‘Een fraudeur zoekt de weg van de minste weerstand’

Door Ronald Bruins

Fraude kent vele vormen en komt zeer frequent voor in het bedrijfsleven. Gelukkig kunnen bedrijven zich wel hiertegen wapenen. Hoe, dat werd duidelijk tijdens de webinar ‘Voorkom fraude, praktische tips voor uw stappenplan van vertrouwen naar grip’ van Crowe Foederer dat in oktober werd gehouden.

Alle aandacht voor de opkomst van cybercrime ten spijt, de meeste vormen van fraude en oplichting vinden plaats op klassieke wijze, zo stelden Han Wijers, forensisch specialist bij Crowe Foederer, en David Ruijs, cybersecurity specialist van ACA IT-Solutions. “Met op nummer één: het voorkomen van kritiek. Het gaat dan om medewerkers die een fout hebben begaan tijdens het werk en dit trachten te verdoezelen uit schaamte of omdat men bang is voor de reactie van een collega of manager”, aldus Wijers.

Hij vervolgt: “Fraude is een actueel gespreksonderwerp binnen bedrijven en instanties. Door de aangescherpte regelgeving vanuit de accountancy met ingang van boekjaar 2022 gaan met name onze controleklanten merken dat dit onderwerp steeds meer aandacht gaat krijgen.” Je moet er dus iets mee, maar: “het is ook verstandig om er wat mee te doen, zodat je fraude kunt voorkomen.”

Diverse typen fraude
Bij fraude draait het om een onrechtmatig voordeel verkrijgen. Het gebeurt opzettelijk en er is vrijwel altijd sprake van misleiding. Er zijn legio typen fraude, van middelen onttrekken aan de organisatie (geld, goederen of tijd), CEO-fraude en factuurfraude tot positie misbruiken, corruptie en bedrijfsspionage. Hoewel je zou denken dat de meest voorkomende vorm van fraude gericht is op geld, draait het vaker om het voorkomen van kritiek.

Verslaggevingsfraude bijvoorbeeld. Wijers: “Een bank wil dat jij bepaalde cijfers laat zien, maar dat lukt net niet, dus stelt de fraudeur het onder druk net even anders voor. De meest bekende vormen van fraude die wij bij bedrijven zien zijn verslaggevingsfraude of onttrekkingen. Bij intern perspectief gaat er direct iets uit (geld, goederen of tijd). Bij een extern perspectief gaat het indirect: een medewerker gebruikt het bedrijf om zelf een resultaat te behalen, bijvoorbeeld een inkoper die een deal sluit met een leverancier.”

Corruptie gaat niet altijd met geld gepaard
Ook corruptie komt vaak voor. “Het doen van betalingen of een belofte om iemand te verleiden tot het doen of nalaten van iets wat onrechtmatig is”, definieerde Wijers. “Een mooi voorbeeld van iets niet doen is de douaneambtenaar in de haven van Rotterdam die een container moet controleren maar dat niet doet. Het vervelende van corruptie is dat het niet altijd met geld gepaard gaat. Iemand stevig bedreigen kan ook.”

Corruptie is er in allerlei vormen, waarvan een deel niet altijd direct strafbaar is. Denk aan een wethouder die een bepaalde klus gunt aan een bevriende relatie. Er zijn bovendien vele gradaties van corruptie, van nepotisme (bijvoorbeeld bij een sollicitatie kiezen voor een bekende met een matig CV in plaats van een onbekende met uitstekende CV) tot patronage, omkoping en afpersing. Bij corruptie komen veelal nevendelicten om de hoek kijken: verduistering, valsheid in geschriften, fiscale delicten (smeergeld aannemen) en witwassen.

