Hoe kun je CEO fraude voorkomen?

(Dit artikel is in november 2018 geplaatst in het digitale financiële dagblad Financieel-Management.nl én CFO.nl)

Beste Peter, wil je even met spoed 2 miljoen overmaken? Veel dank!! Mvg de CEO

Het zal je maar gebeuren. Je bent een CFO met jarenlange ervaring en een goede staat van dienst en ineens sta je op straat, doordat je in een geraffineerde truc bent getrapt. Een truc met grote consequenties voor zowel het bedrijf en de CFO. Dit komt helaas vaak voor en gaat naar verwachting in de toekomst ook flink in omvang toenemen. Zo blijkt uit cijfers van de Fraudehelpdesk dat CEO fraude in de eerste 8 maanden van dit jaar al € 2,5 miljoen aan schade heeft opgeleverd in het Nederlandse bedrijfsleven. Maar dit getal is inmiddels al weer achterhaald door de CEO fraude bij Pathé, die heeft geleid tot een schadepost van maar liefst € 19,2 miljoen! Ter vergelijking, in 2016 bedroeg de totale CEO fraude in Nederland € 650.000.

Wat is CEO fraude eigenlijk?

CEO fraude wordt ook wel Whaling (walvisvangst) genoemd en start vaak met een valse mail uit naam van een topmanager of bestuurder in de organisatie. Bijvoorbeeld de CEO of CFO. In de mail wordt de medewerker gevraagd om een urgente en vertrouwelijke betaling uit te voeren naar een bepaalde rekening. In de mail wordt ook verwezen naar een contactpersoon, die gebeld kan worden om de betaling te controleren (bijvoorbeeld een malafide of niet-bestaand accountants- of advocatenkantoor).

Kenmerkend voor deze fraude is dat het proces van de betaalopdracht afwijkt van de normale betaalprocedure van het bedrijf. Ook zijn de naam en rekening van de begunstigde meestal onbekend bij de medewerker en niet eerder gebruikt binnen het bedrijf. En er is sprake van tijdsdruk, omdat het bedrag snel overgemaakt moet worden en de nadruk wordt gelegd op het zeer vertrouwelijke karakter van de betaling. In tegenstelling tot andere internetfraudes, zoals phishing, kost het de fraudeur relatief veel voorbereidingstijd om deze mails toe te sturen. Fraudeurs zijn soms maanden bezig met de voorbereiding. De fraudeur moet inzicht hebben in de structuur van de organisatie, zoals welke afdelingen en welke functionarissen er benaderd moeten worden en wat hun emailadressen zijn. Informatie die soms makkelijk verkrijgbaar is (bijvoorbeeld via Linkedln of via de website) of minder makkelijk via bijvoorbeeld hacking. De fraudeur bouwt een dossier op, kan mogelijk vaststellen hoe de hazen lopen en probeert persoonlijke gegevens van belangrijke functionarissen te achterhalen. Met als doel om een zo echt mogelijke mailwisseling tussen de “CEO” en de medewerker te kunnen creëren.

Maar het echte grote verschil met andere fraudes, zoals nepfacturen of phishing, is de aandacht voor de emotionele component. Er wordt namelijk een vorm van social engineering gebruikt, waarbij er veel nadruk wordt gelegd op de gezagsverhouding tussen de verzender (bijvoorbeeld de “CEO”) en de ontvanger van de mail. De fraudeur gebruikt vertrouwen, angst, emotionele druk en kennis om de functionaris ertoe over te halen om de betaling snel uit te voeren. De functionaris staat veelal op een te grote afstand van de CEO om persoonlijk contact op te nemen ter controle van de betalingsopdracht. Maar ook tussen CFO/ CEO van de dochteronderneming en die van de moedermaatschappij kan deze afstand worden ervaren, zoals blijkt uit de Pathé fraude.

 Hoe kan je CEO-fraude eigenlijk tegengaan?

De complexiteit van deze fraude zit vooral in die emotionele component. De fraude is minder “hard” dan fraude die bijvoorbeeld via nepfacturen plaatsvindt of andere vormen, zoals subsidiefraude en belastingfraude. Bij CEO-fraude wordt namelijk ingespeeld op de emotie van de betreffende functionaris. Dit heeft impact op de effectiviteit van de aanwezige interne controlemaatregelen.

