Fraude blijft een hot item voor accountants. Omar El Messaoudi wil de komende tijd regelmatig een fraudecasus aanhalen, om de sector te triggeren en om gezamenlijk lessen hieruit te trekken.

Discussie Column 04 oktober 2023

Fraudelessen: ceo-fraude

Deze maand staan we stil bij ceo-fraude. De laatste tijd lijkt dit wel een trend te gaan worden. Door de jaren heen hebben zich talloze soortgelijke fraudecasussen voorgedaan. In 2018 zagen we al dat bioskoopketen Pathé voor 19 miljoen euro was opgelicht. Criminelen deden zich voor als directeuren van het Franse hoofdkantoor en stuurden e-mails naar de Nederlandse directie, met het verzoek om geld over te maken. Dit werd een aantal keer gedaan, totdat het mooie bedrag van 19 miljoen euro werd aangetikt. Het lijkt net een sterk verhaal uit de reeks van Lucky Luke. Tóch gebeurde het!

Als accountant krijg je er dan meteen rillingen van en spoken er allerlei vragen door het hoofd. Hoe heeft zo'n simpele truc tot zoveel schade kunnen leiden? Waar zijn de systemen, processen, protocollen, beheersmaatregelen, het verstand en de kritische houding gebleven? Hoeveel mensen namen hieraan deel? Jij en ik weten natuurlijk al meteen dat er intern ook wel het een en ander moet gebeuren, wil dit trucje lukken. Een inside job, zeg maar. Het ging namelijk wel heel soepel daar bij de bioscoopketen. Een aanvraag van een Pathé-pas is nog strakker geregeld. Je moet nog net geen irisscan doen en probeer maar niet om je pasje aan een ander mee te geven om op jouw naam van een film te genieten. Dat gaat hem niet worden. Toch kun je door een simpele mail wel enorme bedragen uit dit soort organisaties onttrekken, zo lijkt het. Of zit hier meer achter? Beter gezegd: Zitten hier meer mensen achter?

Ook in gemeenteland was het recent weer raak. Uit een artikel van 14 september 2023 bleek dat de gemeente Alkmaar dit keer slachtoffer was van ceo-fraude. Ik noem het liever 'een simpel mailtje sturen om geld over te boeken zonder verder na te denken-fraude'. Ook hier deed iemand zich namelijk voor als directeur en stuurde vervolgens een mailtje met het dringend verzoek om een enorm bedrag over te maken. In totaal betaalde de gemeente Alkmaar onterecht een bedrag van € 236.000.

Zo zijn er nog talloze voorbeelden. Het lukt keer op keer. Ik kan mij niet voorstellen dat zulke grote organisaties geen processen en internebeheersmaatregelen hebben die periodiek worden getoetst, om dit soort eenvoudige risico's te mitigeren. Ik kan mij ook niet voorstellen dat zulke organisaties geen restricties hebben op de financiële middelen. Vierogenprincipes, three lines of defence, AO/IB-beleid zijn allemaal bekende termen die dagelijks door de gangen galmen daar. En tóch lijkt een simpel mailtje alles teniet te doen. Management override of controls, hoor ik velen van jullie dan al roepen. Je kunt het zo mooi inregelen als je wilt, maar topmanagement kan altijd dwars door systemen, processen en protocollen heen acteren. Dit risico wordt in veel audits ook als een standaard significant risico aangeduid, wat resulteert in extra auditstappen.

Onze audithandleidingen zitten vol met uit te voeren stappen en tijdens de verschillende meetings komen de al hierboven genoemde punten wel aan bod. Wij moeten echter niet op de automatische piloot dit soort lijstje afwerken. Het klinkt gek, maar je moet kunnen denken als een fraudeur. Geld onttrekken uit een organisatie via een mail gaat over verschillende schijven en langs verschillende handen. Dit betekent automatisch dat meerdere mensen aan deze truc meegewerkten. Ik kan mij namelijk niet voorstellen dat alleen de mailende partij deelnam aan dat trucje. Laten wij stilstaan bij een aantal lessen.

• Fraude is in veel gevallen een samenwerking tussen verschillende mensen. Als de fraude van buitenaf komt, is er vaak intern ook iets niet pluis. Let op het paard van Troje. Staar je dus als accountant niet blind op alleen de directeur of een andere key figure binnen de organisatie, maar volg de lijntjes ook naar andere mensen op de werkvloer en externen.
• Let niet alleen op de complexe processen waar veel stappen aan te pas komen en mensen bij betrokken zijn, maar houdt juist ook de eenvoudige processen in een organisatie in het zicht. Vaak zijn dit de olifantenpaadjes waaraan slechts een beperkt aantal werknemers zijn gekoppeld.
• Bliksem slaat wel tweemaal in op dezelfde plek. Professoren geven aan dat de lucht wordt opgewarmd door de eerste bliksemschicht en daardoor glijdt de volgende bliksem makkelijker door de voorverwarmde route. Dit kan in de praktijk ook gebeuren als het om fraude gaat. Het is de eerste keer gelukt. Kwaadwillenden zagen dat het kan en op welke manier het kan. Ook kunnen bepaalde personen dicht op de bal blijven om te zien hoe de organisatie het gat probeert te dichten. Deze mensen kennen dan ook de zwakke plekken voor een eventuele volgende fraude. Wees hierop alert!
• Stuur fraudevragen niet alleen naar een specifieke groep mensen (vaak leidinggevenden), maar naar verschillende lagen in de organisatie en vergelijk de antwoorden vervolgens met elkaar. Spreekt men redelijk dezelfde taal of lopen de antwoorden uiteen? Ook dit kunnen signalen zijn om extra alert te zijn. Stel dat een leidinggevende aangeeft dat de betaling van urgente facturen een aantal stappen doorloopt en weinig tot geen risico bevat en dat hierover afspraken zijn, terwijl een medewerker van de facturenadministratie antwoord dat facturen met een hoge urgentie zo snel mogelijk op de betaallijst van de directeuren moeten komen.
• Een fraudeur zoekt vaak de makkelijkste route met het meeste rendement. Probeer bij je risicoanalyse dan ook niet altijd alle pientere mensen in een kamer te gooien om te bedenken hoe een fraude kan worden gepleegd bij de specifieke organisatie. Je kunt al gauw te moeilijk denken en met allerlei briljante mogelijkheden komen, terwijl de fraudeur ondertussen in de praktijk bezig is met het uittikken van een simpele mail.

Ik ben benieuwd naar de lessen die jullie uit deze casussen hebben onttrokken. Wellicht is het een idee om die lessen te bundelen, om van en met elkaar te leren. Een soort fraudpedia. Ik zie sommigen van jullie al glunderen.

Tot slot wil ik afsluiten met een challenge. Even kijken hoe scherp wij zijn. Ik heb de volgende vraag aan alle accountants: Wat klopt er niet als je de casus gemeente Alkmaar naast de casus Pathé legt?

Denk goed na. Het gaat dieper dan je in eerste instantie denkt. Wellicht ontvangt de accountant, die als eerst met het juiste antwoord komt, een leuke prijs. Het antwoord kan worden gegeven in de commentbox.