Kontakt oss

Kunne bedriften din betale 90 falske fakturaer?

Bilden visar en förtvivlad tjej som håller händerna på huvudet

Er det mulig for et selskap å feilaktig bekrefte 90 falske fakturaer? Og kan det skje i din bedrift? De fleste ville nok svart nei på det spørsmålet og hevdet at den falske fakturaen ville bli fanget opp direkte i økonomiavdelingen. Sannheten er at det skjer oftere og enklere enn du tror, kanskje ikke så mange fakturaer, men noen få kan lett gå gjennom de fleste selskaper. Hvordan? Ja, svaret er dessverre vanligvis kombinasjonen av manglende sikkerhetsprosedyrer og at noen internt i selskapet er involvert.

Vi har tatt en prat med to kolleger i Jeeves, nemlig Annika Näsman som jobber som produktsjef og Omid Osman som er Managed Services Manager. Her forteller de om en virkelig hendelse der 90 fakturaer gikk gjennom en økonomiavdeling og ble betalt, og hvordan du som bruker Jeeves ERP kan forhindre at det skjer med deg.   

Annika, hvordan kunne dette skje?

- For å kunne gjennomføre denne typen økonomisk kriminalitet er det som regel nødvendig å ha noen på innsiden av selskapet som muliggjør handlingen. Det kan være dine ansatte, brukere av forretningssystemet ditt, en midlertidig ansatt eller en ekstern part som utfører bestemte tjenester eller noen andre som har midlertidig autorisasjon. Det kan også være en som har vært ansatt i mange år og som alle stoler på. Det absolutt viktigste for å unngå å bli rammet er å holde styr på dine interne prosesser, å fortløpende gjennomføre interne kontroller og dersom systemstøtte mangler, supplere med manuelle støttesjekker, sier Annika.. 

I tilfellet ovenfor med de 90 fakturaene var det mulig å gjennomføre på grunn av en kombinasjon av flere ting: Selskapet hadde dårlige prosesser, personalet var stresset og selskapet var midt i et oppkjøp. I tillegg var det vikarer i økonomiavdelingen. Det som krevdes var en eller flere personer på innsiden med innsikt i bedriftens innkjøpsprosess, hvordan fakturaer ble bokført og hvordan de kunne godkjennes uten risiko for kontroll. 

- På utsiden var det et selskap spesialisert på økonomisk kriminalitet som utga seg for å være i transportbransjen. De ble enige med sine folk på innsiden om å kjøre en testfaktura på 100 000 kroner som ble merket "global transport". Fakturaen gikk igjennom, og svindlerne laget en ny testfaktura på 50 000 kroner, som også gikk igjennom. Etter dette skjedde alt raskt og det utstedes nesten 90 fakturaer til på ulike beløp og med forskjellig innhold fra ulike leverandører med en fellesnevner, alle gikk til “transportselskapet”. På veldig kort tid ble nesten 30 millioner kroner satt i spill, sier Annika. 

Merket ingen noe? 

- Det var juli måned, så de fleste hadde ferie, i tillegg stenger mange bedrifter ikke regnskapet i juli, det er ganske vanlig å slå sammen juli og august for å gi økonomistaben mulighet til å ha ferie. Det var stressende og fakturaene hadde korte betalingsbetingelser så den innleide slet og registrerte fakturaene i systemet og kjørte betalingsfilen til banken. Etter et par uker begynte en controller å se litt i resultatregnskapet og så at det var et avvik i forhold til budsjettet. Vedkommende slo alarm og da ble det hele oppdaget. Heldigvis klarte de å stoppe fakturaene som var godkjent i systemet og også de som lå i banken og var på vei ut, sier Annika. 

Fant man de skyldige?

Ja absolutt, de fikk lange (relativt sett) fengselsstraffer. Seks år hver for hovedmennene på utsiden og deretter forretningsforbud. De som hjalp til på innsiden da? Nei, de ble ikke funnet, det høres kanskje usannsynlig ut, men det er akkurat det denne artikkelen ønsker å fremheve, den på innsiden er din største risiko, men samtidig de du kan og bør ha kontroll over. 

  • Var det den personen som slo alarm? Controlleren?
  • Var det den innleide på økonomiavdelingen?
  • Var det personen som lånte ut passordet sitt i ferien?
  • Var det den som visste hvordan prosjektene ble regnskapsført?
  • Var det noen på IT-avdelingen?
  • Var det en av de attestberettigede lederne?

Dessverre får vi aldri svaret på ovenstående. Hva kan du gjøre for å beskytte deg selv nå spør du? Ja, en måte er det Annika var inne på, altså å holde styr på sine interne prosesser, å kontinuerlig sjekke at disse følges og skaffe en god systemstøtte som hjelper deg på vei. En systemstøtte kan være forretningssystemet, men det er ikke nok bare å ha et, det må være riktig satt opp med autorisasjoner og annet. En som har et solid grep om det hos oss er Omid Osman. 

