fraudepreventie Veel werkgevers sluiten ogen voor fraude en preventie Gelegenheid maakt nog altijd de dief We frauderen. Met informatie, tijd, geld en goederen. Meer dan driekwart van de Nederlandse organisaties is te naïef om daar goede preventiemaatregelen tegen te nemen, zegt Richard Franken, managing director van Hoffmann Bedrijfsrecherche. tekst Nicole Weidema O m maar met het slechte nieuws te beginnen, niemand is boven verdenking verheven. Niet de baas – één op de vier fraudes wordt gepleegd door managers en bijna een derde door bestuurders – niet de jongste bediende en al helemaal niet die oudere medewerker die al járenlang een loyale collega is. Juist de onopvallende grijze muis, waar niemand enig kwaad van denkt, is volgens het onlangs gepubliceerde Hoffmann Statistiek steeds vaker degene die binnen het bedrijf geld, goederen of data verdonkeremaant. Franken: “Je hoort vaak zeggen: ‘Hij kan het niet geweest zijn, hij is hier al jaren, hij is er altijd.’ Ja logisch, want als hij er niet is, dan valt zijn hele systeem in duigen. Dan ziet zijn vervanger dat de voorraden er heel anders uitzien dan op papier staat.” De opkomst van de oudere werknemer als pleger van bedrijfsfraude kan volgens Franken deels worden verklaard uit de crisis en de maatregelen om mensen langer te laten werken. Er zijn meer oudere daders, omdat er sim- pelweg meer oudere werknemers zijn. Maar, het kan ook zo zijn dat voorheen gewoon niet werd geloofd dat iemand na al die jaren trouwe dienst zijn eigen zakken zou blijken te vullen. Concurrentie Vorig jaar was er een duidelijke toename te zien van werknemers die hun werkgever rechtstreeks gingen beconcurreren. Werkgevers leggen zich er te vaak bij neer dat voormalige werknemers, of zelfs mensen die nog in dienst zijn, lak hebben aan hun concurrentiebeding. Franken noemt een voorbeeld uit zijn persoonlijke omgeving. Een kennis vertelde dat twee van zijn werknemers voor zichzelf wilden beginnen. En het vermoeden bestond dat ze niet alleen precies hetzelfde wilden gaan doen, maar dat ze daar in de baas zijn tijd al volop mee bezig waren. Ze vroegen om ontheffing van het concurrentiebeding en de geheimhoudingsovereenkomst. De werkgever had zijn zoon via de mainframe een blik in de computers laten werpen, maar daar 33 fraudepreventie De opkomst van de oudere werknemer als pleger van bedrijfsfraude kan volgens Richard Franken deels worden verklaard uit de crisis en de maatregelen om mensen langer te laten werken. waren geen belastende documenten te vinden. De werkgever was bang dat alle bewijsmateriaal was gewist. Franken: “Maar echte experts kunnen nog heel veel boven tafel halen. Een paar jongens van ons mochten onderzoek doen. Dat kostte hem een gering bedrag, en hij heeft er heel veel ellende mee weten te voorkomen. Hij heeft ze via de rechter voor jaren kunnen verbieden om concurrerend werk te doen. Ze hebben het onderzoek moeten betalen, want ze waren inderdaad onder werktijd bezig hun bedrijf op te zetten. En je zag ook klantgegevens naar de computers thuis 34 | s e c u r i t y M a n ag e m e n t | 4 2014 lekken. Je kunt veel meer dan werkgevers denken. Steeds vaker in de digitale sfeer, maar soms ook heel gewoon door voor de voordeur te gaan staan en kijken wat iemand die dag gaat doen.” Veel te vaak wordt er binnen organisaties nog vanuit gegaan dat het ‘bij ons zo’n vaart niet zal lopen’ zegt Franken. “Kijk eens naar je eigen organisatie. Hoe is het systeem beveiligd? Wanneer zijn voor het laatst de wachtwoorden veranderd? Als onze onze ethical hackers in opdracht van de ondernemer een pentest uitvoeren, zien ze in 90 tot 95 procent van de gevallen kans om in ‘Juist