Bedrijfsfraude in het digitale domein
Op digitaal vlak vindt fraude plaats in allerlei vormen. Phishing, gegevensdiefstal, oplichting, afpersing, ransomware, manipulatie, supply-chain attacks en salarismutaties, om maar wat te noemen. Cyberspionage neemt hierbij een vlucht. David Ruijs, cybersecurity specialist van ACA IT-Solutions: “Criminelen zoeken naar manieren om onder de radar te blijven. Krijg je binnen een bedrijf een seintje van een transactie boven de 5.000 euro, dan wil de crimineel eerst achterhalen wat de limiet is, zodat hij onder dit bedrag kan blijven en hierdoor niet opvalt. CEO-fraude is een bekende vorm van bedrijfsoplichting.” Hij schetste het voorbeeld van een crimineel die het e-mailadres van een CEO en de vorm van een e-mail van het bewuste bedrijf gebruikt om een financieel medewerker via e-mail te verzoeken om met spoed geld over te maken naar een bepaald rekeningnummer.

De impact van fraude in het digitale domein kan groot zijn. Denk aan identiteitsfraude (door verlies van bestanden en (inlog)gegevens) en financieel, maar ook een datalek (verlies of diefstal van klantgegevens), reputatieschade en aantasting van de geloofwaardigheid.

Gaten in de processen
In het rijtje met interne dreigingsfactoren (zoals een ontevreden medewerker, verleiding en afpersing) valt één element op: gaten in de processen. Hierdoor ontstaat ruimte voor fraude. En dan zijn er nog de externe dreigingsfactoren. “Hoe slechter zaken technologisch geregeld zijn en hoe minder barrières jij opwerpt, hoe groter de kans is dat de cybercrimineel toeslaat. Een cybercrimineel zoekt de weg van de minste weerstand.” Met toegang tot het systeem en met alle informatie voorhanden, is de stap naar diefstal en afpersing klein.

Het profiel van een fraudeur
Een fraudeur is geen herkenbare ‘boef’ met een gestreept pak zoals je in een stripverhaal tegenkomt. Integendeel, het kan iedereen zijn, ook mensen van wie je het niet verwacht. Daarbij: overal ter wereld neigen mensen naar oneerlijkheid. Dat wil zeker niet zeggen dat iedereen automatisch fraudeert. De context – de mate van tevredenheid over jouw leven – speelt hierbij een belangrijke rol. Wijers: “Heb je problemen, heb je schulden, lig je in een echtscheiding? Dit soort elementen bepalen of jij verder gaat dan het normale patroon. Een klein beetje oneerlijk kunnen we blijkbaar allemaal wel eens zijn.”

Onderzoeken laten zien dat over het algemeen aanmerkelijk vaker een man (72 procent) dan een vrouw (28 procent) fraudeert. Opleiding speelt eveneens een rol. Naarmate mensen beter zijn opgeleid, is de kans dat zij een fraude stevig kunnen neerzetten aanwezig.

Gaandeweg kan het ontstaan
De meeste fraude vindt plaats door medewerkers, zo toonden de heren middels een grafiek. Het schadebedrag valt hierbij meestal mee. Bij eigenaren en executives is de groep fraudeurs relatief klein, maar is de fraude wel meteen stevig. Wijers vulde aan: “Fraudekansen nemen toe naarmate een medewerker langer bij een bedrijf werkt. Er komt zelden tot nooit iemand binnen met de gedachte om gezellig te gaan frauderen. Zoiets kan gaandeweg ontstaan, bijvoorbeeld omdat iemand vindt dat hij niet de waardering krijgt die hij denkt te moeten krijgen, of vanwege een privésituatie.”

Later in de presentatie benoemde hij drie punten die fraude mogelijk maken: druk/stimulans, rechtvaardigheidsgronden en de gelegenheid die zich aandient. “Ik heb nog geen enkele fraudeur ontmoet die zijn actie niet voor zichzelf kon rechtvaardigen. Er is altijd een reden waarom je het hebt gedaan.” Ruijs verhaalde over afpersing. “In de Verenigde Staten hebben we gezien dat medewerkers van een organisatie werden benaderd door criminelen met het verzoek om een programma op te starten, zodat de organisatie plat zou komen te liggen. De criminelen zouden vervolgens vijf miljoen dollar bij de organisatie eisen en de helper belonen met tweeënhalve ton.”

