3 min read
Gaat je organisatie wel op een veilige manier om met financiële data?
Redactie Easy Systems 06 september 2019
Cybercriminaliteit, fraude en datalekken, hoe groot zijn nu eigenlijk de risico’s voor je organisatie? Of concreter nog, hoe groot is het risico voor je eigen afdeling en datgene waar jij verantwoordelijk voor bent? Maak je je daar wel eens zorgen over? Het lijkt een ver-van-je-bed-show; je laat je immers niet zo gemakkelijk in de luren leggen. Je bent niet iemand die zomaar een pincode doorgeeft aan ‘iemand van de bank’ die daar om vraagt. Toch?
En dáár gaat het mis: de opvatting dat je het écht wel door hebt als je opgelicht wordt. Want als je ook maar een klein beetje een idee hebt van hoe gemakkelijk het is om je voor te doen als een ander, dan ga je toch anders nadenken over hoe veilig je processen zijn ingericht.
Als financieel professional heb je een grote verantwoordelijkheid. Alle geldstromen binnen de organisatie komen voorbij. Als je je werk zorgvuldig doet, ga je er niet vanuit dat de directie bij je aanklopt omdat er iets mis is gegaan.
Wat zijn dan specifiek de risico’s die je loopt? Dat is voor elke organisatie anders en hangt ervan af hoe veilig je afdeling te werk gaat en hoe je systemen zijn ingericht. Beschouw onderstaande risico’s daarom vooral als een kans om je processen eens onder de loep te nemen.
Fraude
CEO-fraude en factuurfraude is een serieus probleem. Volgens de FBI levert dit criminelen wereldwijd maar liefst 1,2 miljard op. Denk hierbij aan vormen van fraude waarbij vanuit de naam van een directeur op het hoofdkantoor een e-mail wordt gestuurd met het verzoek om geld over te maken om een overname te bekostigen. Pathé raakte op die manier ruim 19 miljoen kwijt! Ook maken criminelen wel eens misbruik van echte interne e-mailadressen van een organisatie (spoofing). Denk aan het sturen van facturen met de opmerking dat een rekeningnummer is gewijzigd.
Een Belgisch consultancybureau deed onderzoek naar fraude en concludeerde dat in 37% van de gevallen een personeelslid betrokken was. Een recent voorbeeld van eigen bodem is de miljoenenfraude bij Rijkswaterstaat waarbij een medewerker voor ruim 2,3 miljoen euro aan valse facturen had ingediend.
Voordat ze aankomen bij de ontvanger kunnen papieren facturen onderweg simpel worden onderschept en aangepast. Bijvoorbeeld wanneer een brievenbus wordt leeggehaald. Het vervelende hiervan is dat je als organisatie denkt aan de betaling te hebben voldaan, terwijl de echte leverancier zijn geld niet heeft ontvangen en nog steeds recht op betaling heeft. Ook als je kunt aantonen dat je slachtoffer bent geworden van fraude moet je nog een keer betalen.
Dan heb je ook nog facturen die ‘op goed geluk’ verstuurd worden voor een bestelling die nooit gedaan is of een dienst die nooit geleverd is, hopende dat het bedrijf wel betaalt. Dergelijke ‘spookfacturen’ zien er vaak heel geloofwaardig uit, bijvoorbeeld omdat ze een logo bevatten die je van andere facturen herkent. Een extra factuur valt zo niet heel erg op.
Ook acquisitiefraude vindt regelmatig plaats. Dan staat er in de kleine lettertjes dat het gaat om een offerte totdat je betaalt. Het gaat dan meestal om kleinere bedragen zodat het binnen toleranties valt of in een minder gecontroleerd proces terecht komt. Voor kleinere bedragen is het dan vaak te veel gedoe om uit te zoeken wie de inkoper was - die uiteraard nooit gevonden wordt - en is het sneller en goedkoper om gewoon te betalen.
Dan zijn er ook nog facturen waarvan je niet zeker weet of ze bewust of onbewust niet zijn betaald. Denk aan een factuur waarvan de betalingstermijn al geruime tijd verstreken is en waar het bedrag nog altijd niet is overgemaakt. Als deze per post of e-mail is verstuurd, dan kan een ontvanger altijd ontkennen de factuur te hebben ontvangen. Als verzender van de factuur heb je dan vaak geen poot om op te staan. De verhoging met administratiekosten wordt voor het gemak en met het oog op het in stand houden van de goede relatie vaak achterwege gelaten.
Whitepaper
Waarom je met e-facturatie je factuurverwerkingsproces een stuk veiliger maakt
AVG
Heb je te maken met facturen waar persoonsgegevens op staan, dan heb je als organisatie te maken met de Algemene Verordening Gegevensbescherming (AVG) en dus de verantwoordelijkheid om zorgvuldig om te gaan met die gegevens. Stuur je een factuur per e-mail, dan is een typefout zo gemaakt en komen die gegevens bij de verkeerde persoon terecht.
Ook als je een ontvangen factuur ter controle doorstuurt, loop je het risico dat de e-mail bij de verkeerde persoon uitkomt. Natuurlijk hangt de impact van een dergelijk datalek af van de gevoeligheid van die gegevens. Denk aan een zorginstelling die patiëntgegevens op de factuur vermeldt. Die factuurgegevens zijn niet openbaar en je wilt dus niet dat ze op straat komen te liggen. Zowel de verzender als de ontvanger van facturen hebben daar een verantwoordelijkheid in.
Hebben onbevoegde personen toegang tot gegevens?
Of het nu gaat om persoonsgegevens of (kritische) bedrijfsgegevens, je wilt niet dat deze zomaar in te zien zijn. Of dat nou onbevoegde personen extern of intern zijn.
Kun je dat voorkomen? Misschien niet 100%, want er ontstaan altijd nieuwe manieren om te frauderen. Als gegevens echter goed zijn beschermd en iedereen in de organisatie zich bewust is van de risico’s, kun je fraude wel tot het minimum beperken. Zijn je systemen goed beveiligd? Heb je een policy voor wachtwoorden? Is iedereen er alert op om niet zomaar op links in e-mails te klikken?
Bangmakerij?
Nee, bewustmaking. Wees je bewust van de risico’s en denk met dát in je achterhoofd nog eens na over je processen. Gaat jouw afdeling op een veilige manier om met (financiële) data of valt er nog werk te doen? En wees gerust, je hoeft niet zelf het wiel opnieuw uit te vinden: lees onze tips voor een veilige financiële afdeling.
Jan Willem ter Steege
Algemeen directeur