zonder zulke regels is het gevaar groot dat persoonlijke e-mailarchieven en back-uptapes ‘liability vaults’ worden die, afgezien van de kwetsbaarheid die ze voor een bedrijf kunnen opleveren, ook nog eens erg kostbaar zijn om te onderzoeken. 

Fraude 
Een bedrijf weet in veel gevallen niet welke informatie feitelijk elektronisch aanwezig is. Voor zover dit wel bekend is, is vervolgens niet duidelijk hoe die informatie beschikbaar gemaakt kan worden en tegen welke kosten. ERP-systemen van multinationals zijn complexe datawarehouses en de standaardrapportages ten behoeve van de bedrijfsvoering beslaan hoogstens 50 procent (en waarschijnlijk minder) van de mogelijkheden die met additionele dataminingtechnieken verkregen kunnen worden, als gericht gezocht wordt naar sporen van fraude (zie kader). 

Hetzelfde kan gezegd worden over e-mailverkeer. Men weet dat er duizenden tot miljoenen e-mails wekelijks worden verstuurd via bedrijfsmailservers, maar het is niet duidelijk of en zo ja hoe deze informatie in het kader van civiele procedures of onderzoek naar interne fraudes toegankelijk kan worden gemaakt en welke kosten daarmee gemoeid zijn. 

Bedrijven blijken vaak slecht voorbereid als ze door interne omstandigheden (bijvoorbeeld via de internal-auditafdeling of de bedrijfsrecherche) dan wel door externe partijen (NMA, EU Mededinging, SEC, civiele procedure et cetera) gedwongen worden binnen redelijke termijn inzicht te krijgen in deze informatie. Grote inspanningen zijn nodig om informatie beschikbaar te krijgen. Het gebeurt nog steeds dat e-mailberichten worden geprint en vervolgens met de hand worden gereviewed door advocaten. Bij gebrek aan gerichte zoekmogelijkheden wordt moeizaam geprobeerd om verschillende standaardgrootboekoverzichten (debiteuren, crediteuren) te combineren tot nieuwe overzichten, die uiteindelijk de gewenste informatie kunnen opleveren. Dat is het gunstige scenario. 

In het slechte scenario veronderstelt men dat het met de hand doorlopen van de ordners met uitgeprinte overzichten zoveel werk is dat men het (tot nu toe) achterwege laat. Hetzelfde geldt voor het reviewen van e-mailverkeer. Door onervarenheid kan het onderzoek naar de prullenbak worden verwezen als bewijsmateriaal niet op forensisch correcte wijze verkregen is. Daarbij spelen niet alleen technische problemen maar ook logistieke en juridische problemen, die bij grootschalige reviewprojecten niet onderschat mogen worden (zie kader). 

Digitaal bewijs 
Standaardmanagementinformatiesystemen zijn niet geschikt om naar digitaal bewijs te zoeken. Daarom is een andere aanpak nodig om de uiteenlopende bronnen van elektronische informatie in bedrijven toegankelijk te maken. Binnen de wereld van forensische accountants is dit specialisme ondergebracht in het gebied ‘forensic technology solutions’ (FTS). Ook advocaten hebben behoefte aan ‘litigation support’ en laten digitaal bewijsmateriaal door onafhankelijke forensische specialisten verzamelen, waarna zij er zelf in kunnen gaan zoeken. De specialisten beschikken over gereedschappen en ervaring om digitale gegevens op forensisch juiste wijze veilig te stellen. Zij kunnen in nauwe samenwerking met de forensische accountants onderzoeksvragen vertalen in databasequeries en ondersteuning bieden bij het ontdekken van sporen in ongestructureerde elektronische informatie (ook wel e-discovery genoemd). Zo wordt het bijvoorbeeld mogelijk gemaakt om rechtstreeks bankrekeningnummers van leveranciers te vergelijken met bankrekeningnummers van medewerkers. Ook is het mogelijk om unieke kenmerken van informatie die is uitgelekt naar de concurrent terug te vinden in elektronische berichten of op harde schijven. Het is daarbij van belang om goed in de gaten te houden dat de privacy van de medewerkers niet in het gedrang komt. Deze ‘data protection’-problematiek maakt vooral in Europa de zaak nog ingewikkelder dan die bijvoorbeeld in de VS al is. 

