Hoe kun je CEO-fraude voorkomen?

"Beste Peter, wil je even met spoed 2 miljoen overmaken? Veel dank!! Mvg de CEO"

Een serie blogs over AO/IC.

BLOG – Het zal je maar gebeuren. Je bent een CFO met jarenlange ervaring en een goede staat van dienst en ineens sta je op straat omdat je in een geraffineerde truc bent getrapt. Een truc met grote consequenties voor zowel het bedrijf en de CFO. Dit komt helaas vaak voor en gaat naar verwachting in de toekomst flink in omvang toenemen.

Door Arjan Hofman, partner bij adviesbureau ACS Partners. Hij zet zich in voor de uitvoering van AO/IC-opdrachten bij organisaties en traint en publiceert er over.

Uit cijfers van de Fraudehelpdesk blijkt dat CEO-fraude in de eerste acht maanden van dit jaar al 2,5 miljoen euro aan schade opgeleverd in het Nederlandse bedrijfsleven. Maar dit getal is al weer achterhaald door de CEO-fraude bij Pathé, die heeft geleid tot een schadepost van maar liefst 19,2 miljoen euro. In 2016 bedroeg de CEO-fraude nog 650.000 euro.

Wat is CEO-fraude eigenlijk?

CEO-fraude wordt ook wel whaling (walvisvangst) genoemd en start vaak met een valse mail uit naam van een topmanager of bestuurder in de organisatie. Bijvoorbeeld de CEO of CFO. In de mail wordt de medewerker gevraagd om een urgente en vertrouwelijke betaling uit te voeren naar een bepaalde rekening. In de mail wordt ook verwezen naar een contactpersoon, die gebeld kan worden om de betaling te controleren (bijvoorbeeld een malafide of niet-bestaand accountants- of advocatenkantoor).
Kenmerkend voor deze fraude is dat het proces van de betaalopdracht afwijkt van de normale betaalprocedure van het bedrijf. Ook zijn de naam en bankrekening van de begunstigde meestal onbekend bij de medewerker en niet eerder gebruikt binnen het bedrijf. En er is sprake van tijdsdruk, omdat het bedrag snel overgemaakt moet worden en de nadruk wordt gelegd op het zeer vertrouwelijke karakter van de betaling.

Fraudeur heeft inzicht in bedrijf

In tegenstelling tot andere internetfraudes, zoals phishing, kost het de fraudeur veel voorbereidingstijd deze mails toe te sturen, soms maanden. De fraudeur moet inzicht hebben in de structuur van de organisatie, zoals welke afdelingen en welke functionarissen er benaderd moeten worden en wat hun emailadressen zijn. Informatie die soms makkelijk verkrijgbaar is (bijvoorbeeld via Linkedln of via de website) of minder makkelijk via de zwarte markt of hacking. De fraudeur bouwt een dossier op, kan mogelijk vaststellen hoe de hazen lopen en probeert persoonlijke gegevens van belangrijke functionarissen te achterhalen. Met als doel om een zo echt mogelijke mailwisseling tussen de CEO en de medewerker te kunnen creëren.

Het echt grote verschil met andere fraudes, zoals nepfacturen of phishing, is de aandacht voor de emotionele component. Er wordt namelijk een vorm van social engineering gebruikt, waarbij er veel nadruk wordt gelegd op de gezagsverhouding tussen de verzender (bijvoorbeeld de 'CEO') en de ontvanger van de mail. De fraudeur gebruikt vertrouwen, angst, emotionele druk en kennis om de functionaris over te halen om de betaling snel uit te voeren. De functionaris staat veelal op een te grote afstand van de CEO om persoonlijk contact op te nemen ter controle van de betalingsopdracht. Maar ook tussen CFO/ CEO van de dochteronderneming en die van de moedermaatschappij kan deze afstand worden ervaren, zoals blijkt uit de Pathé-fraude.

Hoe kan je CEO-fraude tegengaan?

De complexiteit van deze fraude zit vooral in die emotionele component. De fraude is minder “hard” dan fraude die bijvoorbeeld via nepfacturen plaatsvindt of andere vormen, zoals subsidiefraude en belastingfraude. Uiteraard zijn er goede interne controlemaatregelen te bedenken, waarmee de administratieve organisatie en interne controle (AO/IC) kan worden versterkt en waarmee de kans op CEO-fraude kan wordt verkleind. Te denken valt aan functiescheiding, het vier-ogen-principe, een formeel emailbeleid, duidelijke regels en betaalprocedures en verplichte autorisatie bij eventuele afwijkende betaalverzoeken.
Met CEO-fraude wordt vooral de informele organisatie geraakt. Emotionele gevoelens, sociale codes, machtsverhoudingen, gevoeligheden, angst etc met een directere invloed hebben op gedrag van medewerkers. Dit zijn aspecten die lastig op te vangen zijn met de “harde” maatregelen. Meer aandacht is nodig voor de softere kant, zoals de cultuur van de organisatie.

Grofweg kunnen er twee typen culturen worden onderscheiden, die mogelijk een rol spelen bij een CEO-fraude, namelijk de machtscultuur en de taakgerichte cultuur.

Bij een machtscultuur is er sprake van:

  • autoritair leiderschap
  • weinig mensgericht 
  • een communicatiestijl die vooral bestaat uit eenrichtingsverkeer en top-down gericht.

Een taakgerichte cultuur daarentegen kent:

  • facilitair leiderschap 
  • sterk taak- en mensgericht
  • interdisciplinaire samenwerking
  • een communicatiestijl, die zowel top-down als bottom-up is, als formeel en informeel.

Gevoel van afstand

De cultuur zal medebepalend zijn in het gevoel van afstand dat wordt ervaren tussen de medewerkers en het topmanagement. En misschien ook tussen topmanagers onderling, zoals de CFO van een dochteronderneming versus de CFO van de moedermaatschappij in het Pathé-voorbeeld. Een afstand die mogelijk te groot is op het moment dat een ervaren medewerker in het betaalproces intuïtief aanvoelt dat er iets niet klopt. Maar geen actie durft te ondernemen, omdat het verzoek (of bevel) van de 'hoogste baas' komt. 
Het kan geen kwaad om daar als organisatie kritisch naar te kijken. Voelen medewerkers zich veilig genoeg om twijfels te uiten of een controlevraag te stellen aan een hooggeplaatste manager? Of is er sprake van een afrekencultuur, waar deze ruimte niet wordt geboden? 
Trainingen, bewustwordingssessies, specifiek whaling-sessies etc. zijn allemaal belangrijk, maar kunnen door de aanwezige cultuur aan kracht verliezen. Soms is het goed om naast vertrouwen, ook een gezonde dosis wantrouwen te hebben, want: vertrouwen is goed, maar wantrouwen is (soms) beter!

Alle blogs van Arjan Hofman over AO/IC voor u op een rij gezet.

Gerelateerde artikelen