De rol van de commissaris bij ceo-fraude

Best practice/cybercriminaliteit

Het komt ook in Nederland steeds vaker voor: medewerkers die grote bedragen overmaken aan oplichters, na een nepmailtje dat afkomstig lijkt van de baas. Wat is de rol van de commissaris bij het voorkomen van ceo-fraude? En wat kunnen commissarissen doen wanneer de organisatie desondanks slachtoffer wordt van deze geraffineerde vorm van cybercriminaliteit? Leo Epskamp, vennoot van Custom Management Interim Directeuren, geeft tips.

ceo-fraude

Steeds meer organisaties worden geconfronteerd met het risico en de gevolgen van ceo-fraude: oplichters die zich via een nep-emailadres uitgeven voor leidinggevenden - bijvoorbeeld de cfo of ceo - om bedrijven via nietsvermoedende medewerkers geld afhandig te maken. Zo meldde de FBI dat ceo-fraude in 2018 voor 1,2 miljard dollar schade heeft gezorgd en daarmee inmiddels de schadelijkste vorm van cybercrime is. Wereldwijd zou de afgelopen drie jaar zelfs 26 miljard dollar zijn ontvreemd via ceo-fraude. De Verenigde Staten vormen ook het toneel van de jongste ontwikkeling in deze vorm van oplichting: via stemsoftware, waarbij de stem van de baas bedrieglijk echt wordt nagebootst en medewerkers in een neptelefoontje opdracht krijgen om bedragen over te boeken. Het gevolg van ceo-fraude: ernstige financiële problemen, soms zelfs bedreiging van de continuïteit, onrust in het bedrijf en bij de stakeholders en reputatieschade.

Toename in meldingen en schade

Een van de jongste slachtoffers is de Europese dochteronderneming van het Japanse Toyota Boshoku, een fabrikant van auto-onderdelen die tot de Toyota Group behoort. De dochteronderneming verloor zo’n 34 miljoen euro, werd onlangs bekendgemaakt. Ceo-fraude groeit ook in Nederland. Uit cijfers die de NOS vorig jaar opvroeg bij de Fraudehelpdesk bleek dat het aantal meldingen van 2016 tot en met de eerste negen maanden van 2018 was toegenomen van 135 tot 164 en de schade van 6,5 ton tot 2,5 miljoen. En dat is nog maar het topje van de ijsberg, gaf de woordvoerder van de Fraudehelpdesk daarbij aan: ‘Wij krijgen maar ongeveer 10 procent van alle online fraude in Nederland als melding binnen. Er is bij bedrijven toch angst voor reputatieschade. Het zou mij niks verbazen als die 2,5 miljoen euro aan schade in werkelijkheid 25 miljoen euro is.’ Ceo-fraude treft inmiddels niet langer alleen dochterondernemingen van multinationals, ook het mkb en de non-profitsector worden vaker slachtoffer.

Voorbeeldcasus van ceo-fraude

Hoe ziet ceo-fraude er in de praktijk uit? Dat laat zich goed illustreren aan de hand van de volgende (fictieve) casus:

Het is vrijdagochtend. De controller van een industrieel concern opent zijn mailbox. Een mailtje van de ceo: of hij met spoed een internationale overboeking kan doen van 110.000 euro. Er is haast bij, de betaling moet nog voor het weekend geregeld zijn. Een hoop geld, denkt de controller nog. Het verzoek bevreemdt hem enigszins. Maar als de ceo het vraagt, dan zal het wel goed zijn. En die betaling moet vandaag nog de deur uit, dus meteen maar regelen dan. Hij maakt het bedrag over en denkt er niet meer aan. Totdat hij aan het eind van de dag de ceo toevallig alleen in de lift treft. ‘Het is nog gelukt met die overboeking, hoor’, zegt hij. De ceo trekt de wenkbrauwen op en zegt van niets te weten. Dan valt het kwartje: de controller is slachtoffer geworden van klassieke ceo-fraude.

Hoe herken je ceo-fraude?

Om de rol van de commissaris bij het voorkomen van ceo-fraude te bepalen, moet eerst stilgestaan worden bij de kenmerken ervan. Ondanks dat de gevallen schijnbaar veel van elkaar verschillen, is er toch een zeker patroon te onderkennen, aldus de Fraudehelpdesk. Zo wordt in het plaatsen van een nep-betaalverzoek duidelijk gebruikgemaakt van de gezagsverhouding tussen leidinggevende en medewerker of staffunctionaris: er is geen sprake van een verzoek om geld over te maken, maar van een bevel, dat bovendien binnen afzienbare tijd moet worden uitgevoerd. Tijdsdruk is een element dat alle gevallen van ceo-fraude kenmerkt. Een ander belangrijk punt is het feit dat er absolute geheimhouding wordt verwacht. Opnieuw wordt gebruikgemaakt van de eerder genoemde gezagsverhouding: de zogenaamde ceo verbiedt het delen van informatie over de betalingsopdracht. Daarbij wordt tegelijkertijd gebruikgemaakt van de kwetsbaarheid van de medewerker die de opdracht krijgt. Hij of zij wordt in de mail geroemd om zijn of haar kwaliteiten en capaciteiten om vertrouwelijk met de betaling te kunnen omgaan. Ondanks de geraffineerdheid van de nep-betalingsopdrachten, wordt er vaak ook gebruikgemaakt van valse emailadressen die bij nadere bestudering onjuistheden omvatten. Daarbij zijn letters net iets anders gespeld, wordt een i vervangen door een l, et cetera.

