Frauderisk management 2.0. - Malafide zakenpartners vermijden

12 miljoen euro. Dat is het exorbitante bedrag dat offshoretycoon Edward Heerema zich uit de zakken liet kloppen door een Maltese oplichter. Heerema is echter niet de enige die het slachtoffer werd van een malafide zakenpartner. Elk jaar worden in Nederland honderden bedrijven opgelicht. Jammer, want een risk & compliancebeleid dat een datagedreven aanpak combineert met gezond menselijk verstand kan hier paal en perk aan stellen. Door databronnen slim aan te wenden kunnen compliance officers zich uitsluitend richten op bedrijven met een hoger risico.

Door Mattijs van de Weijer

Het blijft een ernstig probleem in Nederland: bedrijven die in moeilijkheden komen doordat ze in zee gaan met malafide zakenpartners. Uit cijfers van het Centraal Planbureau (CPB) blijkt dat de gevolgen van fraude de Nederlandse economie elk jaar zo’n 10 miljard euro kosten. Volgens het CPB zouden ook jaarlijks 400 bedrijven failliet gaan omdat ze de dupe worden van oplichting of wanbetaling. Voor een klein bedrijf kan schade ter waarde van 10.000 euro het einde betekenen. Maar schadeposten van meer dan 100.000 euro zijn ook niet ongehoord. Helemaal verbijsterend is wat de Nederlandse offshoretycoon Edward Heerema overkwam. Hij belegde 100 miljoen euro in volstrekt fictieve obligaties. Deze zouden hem 1,3 miljard euro opleveren. Althans: dit was wat een Maltese oplichter hem vertelde. Niets was echter minder waar: enkel door de tussenkomst van de oplettende Engelse politie verloor Heerema ‘slechts’ 12 miljoen euro.

Internet vergroot kans op fraude 
Het internet heeft de afgelopen decennia voor een sterke economische groei gezorgd. Het maakte het bijvoorbeeld mogelijk om naar de goedkoopste leverancier binnen en buiten de landsgrenzen op zoek te gaan. Maar tegelijkertijd heeft het internet ook een totaal nieuwe manier van zakendoen in het leven geroepen. Een manier die oplichters en malafide bedrijven steeds meer vrij spel geeft. 

Vroeger gingen bedrijven enkel in zee met lokale leveranciers die ze persoonlijk kenden en bij wie ze fysiek langs gingen. Indien zo’n leverancier hen in de maling probeerde te nemen, wisten ze hem/haar direct te vinden. Dat geluk hebben we vandaag veel minder. Handel wordt steeds meer op nationaal of internationaal niveau bedreven via internet. Daardoor is er vaak helemaal geen fysiek contact meer tussen zakenpartners. De keerzijde van de internetmedaille is dus dat u niet meer weet wie er achter een organisatie schuilgaat, waardoor het risico om in zee te gaan met een malafide zakenpartner een stuk groter is geworden.

Het oude frauderisk proces is out
Het hoeft geen betoog dat dit verhoogde risico op fraude een nieuwe risk & compliance-aanpak met zich meebrengt. Tot op vandaag gebeurt het risk management in veel Nederlandse bedrijven nog ‘handmatig’. Alle nieuwe klanten worden door de eigen medewerkers (risk & compliance-officers, debiteurenbeheerders, administratieve krachten, et cetera) gecheckt. Ze worden manueel gescreend op kredietwaardigheid, op betalingsgedrag, op bedrijfsstructuur, op betrouwbaarheid van de UBO (Ultimate Beneficial Owner) en noem maar op. 

Om deze handmatige screening door te voeren, moeten de eigen medewerkers vaak tot verschillende malen toe uittreksels opvragen bij de Kamer van Koophandel om de UBO te vinden. Daarnaast moeten ze zelf op zoek gaan op het internet naar mogelijk negatieve berichtgeving over de nieuwe klant. Dit is niet enkel een heel tijdrovend en dus duur proces, het leidt ook zelden tot de meest gestructureerde en objectieve screenings. In het oude frauderisk-model worden vaak ook enkel nieuwe klanten gecheckt op hun fraude-risico. Dit is vandaag echter ruim onvoldoende. Fraudeurs proberen immers meestal eerst het vertrouwen te winnen door een kleine bestelling te plaatsen en deze ook effectief volgens afgesproken overeenkomst af te handelen. Het is vaak daarna dat een groter order volgt, waarna ze met de noorderzon verdwijnen. Daarom volstaat het niet langer om enkel nieuwe klanten te screenen. Een nieuwe, geïntegreerde risk & compliance-aanpak dringt zich op. 

Naar een frauderisk 2.0 beleid
Een frauderisk 2.0 beleid is het antwoord op de veranderende zakenwereld waarin de Nederlandse ondernemingen zich vandaag bevinden. Deze nieuwe aanpak combineert een kwantitatieve aanpak met een kwalitatieve aanpak. Of anders gezegd: het combineert de kracht van een datagedreven methode met het gezonde verstand van het eigen gespecialiseerde personeel. 

Kwantitatieve benadering: acceptatiebeleid en periodieke review 
De kwantitatieve benadering van het proces bestaat uit twee delen. 