Omid, kan Jeeves ERP forhindre at bedriften din blir rammet av svindel?

- Både ja og nei, men har du et velfungerende forretningssystem i bunn der autorisasjoner og annet er satt opp riktig, reduseres risikoen for at noe slikt skjer, sier Omid Osman, Managed Services Manager hos oss i Jeeves.

- Men sikkerhet er ikke bare selve forretningssystemet, det er alt fra maskinvare til applikasjonene som brukerne bruker, og det er viktig å sikre at alle ansatte har opplæring og verktøy for å følge selskapets sikkerhetspolicyer og prosedyrer. Sikkerhet er ofte noe som faller igjennom hos bedrifter, de mener for eksempel at driftsleverandøren tar seg av sikkerheten og det gjør de, men ikke helt ned til bedriftens interne sikkerhet. Som applikasjonsleverandør tar vi ansvar for sikkerheten til Jeeves ERP, men det er til syvende og sist kundens ansvar å sørge for at det er en tydelig sikkerhetsstrategi og at autorisasjoner og annet er satt opp riktig i systemet, forklarer Omid. 

Hva skal man huske på?

- En vanlig feil er å bruke sterke generelle kontoer som så brukes av alle, alt fra interne brukere, superbrukere, eksterne konsulenter og i verste fall også til integrasjoner. Dette er den største faren slik jeg ser det, hvis alle bruker samme konto som har svært høye tillatelser til forskjellige deler av det tekniske miljøet, så kan hvem som helst gjøre hva som helst. For eksempel manipulere data, opprette nye kunder, sende fakturaer, slette eller ødelegge data, sette inn ondsinnet kode og skjule sporene sine, sier Omid. 

Er det hjelp å få?

- Ja absolutt, dette er noe vi kan hjelpe kundene våre med. Vi gjør en analyse av dagens situasjon og kommer med en anbefaling på hvilke endringer vi mener kunden bør gjøre, og vi kan også hjelpe til med å gjennomføre endringene, forklarer Omid. 

- Med en tydelig sikkerhetsstrategi som definerer tillatelser og hvem som har tilgang til hva, og ved å sette opp individuelle kontoer med riktige tillatelser, får du sporbarhet i systemet. Det er også viktig å sette opp interne sikkerhetsprosedyrer for å sikre at ansatte ikke klikker på lenker eller åpner e-postvedlegg. Og sørge for at driftsleverandøren utfører regelmessige sikkerhetskopier av databaser og servere. Det er noen tips på veien for å unngå svindel, avslutter Omid. 

Annika, hva annet gjør vi for å hjelpe kundene våre med dette?

- Ser vi fremover til våre planer for produktutvikling, fokuserer vi blant annet på innkjøpsprosessen, hvor vi ønsker å reversere godkjenningsprosessen. Tanken er å lage et fremtidsrettet sertifikat, det vil si at alle kjøp skal godkjennes før varene eller maskinen kommer, eller om kjøpet gjelder tjenester godkjennes de også før de gjennomføres, sier Annika.

Hvorfor ønsker vi i Jeeves at kundene våre skal kunne velge å jobbe på denne måten?

  • Leverandørkontrollen – ved kun å jobbe med godkjente og inngåtte leverandører sikrer du at det ikke blir ansatt useriøse firmaer. I den kontrollen kan du også legge til en prosess for innkjøp for å kontinuerlig sette leverandørene dine opp mot hverandre. Hvis du har brukt samme leverandør i for mange år, kan det være verdt å gå gjennom vilkårene og om det har dukket opp nye aktører. 
  • Innkjøpsprosessen – denne måten å jobbe på skaper enkel kontroll over alle innkjøp og dermed hele kostnadsmassen. Det skal ikke dukke opp nye og ukjente kostnader i slutten av måneden.
  • Bokføringsprosessen – ved å ha innkjøpsordrer på alle kostnader kan regnskapet alltid avsluttes den siste i hver måned, eller hvorfor ikke gjøre opp leverandørgjelden et par dager før? Dette muliggjør en mer effektiv prosess og frigjør tid til analyser og forretningsplanlegging.
  • Automasjon – ved å automatisere prosessen hvor Jeeves ERP tar seg av matching etter at kjøpet allerede er godkjent, minimeres risikoen betydelig.

I tillegg til fordelene som vi beskriver ovenfor, ønsker vi å avslutte med å henvise tilbake til overskriften: Kan du også bli utsatt for svindel? Dessverre er svaret ja, alle bedrifter kan det i dag, det er noe vi må forholde oss til. Vi håper imidlertid at denne artikkelen har gitt deg noe å tenke på og også et godt bilde av hva du selv kan gjøre for å unngå å bli rammet.

 

Les mer om Jeeves ERP