Hoe voorkom je (factuur)fraude?
Even geleden schreven we al over de steeds vaker de kop opstekende CEO fraude, het brutaal misbruik maken van de grootte van bedrijven. Het is een vorm van factuurfraude. Wat kun je als controller doen om fraude te voorkomen?
Factuurfraude is te scharen onder het kopje social engineering: de fraudeur probeert mensen te bewegen betalingen te doen aan iemand die niet is wie zijn denken denk dat het is. Dat kan als volgt gaan: Een factuur wordt onderschept, het rekeningnummer aangepast en het document gaat weer door naar diegene die de betaling moet doen. Het is de simpelste vorm en het duurt even voordat zoiets opgemerkt wordt. Er kan een vrij lange tijd overheen gaan voordat de originele maker van de factuur zich meldt omdat het geld niet aan is gekomen.
De oplossing is relatief eenvoudig. Ten eerste is er goed ‘static datamanagement’ nodig. Een voorbeeld: er komt een brief binnen met de wijziging van een rekeningnummer. Het ziet eruit als een brief van de rekeninghouder. Toch is het risicovol om de wijziging gelijk door te voeren. Zelfs bellen naar het telefoonnummer dat op de brief vermeld staat, is niet voldoende – daar kan de fraudeur immers achter zitten. De juiste weg is om onafhankelijk te verifiëren of de gegevens kloppen. Bijvoorbeeld terugbellen via het telefoonnummer dat al in de administratie bekend was – of dat simpelweg op de officiële bedrijfswebsite is te zien. Als er frauduleuze NAW gegevens ingevoerd zijn, dan zijn die vanaf dat moment de waarheid.
Ook is het aan te raden om een control framework op te tuigen waarin taken en verantwoordelijkheden slim worden opgedeeld. En daar dan ook aan vast te houden. Dat maakt dat je kritisch moet zijn naar je eigen omgeving. Als het vier ogen principe bijvoorbeeld faalt, dan betekent dat niet dat het met zes ogen wel sluitend is. Het probleem zal ergens anders liggen. Wanneer mensen lang met elkaar samenwerken kan er bijvoorbeeld laksheid ontstaan door vertrouwen. Fraude is bij uitstek een gelegenheidsevenement. Opmerkelijk is ook dat onderzoek uitwijst dat fraude vaak gepleegd wordt door mensen waarvan je het niet verwacht. Hardwerkende mensen die veel aanwezig zijn. Ze nemen nooit vakantie op. Want om de fraude niet op te laten vallen, moet je aanwezig zijn.
Een oplossingsrichting is mensen voortdurend bewust te maken van risico’s en aanwijzingen. Durf ze ook te controleren en aan te spreken. Vraag bijvoorbeeld eens waarom een medewerker tijdens een audit iets afvinkt. Doet hij dit bewust of uit routine? Een audit is dan ook bij uitstek een momenten om fraudebestrijding aan te scherpen. Control kan als vervelend worden ervaren, maar het is de kunst om het om te draaien: je hebt recht op controle, want dat geeft veiligheid. Control dient meerdere doelen, maar eentje is misschien wel het belangrijkst: mensen in staat stellen hun werk goed te kunnen doen.
Een andere bepalende factor is menselijk gedrag ten opzichte van beleid en controls. Mensen leveren niet constant dezelfde inspanning en kwaliteit. Vraag je maar eens af hoe je op maandagochtend werkt en hoe op vrijdagmiddag. Of het verschil tussen 08.00 uur en 17.00 uur. Heb je stapels werk te controleren, dan zul je eerder minder kritisch worden dan bij de controle van één formulier. Het is belangrijk die gedachten mee te nemen in betalingssystematiek. Er is rust en ruimte nodig. Stel dat in een geautomatiseerd systeem drie personen werken: de eerste boekt het in, de tweede automatiseert de betaling en de derde checkt de factuur. En zij moeten dit allemaal binnen een minuut doen, dan liggen de fouten op de loer.
Fraudebestrijding laat zich samenvatten tot preventie, detectie, reactie. Blijf met elkaar communiceren over processen, werkwijzen en afwijkingen. Veelal zijn problemen te ondervangen door dubbel checken en scherp te zijn op subtiele afwijkingen. En wees voorbereid op onderzoek en analyse. Vergeet daarbij ook vooral niet om de uitkomsten te implementeren aan de voorkant van processen.
Dit artikel is geschreven in samenwerking met Marjolein Braamhaar (Compliance, AML & Sanctions Specialist bij ING) en Ron van Amsterdam (Corporate Security Officer Anti-fraud bij ING).