VERDIEPINGSARTIKEL

Voorkom interne fraude - splits de taken offline en online

Wilt u interne fraude voorkomen, dan is het geen goed idee om alle verantwoordelijkheden aan één persoon te geven. Door deze te verdelen over meer werknemers worden de risico’s op fraude beperkt.

Dat geldt voor offline taken, maar ook voor online werkzaamheden. Denk hierbij bijvoorbeeld aan het werken met wachtwoorden en machtigingen in verschillende programma’s. Hoe gaat u goed om met autorisatie?


7 juli 2021 6 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online


Interne fraude kent vele vormen. Denk hierbij onder andere aan diefstal, verduistering van geld, oplichting, corruptie, vernieling en het doorspelen van bedrijfsinformatie.

Om de frauderisico’s zoveel mogelijk te beperken is het aan te raden om fraudegevoelige taken over meerdere werknemers te verdelen. Dat kan al bij het samenstellen van functieprofielen en takenpakketten. Een simpele methode is om één persoon een uitvoerende rol te geven en de andere een controlerende.

De kans op fraude is ook kleiner als werknemers door hun functie-inhoud een natuurlijke ‘belangentegenstelling’ hebben. Dit wil zeggen dat de ene werknemer alleen goede resultaten kan leveren als zijn collega ook goed werk levert. Zo wordt meteen een automatisch controlemechanisme ingebouwd.

Waak ervoor dat kritieke taken slechts door één persoon worden verricht

Te weinig werknemers

Vooral in het midden- en kleinbedrijf komt het regelmatig voor dat er te weinig werknemers zijn om een optimale functiescheiding te kunnen verwezenlijken. In dat geval moet u kiezen voor de beste combinaties.

U moet er in ieder geval voor waken dat kritieke taken slechts door één persoon worden verricht. Zo is het niet handig als één werknemer zowel verantwoordelijk is voor het aangaan van overeenkomsten als voor het beheren van geldstromen. Spreid deze taken dus zo veel mogelijk.

Fraude nog steeds mogelijk

Overigens kan bij het splitsen van taken nog steeds fraude optreden. Een voorbeeld: een verkoper verantwoordt investeringen per project en de leidinggevende controleert of alles klopt. Onderling kunnen zij nog steeds afspreken om alsnog te frauderen.

Zo zou de verkoper extra spullen voor zichzelf op een project kunnen bijschrijven met medeweten van de leidinggevende. Een extra controle biedt mogelijk uitkomst. Zo zou een administratief medewerker de factuur nog eens kunnen doorlopen.

Vooral in kleinere ondernemingen komt relatief veel fraude voor. Dat komt doordat daar veelal een informele werksfeer heerst en dat het doorvoeren van een functiescheiding moeilijk is, omdat er simpelweg minder werknemers zijn dan bij een grotere onderneming. Het is altijd nog wel mogelijk om een elektronische functiescheiding aan te brengen.

Het is niet de bedoeling dat het wachtwoord te lezen is op een post-it

Alleen bevoegden

U zorgt voor een goede elektronische functiescheiding door alleen bevoegden wachtwoorden te geven en hen op het hart te drukken om hier voorzichtig mee om te gaan. Het is dus niet de bedoeling dat iedereen toegang heeft tot het wachtwoord doordat dit te lezen is op een post-it die hangt aan het beeldscherm van een bevoegde.

Origineel en moeilijk te raden

Het spreekt voor zich dat de wachtwoorden origineel moeten zijn en moeilijk te raden. Een goed wachtwoord bestaat uit minimaal acht tekens en bestaat uit zowel letters als cijfers. Wachtwoorden die bijna niet te kraken zijn, bevatten ook nog hoofdletters en kleine letters en symbolen als &, $ of @.

Om het fraudeurs nog moeilijker te maken, is het aan te raden om wachtwoorden elke drie maanden te wijzigen. Tweefactorauthenticatie biedt nog meer veiligheid (zie kader).

Nog veiliger: inloggen met tweefactorauthenticatie

Nog beter dan een sterk wachtwoord is werken met tweefactorauthenticatie. Daarbij moet in twee fases worden ingelogd. Bij tweefactorauthenticatie wordt eerst de gebruikersnaam en wachtwoord ingevuld en daarna volgt een code.

Stappen
De code ontvangt u meestal per sms of e-mail. Pas als u die code heeft ingevuld, krijgt u toegang tot uw account. Het idee is dat u alleen toegang krijgt met iets dat u heeft én iets dat u weet, zodat kwaadwillenden weinig kunnen als ze een van de twee kunnen bemachtigen.

Onder andere Google, Apple en Facebook bieden de mogelijkheid om in twee stappen in te loggen. Maakt u van diensten van deze partijen gebruik, dan kan het geen kwaad om u te verdiepen in de mogelijkheden die zij bieden. Het leidt tot mogelijk meer vrijheid.

Checkup in Google Chrome

Helaas kunnen websites en applicaties beveiligingslekken bevatten. Daardoor kunnen inlognamen en wachtwoorden toch op straat komen te liggen, waardoor externe fraude mogelijk wordt gemaakt.

