Deze week hoorde ik weer eens van fraude die opduikt in de vakantieperiode.(bron de fraudedesk)
Een medewerker op de financiële administratie krijgt een e-mail van de directeur, waarin die de opdracht geeft om een fors bedrag over te maken naar een buitenlandse rekening. Ter verificatie van gegevens kan hij een advocatenkantoor bellen. Dit ‘advocatenkantoor’ zit in het complot van de fraudeurs. De criminelen hebben voorafgaand aan hun acties de e-mailadressen van de directeur en van de functionaris op de financiële administratie achterhaald. De directeur is op vakantie en de medewerker van de financiële administratie ziet geen aanleiding om hem daar te storen, belt wel nog even met het ‘advocatenkantoor’ of bij een wat grotere onderneming werkt de administrateur bij een dochteronderneming en kent de directeur niet persoonlijk. De afstand tussen beiden is zo groot, dat hij niet durft na te gaan of het wel klopt.
Het Nederlandse filiaal van een Amerikaanse firma is hierdoor 800.000 euro kwijtgeraakt en een agrarische onderneming ruim 500.000 euro. De directeur van een Zweedse handelsmaatschappij in Noord-Holland schakelde na het verlies van drie miljoen euro de Fraudehelpdesk in. Via contacten bij Europol kon het geld worden teruggehaald van een bankrekening in België, die op naam stond van een Fransman. In Frankrijk en Duitsland worden bedrijven al jaren slachtoffer van 'directeur-fraude'.
Meteen kwam bij mij een andere vakantiefraude weer in het geheugen. Enkele jaren geleden was ik als CFO werkzaam in een internationale handelsorganisatie en was ik ook verantwoordelijk voor de ICT. Na mijn vakantie kwam de receptioniste van het bedrijf en zij had een pakje voor mij aangenomen tijdens mijn afwezigheid. Wel was het een rembourszending en had zij daarvoor € 450,= betaald aan de postbode. Maar wat was het geval……………….. Ik had niets besteld! En het pakje bevatte een USB stick, maar die was geheel leeg!
Waren bovenstaande gebeurtenissen nu te voorkomen? Ik denk van wel.
Het begint natuurlijk al dat niet 1 maar ten minste 2 paar ogen een betaling moeten fiatteren alvorens die kan worden uitgevoerd. Een email opdracht van de directie (en zeker als dat niet de eigen leiding gevende is) om zomaar geld over te maken, moet m.i. altijd intern gecontroleerd worden. Wat wordt er betaald waarom, hoe moet dit geboekt gaan worden etc.
Ook de remboursfraude was simpel te ondervangen. In principe accepteren we geen rembourszendingen. Als dit bij hoge uitzondering dan wel moet, dan moet deze vooraf door de bestellende medewerker aangevraagd en door zijn direct leidinggevende geaccordeerd worden. Vervolgens wordt onder vermelding van leverancier, inkoopordernummer en remboursbedrag dit schriftelijk (email) aangemeld bij de personen die eventueel dit kunnen ontvangen. Zij zullen overigens niet zelf de remboursbetaling moeten kunnen verrichten. Dit zal een andere medewerker moeten zijn die zich eerst vergewist van de gemelde rembourszending en de daarop rustende toestemming.
En zoals in het verkeer: bij twijfel niet inhalen…… Dan maar de rembourszending weigeren………of de toorn van de directeur over je heen laten komen.