Risico-management lessen van Pathé

De recente CEO-fraude bij Pathé was groot nieuws. Twee directeuren van Pathé hebben zich in de luren laten leggen door een groep fraudeurs en een bedrag van in totaal € 19,2 mln. overgemaakt naar Dubai. Het bericht leidt tot diverse grappen op social media: “niet te filmen dit”, “kinderlijk eenvoudig opgelicht” en “een goed script voor een film”. Ook zijn veel mensen verontwaardigd dat de CFO van Pathé zijn ontslag op staande voet heeft aangevochten (ontslag blijkt terecht, op staande voet niet).

Het is goed dat deze fraude in de openbaarheid komt. Vaak blijft de toedracht van dergelijke fraudezaken onder de pet. Achteraf mag een fraude knullig overkomen, maar denk niet dat dit jou of jouw organisatie niet kan overkomen. Managers en controllers kunnen en moeten hiervan lessen trekken. Lees het vonnis.

Les 1: Fraudeurs bereiden zich steeds beter voor

Uit het feitenverloop blijkt dat CEO-fraudes het stadium ontstegen zijn van e-mails met taalfouten over “de Nigeriaanse oom die een geweldige investering kan doen”. De fraudeurs hebben uitgebreid onderzoek gedaan naar Pathé en diverse voorbereidingen getroffen:

Er zijn e-mails gestuurd waaronder de juiste naam van de directeur van het Franse hoofdkantoor staat. Het e-mailadres van deze directeur lijkt in eerste instantie ook correct.
De handtekeningen onder de toegestuurde contracten blijken overeenkomstig de werkelijke handtekeningen.
De KPMG-medewerker met wie de Nederlandse directeuren contact moesten opnemen om de betaalgegevens te ontvangen, betreft een bestaande naam bij KPMG. De CFO heeft hem gegoogeld.
De naam van de begunstigde vennootschap waaraan betaald moet worden, kan op internet gevonden worden.
Ten slotte valt niet uit te sluiten dat de fraudeurs hebben onderzocht wanneer de CFO met vakantie was. Een deel van de fraude speelt zich immers tijdens zijn vakantie af.

Les 2: Wees onder alle omstandigheden alert op onregelmatigheden en bedrijfsgeheimen

Bijzondere verzoeken per e-mail moeten altijd met de nodige argwaan bekeken worden, ook al komt deze van een meerdere. Benadrukt wordt daarbij dat de transactie bij Pathé strikt geheim moet blijven. Ook al gaat het om een transactie met een geheim karakter, dan nog zijn er altijd meerdere personen betrokken. Geheimen passen eigenlijk niet (of nauwelijks) in een moderne bedrijfscultuur. Overigens zien wij hier ook dat dat het element “haast” doelbewust is ingezet.

Les 3: Regel procedures en beveiligingsmaatregelen goed in

Waarschijnlijk moet ook bij Pathé iedere betaling van een kleine factuur geautoriseerd zijn door meerdere personen. Hoe kan het dan toch dat zulke omvangrijke bedragen zo gemakkelijk zijn overgemaakt? Het betalingsproces moet staan als een huis: met dubbele autorisaties en controles van de onderliggende documenten. En natuurlijk moet de ict-beveiliging goed zijn, waarmee gevaarlijke e-mails worden onderschept en phising wordt tegengegaan.

Les 4: Zorg voor een fraudebeleid en fraudebewustzijn

De CFO van Pathé voert bij de rechter aan dat hij bij Pathé nooit getraind of geïnstrueerd is op ‘fraude en fraudesignalen’. Dat argument lijkt mij niet valide. Van de CFO, Register Accountant die zelf een eindverantwoordelijke positie bekleedt, mag verwacht worden dat hij bekend is met het risico van fraude. Als iemand zélf nog nooit met fraude te maken heeft gehad, kan hij zich daarop laten bijscholen. Het is immers een belangrijk thema.
Binnen veel organisaties bestaat inderdaad overigens weinig aandacht voor fraude. Men moet daarom regelmatig met elkaar van gedachten wisselen over het risicomanagement van de organisatie in het algemeen en over frauderisico’s in het bijzonder. Kunnen we ook lering trekken van fraudezaken binnen en buiten het eigen bedrijf? Waar is de kans op fraude het grootst? Dit leidt tot betere procedures en vooral een grotere alertheid bij de medewerkers. Nieuwe medewerkers moeten hierin ook worden meegenomen, want nog niet meteen bekend met de bedrijfsregels en -cultuur.

Werk aan de winkel zou ik zeggen!