Skulle ditt företag betala 90 falska fakturor?
Är det möjligt för ett företag att felaktigt attestera 90 falska fakturor? Och skulle det kunna hända på ditt företag? De flesta skulle nog svara nej på den frågan och hävda att den falska fakturan skulle fastna direkt på ekonomiavdelningen. Sanningen är att det sker oftare och enklare än man tror, kanske inte just den mängden fakturor men några stycken kan enkelt passera på de flesta företag. Hur då? Ja svaret är dessvärre oftast kombinationen av bristande rutiner för säkerhet och att någon internt på företaget är delaktig.
Vi har fått en pratstund med två kollegor på Jeeves, nämligen Annika Näsman som jobbar som Product Manager och Omid Osman som är Managed Services Manager. Här berättar de om dels en verklig händelse där 90 fakturor passerade en ekonomiavdelning och betalades ut, dels hur du som använder Jeeves ERP kan förhindra att det händer dig.
Annika, hur kunde det här hända?
- För att kunna genomföra den här typen av ekonomisk brottslighet krävs det oftast att man har någon inne på företaget som möjliggör handlingen. Det kan vara dina anställda, användare av ditt affärssystem, en tillfälligt anställd eller en extern part som utför vissa tjänster eller någon annan som har tillfällig behörighet. Det kan även vara den person som varit anställd många år och som alla litar på. Det absolut viktigaste för att undvika att drabbas är att ha koll på sina interna processer, att kontinuerligt göra interna kontroller och om systemstöd saknas, komplettera med manuella understödjande kontroller, berättar Annika.
I fallet ovan med de 90 fakturorna gick det att genomföra på grund av en kombination av saker; företaget hade dåliga processer, personalen var stressad och att bolaget befann sig mitt i ett förvärv. Dessutom var det tillfällig personal på ekonomiavdelningen. Det som krävdes var en eller flera personer på insidan med insyn i företagets inköpsprocess, hur fakturor konterades och hur de kunde bli godkända utan risk för kontroll.
- På utsidan befann sig ett företag med ekonomisk brottslighet som specialitet som låtsades ägna sig åt transportverksamhet. De kom överens med sina insiders om att köra en testfaktura på 100 000 kronor som märktes med ”globala transporter”. Fakturan gick igenom, och bedragarna gjorde ytterligare en testfaktura till på 50 000 kronor som även den gick igenom. Efter det här skedde allt snabbt och ytterligare närmare 90 fakturor på olika belopp och med olika innehåll från olika leverantörer ställs ut med en gemensam nämnare, alla gick till ”transportbolaget”. Under väldigt kort tid hann nästan 30 miljoner kronor gå i väg, berättar Annika.
Märkte ingen något?
- Det var juli månad så de flesta hade semester, dessutom gör många företag inte bokslut i juli, det är ganska vanligt att man slår ihop juli och augusti för att på så sätt ge ekonomipersonalen möjlighet att ha semester. Det var stressigt och fakturorna hade korta betalningsvillkor så den inhyrda personen kämpade på och registrerade fakturorna i systemet och körde betalningsfilen till banken. Efter ett par veckor började en Controller titta lite i resultaträkningen och såg att det var en avvikelse mot budget. Personen i fråga slog larm och då upptäcktes det hela. De lyckades som tur var stoppa de fakturorna som var godkända i systemet och även de som låg hos banken och var på väg ut, säger Annika.
Hittade man de skyldiga?
Ja absolut, de fick långa (förhållandevis) fängelsestraff, sex år vardera, till huvudmännen på utsidan och sedan näringsförbud och livslång utmätning. De som hjälpte till på insidan då? Nej de gick inte att hitta, det låter kanske osannolikt men det är just det som den här artikeln vill belysa, den på insidan är er största risk men samtidigt de ni kan och ska ha kontroll över.
- Var det den personen som slog larm? Controllern?
- Var det den inhyrda på ekonomiavdelningen?
- Var det den som lånat ut sitt lösenord under semestern?
- Var det den som kände till hur projekten konterades?
- Var det någon på IT-avdelningen?
- Var det någon av de attestberättigade cheferna?
Tyvärr vi får aldrig veta svaret på ovan. Vad kan du göra för att skydda dig undrar du nu? Ja ett sätt är vad Annika var inne på, att ha koll på sina interna processer, att kontinuerligt kontrollera att dessa efterföljs och skaffa dig ett bra systemstöd som hjälper dig på vägen. Ett systemstöd kan vara affärssystemet men det räcker inte bara med att ha ett, det måste vara korrekt uppsatt med behörigheter och annat. Någon som har stenkoll på det hos oss är Omid Osman.
