"Beste Peter, wil je even met spoed 2 miljoen overmaken? Veel dank!! Mvg de CEO”

Het zal je maar gebeuren. Je bent een CFO met jarenlange ervaring en een goede staat van dienst en ineens sta je op straat, doordat je in een geraffineerde truc bent getrapt. Een truc met grote consequenties voor zowel het bedrijf en de CFO.

Dit komt helaas vaak voor en gaat naar verwachting in de toekomst ook flink in omvang toenemen. Zo blijkt uit cijfers van de Fraudehelpdesk dat CEO fraude in de eerste 8 maanden van dit jaar al € 2,5 miljoen aan schade heeft opgeleverd in het Nederlandse bedrijfsleven. Maar dit getal is inmiddels al weer achterhaald door de CEO fraude bij Pathé, die heeft geleid tot een schadepost van maar liefst € 19,2 miljoen! Ter vergelijking, in 2016 bedroeg de totale CEO fraude in Nederland € 650.000.

Wat is CEO fraude eigenlijk?

CEO fraude wordt ook wel Whaling (walvisvangst) genoemd en start vaak met een valse mail uit naam van een topmanager of bestuurder in de organisatie. Bijvoorbeeld de CEO of CFO. In de mail wordt de medewerker gevraagd om een urgente en vertrouwelijke betaling uit te voeren naar een bepaalde rekening. In de mail wordt ook verwezen naar een contactpersoon, die gebeld kan worden om de betaling te controleren (bijvoorbeeld een malafide of niet-bestaand accountants- of advocatenkantoor).

Kenmerkend voor deze fraude is dat het proces van de betaalopdracht afwijkt van de normale betaalprocedure van het bedrijf. Ook zijn de naam en rekening van de begunstigde meestal onbekend bij de medewerker en niet eerder gebruikt binnen het bedrijf. En er is sprake van tijdsdruk, omdat het bedrag snel overgemaakt moet worden en de nadruk wordt gelegd op het zeer vertrouwelijke karakter van de betaling. In tegenstelling tot andere internetfraudes, zoals phishing, kost het de fraudeur relatief veel voorbereidingstijd om deze mails toe te sturen. Fraudeurs zijn soms maanden bezig met de voorbereiding. De fraudeur moet inzicht hebben in de structuur van de organisatie, zoals welke afdelingen en welke functionarissen er benaderd moeten worden en wat hun emailadressen zijn. Informatie die soms makkelijk verkrijgbaar is (bijvoorbeeld via Linkedln of via de website) of minder makkelijk via bijvoorbeeld hacking. De fraudeur bouwt een dossier op, kan mogelijk vaststellen hoe de hazen lopen en probeert persoonlijke gegevens van belangrijke functionarissen te achterhalen. Met als doel om een zo echt mogelijke mailwisseling tussen de “CEO” en de medewerker te kunnen creëren.

Maar het echte grote verschil met andere fraudes, zoals nepfacturen of phishing, is de aandacht voor de emotionele component. Er wordt namelijk een vorm van social engineering gebruikt, waarbij er veel nadruk wordt gelegd op de gezagsverhouding tussen de verzender (bijvoorbeeld de “CEO”) en de ontvanger van de mail. De fraudeur gebruikt vertrouwen, angst, emotionele druk en kennis om de functionaris ertoe over te halen om de betaling snel uit te voeren. De functionaris staat veelal op een te grote afstand van de CEO om persoonlijk contact op te nemen ter controle van de betalingsopdracht. Maar ook tussen CFO/ CEO van de dochteronderneming en die van de moedermaatschappij kan deze afstand worden ervaren, zoals blijkt uit de Pathé fraude.

Hoe kan je CEO-fraude eigenlijk tegengaan?

De complexiteit van deze fraude zit vooral in die emotionele component. De fraude is minder “hard” dan fraude die bijvoorbeeld via nepfacturen plaatsvindt of andere vormen, zoals subsidiefraude en belastingfraude. Bij CEO-fraude wordt namelijk ingespeeld op de emotie van de betreffende functionaris. Dit heeft impact op de effectiviteit van de aanwezige interne controlemaatregelen.

Uiteraard zijn er goede interne controlemaatregelen te bedenken, waarmee de administratieve organisatie en interne controle (AO/IC) kan worden versterkt en waarmee de kans op CEO-fraude kan wordt verkleind. Te denken valt aan functiescheiding, het 4-ogen-principe, een formeel emailbeleid, duidelijke regels en betaalprocedures en het selecteren van een kleine groep mensen, die de betalingen mogen uitvoeren (ook wel procuratiehouders genoemd), die over de vereiste kennis en vaardigheden beschikken en uitvoering zijn gescreend. Allemaal voorbeelden van de formele organisatie.

