Procurement fraud bestrijden? De belangrijkste trends en best practices

 

De belangrijkste trend is dat mensen steeds slimmer worden in de manier waarop ze frauderen. De modus operandi is weinig veranderd; het gaat veelal om medewerkers die samenspannen met leveranciers. Het verschil met vroeger is alleen dat er veel minder transacties en data waren die je in de gaten moest houden. Ook waren processen en systemen eenvoudiger en gebeurde er minder digitaal. Voor veel organisaties is er totaal geen zicht op wat er gaande is. En als ze al een systeem gebruiken om dit inzicht wel te krijgen, bedenken fraudeurs continu hoe ze deze slim kunnen omzeilen om hun acties verborgen te houden.

 

Denk alleen al eens wat je als medewerker allemaal vanuit huis kunt doen op het bedrijfsplatform. Fraudeurs kunnen relatief eenvoudig het gebruiksprofiel van een collega kapen en gebruiken. Dit soort zaken zal alleen maar toenemen. Naast externe hackers krijg je ook te maken met interne hackers die inloggen en bankrekeningnummers van leveranciers veranderen en na de betaling de rekening leeghalen. Feit is dat fraudeurs geld willen en telkens nieuwe manieren bedenken waarop ze dit kunnen krijgen. Ze gaan daarbij op zoek naar de zwakste schakel in het proces zodat de ongemerkt het geld kunnen ontvreemden. Vroeger stal men simpelweg geld uit de kassa. Nu is alles digitaal en is de vraag hoe men de digitale betalingsstroom kan onderscheppen. Hier is technologie voor nodig. 

 

De fraude die vandaag de dag wordt gepleegd (en ontdekt) gaat niet meer om enkele tientjes, maar loopt in de tonnen en zelfs miljoenen. Dit zorgt er ook voor dat je er steeds meer over leest en het bewustzijn toeneemt. Daarmee komt het gelukkig ook hoger op de agenda van Europese organisaties. (In Zuid-Afrika is dit bewustzijn veel hoger, omdat het veel meer in het nieuws is en men er nu proactief tegen vecht). Het is bijvoorbeeld ook tekenend dat procurement fraud sinds twee jaar als aparte categorie wordt genoemd in de Global Economic Crime Survey van PwC. Voorheen moest je echt uitleggen wat procurement fraud betekende. Nu het meer voorkomt en wordt ontdekt hoe groot de impact is wordt men wakker en wordt gezocht naar oplossingen. Het is ook geen geïsoleerd probleem; iedere branche heeft ermee te maken. En hoe complexer de systemen in de supply chain, des te groter de kans dat er fraude plaatsvindt. 

 

Belangrijk is dat bedrijven proactief zijn. Daarvoor moet je een systeem hebben dat continu monitort of er fraude plaatsvindt. Vroeger was men veel reactiever en werden na de fraude pas maatregelen genomen. Dan is het al te laat. Een van de belangrijkste acties die je kunt ondernemen na het installeren van een systeem, is je werknemers laten weten dat het er is. Dit zal een groot aantal mensen weerhouden om fraude te plegen. Er is namelijk veel focus op partijen van buiten als het om fraude gaat, maar je moet juist ook intern kijken. Procurement fraud gaat in 90 procent van de gevallen om een samenwerking tussen externe leveranciers en mensen aan de binnenkant. Dit is ook de reden waarom het goed is om met analytics alle relaties in kaart te brengen. Als je dit visualiseert in een netwerk zie je ook direct waar de zwakke punten liggen. 

 

Onderdeel van die proactieve aanpak is ook het toepassen van analytics. Ik zie dat organisaties veelal ad hoc analytics inzetten om procurement fraud te bestrijden. Om succesvol te zijn heb je echter een geïntegreerde benadering nodig. Het systeem moet bovendien onafhankelijk zijn. Daarmee bedoel ik dat er meerdere mensen verantwoordelijk moeten zijn. Een ‘rules engine’ die bij afwijkingen een alert naar een iemand stuurt heeft geen zin. Kijk ook naar patronen in de data. Krijgt bijvoorbeeld een specifieke leverancier sneller betaald dan de andere? Deze sporen kunnen leiden tot interessante ontdekkingen. Je moet alleen creatief zijn in het zoeken naar sporen en de juiste oplossingen inzetten die je daarbij ondersteunen. 

 

Er moet altijd een mechanisme zijn dat duidelijk aangeeft hoe fraude gerapporteerd moet worden. Stel bijvoorbeeld ook tiplijnen in waar medewerkers terecht kunnen met hun vermoedens. Bovendien is datakwaliteit een belangrijke factor. Hoe meer informatie je hebt over een leverancier, hoe betrouwbaarder deze doorgaans is. Bij frauduleuze bedrijven ontbreekt er vaak data zoals een KvK-nummer, een huisadres of een vast telefoonnummer. 

 

Zorg verder voor een logische verdeling van taken waarbij verantwoordelijkheden in de betalingsketen gescheiden zijn en blijven. Degene die de purchase order uitgeeft mag dus nooit degene zijn die hem ook goedkeurt. Je ziet vaak dat naarmate mensen langer bij een bedrijf zijn, ook meer taken krijgen toegewezen en toegang krijgen tot verschillende systemen. Zeker als zij ook nog ontevreden zijn, gaat het op dat moment vaak mis. Verder moet er niet incidenteel, maar continu worden gemonitord. 

 

Een andere best practice is het geven van fraud awareness training. Tijdens deze training kun je aangeven wat aandachtspunten zijn voor het signaleren van fraude en uitleggen hoe medewerkers fraude kunnen rapporteren. Zij zien en weten vaak veel meer dan het management denkt, maar durven niets te zeggen uit angst hun baan te verliezen. Zo gaan er als ik op conferenties de vraag stel wie er binnen hun organisatie sterke aanwijzingen zien voor fraude, heel wat vingers omhoog. Als je vervolgens vraagt wie er actie heeft ondernomen blijft het angstvallig stil.    

 

We hebben het hoogtepunt van procurement fraud nog niet bereikt. Onderschat het dus niet. Organisaties moeten vooral ook niet denken veilig te zijn, omdat ze alles hebben geautomatiseerd. Zoals gezegd worden fraudeurs ook slimmer en hebben zij ook steeds slimmere technologie tot hun beschikking waarmee er nieuwe mogelijkheden voor fraude ontstaan. Je moet je dus constant aanpassen en ontwikkelen. Proactief blijven is de boodschap!