27 november 2018 - Martyn Top

“De betaling aan Capital Investment Opportunities is gedaan, hoor!”

Ha Jacob, nou, de betaling aan Capital Investment Opportunities is gedaan hoor, dus we kunnen verder.”Stefan, de financiële man loopt met een glimlach op zijn gezicht de kamer van Jacob binnen.“Capital Investment Opportunities, wat bedoel je?”vraagt Jacob. Stefan neemt een slok koffie en zegt “Je mailde me met de vraag om EUR 40.000,– over te maken aan Capital Investment Opportunities in verband met hun leadgeneratie in het Verre Oosten. Daar liggen immers veel kansen voor ons bedrijf.

Langzaam begint Jacob te dagen dat hier iets grandioos verkeerd is gegaan. “Laat die mail eens zien” zegt Jacob.

Stefan laat hem de mail zien. En ja hoor, daar staat het, precies in de stijl waarin Jacob intern mailt:

Stefan – graag voor einde deze week EUR 40k overmaken aan CIO, Capital Investment Opportunities- betalingsgegevens hieronder. Dit bedrijf gaat voor leadgeneratie zorgen in het Verre Oosten. Dank, Jacob

Het begint Jacob te duizelen. Zijn e-mailadres in de mail lijkt sterk op zijn echte adres, maar eindigt op .tv in plaats van .nl. Langzaam begint het tot hem door te dringen dat ze slachtoffer zijn geworden van fraude. Hij stuurt Stefan weg en belt Sandra op, de HR Manager.

Veertigduizend euro, Sandra! VEERTIG DUIZEND!!! Die man moet eruit, en wel ogenblikkelijk!!” Jacob is niet slechts verontwaardigd, maar is woedend. Sandra, de HR Manager, is wel wat gewend van Jacob (zie onder andere ‘Regelmatig ziekteverzuim en ontslag’ en houdt haar hoofd koel. “Kalm aan. We schieten hier niets mee op. Eerst in kaart brengen wat er is gebeurd. Laten we dan de advocaat bellen” zegt Sandra. “Ik zal Stefan zeggen dat hij op non-actief wordt gesteld terwijl wij onderzoek plegen.

Gesprek advocaat
Dus jullie zijn slachtoffer geworden van CEO-fraude. Dan heb je wellicht gehoord over de zaak die bij Pathé speelde, een paar weken geleden.” “Ja, natuurlijk, ik heb niet onder een steen gelegen.” Jacob is met een geprikkeld gemoed het gesprek in gegaan en dat is nog merkbaar.

Goed dan. In die zaak was er sprake van een fraude van 19 miljoen. Extern onderzoek had uitgewezen dat de personen werkzaam bij Pathé niet betrokken waren bij de fraude, maar dat zij doelwit waren geworden van zgn. CEO-fraude. De fraudeur wist de medewerkers van Pathé over te halen een aantal significante geldbedragen over te maken. De CFO, die de betalingen had verzorgd, was op staande voet ontslagen omdat hij een groot aantal ‘red flags’ zou hebben genegeerd. Dat ontslag op staande voet hield geen stand, maar de arbeidsovereenkomst werd wel door de rechter ontbonden met inachtneming van de opzegtermijn.

Wat viel op in deze zaak? 1. De fraudeurs waren geraffineerd te werk gegaan en in de ogen van de rechter kon de CFO van de meeste betalingen niet worden verweten dat hij dat niet had doorzien wat er aan de hand was. Er werd gebruik gemaakt van vergelijkbare e-mailadressen, namen van personen die in werkelijkheid ook bestaan, en het belangrijkst: er was door de fraudeurs geheimhouding opgelegd. Handelingen en betalingsomschrijvingen mochten niet worden gecheckt bij anderen binnen de organisatie. 2. Binnen Pathé bestond geen beleid om dergelijk handelen te voorkomen.

Relevantie beleid
“Begin van dit jaar heb je toch het intern administratieve beleid op orde gebracht? Inclusief een gedetailleerd betalingsprotocol?

Hebben we gedaan. Dat protocol bevat zelfs een voorbeeld van CEO-fraude. Hij heeft het protocol voor akkoord getekend”. “OK, dat laatste was niet per se nodig, want dit is een redelijke instructie, die kan je ook zonder akkoord van de werknemers doorvoeren. Maar op basis van dat protocol had hij voor deze transactie bij jou persoonlijk binnen moeten lopen, en had hij jouw niet-digitale handtekening moeten verkrijgen. Dat is in ieder geval niet gebeurd.

“Ik denk dat hij dit had moeten doorzien. Hij heeft het betalingsprotocol op meerdere fronten simpelweg genegeerd.” “Op staande voet eruit dus? En kan ik het geld terugvorderen?”
“Ik denk dat je een sterke zaak hebt. Terugvorderen van het geld is een ander verhaal. Dat is in principe mogelijk indien hij bewust roekeloos heeft gehandeld. Daar is niet snel sprake van. Bel eerst de bank met de vraag of de transactie nog ongedaan gemaakt kan worden.”

Tip
Wanneer een werkgever bepaald gedrag wil sanctioneren, helpt het wanneer daarvoor intern beleid bestaat over welk gedrag niet geoorloofd is, wat wenselijk gedrag is, etc. Dat geldt bijvoorbeeld voor (seksuele) intimidatie en drankgebruik op de werkvloer maar geldt ook voor de manier waarop een functie wordt uitgeoefend. Pathé beriep zich op ‘red flags’ maar deze ‘red flags’ volgden niet uit het interne beleid. Wanneer de organisatie zodanig is ingericht dat bepaalde stappen moeten worden doorlopen voordat een transactie wordt voltooid, (met verwijzing naar het voorkomen van (CEO-)fraude) heeft een werkgever over het algemeen een sterkere zaak om strijd met dergelijk beleid te sanctioneren. Belangrijker nog: met dergelijk beleid, dat binnen financiële organisaties ingeburgerd is, kan dergelijke fraude wellicht worden voorkomen.