Google heeft voor zijn browser Chrome een extensie ontwikkeld die dit na kan gaan. Volg hiervoor de volgende stappen:

  1. Open de webstore van Chrome, zoek Password Checkup.
  2. Klik op de knop Toevoegen Aan Chrome.
  3. Het icoon verschijnt in de browserbalk.
  4. U ontvangt een melding als u inlogt met onveilige accountgegevens.
  5. U moet het wachtwoord dan wijzigen.

Juiste rechten toekennen

Uiteraard moeten de systemen waarmee u werkt goed beveiligd zijn, maar uw werknemers moeten er ook goed mee uit de voeten kunnen. Zo moet een verkoper de gegevens van een klant kunnen opvragen om eventueel adresgegevens te wijzigen, maar het is natuurlijk niet de bedoeling dat hij ook de betaalgegevens van de klant kan aanpassen. Denk dus goed na welke rechten een werknemer in een bepaalde functie nodig heeft.

Functiescheiden

Door de taken, bevoegdheden en verantwoordelijkheden binnen functies te verdelen over verschillende werknemers, maakt u het werknemers moeilijker om ongezien fraude te plegen. In het kader van de toenemende aandacht voor fraude, zal functiescheiding alleen maar belangrijker worden.

De technologische ontwikkelingen sluiten daar op aan. Veel hedendaagse software en applicaties bieden al de mogelijkheid voor functiescheiding als onderdeel van de financiële bedrijfsvoering.

Menig kantoor heeft geen beeld van de gebruikers en de bijbehorende rechten

Meer gevaren

Er liggen nog veel meer gevaren op de loer op administratief vlak. Menig kantoor heeft geen beeld van de gebruikers van de systemen en de bijbehorende rechten. Is dat bij u het geval, dan kan dat leiden tot een datalek.

Het grootste gevaar is als er maar één gebruikersnaam is met één wachtwoord voor alle systemen waar intern mee wordt gewerkt. Vooral bij advieskantoren is dit een groot gevaar.

Veel kantoren zijn sterk geautomatiseerd en er is sprake van tal van applicaties. Denk bijvoorbeeld aan systemen voor Customer Relations Management (CRM) en Enterprise Resource Planning (ERP). Kan er bij één systeem worden ingelogd, dan kan dat meteen bij andere systemen. Moet u de opgetreden datalek dichten, dan bent u daar nog wel even zoet mee.

Rechten aanpassen of intrekken

Zelfs als u per functie de gebruikersrechten goed heeft vastgelegd kan er nog van alles misgaan. Stel dat iemand binnen het advieskantoor een andere baan krijgt waar weer andere rechten bij horen, dan moet u er uiteraard voor zorgen dat die nieuwe rechten worden verstrekt, maar ook dat het oude profiel en de bijbehorende rechten worden opgeheven.

Datzelfde geldt als iemand uit dienst gaat. Het is dan van belang dat die persoon naderhand geen toegang meer heeft tot de systemen van uw kantoor. U wilt ook niet dat die gegevens ergens gaan rondzweven.

Het is geen overbodige luxe om uw klanten te wijzen op goede beveiliging van data

Datalekken in financiële sector

Komen er bij een datalek persoonsgegevens vrij, dan bent u verplicht om dit te melden bij de Autoriteit Persoonsgegevens (AP). In de ‘Cybersecuritymonitor 2020’ van het Centraal Bureau voor de Statistiek (CBS) bleek dat het overgrote deel van de meldingen in 2019 uit de financiële sector kwam.

De financiële sector is samen met de gezondheidszorg en het openbaar bestuur goed voor 75% van de gemelde datalekken. U doet er dus goed aan om waakzaam te zijn op dit vlak. Ook is het geen overbodige luxe om uw klanten te wijzen op goede beveiliging van data.

Privacygevoelige informatie beveiligen

Verstuurt u intern privacygevoelige informatie, dan kunt u bestanden beveiligen met encryptie. Alleen degene voor wie de data bedoeld zijn heeft dan toegang tot de desbetreffende informatie. Denk bijvoorbeeld aan documenten die privégegevens bevatten, zoals CV’s of contracten. Ook op deze manier voorkomt u dat een derde fraude kan plegen.

Data van devices verwijderen

Interne fraude voorkomt u vooral door gewoon logisch na te denken. Zorg er bijvoorbeeld voor dat data op oude USB-sticks, telefoons, computers, tablets en printers worden verwijderd.

U wilt natuurlijk voorkomen dat gevoelige informatie bij de verkeerde mensen terechtkomen. Met speciale software kunnen data op een drager worden gewist, maar ook het versplinteren of shredden van een schijf behoort tot de mogelijkheden, evenals het demagnetiseren van een schijf. Ga in ieder geval voor u zelf na waar gevoelige informatie kan zijn in uw organisatie en tref passende maatregelen.

Het complete verhaal over fraudebestrijding leest u in themadossier BV Rendement Begrijp, observeer en grijp tactvol in.