Zoals elke ochtend begin ik ook deze morgen met een kopje koffie. En zoals bij elke eerste slok bedenk ik mij dat het tijd is om afscheid te nemen van het goedkope apparaat met bijbehorende pads. Smerig. Ik vertrek naar kantoor, daar hebben we tenminste een goede machine met verse bonen. Na mijzelf door de file geworsteld te hebben nip ik een uur later van mijn eerste “echte” kopje koffie en open nu.nl om te kijken wat er zoal gaande is in de wereld.
Mijn aandacht wordt direct getrokken door de kop ‘Nieuwe fraudemethode treft multinationals‘. Criminelen misbruiken het e-mailadres van de ceo om op deze manier een e-mail naar een medewerker van de financiële administratie te sturen met het verzoek een geldbedrag over te maken. De medewerker kan ter verificatie een advocatenkantoor bellen. Zoals verwacht is het advocatenkantoor onderdeel van het complot. Ik kijk op www.fraudehelpdesk.nl (tip!) en zie dat het om grote geldbedragen gaat.
Later die dag bespreek ik het nieuwsbericht met een klant. Ook hij heeft het gelezen en geeft aan zich zorgen te maken. Hij is ceo, maar durft niet met zekerheid te zeggen dat zijn medewerkers hem zullen bellen wanneer zij een dergelijke e-mail ontvangen. Hij vertelt dat er in zijn organisatie met enige regelmaat ad hoc betalingen gedaan moeten worden. In dat geval praat niemand over standaard processen en functiescheiding. De business gaat voor.
Toch hoopt hij dat zijn medewerkers hem altijd durven te bellen. Ik vraag hem hoe hij zou reageren wanneer medewerkers hem werkelijk zouden bellen om dergelijke e-mails te verifiëren, ook wanneer hij de mail wel heeft gestuurd. Het blijft even stil en hij glimlacht.
Dan vraagt hij mij om een oplossing: ‘Jij heb toch dingen met verandermanagement en finance gedaan!’ Ik leg uit dat er in dit geval geen standaard oplossing is. Je kunt functiescheiding afdwingen. Dan moeten de criminelen al twee mensen benaderen en overtuigen. Verder kun je inregelen dat er geen betalingen gedaan kunnen worden wanneer een crediteur niet bekend is en zorgen dat een andere functionaris het beheer over de crediteurenkaarten heeft. Maar dat zijn allemaal procesmatige oplossingen. Het gaat hier om de factor mens: wat doet de financieel medewerker bij een dwingend mailtje, ogenschijnlijk afkomstig van de ceo? Gaan alle werkafspraken overboord?
Felle reactie
Wanneer ik weer in de auto zit bel ik een vriendin die op Finance werkt. Ik deel mijn vraagstuk met haar, maar was niet voorbereid op haar felle reactie. ‘Patries, dat heb ik één keer gedaan, nooit meer! Mijn vragen werden niet op prijs gesteld. Ik kreeg alleen de sneer wanneer ik de transactie dan eindelijk uit ging voeren. Dat zal ik de volgende keer dan ook zonder iets te vragen doen. Jammer voor mijn baas wanneer dat hem geld kost, maar dan zal ik hem nog eens herinneren aan zijn reactie destijds.’ Geschrokken hang ik op. Zou haar ceo beseffen hoe zijn financieel medewerker er, dankzij zijn eigen gedrag, in staat?
Ik denk terug aan mijn eigen tijd op de afdeling Finance en de gesprekken met de klant en mijn vriendin. Ik snap dat de afstand tussen de financieel medewerker en de ceo groot kan zijn. Toch hoop ik in alle gevallen mijn moedige schoenen aan te trekken om de desbetreffende ceo te benaderen. Hoe groot de afstand ook is. En ik hoop dat de ceo in alle gevallen dankbaar is met de vragen die ik stel!
Patricia van Schaik, security consultant bij LBVD
Advies
Aan alle financieel medewerkers: vraag je ceo naar zijn e-mail wanneer er alarmbellen rinkelen!
Aan alle ceo’s: wees dankbaar voor serieuze en kritische medewerkers, anders kan het de laatste keer zijn!