Acceptatiebeleid: nieuwe klantenrelaties
Via een geautomatiseerd proces waarbij verschillende bronnen (Kamer van Koophandel, internet, gegevens van banken en verzekeraars, rapporten van dataproviders) worden geraadpleegd, wordt een check gedaan van alle nieuwe klantenrelaties. Welke activiteit voert het bedrijf uit? Is het kredietwaardig? Is het bedrijf financieel gezond? Heeft het een positieve of een negatieve balans? Zijn er in het verleden dubieuze zaken vastgesteld? Is de UBO ooit negatief in de pers verschenen of komt hij of zij voor op controle- en sanctielijsten? Is het bedrijf gevestigd op een ‘risicoadres’ waar al veel ondernemingen failliet zijn gegaan? Via dit geautomatiseerd proces wordt een onderscheid gemaakt tussen nieuwe klanten die weinig risico op fraude vertonen en klanten die meer risico op fraude vertonen. 

Periodieke review: bestaande relaties
Het is ook sterk aan te raden om alle bestaande klanten te checken op hun fraude-risico. Dit begint met een nulmeting waarbij op dezelfde manier als bij de nieuwe klanten een check wordt gedaan van elke zakenpartner. Daarna worden de klanten ingedeeld volgens een bepaald risicoprofiel. De richtlijnen hiervoor worden door het bedrijf zelf opgesteld. Er kan bijvoorbeeld gekozen worden om de zakenpartners in te delen in drie groepen: laag risico, gemiddeld risico en hoog risico. Vervolgens wordt intern bepaald hoe vaak elke groep gescreend wordt. Bijvoorbeeld: bij klanten met een hoog risico gebeurt de periodieke review maandelijks. Voor groepen met gemiddeld risico gebeurt dit halfjaarlijks en voor groepen met laag risico jaarlijks. 

Op basis van deze kwantitatieve check, waarvoor bedrijven het best beroep doen op gespecialiseerde externe partners, kan een eerste belangrijke selectie worden doorgevoerd. Enkel bedrijven die afwijken van de standaard behoeven verder onderzoek (zie kwalitatieve benadering). Onlangs hebben wij zo’n check uitgevoerd voor een grote Nederlandse verzekeraar. Wat bleek? 96 procent van de bedrijven bleek op basis van de kwantitatieve check een laag risico op fraude te vertonen. 4 procent week af van de standaard. 

Kwalitatieve benadering: de kracht van het gezond verstand 
Nadat de kwantitatieve check is uitgevoerd, is het tijd voor de kwalitatieve check. De bedrijven die de geautomatiseerde screening niet ‘overleefd’ hebben, worden verder onderzocht om na te gaan of het verhoogde fraude-risico terecht is. Om even terug te keren naar ons voorbeeld over de Nederlandse verzekeraar: 4 procent van de bedrijven week af van de standaard. Het zijn dus deze bedrijven waar verder onderzoek door de eigen medewerkers cruciaal was. Door op deze manier te werken, zorgt u ervoor dat uw gespecialiseerd personeel zich volledig kan concentreren op waarvoor u ze in dienst hebt genomen: echte fraudeurs opsporen. Het heeft toch geen zin dat zij hun tijd verdoen aan het checken van bedrijven waarvan de UBO perfect bekend is en bedrijven die elk jaar keurig op tijd en volgens de regels hun jaarrekening deponeren? 

Wat houdt deze kwalitatieve benadering nu precies in? Kort samengevat is het in deze fase dat het gezond verstand en de energie van de risk, compliance & credit medewerkers ten volle benut worden. Zij krijgen de opdracht om op zoek te gaan naar de reden waarom een bedrijf afwijkt van de standaard. Waarom is het zo vaak van adres is veranderd? Waarom probeert de zaakvoerder angstvallig anoniem te blijven? Hoe komt het dat de jaarrekening dubbel gedeponeerd is? Of waarom komt de UBO voor op een sanctie- of controlelijst? 
 
De enige manier om dit soort vragen beantwoord te zien, is in gesprek gaan met de betrokken bedrijven. Bel hen op. Maak een afspraak met hen. Enkel zo kom je echt te weten hoe de vork aan de steel zit. En enkel zo ben je zeker dat je niet met een fraudeur in zee gaat.  

Ik kan niet genoeg benadrukken dat bovenstaande acties cruciaal zijn in een frauderisk-proces 2.0. Als een bedrijfsleider op de een of andere manier voortdurend afwezig is of met een stroman blijkt te werken, en hij heeft hiervoor géén verklaring, dan is het belangrijk dat u dit als bedrijf weet. Want met dit soort zakenpartners loopt u natuurlijk een vergroot risico op fraude. Het voorbeeld van Edward Heerema toont aan waartoe ‘zakendoen’ met fraudeurs kan leiden. 

Conclusie: geef voorrang aan dossiers met rook 
Waar rook is, is vuur. Zeker in de zakenwereld van vandaag. Het is daarom van het grootste belang dat bedrijven hun beste krachten inzetten op de dossiers waarin er rook is te bespeuren. Want het is in deze dossiers dat de kans groot is dat er ook effectief vuur wordt gevonden. Het heeft geen zin om elke dag opnieuw naar een speld in een hooiberg te zoeken. Via het frauderisk-proces 2.0 kan het absolute merendeel van de hooiberg al meteen worden geëlimineerd. Zo blijft er enkel nog een molshoop over. Dat is goed, want zeg nu zelf: als u fraudeur was, waarin zou u uzelf dan het liefst verstoppen? In een hooiberg of in een molshoop? 

Mattijs van de Weijer is Risk en Compliance Consultant bij Graydon. Hij adviseert bedrijven om te voldoen aan wet- en regelgeving en het voorkomen van reputatieschade. Mattijs richt zich voornamelijk op het automatiseren en standaardiseren van compliancebeleid op het gebied van de WWFT en de Sanctiewet. Daarnaast deelt hij regelmatig zijn kennis als blogger.