Zie toe op laagdrempelige overlegcultuur

Hoe te voorkomen dat bedrijven slachtoffer worden van ceo-fraude? Fraudeurs maken niet alleen gebruik van de goedgelovigheid van mensen, maar vooral van een hiërarchische, gesloten cultuur met klassieke gezagsverhoudingen, waarin medewerkers een opdracht van hun meerdere niet in twijfel durven te trekken of te checken. Er moet dus sprake zijn van een open en laagdrempelige overlegcultuur, waarin mensen zich vrij voelen om opdrachten van leidinggevenden uit hogere echelons te controleren. Vooral wanneer er haast in het spel lijkt te zijn. Dat betekent dat de ceo of cfo zich daarvoor moet openstellen en zich niet gewantrouwd moet voelen. De commissaris moet dan ook goed zicht hebben op de (hiërarchische) verhoudingen binnen een onderneming, het bestuur bewust maken van de risico’s daarvan en zo nodig aandringen op een cultuurverandering. De commissaris moet verder de afstand tussen directie en medewerkers bespreekbaar maken: kan men bij elkaar binnenlopen en gebeurt dat ook echt?

Is er een vier-ogenprincipe?

Natuurlijk moeten bedrijven ook hun interne risicobeheersings- en controlesystemen op orde hebben. Zoals het invoeren van een vier-ogenprincipe of zelfs zes-ogenprincipe, waarbij iemand niet alleen over grote bedragen kan beslissen, maar dit altijd moet afstemmen met collega’s. Als commissaris ondervraag je daarover niet alleen het bestuur en de verantwoordelijke functionarissen in de organisatie, maar ook de externe accountant. Zelfs als de controlesystemen op orde zijn, kan een extra maatregel helpen bij het voorkomen van ceo-fraude: zorgen dat de functionarissen binnen de onderneming slechts gelimiteerd over financiële middelen kunnen beschikken. Dus: beperk de hoeveelheid cash binnen een onderneming of dochteronderneming. Het klinkt eenvoudig, maar geld kan niet worden overgemaakt aan ceo-fraudeurs, als het niet voorhanden is. De commissaris dient dan ook goed door te vragen over de monitoringsystemen die de onderneming heeft ingevoerd, waarbij cash-prognoses niet vergeten mogen worden. Bijzondere opdrachten van nep-ceo’s zullen eerder opvallen als ze niet in de forecast zitten.

Vraag dóór: hoe hoog is het fraudebewustzijn?

Commissarissen mogen ook doorvragen op het creëren van awareness van ceo-fraude binnen de organisatie. Is het fenomeen bekend? Zijn casussen besproken met medewerkers die beschikkingsbevoegdheden hebben? Worden medewerkers met regelmaat op de hoogte gesteld van ‘de nieuwste technieken’ op dit vlak? Als commissaris kun je hier eenvoudig de vergelijking met IT trekken. Binnen ondernemingen worden continu wachtwoorden verplicht gewijzigd en dual verification-technieken ingevoerd. Maar wat wordt gedaan ten aanzien van de ontwikkelingen binnen het domein fraude? Hoe worden medewerkers daarvan bewust gemaakt? Er ligt een duidelijke taak voor de commissaris om aandacht te vragen voor deze aspecten.

Na de ceo-fraude

Een bedrijf dat is getroffen door ceo-fraude zal eerst via de bank en/of opsporingsorganisaties het geld proberen terug te krijgen, hoewel dat vaak kansloos blijkt te zijn. Van de commissarissen mag verwacht worden dat zij hierbij actief betrokken zijn. Daarbij zal ook moeten worden onderzocht of er niet van binnenuit geacteerd is. De onafhankelijke rol van de commissaris is bij dergelijke onderzoeken dan ook van groot belang.

Herstel van vertrouwen

Daarnaast zal op diverse terreinen actie moeten worden ondernomen. Kan de financiële schade worden gecompenseerd? Zijn er consequenties voor de investeringen? Wat is de financiële impact op de dagelijkse operaties? Zijn er personele consequenties door te voeren? Hoe komt de rust terug in het bedrijf? De commissarissen staan wat meer op afstand als het gaat om de organisatorische implicaties en verbeteracties op dit gebied. Wanneer een organisatie wordt getroffen door ceo-fraude, mag van commissarissen echter een continue betrokkenheid en adequaat toezicht worden verwacht, gericht op het herstel van vertrouwen in het bedrijf en bij de stakeholders. En, zoals eerder gesteld, op de totstandkoming van een robuustere cultuur om herhaling te voorkomen.

Klik hier voor contact met Leo Epskamp.

Dit artikel is in iets gewijzigde vorm eerder verschenen in CM Nieuws, de digitale nieuwsbrief van Custom Management Interim Directeuren. Klik hier om dit en andere artikelen te lezen.