In het algemeen wordt verwacht dat de SOx-regelgeving afgezwakt wordt of tenminste dat Europese (beurs) autoriteiten en rechters een minder strenge invulling zullen geven aan vergelijkbare regels zoals die zijn afgesproken in bijvoorbeeld de Code Tabaksblat. Toch is het realistisch om te verwachten dat ontwikkelingen in de VS zoals die van de FRCP zullen overwaaien naar Europa en dat die een impact hebben op alle bedrijven, niet alleen beursgenoteerde ondernemingen. Bedrijven zullen zorgvuldig moeten bepalen welke elektronische informatie ze moeten bewaren en op welke wijze, en welke bewaartermijnen daarbij in acht genomen moeten worden. Nederlandse bedrijven met vestigingen in de VS moeten nu al een plan hebben voor de elektronische informatie in hun organisatie, ook buiten de VS. Gelet op de problemen maar juist ook gezien de kansen moeten de chief information officers van bedrijven bij het ontwikkelen en uitvoeren van de corporate informatiestrategie rekening houden met de nieuwe eisen die gesteld kunnen worden aan het verzamelen van digitaal bewijs. 

 

Complex e-mailonderzoek

Het ontdekken van bewijs in ongestructureerde elektronische informatie wordt ook wel e-discovery genoemd. De meeste interessante feiten komen boven water door het zorgvuldig, gericht en consequent onderzoeken van e-mail, in feite de moderne variant van papieren correspondentie. E-mails en attachments met conceptversies van belangrijke operationele documenten bieden een schat aan informatie. Het probleem, en daarmee ook gelijk het gevaar, zit in de geweldige hoeveelheid e-mails. Met behulp van forensische technieken is het mogelijk om berichten te ‘dedupen’ oftewel te ontdubbelen. Met name wanneer persoonlijke e-mailarchieven van back-uptapes en fileservers van tientallen of honderden gebruikers (‘custodians’) samengevoegd worden, kan de hoeveelheid e-mail met een factor 2 tot soms wel 10 verkleind worden. Door gericht te zoeken, bijvoorbeeld op de bedrijfsnaam van een zakelijke relatie, kan tot op zekere hoogte het privacyprobleem vermeden worden. Met meer geavanceerde technieken is het zelfs mogelijk om berichten te clusteren en snel niet-relevante berichten uit te sluiten. Geoefende advocaten kunnen 200-300 documentbeslissingen per dag nemen en bij aanvang kan dit zelfs oplopen tot 2000 per dag door niet-relevante e-mails te clusteren. In de VS en sinds kort ook in de UK geven advocaten de voorkeur aan web-based e-discovery waarbij het resultaat van de forensische werkzaamheden via een webserver op internet ter onderzoek wordt aangeboden. Deze trend zal zich vermoedelijk doorzetten naar andere Europese landen als de markt daar om vraagt en voor zover niet van buitenlandse portals gebruik gemaakt kan worden, bijvoorbeeld als gevolg van data-protectionwetgeving in verschillende landen.


Datamining in ERP-systemen

Hoe kan een grote beursgenoteerde onderneming die beschuldigd wordt van omkopingspraktijken de schade beperken, herhaling in de toekomst voorkomen en in sommige gevallen de boete(s) beperken door volledige medewerking aan het onderzoek te verlenen? Dat kan bijvoorbeeld door op een centrale plaats een zware database in te richten waar in een hoog tempo de financiële datadumps van soms wel tientallen ERP-systemen (afkomstig van buitenlandse dochterondernemingen) in korte tijd verwerkt moeten worden, en door klip en klare rapportages aan de onderzoekers aan te bieden. Maar dat is makkelijker gezegd dan gedaan. De extractie van deze data uit ERP-systemen op locaties over de hele wereld is een uitdagende klus. Bij buitenlandse vestigingen moeten lokale ‘forensic technology solutions’-specialisten worden ingezet die niet alleen de taal spreken maar ook trainingen hebben gevolgd op het gebied van financiële data-analyse in combinatie met geavanceerde SQL-querytechnieken. Met die kennis en ervaring kunnen in het FTS-onderzoekslab de grootboekgegevens van populaire commerciële ERP-systemen (SAP, Oracle Financials, JD Edwards, PeopleSoft, Sage, Unit4 Agresso, Baan, Exact en andere) worden geconverteerd naar een standaarddatabaseformaat. Voor dit standaardformaat zijn een aantal jaren geleden SQL-bibliotheken ontwikkeld waarmee efficiënt gezocht wordt naar sporen die wijzen op fraude. Die bibliotheken zijn constant in ontwikkeling en inmiddels kan er ook mee in sub-grootboeken worden gezocht naar sporen van fraude.

Hans Henseler is director crisis bij PricewaterhouseCoopers Advisory in Amsterdam. Hij is werkzaam bij de afdeling Dispute Analysis & Investigations en verantwoordelijk voor de coördinatie van forensic technology solutions in EMEA. 

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Inloggen

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!