Allianz

Trade
CONTACT
Zoeken
Mensen die vergaderen over een anti fraudebeleid in hun organisatie

Blog Marcel: de zwakste schakel: ketenrisico’s vragen om aandacht

Bedrijven en andere organisaties staan nooit op zichzelf maar zijn onderdeel van een keten. Te vaak wordt het cliché ‘de keten is zo sterk als de zwakste schakel’ bewaarheid. Toch focussen veel bedrijven zich vooral op de eigen, interne omgeving. Die moet er piekfijn uitzien: adequate processen en procedures, een systeem van administratieve organisatie om de vingers bij af te likken, de cyberveiligheid maximaal op orde, zorg voor een optimale en fraudebestendige bedrijfscultuur, een robuuste frauderisicoanalyse, maatregelen die de frauderisico’s in belangrijke mate mitigeren en alle mogelijke defensielijnen die zo nodig de alarmbellen snel en hard doen rinkelen.

Desondanks gaat het echter toch nog weleens mis. Omdat door een interne focus, de externe risico’s onderbelicht blijven terwijl deze zich wel voordoen, met alle gevolgen – zoals financiële en reputationele schade – van dien. Daarom een pleidooi om meer aandacht te schenken aan hetgeen in de keten mis kan gaan, waarbij ik focus op de toeleveringsketen waarin leveranciers en externe partners uw bedrijf – bewust of onbewust – kunnen blootstellen aan frauderisico’s, cyberaanvallen, AI-fakes, reputatierisico’s en schade.

Voorbeeld: cyberaanval als spaak in de wielen

Het is een feit dat bedrijven – en de ketens waarin zij opereren – steeds meer afhankelijk raken van geautomatiseerde systemen en informatietechnologie. In hun productieprocessen, voorraadbeheer, verkoop- en boekingsprocessen, financiële transacties, de cliënt- en overige administratie en nog vele andere zaken. Vliegtickets en hotelovernachtingen boeken we al lang niet meer door een bezoek aan een reisbureau, maar via het internet. Velen bankieren bij een internetbank. Herhaalrecepten voor medicijnen worden aangevraagd via websites en halen we niet op aan de balie bij een apotheek, maar trekken we tegenwoordig uit een machine die 24 uur per dag benaderbaar is. Maar wat als de platforms en websites worden platgelegd die KLM, Booking.com, internetbanken en apotheken gebruiken? In welke mate raakt dat niet alleen deze bedrijven, maar ook hun ketenpartners? Welke preventieve maatregelen hebben uw ketenpartners getroffen om de schadelijke effecten te mitigeren van gebeurtenissen elders in de keten? Zijn zij afdoende verzekerd, waardoor zij de schade voor zichzelf maar wellicht ook voor u kunnen beperken?

Een gerichte cyberaanval op uw bedrijf kan ook plaatsvinden doordat cybercriminelen via een ketenpartner infiltreren in uw bedrijfssystemen en deze platleggen, een zogeheten ‘supply chain-aanval’. Aanvallers die uw – naar eigen zeggen en gevoel goed beveiligde - bedrijf willen aanvallen zoeken een zwakke ketenpartner uit en vallen via deze partner aan. Dat is goed mogelijk indien elkaars systemen vanwege efficiency-overwegingen op elkaar aansluiten, informatie wordt uitgewisseld of op andere wijze middels ICT-systemen wordt samengewerkt. Cyberaanvallen vinden bijvoorbeeld plaats via Advanced Persistent Threat-software, waarmee zwakke plekken in systemen worden gedetecteerd, via dergelijke software toegang wordt verkregen tot vertrouwelijke informatie en verstoringen in bijvoorbeeld productieprocessen kunnen worden veroorzaakt.

Bedrijven dienen niet alleen alert te zijn op de eigen digitale weerbaarheid, maar ook op die van hun ketenpartners. Zijn er zwakke schakels in de keten? Welke systemen hanteren ketenpartners? Op welke wijze zijn die beveiligd en worden deze getest? Is er een draaiboek met alternatieve scenario’s indien systemen worden gehackt of platgelegd? In welke mate is in dergelijke draaiboeken rekening gehouden met de effecten op en de belangen van ketenpartners? Hebben zij een fraudeverzekering en is die ook van toepassing op de schade van derden?Een ander – helaas veel voorkomend – fraudepatroon betreft nepfacturen, waarbij u een valse factuur van een (bestaande) leverancier ontvangt voor geleverde goederen of diensten die noch zijn besteld laat staan afgenomen en ontvangen.

Voorbeeld: fraude en corruptie

Bedrijven lopen ook op andere vlakken dan cybersecurity risico’s. Bijvoorbeeld als het gaat om inkoopprocessen en aanbestedingen, waarbij fraude- en corruptierisico’s op de loer liggen. Daarbij is sprake van het maken van keuzes en beslissingen door inkopers ten aanzien van in te kopen producten of diensten en de leveranciers daarvan. Bij aanbestedingen worden projecten na selectie aan een partij of partijen gegund.

