Het is vrijdagochtend. De controller van een industrieel concern opent zijn mailbox. Een mailtje van de ceo: of hij met spoed een internationale overboeking kan doen van 110.000 euro. Er is haast bij, de betaling moet nog voor het weekend geregeld zijn. Een hoop geld, denkt de controller nog. Het verzoek bevreemdt hem enigszins. Maar als de ceo het vraagt, dan zal het wel goed zijn. En die betaling moet vandaag nog de deur uit, dus meteen maar regelen dan. Hij maakt het bedrag over en denkt er niet meer aan. Totdat hij aan het eind van de dag de ceo toevallig alleen in de lift treft. ‘Het is nog gelukt met die overboeking, hoor’, zegt hij. De ceo trekt de wenkbrauwen op en zegt van niets te weten. Dan valt het kwartje: de controller is slachtoffer geworden van klassieke ceo-fraude: oplichters die zich via een nep-emailadres uitgeven voor leidinggevenden - bijvoorbeeld de cfo of ceo - om bedrijven via nietsvermoedende medewerkers geld afhandig te maken.
Schadelijkste vorm van cybercrime
Dit (fictieve) voorbeeld staat al lang niet meer op zichzelf. Ceo-fraude is aan het toenemen. Zo meldde de FBI dat ceo-fraude in 2018 voor 1,2 miljard dollar schade heeft gezorgd en daarmee inmiddels de schadelijkste vorm van cybercrime is. De opsporingsdienst ontving maar liefst 20.000 meldingen van ceo-fraude. De VS vormen ook het toneel van de jongste vorm van ceo-fraude: via stemsoftware, waarbij de stem van de baas bedrieglijk echt wordt nagebootst en medewerkers in een neptelefoontje opdracht krijgen om bedragen over te boeken. Alleen in Amerika, denkt u? Misschien die stemsoftware nog wel, maar ceo-fraude via e-mail is ook in Europa snel aan het toenemen.
Toename in meldingen en schade
Een van de jongste slachtoffers is de Europese dochteronderneming van het Japanse Toyota Boshoku, een fabrikant van auto-onderdelen die tot de Toyota Group behoort. De dochteronderneming verloor zo’n 34 miljoen euro, werd onlangs bekendgemaakt. Ceo-fraude groeit ook in Nederland. Uit cijfers die de NOS vorig jaar opvroeg bij de Fraudehelpdesk bleek dat het aantal meldingen van 2016 tot en met de eerste negen maanden van 2018 was toegenomen van 135 tot 164 en de schade van 6,5 ton tot 2,5 miljoen. En dat is nog maar het topje van de ijsberg, gaf de woordvoerder van de Fraudehelpdesk daarbij aan: ‘Wij krijgen maar ongeveer 10 procent van alle online fraude in Nederland als melding binnen. Er is bij bedrijven toch angst voor reputatieschade. Het zou mij niks verbazen als die 2,5 miljoen euro aan schade in werkelijkheid 25 miljoen euro is.’ Ceo-fraude treft inmiddels niet langer alleen dochterondernemingen van multinationals, ook het mkb en de non-profitsector worden vaker slachtoffer.
Zorg voor laagdrempelige overlegcultuur
Leo Epskamp, vennoot van Custom Management, is ceo-fraude inmiddels een paar keer tegengekomen in zijn loopbaan. Hoe kunnen bedrijven voorkomen dat ze hiervan slachtoffer worden? ‘Fraudeurs maken niet alleen gebruik van de goedgelovigheid van mensen, maar vooral van een hiërarchische, gesloten cultuur met klassieke gezagsverhoudingen, waarin medewerkers een opdracht van hun meerdere niet in twijfel durven te trekken of te checken’, aldus Epskamp. ‘Zorg dus voor een open en laagdrempelige overlegcultuur, waarin mensen zich vrij voelen om opdrachten van leidinggevenden uit hogere echelons te controleren. Vooral ook wanneer er haast in het spel lijkt te zijn. Dat betekent ook dat de ceo of cfo zich daarvoor moet openstellen en zich niet gewantrouwd moet voelen.’
