Winkelmand

Geen producten in je winkelmand.

‘Open bedrijfscultuur cruciaal in voorkomen CEO-fraude’

Edwin Slutter werd als CFO het medeslachtoffer van CEO-fraude. Nu wil hij collega-bestuurders en topmanagers behoeden voor hetzelfde door te wijzen op kwetsbaarheden in bedrijfscultuur. ‘Het kan iedereen overkomen’.

open bedrijfscultuur noodzakelijk voorkomen ceo fraude Unsplash
Je leest nu: ‘Open bedrijfscultuur cruciaal in voorkomen CEO-fraude’

Als financieel directeur van Pathé Nederland krijgt Slutter, via de Nederlandse CEO, in 2018 het verzoek van de groeps-CEO om geld over te maken voor een buitenlandse overname. Wanneer ze uiteindelijk instemmen volgen meer verzoeken. Uiteindelijk zal er 19 miljoen euro worden overgemaakt voordat blijkt dat de bioscoopketen slachtoffer is van CEO-fraude. 

Pathé is zeker niet het enige slachtoffer van fraude waarbij internetcriminelen zich voordoen als een hooggeplaatste bestuurder om vervolgens medewerkers te benaderen met het verzoek om betalingen te regelen. De FBI schat dat criminelen tussen oktober 2013 en mei 2018 wereldwijd zo’n 12,5 miljard dollar hebben buitgemaakt via CEO-fraude. 

Schaamtegevoelens

Onduidelijk is hoe groot de schade van CEO-fraude in Nederland is. De Fraudehelpdesk noemde in september 2018 – voor het bekend worden van de Pathézaak – een bedrag van 2,5 miljoen euro. Slutter vermoedt dat de schade van CEO-fraude veel gevallen onder de pet wordt gehouden. ‘Het probleem blijft onderbelicht, omdat veel bedrijven en bestuurders zich ervoor schamen. Het voelt alsof ze falen.’

Nadat hij slachtoffer werd van CEO-fraude is Slutter zich gaan verdiepen in het fenomeen. Hij constateerde dat de bescherming tegen dit type identiteitsfraude vaak in de technische hoek wordt gezocht. ‘Bijvoorbeeld door meer regels en procedures toe te voegen of te investeren in IT-oplossingen’, zegt Slutter. Wat volgens hem volledig over het hoofd wordt gezien is de rol die bedrijfscultuur speelt. 

Hoe korter de lijntjes, hoe minder kans fraudeurs maken

‘Vooral bij grote international bedrijven is macht en hiërarchie een belangrijk thema dat nauwelijks herkend wordt. Machts- en gezagsverhoudingen kunnen een drempel vormen die het aanpakken van CEO-fraude lastig maakt’, stelt Slutter. De voormalig financieel directeur legt uit dat kwaadwillenden het doorgaans hebben voorzien op dochterbedrijven. Wanneer (bestuurders van) deze dochterbedrijven op te grote afstand staan van het hoofdkantoor maakt dat de organisatie kwetsbaar. 

Geraffineerde criminelen

Hoe korter de lijntjes tussen dochter- en moedermaatschappij, hoe minder kans fraudeurs maken zo is de overtuiging van Slutter. ‘Het liefst wil je dat iedereen de telefoon kan pakken om de baas te bellen’, zegt hij. De realiteit is volgens hem dat dit in veel bedrijven niet het geval is. Vaak staan cultuurverschillen in de weg. ‘Duitse, Franse en Italiaanse bedrijven zijn veel hiërarchischer ingesteld. Daar neemt de CEO vaak simpelweg beslissingen. In zo’n cultuur durft niemand hem tegen te spreken. Angst dooft creativiteit en een kritische houding.’

Terugkijkend op zijn eigen casus denkt Slutter niet dat hij anders had kunnen opereren. ‘Anders had ik het wel gedaan.’ Het idee dat fraudeurs de boel tillen met een paar mails in slecht geschreven Engels is volgens hem achterhaald. CEO-fraudeurs gaan steeds geraffineerder te werk. ‘Soms monitoren ze maandenlang het e-mailverkeer van de echte CEO. Hierdoor hebben ze een goede inkijk in zijn manier van handelen en de bedrijfscultuur. Ze doen hun huiswerk heel goed’, illustreert Slutter. 

Vervolgens tasten ze af wie ze kunnen benaderen en waarvoor. Ze slaan bijvoorbeeld toe op een moment dat een bestuurder het druk heeft of net aangetreden is. ‘Daarnaast zetten ze in op autoriteit. Ze maken je belangrijk door je deelgenoot te maken van een geheime transactie’, zegt Slutter. Hackers spelen met social engineering in op de menselijk (hiërarchische) relaties binnen het bedrijf. Ondergeschikten kunnen orders van bovenaf niet weigeren en er over spreken met anderen – is door de voorgehouden exclusiviteit – niet gemakkelijk. 

Speak-up-cultuur

Slutter stelt dat bedrijven zich alleen kunnen wapenen tegen zulke fraude door de organisatie zo plat mogelijk te houden. Alleen inzetten op digitale beveiliging werkt volgens hem niet, omdat dit een kat-en-muis-spel is tussen hackers en de IT-afdeling. Als bestuurder moet je volgens de voormalig CFO een ‘speak-up-cultuur’ creëren. ‘Wanneer je alleen maar meer regeltjes en procedures instelt, dan gaan mensen die braaf volgen. Je wil dat ze zelfstandig blijven nadenken.’ Maar hoe ga je als ‘lagergeplaatste’ in een hiërarchische organisatie om met het vermoeden van CEO-fraude? ‘Als de bedrijfstop onbereikbaar blijkt kun je de zaken met je manager, vertrouwenspersoon of de ondernemingsraad bespreekbaar maken. Zorg in in ieder geval dat je melding maakt’.

Slutter, die nu bedrijven adviseert over het voorkomen van CEO-fraude, ziet ook een belangrijke rol voor commissarissen. ‘Zij moeten zorgen voor diversiteit onder bestuurders van het bedrijf. Anders wordt er nooit een scherpe discussie gevoerd.  Daarnaast zou het helpen als commissarissen niet alleen op voorgeprogrammeerde momenten zich bemoeien met het bedrijf, maar onaangekondigd langskomen om de bedrijfscultuur te ervaren.’

De voormalig CFO merkt dat veel vakgenoten het gevoel hebben dat CEO-fraude iets is wat hen niet overkomt. Het is een houding die hij, wijzend op de lepe werkwijze van criminelen, onbegrijpelijk vindt. ‘Het kan echt iedereen overkomen. Zeker nu de economie booming is, geven bedrijven makkelijker geld uit. Hierdoor kan de aandacht op betalingen verslappen.’