Bij inkoopprocessen en aanbestedingen bestaat bijvoorbeeld het risico dat (medewerkers van) leveranciers inkopers en andere beslissers omkopen door hun een kickback te verstrekken. Het gevolg is dat uw bedrijf niet de beste deal maakt – bijvoorbeeld door een te hoge prijs te betalen of een kwalitatief minder product te verkrijgen – waardoor schade ontstaat. De leverancier maakt dan extra winst omdat uw bedrijf te veel heeft betaald, waarbij een deel van die extra winst wordt betaald aan de inkoper of een andere betrokkene die daardoor een beloning verkrijgt die deze niet toekomt en die in feite – zonder dat u het weet – voor uw rekening komt. Een evident ongewenste situatie waarvoor u niet heeft gekozen, waarbij u geen belang heeft en waardoor schade wordt geleden.

Een ander – helaas veel voorkomend – fraudepatroon betreft nepfacturen, waarbij u een valse factuur van een (bestaande) leverancier ontvangt voor geleverde goederen of diensten die noch zijn besteld laat staan afgenomen en ontvangen.

Preventie is cruciaal, een fraudeverzekering kan schade beperken

Mijn pleidooi inzake de risico’s die samenhangen met toeleveranciers is helder: blijf niet hangen in het bezig zijn met het op orde brengen en optimaliseren van het eigen huis, maar zet de luiken open en verbreed de blik naar ketenpartners.

Dat vereist aandacht voor zaken zoals:

  • een adequate due diligence bij de selectie en onboarding van leveranciers. Wat is hun reputatie? Hoe lang bestaan zij al? Zijn ze financieel solide of juist kwetsbaar? Welke informatie volgt er uit open bronnen? Hebben er bij hen in het verleden onregelmatigheden plaatsgevonden? Hoe is de governance geregeld en bestaan daarin voldoende checks & balances? Staan zij open voor het verstrekken van (toetsbare) informatie over bedrijfsvoering, processen, systemen en incidenten?
  • een risico-inventarisatie met betrekking tot toeleveranciers (‘ken uw leveranciers’). Hebben zij het huis – net als u - op orde? Waaruit blijkt dat dan precies? Hoe kunt u dat (laten) testen? Welke garanties geven zij? Zijn er in het verleden incidenten geweest? Zo ja: welke en wat is er dan precies gebeurd? Welke maatregelen zijn er vervolgens genomen en zijn deze genoeg om een dergelijk incident in de toekomst te voorkomen?
  • continue monitoring en signalering. Met name de risico-inventarisatie betreft geen eenmalige handeling maar vergt permanent aandacht en onderhoud, hetgeen alertheid vereist ten aanzien van veranderingen (die geen verzwakking mogen zijn) en signalen die wijzen op mogelijke onregelmatigheden.
  • het toepassen van testprocedures, bijvoorbeeld door simulatie van een cyberaanval of hacking. Of – hoewel het een dubieuze methode betreft – testinkopen waarbij een voorstel aan een medewerker van de leverancier wordt gedaan tot het verstrekken van een kickback.
  • het beoordelen van alternatieve scenario’s om op terug te vallen in geval van incidenten. Zowel toeleveranciers als uw bedrijf dienen daarover te beschikken.
  • het overeenkomen van contractuele afspraken over bijvoorbeeld garanties, vrijwaringen, kosten- en schadevergoeding in het geval dat zich (onverhoopt) incidenten voordoen.
  • het uitvoeren van audits en andere controlemaatregelen. Bijvoorbeeld ten aanzien van het bestaan alsmede de opzet en de werking van interne beheersingsmaatregelen bij toeleveranciers voor zover de effectiviteit daarvan van cruciaal belang is voor uw bedrijfsvoering. Of het beoordelen van de frauderisicoanalyses die door toeleveranciers zijn uitgevoerd.

Dergelijke preventieve maatregelen zijn noodzakelijk om organisaties weerbaar(der) te maken. Zij sluiten incidenten echter niet geheel uit en kunnen evenmin alle schade voorkomen. Aanvullend is het dan ook verstandig om een fraudeverzekering te overwegen. Het kan de pijn verzachten indien u onverhoopt slachtoffer bent van ketenpartners die hun zaak niet of onvoldoende op orde hebben.

blog-marcel-pheijffer

Over Marcel Pheijffer

Graag introduceer ik mijzelf bij de lezer: Marcel Pheijffer, hoogleraar (forensische) accountancy aan Nyenrode Business Universiteit en Universiteit Leiden. Al jong werd ik gegrepen door het ‘fraudevirus’. Als 17-jarige begon ik aan een opleiding tot adjunct-accountant bij de Rijksaccountantsdienst, onderdeel van de Belastingdienst. 

Met een schat aan ervaring over fraude en fraudebestrijding schrijft Marcel elk kwartaal een blog over bedrijfsfraude. Omdat hij belangrijk vindt om nog meer bewustwording te creëren over frauderisico's.

inschrijven-nieuwsbrief-euler-hermes

Elke 8 weken ons laatste nieuws en tips in jouw mailbox?

Schrijf je dan nu in voor onze nieuwsbrief Allianz Trade Magazine!

We sturen je dan elke 8 weken de laatste ontwikkelingen op het gebied van de economie, faillissementen, fraude en tips voor optimaal debiteurenbeheer.