Een internationaal opererend adviesbureau timmert aan de weg. De financiële afdeling bestaat uit twee medewerkers debiteuren/crediteuren, een personeels- en salarisadministrateur, een manager financiën en een financial controller. Als deze een standaardcontrole uitvoert, ziet hij iets geks. Er is een bedrag van 112.000 euro overgemaakt naar een bank in Maleisië. Dit zegt de controller niets, dus doet hij navraag bij de manager financiën. Die vertelt dat hij tijdens zijn vakantie op Bali in opdracht van de ceo een ‘vertrouwelijke’ betaling heeft gedaan vanwege een overname. De controller neemt contact op met de ceo. Die weet van niets. Er wordt een recherchebureau ingeschakeld.
Uit het interview met de manager financiën komt naar voren dat deze tijdens zijn vakantie een WhatsApp-bericht ontving. De afzender hiervan stond niet in zijn telefoon, de naam van de betrokkene was niet zichtbaar, alleen het telefoonnummer.
Wel herkende de manager financiën de profielfoto: de ceo van het bedrijf. Deze laat zich nauwelijks op de werkvloer zien en werkt op een van de buitenlandse kantoren. In het bericht wordt gemeld dat het bedrijf bezig is met het overnemen van een gerenommeerd adviesbureau, een van de grotere in de branche. Dit maakte de overname uitermate gevoelig en dus vertrouwelijk, zo staat in het bericht. Onderdeel van het overnameproces is het doen van een internationale spoedbetaling.
Er is 112.000 euro overgemaakt naar een bank in Maleisië
Controlemechanisme faalt
Plichtsgetrouw als de manager financiën is, gaat hij naar zijn hotelkamer en logt in op de werklaptop die hij – voor noodgevallen als deze – heeft meegenomen. Omdat er bij het bedrijf controlemechanismen zijn, dient een tweede persoon van de financiële afdeling de betaling in het boekhoudsysteem goed te keuren. De manager financiën belt dus met een van de medewerkers debiteuren/crediteuren en legt uit dat hij een betaling heeft klaargezet die moet worden goedgekeurd. Hij vertelt dat hij in verband met vertrouwelijkheid niet kan zeggen waar de betaling voor is en wie de begunstigde is. Deze medewerker – zo vertelt deze aan het recherchebureau – vindt het achteraf wel een vreemd verhaal, omdat er nog niet eerder een dergelijke internationale spoedbetaling had plaatsgevonden. Desalniettemin vertrouwt hij op het inschattingsvermogen van zijn leidinggevende en keurt de betaling goed, waarna het geld wordt overgeboekt.
De manager laat tijdens het interview de apps zien en vertelt dat hij nooit eerder WhatsApp-contact had gehad met de ceo. Ook had hij niet eerder zo’n verzoek tot een spoedbetaling ontvangen en hij wist niets van een aanstaande overname. Als de bank wordt gebeld, blijkt dat het bedrijf geluk heeft: de bank van de ontvangende partij heeft de betaling tegengehouden, omdat deze is aangemerkt als mogelijk frauduleus. De opluchting is groot: het geld is terug en de manager heeft zonder schade zijn lesje geleerd. Om dit soort zaken voortaan te voorkomen heeft het bedrijf middels een e-learningmodule extra aandacht gevraagd voor ceo-fraude.
Marcel Boekhorst is directeur Signum Interfocus
Meer blogs van Marcel Boekhorst lezen?
- Liefde op het eerste gezicht
- Goedkoop is duurkoop
- Ten halve gekeerd
- Aan het licht gebracht
- Goed netwerk
Volg Security Management op LinkedIn