CEO-fraude blijft toenemen, zowel in aantallen als wat betreft de omvang. Ook CFO’s lopen gevaar. Eind 2018 kostte het de CFO van bioscoopketen Pathé de kop, toen zij voor 19 miljoen waren opgelicht. Hoe groot is de kans dat een organisatie ermee te maken krijgt? En, hoe dit te voorkomen? “Gedrag is de sleutel.”
Spiksplinternieuw is CEO-fraude niet meer. Al in 2016 raakte deze vorm van oplichting in Nederland in zwang. Maar het aantal meldingen en de omvang van de schade neemt nog steeds toe, van respectievelijk 135 en 650.000 euro in 2016 naar 255 en 2,8 miljoen euro vorig jaar. Die cijfers zijn afkomstig van de Fraudehelpdesk, een organisatie die burgers en bedrijven wil behoeden voor oplichtingspraktijken. Ze vormen waarschijnlijk slechts het topje van de ijsberg. Lang niet alle gevallen worden gemeld.
Werkelijke aantal gevallen van CEO-fraude ligt veel hoger
Het werkelijke aantal gevallen van CEO-fraude ligt waarschijnlijk nog veel hoger. “Misschien wel tien keer zo hoog,” schat Tanya Wijngaarde, woordvoerder bij de Fraudehelpdesk. “Veel getroffen bedrijven en organisaties vinden het toch gênant om ermee naar buiten te komen.”
CEO-fraude kostte Pathé 19 miljoen euro
Eind 2018 haalde de CEO-fraude bij Pathé alle media, omdat hier maar liefst 19 miljoen euro mee was gemoeid. Het doelwit: de CFO. Hij ontving mails van de CEO van het Franse moederbedrijf van Pathé met daarin het verzoek geld over te maken naar een bedrijf in Dubai in verband met een overname. Deze aankoop was vertrouwelijk en mocht niet uitlekken. Vandaar dat het moederconcern had besloten de financiering via Nederland te laten lopen. In overleg met de Nederlandse CEO voldeed de CFO aan de verzoeken. Nadat de fraude aan het licht kwam, werden beide bestuurders ontslagen. De CFO spande daarop een kort geding aan tegen Pathé.
Rechtbank verklaarde ontslag ongegrond
De rechtbank verklaarde het ontslag ongegrond. Er was geen sprake van verwijtbaar handelen; ook het moederbedrijf had zijn zaakjes niet op orde. De CFO kon bijvoorbeeld zomaar miljoenen euro’s lenen uit de cashpool van de holding zonder te melden waarvoor dit nodig was. Wel kreeg Pathé toestemming de arbeidsrelatie te beëindigen. Een meer kritische houding was op zijn plaats geweest, luidde het vonnis.
Voorkomen en herkennen is essentieel
In de Pathé-casus was de CFO het doelwit. Dat is vrij uitzonderlijk. Meestal krijgt de financiële topman indirect met CEO-fraude te maken, bijvoorbeeld doordat een van zijn medewerkers een vreemd betalingsverzoek heeft ontvangen. Het voorkomen en herkennen van deze vorm van oplichting is voor de CFO en zijn team dan ook essentieel.
Bedrijven trekken pas aan de bel als het te laat is
Vaak trekken bedrijven bij CEO-fraudes pas aan de bel als al te laat is. Goede afspraken kunnen dit grotendeels voorkomen. Bijvoorbeeld de afspraak om nooit grote bedragen over te boeken op basis van een telefoontje of e-mail. Zorg dat medewerkers sowieso alert zijn op verzoeken om grote sommen over te maken, helemaal als dit geld naar het buitenland moet. Wordt er vaker een grote overboeking gedaan, spreek dan procedures af over hoe een opdracht gecheckt kan worden. Bij grote bedragen of twijfel de directe leidinggevende betrekken, is sowieso raadzaam. En minstens zo belangrijk: dat iedereen zich aan die afspraken houdt.
We krijgen hier vaak de vraag: ‘Wij hebben uitstekende systemen en procedures en toch gaat het mis. Hoe kan dat?’ Dat is niet zo vreemd. Het gaat vaak fout aan de menskant.”
Inge Wetzer, sociaal psycholoog Hoffmann
Het gaat vaak fout aan de menskant
Dat laatste is allerminst vanzelfsprekend, weet Inge Wetzer. Zij is sociaal psycholoog cybersecurity & compliance bij Hoffmann en speciaal aangetrokken omdat protocollen en het vergroten van het bewustzijn volgens het adviesbureau vaak niet toereikend zijn om dit soort fraudes te voorkomen. Wetzer: “We krijgen hier vaak de vraag: ‘Wij hebben uitstekende systemen en procedures en toch gaat het mis. Hoe kan dat?’ Dat is niet zo vreemd. Het gaat vaak fout aan de menskant. Je kunt alle financemedewerkers wel een awareness-training geven. Maar dat is na een paar dagen weer uitgewerkt. Kennelijk zijn er redenen om je er niet aan te houden.”
Gedrag: dat is waar het om draait bij effectieve bestrijding
Ze geeft een voorbeeld: “We weten inmiddels allemaal dat appen in de auto niet mag. En toch gebeurt het. Drie keer per week sporten is goed voor je, weten we ook. En toch zijn er veel mensen die dat niet doen.” Gedrag: dat is waar het om draait bij effectieve bestrijding van CEO-fraude en andere vormen van cybercrime, analyseert Wetzer. En gedrag wordt bepaald door bewustzijn, motivatie en de gelegenheid.
Helder motief om procedures te omzeilen
Bij CEO-fraude is er vaak een helder motief om de procedures te omzeilen: de ‘baas’ vraagt het. Sterker nog: hij doet een klemmend beroep om buiten de regels om handelen, in een hoger belang, dat van de organisatie. De hiërarchische kloof is zo groot dat de medewerker het niet in zijn hoofd haalt om de ‘baas’ te bellen. Zo is de cultuur nu eenmaal.
Preventieve maatregelen van CFO’s dun gezaaid
Een panacee is er niet, meent de psycholoog. “Wat de beste remedie is, verschilt per organisatie. Om daarachter te komen moet je met de medewerkers in gesprek.” CFO’s die preventieve maatregelen nemen tegen CEO-fraude zijn echter dun gezaaid, weet Wetzer. “Informatiebeveiliging is vaak de verantwoordelijkheid van de Chief Information Security Officer (CISO). Die valt onder de CFO. Als de CISO bij zijn baas aanklopt, krijgt hij vaak te horen: ‘Bij ons zal het zo’n vaart niet lopen.’” Een misvatting, aldus Wetzer. “Dat dachten ze bij al die getroffen bedrijven ook.”
Wapen uw medewerkers tegen cybercriminelen.
We vertellen u graag meer over de mogelijkheden van het gedragsprogramma.
Bel direct met een specialist