Fraude voelt voor veel organisaties als iets dat je vooral bij anderen ziet. Een incident bij een branchegenoot, een nieuwsbericht over een geslaagde oplichting, een mailtje van de accountant met de vraag of je ‘iets’ aan fraudepreventie doet. En dan gaat het onderwerp weer van tafel, omdat de waan van de dag wint.
Volgens Anita de Graaf, consultant bij Hoffmann op het snijvlak van risk management, cybersecurity en fraudepreventie, is dat precies waar het vaak misgaat. “Je kunt een fantastisch beleid schrijven met protocollen en meldpunten, maar als je dat één keer kenbaar maakt en het vervolgens in de la beland, dan ben je er natuurlijk ook nog niet.” Hoffmann ondersteunt organisaties bij integriteits- en fraudevraagstukken: van preventie en risicoanalyses tot onderzoek als er iets misgaat. Vanuit die combinatie ziet Anita precies welke maatregelen in de praktijk wél landen en welke na één overleg weer verdwijnen.
Van eenmalige awareness naar een systeem dat werkt
In veel organisaties wordt preventie nog te veel gezien als een communicatieklus: een training, een intranetbericht, een verplichte e-learning. Prima start, maar zelden genoeg. Anita ziet dat effectieve preventie pas ontstaat als je het onderwerp verankert in de dagelijkse praktijk.
“Het moet een onderwerp zijn dat keer op keer terugkomt. Je moet het kunnen bespreken in een teamsetting: wat zijn signalen waar we op moeten letten bij mogelijke fraude, wat doen we als we iets zien, en vooral: hoe zorgen we dat mensen zich veilig voelen om het te melden?”
Dat laatste is belangrijker dan het lijkt. Want medewerkers zien vaak wél dingen die niet kloppen, maar twijfelen of ze er iets mee moeten. “Ook als je een melding maakt waarvan nog helemaal niet duidelijk is wat de uitkomst is, moet je dat kunnen doen zonder dat jij de boosdoener wordt.”
Fraude en cyber lopen steeds vaker door elkaar
Waar fraude vroeger snel werd gekoppeld aan geld of diefstal, ziet Anita dat het speelveld breder is geworden. Vooral digitale routes maken het makkelijker om te misleiden en moeilijker om afwijkingen op tijd te herkennen.
Ze wijst erop dat fraudepreventie en cybersecurity in de praktijk steeds meer verweven zijn. “Cyberveilig gedrag is onderdeel hiervan. Phishing is óók een externe fraudevorm. En factuurfraude begint daar vaak: een mail die net echt genoeg lijkt, een rekeningnummer dat ‘even’ aangepast moet worden, een gevoel van urgentie. Als jij je techniek heel goed beveiligd hebt en er klikt iemand op die phishinglink, dan ben je alsnog de pineut.”
Waar zit de grootste kwetsbaarheid?
Mens, techniek, organisatie: het antwoord is zelden één van de drie. De mens is vaak de laatste schakel, maar ook de plek waar je relatief snel winst kunt halen. Niet met een vingertje, maar met duidelijke kaders en herhaling.
Screening is daarbij een onderwerp waar organisaties soms nog omheen draaien. “Het begint eigenlijk met screening. Vooral bij hogere posities is het heel nuttig om te kijken: waar zitten risico’s bij deze persoon? Niet om wantrouwen te organiseren, maar om te voorkomen dat je achteraf verrast wordt en om als organisatie te laten zien dat integriteit geen bijzaak is.” Tegelijkertijd benadrukt ze dat je niet alles bij de medewerker neer kunt leggen. “Als je organisatie niet goed op orde is, je procedures zijn er niet, je protocollen zijn slecht of onduidelijk, dan heb je een zwakte te pakken. Want dan heeft iemand iets gezien, maar weet niet wat hij ermee moet.”
Waarom hebben we eigenlijk deze maatregelen?
Een patroon dat Anita regelmatig ziet, vooral bij snelgroeiende bedrijven, is dat preventieve maatregelen als losse eilandjes ontstaan. Er gebeurt iets, er wordt een control toegevoegd. Er volgt weer iets, er komt een nieuwe regel. En na een tijdje heb je best wat maatregelen, maar niemand kan nog uitleggen waarom juist díe, en hoe ze samen een logisch geheel vormen. “Wat ik best vaak hoor, is dat bedrijven uiteindelijk op een punt komen waarop ze denken: oké, we hebben een aantal maatregelen, maar waarom hebben we eigenlijk hiervoor gekozen? Er zit geen logische opbouw in.”
Daarom pleit ze voor een stap terug: eerst snappen waar je risico’s echt zitten, dan pas kiezen wat je gaat doen. “Wat wij vanuit Hoffmann doen, is een analyse maken: waar zitten jullie risico’s op het gebied van interne én externe fraude? En aan de hand daarvan kun je heel gericht maatregelen adviseren om de kans op fraude te verminderen.”
De grootste valkuil: denken dat het jou niet overkomt
Veel mkb’ers herkennen het: het idee dat je niet interessant genoeg bent en dat cybercriminelen of fraudeurs wel grotere doelen hebben. Anita hoort die reflex vaak terug.
“Dan zeggen klanten: zou iemand echt geïnteresseerd zijn in mijn bedrijfsgegevens? Maar het is geen kwestie van of het gebeurt. Het is een kwestie van wanneer het gebeurt en misschien gebeurt het zelfs nu al.”
Wat haar betreft is dat de kern van fraudepreventie anno nu: niet werken vanuit angst, maar vanuit realisme. Niet alles dichttimmeren, maar wél bewust organiseren hoe je als organisatie wilt handelen. En vooral: zorgen dat melden veilig en normaal is, ook als iemand twijfelt. “Je hebt misschien niks te verbergen, maar je hebt wél een hoop te beschermen.”
Anita de Graaf is consultant bij Hoffmann en adviseert organisaties over vraagstukken rondom Risk management, Fraudepreventie en Cybersecurity.