Uiteraard zijn er goede interne controlemaatregelen te bedenken, waarmee de administratieve organisatie en interne controle (AO/IC) kan worden versterkt en waarmee de kans op CEO-fraude kan wordt verkleind. Te denken valt aan functiescheiding, het 4-ogen-principe, een formeel emailbeleid, duidelijke regels en betaalprocedures en het selecteren van een kleine groep mensen, die de betalingen mogen uitvoeren (ook wel procuratiehouders genoemd), die over de vereiste kennis en vaardigheden beschikken en uitvoering zijn gescreend. Allemaal voorbeelden van de formele organisatie, zoals hieronder weergegeven (Bovenstroom en onderstroom, Van Es)

Maar bij een CEO fraude wordt vooral de informele organisatie geraakt. Emotionele gevoelens, sociale codes, machtsverhoudingen, gevoeligheden, angst etc met een veel directere invloed hebben op gedrag van medewerkers. En dit zijn aspecten die lastig op te vangen zijn met de “hardere” beheersmaatregelen.

Om CEO-fraude te voorkomen, is meer aandacht nodig voor de softere kant, zoals de cultuur van de organisatie. Elke cultuur is uniek, maar grofweg kunnen er 2-typen culturen worden onderscheiden, die mogelijk een rol spelen bij een CEO-fraude, namelijk de machtscultuur en de taakgerichte cultuur.

Bij een machtscultuur is er sprake van:

  • autoritair leiderschap
  • weinig mensgericht
  • een communicatiestijl die vooral bestaat uit eenrichtingsverkeer en top-down gericht.

Een taakgerichte cultuur daarentegen kent:

  • facilitair leiderschap
  • sterk taak- en mensgericht
  • interdisciplinaire samenwerking
  • een communicatiestijl, die zowel top-down als bottom-up is, alsmede formeel en informeel.

De cultuur zal medebepalend in het gevoel van afstand dat wordt ervaren tussen de medewerkers en het topmanagement. En misschien ook wel tussen topmanagers onderling, zoals de CFO van een dochteronderneming versus de CFO van de moedermaatschappij in het Pathé voorbeeld. Een afstand die mogelijk te groot is op het moment dat een ervaren medewerker in het betaalproces intuïtief aanvoelt dat er iets niet klopt. Maar geen actie durft te ondernemen, omdat het verzoek (of bevel) van de “hoogste baas” komt.

Het kan geen kwaad om daar als organisatie eens kritisch naar te kijken. Voelen medewerkers zich veilig genoeg om twijfels te uiten of een controlevraag te stellen aan een hooggeplaatste manager? Of is er sprake van een afrekencultuur, waar deze ruimte niet wordt geboden?

Trainingen, bewustwordingssessies, specifiek Whaling-sessies etc. zijn allemaal belangrijk, maar kunnen door de aanwezige cultuur aan kracht verliezen. Soms is het goed om naast vertrouwen, ook een gezonde dosis wantrouwen te hebben. En hier uiting aan te kunnen geven, zonder de angst je baan te verliezen. Hier mag de organisatie best in investeren. Met andere woorden: Vertrouwen is goed, maar wantrouwen is (soms) beter!

Training Administratieve Organisatie & Interne Beheersing (AO/IB)
Heeft u behoefte aan meer kennis en inzicht in de basisprincipes van AO/IB? En hoe deze kennis kan worden toegepast in praktijksituaties? Of wat de AO/IB gebreken waren in een grote fraudezaak bij een publieke organisatie en hoe deze fraude eenvoudig voorkomen had kunnen worden. Schrijft u zich dan hier in voor de basistraining op 22 mei 2019 op de ACS locatie in een schitterend kasteel in Doorn.

Arjan is partner bij het adviesbureau ACS Partners en mede-oprichter van het label Risk&AO/IC. Dit label ondersteunt organisaties bij het versterken van de (administratieve) organisatie en risicobeheersing. Typische diensten van dit label zijn Quickscans, adviesgesprekken Start-ups en kennisoverdracht via o.a. (Incompany) trainingen. Arjan publiceert regelmatig artikelen over Risk & AO/IC gerelateerde onderwerpen in de digitale financiële dagbladen Financieel-Management.nl én CFO.nl

Delen