Vier-ogenprincipe
Natuurlijk moeten bedrijven ook hun risicobeheersings – en controlesystemen op orde hebben, stelt Epskamp. Zoals het invoeren van een vier-ogenprincipe of zelfs zes-ogenprincipe, waarbij iemand niet alleen over grote bedragen kan beslissen, maar dit altijd moet afstemmen met collega’s. ‘Maar zelfs die systemen kunnen niet waterdicht blijken te zijn, als de cultuur het bedrijf kwetsbaar maakt voor ceo-fraude’, waarschuwt Epskamp. De gevolgen kunnen groot zijn: als er grote hoeveelheden geld zijn verdwenen, kan de continuïteit in gevaar komen en zelfs een faillissement dreigen. Bovendien leidt het vaak tot onrust in het bedrijf, aldus Epskamp. ‘Collega’s gaan naar elkaar kijken: heeft hij of zij er misschien mee te maken? Dat is funest voor de sfeer en de samenwerking in het bedrijf. Medewerkers worden er ook angstig en onzeker door: heb ik misschien iets niet goed gedaan?’
Na de ceo-fraude: damage control
Een bedrijf dat is getroffen door ceo-fraude zal eerst via de bank en/of opsporingsorganisaties het geld proberen terug te krijgen, hoewel dat vaak kansloos blijkt te zijn. Als eenmaal duidelijk is dat het geld voorgoed is verdwenen, is het tijd voor damage control: de financiële schade compenseren, de rust in het bedrijf terugbrengen en voorkomen dat het nog eens gebeurt door de interne controle op orde te brengen en de cultuur te veranderen en te versterken. ‘Je zet allereerst een rem op de cash outflow, door investeringen terug te draaien of on hold te zetten’, aldus Epskamp. ‘Er moet strak gestuurd worden op liquiditeit: alles wat erin en eruit gaat moet gemonitord worden. Verder licht je de financiële processen door en zorg je dat deze waar nodig worden versterkt. Maar bovenal werk je aan een robuustere cultuur en het herstel van vertrouwen in het bedrijf en bij de stakeholders.’
Voorkom routinematig gedrag
Naast de eerder genoemde laagdrempelige cultuur als belangrijkste factor, l, is er een aantal praktische tips te geven voor het voorkomen (van een herhaling) van ceo-fraude. Epskamp: ‘Zorg als holding dat dochterondernemingen bijvoorbeeld aan het eind van elke week een beperkte hoeveelheid cash tot hun beschikking hebben. Dan kan het ook niet overgemaakt worden aan ceo-fraudeurs. Als er toch behoefte is aan extra geld, kan de dochter dat vooraf bij de holding aangeven.’ Een andere tip is om routinegedrag te voorkomen. De politie adviseert particulieren om geen vaste patronen in hun gedrag te vertonen, omdat criminelen dan precies weten wanneer en hoe ze kunnen toeslaan. Hetzelfde geldt voor bedrijven: routinematig gedrag, bijvoorbeeld van de financiële afdeling, maakt kwetsbaar. ‘Verander dus geregeld de procedures, de timing daarvan en de financiële autorisatie. Wijzig bijvoorbeeld regelmatig de bevoegdheden voor het aangaan van verplichtingen.’
Wake-up call
Een ceo-fraude kan een bedrijf ernstige schade toebrengen en moet te allen tijde voorkomen worden. Het kan een bedrijf uiteindelijk echter ook sterker maken, mits de crisis goed wordt gemanaged, aldus Epskamp. ‘Een geval van ceo-fraude fungeert als een wake-up call. Je wordt met zijn allen op de realiteit van cybercriminaliteit gedrukt. Na zo’n ingrijpend incident is iedereen alert op het voorkomen van herhaling. De procedures worden aangescherpt en de rol van finance en control wordt ineens een stuk serieuzer genomen door de rest van de organisatie. Een bedrijf dat het slachtoffer is geworden van ceo-fraude is echter pas goed geland als ook de cultuur is veranderd naar een plat en open overlegmodel, waarin twijfels kunnen worden besproken, zonder angst om daarop afgerekend te worden.’ In zo’n cultuur had de controller op die vrijdagochtend die 110.000 euro nooit meteen overgeboekt, maar de transactie toch eerst maar even bij de ceo gecheckt.