de onopvallende grijze muis is steeds vaker de dader’ maximaal drieënhalf uur de organisatie binnen te komen. Dat geloven ondernemers pas als ze het zien.” Overheid Ook binnen de overheid vertoont fraude een stijgende lijn. Van corrupte ambtenaren tot sjoemelende burgemeesters en wethouders, in de afgelopen zeven jaar verdrievoudigde het aantal incidenten bij (semi)overheden. Franken: “Ambtenaren zijn net gewone mensen. Die hebben er de afgelopen jaren ook niet veel geld bij gekregen.” Maar ook de informatiebeveiliging is bij de gemeente lang niet altijd goed geregeld. In verreweg de meeste gevallen waar een gemeente Hoffmann inschakelt zitten er volgens Franken behoorlijke gaten in de beveiliging en kan een hacker dus relatief makkelijk in de systemen binnen dringen. ICTmanagers denken ook bij de overheid zelden met de mindset van een crimineel. Franken: “Dat is zijn werk ook niet. De ICT-manager moet ervoor zorgen dat de systemen blijven draaien. Dat is geen onderzoeker. Wij hebben een onderzoek uitgevoerd in Almere. Burgemeester Jorritsma is zich de tandjes geschrokken. Onze onderzoekers konden sluizen manipuleren.” Risicomanagement Franken schat dat ruim driekwart van de Nederlandse organisaties te weinig aandacht besteed aan risicomanagement als het gaat om het voorkomen van criminaliteit. “Dat beeld zien we eigenlijk al drie jaar. We krijgen minder opdrachten voor preventieve maatregelen, voor pentesten, voor risicoanalyses en beveiligingstaken. Dat geeft voor 2014 en 2015 een beeld van verwaarlozing. Het tuintje is in 2011, 2012 en 2013 niet bijgehouden. Er zullen nog behoorlijke incidenten gaan plaatsvinden. Je hoeft niet helderziend te zijn om dat te voorspellen. Waarom zie je nu meer fraude gevallen? Dat is deels de recessie, maar ook doordat de kans groter is geworden. Mensen mochten door Het Nieuwe Werken flexibeler gaan werken. Door de crisis zijn ook leidinggevenden weggesaneerd, dus er was minder toezicht en de werkdruk is verhoogd. Je moet meer werk doen en je krijgt er minder salarisverhoging voor. Dan heb je dus motief en kans. Dan hoeft het alleen nog maar in je hoofd op te komen om te frauderen.” Er is veel financieel voordeel te behalen door te weten wat de werkelijke risico’s van de onderneming zijn, zegt Franken. “Dan heb ik het niet alleen over ICT-risico’s. Dan heb ik het ook over de vraag: ‘Ken je je voorraden? Heb je zelf wel eens geprobeerd om te kijken of je ‘s avonds makkelijk ergens bij kunt? Of de bureaus zijn afgesloten of dat de wachtwoorden onder het tabblaadje lagen? Dat is die naïviteit die in Nederland meer in de cultuur zit dan in de ons omringende landen als Duitsland en Engeland.” ‘Je hoeft niet helderziend te zijn om te voorspellen dat er nog grote incidenten gaan plaatsvinden’ Bewustzijn Er is volgens Franken een verschuiving in het bewustzijn nodig. “Je kunt niet alles vastleggen. Maar wel de belangrijkste regels. Laat weten waar de lat ligt en wat je wel en niet tolereert. Veel bedrijven doen dat niet. Vraag bij een gemiddeld bedrijf wat het beveiligingsbeleid is en meestal kost het ze heel veel moeite om dat boven tafel te halen. Daar kan veel meer aandacht aan worden besteed. De rest is communicatie. Mensen moeten weten dat ze naast het recht op geld voor hun prestatie, ook recht op controle hebben. De een controleer je meer dan de ander en dat baseer je op de omstandigheden en objectiviteit. Dat betekent dus dat ook iemand die 25 jaar in dienst is gecontroleerd mag worden als uit onderzoek blijkt dat die oude medewerker minder zuiver op de graad is dan de jongste bediende.” n Nicole Weidema is journalist bij Vakmedianet 35
© Copyright 2024 ExpyDoc