Omid, kan Jeeves ERP förhindra att ditt företag drabbas av bedrägerier?
- Både ja och nej, men om du har ett väl fungerande affärssystem i grunden där behörigheter och annat är korrekt uppsatt så minskar risken för att något sådant ska kunna hända menar Omid Osman, Managed Services Manager hos oss på Jeeves.
- Men säkerhet är inte bara själva affärssystemet utan det är allt från hårdvara till de applikationer som användarna använder, och det är viktigt att man säkerställer att alla anställda har utbildning och verktyg för att följa företagets säkerhetsriktlinjer och rutiner. Säkerheten är ofta något som ramlar mellan stolarna hos företagen, de tror till exempel att driftleverantören tar hand om säkerheten och det gör de men inte hela vägen till företagets interna säkerhet. Vi som applikationsleverantör tar ansvar för säkerheten i Jeeves ERP men det är i slutändan kundens ansvar att säkerställa att det finns en tydlig säkerhetsstrategi och att behörigheter och annat sätts upp korrekt i systemet, förklarar Omid.
Vad ska man tänka på?
- Ett vanligt misstag är att man använder starka generella konton som sedan används av alla, allt ifrån interna användare, super users, externa konsulter till i sämsta fall även integrationer. Det här är den största faran som jag ser det, om alla använder ett och samma konto som har väldigt hög behörighet till olika delar av den tekniska miljön, då kan vem som helst göra vad som helst. Till exempel manipulera data, skapa nya kunder, skicka fakturor, ta bort eller förstöra data, lägga in skadlig kod och dölja sina spår, berättar Omid.
Finns det hjälp att få?
- Ja absolut, det här är något vi kan hjälpa våra kunder med. Vi gör då en analys av nuläget och tar fram en rekommendation på vilka förändringar vi tycker kunden ska göra, vi kan även hjälpa till att utföra ändringarna, förklarar Omid.
- Med en tydlig säkerhetsstrategi som definierar behörigheter och vem som har tillgång till vad, och genom att sätta upp individuella konton med korrekt behörighet får du spårbarhet i systemet. Det är också viktigt att sätta upp interna säkerhetsrutiner för att säkerställa att anställda inte klickar på länkar eller öppnar bilagor till mejl. Och säkerställa att ens driftleverantör utför regelbundna back-uper på databaser och servrar. Det är några tips på vägen för att undvika bedrägerier, avslutar Omid.
Annika, vad gör vi mer för att hjälpa våra kunder i det här?
- Om vi tittar framåt på våra planer för produktutveckling, så fokuserar vi bland annat på inköpsprocessen, där vi vill vända på godkännandeprocessen. Tanken är att skapa en framtung attest, det vill säga alla inköp ska vara godkända innan godset eller maskinen anländer, eller om inköpet rör tjänster så är även de godkända innan de utförs, berättar Annika.
Varför vill vi på Jeeves att våra kunder ska kunna välja att arbeta på det här sättet?
- Leverantörskontrollen – genom att enbart arbeta med godkända och avtalade leverantörer så säkerställer du att inga oseriösa bolag blir anlitade. I den kontrollen kan man även lägga till en process för upphandling för att på så sätt kontinuerligt ställa sina leverantörer mot varandra. Har du använt samma leverantör under för många år så kan det vara värt att se över villkoren och om nya aktörer har dykt upp.
- Inköpsprocessen – det här arbetssättet skapar enkelt kontroll på samtliga inköp och därmed hela kostnadsmassan. Det kan inte dyka upp nya okända kostnader vid månadsslut.
- Bokslutsprocessen – genom att ha inköpsorder på alla kostnader kan bokslutet alltid stängas den sista varje månad, eller varför inte stänga leverantörreskontran ett par dagar innan? Det här möjliggör en effektivare process och frigör tid till analys och affärsplanering.
- Automation – genom att automatisera processen där Jeeves ERP sköter matchning efter att inköpet redan är godkänt så minimeras risken avsevärt.
Förutom de fördelar som beskrivs ovan, så vill vi avsluta med att återkoppla till rubriken, kan ni också råka ut för ett bedrägeri? Tyvärr är svaret ja, det kan alla företag idag, det är något vi måste förhålla oss till. Vi hoppas dock att den här artikeln gett dig lite att fundera över och även en bra bild av vad du själv kan göra för att undvika drabbas.