Maar bij een CEO fraude wordt vooral de informele organisatie geraakt. Emotionele gevoelens, sociale codes, machtsverhoudingen, gevoeligheden, angst etc met een veel directere invloed hebben op gedrag van medewerkers. En dit zijn aspecten die lastig op te vangen zijn met de “hardere” beheersmaatregelen.

Om CEO-fraude te voorkomen, is meer aandacht nodig voor de softere kant, zoals de cultuur van de organisatie. Elke cultuur is uniek, maar grofweg kunnen er 2-typen culturen worden onderscheiden, die mogelijk een rol spelen bij een CEO-fraude, namelijk de machtscultuur en de taakgerichte cultuur.

Bij een machtscultuur is er sprake van:

  • autoritair leiderschap
  • weinig mensgericht
  • een communicatiestijl die vooral bestaat uit eenrichtingsverkeer en top-down gericht.

Een taakgerichte cultuur daarentegen kent:

  • facilitair leiderschap
  • sterk taak- en mensgericht
  • interdisciplinaire samenwerking
  • een communicatiestijl, die zowel top-down als bottom-up is, alsmede formeel en informeel.

De cultuur zal medebepalend in het gevoel van afstand dat wordt ervaren tussen de medewerkers en het topmanagement. En misschien ook wel tussen topmanagers onderling, zoals de CFO van een dochteronderneming versus de CFO van de moedermaatschappij in het Pathé voorbeeld. Een afstand die mogelijk te groot is op het moment dat een ervaren medewerker in het betaalproces intuïtief aanvoelt dat er iets niet klopt. Maar geen actie durft te ondernemen, omdat het verzoek (of bevel) van de “hoogste baas” komt.

Het kan geen kwaad om daar als organisatie eens kritisch naar te kijken. Voelen medewerkers zich veilig genoeg om twijfels te uiten of een controlevraag te stellen aan een hooggeplaatste manager? Of is er sprake van een afrekencultuur, waar deze ruimte niet wordt geboden?

Trainingen, bewustwordingssessies, specifiek Whaling-sessies etc. zijn allemaal belangrijk, maar kunnen door de aanwezige cultuur aan kracht verliezen. Soms is het goed om naast vertrouwen, ook een gezonde dosis wantrouwen te hebben. En hier uiting aan te kunnen geven, zonder de angst je baan te verliezen. Hier mag de organisatie best in investeren. Met andere woorden: Vertrouwen is goed, maar wantrouwen is (soms) beter!

Training Administratieve Organisatie & Interne Beheersing (AO/IB) – 22 mei 2019
Wilt u er achter komen wat de organisatorische gebreken waren in een grote fraudezaak bij een publieke organisatie en hoe deze fraude eenvoudig voorkomen had kunnen worden door het verbeteren van de Interne Beheersing. Of heeft u behoefte aan meer kennis en inzicht in de basisprincipes van Interne Beheersing van organisaties? En hoe deze kennis kan worden toegepast in praktijksituaties? Volg dan onze training AO/IB op 22 mei as. Inschrijven kan eenvoudig via hier. De training wordt gegeven op de ACS locatie in een schitterend kasteel in Doorn. Of bezoek onze vernieuwde website www.riskaoic.nl voor meer informatie over administratieve organisatie en interne controle.

 

Start-ups zijn hot! Maar het valt niet mee. Veel Start-ups bestaan na een aantal jaren niet meer. Falende start-ups lijken té snel naar de markt te willen. Door alle drukte rondom de marktintroductie en de groeifase van de Start-up is er vaak weinig tijd om over het voorkomen van onverwachte gebeurtenissen en de inrichting van de organisatie na te denken. ACS Risk&AO/IC ondersteunt Start-ups en Scale-ups hierbij door het aanbieden van o.a. adviesgesprekken en trainingen Risicomanagement. Uitgangspunt is het beheerst groeien van de Start-up en Scale-up, dus niet te langzaam en niet té snel.

Arjan Hofman en Marc van der Veen zijn beiden partner bij het adviesbureau ACS Partners en hebben begin 2018 het label Risk-AO/IC opgericht. In deze rol ondersteunen ze bedrijven bij het inrichten en versterken van de organisatiestructuur en het verbeteren van de risicobeheersing. Voor meer informatie, vragen en opmerkingen kunt u natuurlijk een berichtje sturen naar info@riskaoic.nl of gewoon bellen naar 06 -51054417