Waar ligt de grens binnen een bedrijf?
“Als organisatie moet je je altijd afvragen waar je de grens legt: wat vind je acceptabel en wat niet als het gaat om fraude? Het moet niet zo zijn dat je aan de ene kant een ton moet investeren om 5.000 euro tegen te houden”, vervolgde Wijers. Als waarschuwing klonk meteen: “Wanneer je tegenwoordig niet volstrekt integer handelt, sta je in ieder geval in de krant en gaan sociale media er volledig los op. De schade die je lijdt kan groter zijn dan de feitelijke fraude zelf.”

“Als bedrijf is het ook goed om je te realiseren dat de accountant met andere grootheden door een organisatie heen controleert. Die kijkt naar materiële fouten in de jaarrekening. Dat zijn vaak pittige bedragen. Vaak zit fraude onder bepaalde grenzen. De kans op ontdekking neemt af als je daar niet heel intensief naar kijkt. Een accountant probeert daar natuurlijk op te letten, maar het is vooral de verantwoording van een bedrijf zelf om daar iets mee te doen. Hoeveel gelegenheid wil je geven als bedrijf? Zeker een forensisch accountant en een cyberspecialist kunnen meekijken in hoeverre de poorten open staan.”

Voorkom fraude en werp barrières op
Hoe meer barrières, hoe beter luidt het credo. Werk achterstallig onderhoud in het systeem bij, gebruik sterke wachtwoorden en pas MFA toe: het zijn belangrijke extra beveiligingslagen. Maar het begint allemaal met bewustwording, aldus Ruijs. “Breng medewerkers op de hoogte. Hanteer duidelijke richtlijnen, zodat iedereen weet wat er wordt verwacht. Vraag je af wat een medewerker op een laptop mag installeren, welke sites mogen worden bezocht. Denk ook aan Intrusion Detection Systeem (IDS), een geautomatiseerd systeem dat hackpogingen detecteert.”

Breng risico’s in kaart en acteer daarop, luidde het devies. Ruijs: “Doe dit regelmatig en blijf kritisch.” Wijers: “Kijk met een aantal mensen in de organisatie naar wat er per proces mis zou kunnen gaan. Wat zijn de risico’s? Zijn zaken waarvan je denkt dat ze zijn afgedekt dat ook wel? Mijn ervaring is dat deze gesprekken tot verrassende resultaten leiden. Misschien zijn er wel voorbeelden van extra slotjes die je kunt toepassen.”

Straal als bedrijf vertrouwen uit
Een bijkomend effect is dat medewerkers zich uitgenodigd voelen om – ook daarna – signalen van fraude door te geven “Straal als organisatie uit dat werknemers welkom en veilig zijn om dit soort signalen te delen. Dat ze worden beschermd door de werkgever”, benadrukte Wijers. Hij merkt in de praktijk dat veel bedrijven aarzelend zijn met het invoeren van een code of ethics, het inzetten van een vertrouwenspersoon of een klokkenluidersregeling. “Het helpt als je dit soort dingen bespreekbaar maakt.”

Ruijs adviseerde tevens om een plan van aanpak te hebben voor het geval er sprake is van een vermoeden of een constatering van fraude. “Ga je de mogelijke fraudeur aanspreken? Hoe stel je de situatie veilig? Hoe ga je het intern communiceren en het richting de pers uiten? Zorg dat je al een frauderesponsplan hebt liggen.” En bekijk de rol van een verzekeringsmaatschappij: wat kun je verwachten, ook op het gebied van praktische hulp en kennis.

Wanneer gebeurt het?
De boodschap van de webinar was duidelijk. “Kan je fraude of diefstal voorkomen? Nee, maar goede voorzorgsmaatregelen en randvoorwaarden creëren helpen om de gevolgen zo klein mogelijk te houden”, concludeerde Wijers aan het eind van de presentie. “Wees voorbereid en maak de mazen zo klein mogelijk.”

Voor wie meer wil weten over dit onderwerp attendeerden beide heren deze brochures: Frauderisicobeheersing en Opstellen frauderesponsplan. Of download het whitepaper met meer achtergrondinformatie over fraude via: https://www.foederer.nl/corporate-finance/forensic-services

Mocht u het webinar alsnog willen zien, kijk dan op: https://vimeo.com/756789641/092b3510a2