Gemiddelde bedrijfsschade door fraude in België naar 2 ton
Weinig Belgische bedrijven zijn voldoende bewust zijn van het frauderisico dat ze lopen. Dat blijkt uit onderzoek van BDO naar de fraudeproblematiek onder 190 grote en mkb-ondernemingen in België. Onderzoekers Cedric Antonelli, Wim Verbelen en Jean-François Bernard lichten de belangrijkste resultaten toe.
Uit de enquête blijkt dat 21% van de bedrijven in de voorbije vijf jaar slachtoffer was van ten minste één geval van fraude. 45% maakte een poging tot fraude mee, maar slaagde erin schade te vermijden. Slechts 34% werd niet met fraude geconfronteerd.
De 21% aan slachtoffers moet trouwens als een minimumpercentage worden beschouwd, want de meeste gemelde fraudegevallen dateren van minder dan 12 maanden geleden. Hoewel de cijfers nog altijd hoog liggen, daalt het aantal fraudegevallen in vergelijking met de resultaten van ons vorig onderzoek van 2018. Toen liet nog 32% van de bevraagde bedrijven verstaan dat het de afgelopen vijf jaar fraudeslachtoffer was.
De kost van fraude
De gemiddelde schade veroorzaakt door fraude bedraagt in België zo'n €200.000. Dat bedrag werd tijdens het vorige onderzoek geschat op €150.000. Hoewel het aantal fraudegevallen daalt, neem de schade sterk toe. Dat bedrag houdt trouwens enkel rekening met de gestolen geldsom, maar fraude kan ook leiden tot indirecte financiële schade, zoals de onderbreking van de businesscontinuïteit, een gerechtelijke procedure of imago- of reputatieschade.
Van de opgelopen schade blijft 85% onder de €100.000. Is de fraudeur echter een medewerker dan loopt de schade gemiddeld zes keer hoger op dan bij fraude door een derde of externe partij.
Meest frequente fraudegevallen
Hacking is de fraudevorm die bij bedrijven het meest effectieve schade veroorzaakt: liefst 29% van de fraudegevallen leidt tot daadwerkelijke schade. Die vorm wordt op de voet gevolgd door frauduleuze betalingen die we onder de algemene noemer 'valse facturatie' catalogeren (25%) en diefstallen van niet-contante activa (23%).
Andere grote fraudevormen, zoals diefstal van inkomsten, corruptie, vervalsing van de financiële staten en identiteitsdiefstal (beter bekend als CEO-fraude) zijn veel zeldzamer. De fraudevorm die het vaakst voorkomt is CEO-fraude (39%). Maar heel veel pogingen slagen niet. CEO-fraude veroorzaakt slechts in 4% van de gevallen ook daadwerkelijk schade.
Favoriete doelgroepen
Van alle gemelde fraudegevallen gebeurt 51% in bedrijven met een jaaromzet van meer dan €100 miljoen, terwijl die bedrijven 44% van de pogingen ondervinden en 35% van de steekproef uitmaken. Die ondernemingen krijgen dus ongeveer twee keer vaker af te rekenen met fraude dan de kleinste bedrijven (65% van de respondenten voor 49% van de fraudegevallen). Die vaststelling verrast wellicht, aangezien wordt verwacht dat kleinere organisaties a priori over beperktere controleprocedures en middelen voor fraudebestrijding beschikken, en dus een gemakkelijker doelwit vormen.
Het omgekeerde kunnen we verklaren door de grotere betrokkenheid van het management en de aandeelhouders bij het dagelijks beheer. In grotere bedrijven daalt de verantwoordelijkheidszin door de sterkere fragmentatie van taken en functies.
De vaststelling van fraude
Bijna de helft van de gemelde fraudegevallen wordt bij toeval ontdekt of pas na een aangifte. Dat betekent dus via wegen waarover het bedrijf zelf geen controle heeft. Voor het overige komt de fraude doorgaans (33% van de gevallen) aan het licht door de controle van documenten. Denk aan de controle van aankoopfacturen, de analyses van de evoluties van de boekhoudkundige rekeningen, de opvolging van de geannuleerde verkooptransacties of afwijkingen in de inventaris.
De fraudeplegers
Uit ons onderzoek blijkt dat 45% van de fraude wordt gepleegd door medewerkers van het bedrijf in ruime zin van het woord. Dat percentage loopt zelfs op tot 59% als we geen rekening houden met cybercriminaliteit. Zijn bepaalde functies meer geneigd tot fraudepleging dan andere? Neen. Elke afdeling kent zijn fraudetype. Inkomsten worden meestal gestolen door iemand van de commerciële dienst, niet-contante activa worden verduisterd door een productiemedewerker, corruptie wordt gepleegd door een persoon van de aankoopdienst en frauduleuze betalingen of de vervalsing van de financiële staten gebeuren het vaakst op de boekhouding.
Fraude voorkomen
Kijken we naar de controlemaatregelen die bedrijven getroffen door fraude hebben ingevoerd en de maatregelen bij ondernemingen die zich wisten te beschermen, dan merken we weinig tot geen verschillen. Controles alleen volstaan niet. Ze moeten correct worden uitgewerkt en voortdurend worden toegepast. Een voorbeeld: van de fraudeslachtoffers zegt 80% dat het systematisch een dubbele goedkeuring van facturen en betalingen toepast.
Toch leert de ervaring dat zo'n maatregel de zwakke plekken niet elimineert. De dubbele goedkeuring sluit niet uit dat een valse factuur alsnog wordt betaald. De controle kan immers om tal van redenen foutlopen. De goedkeuring slaat enkel op facturen, niet op creditnota’s. Of er worden uitzonderingen toegelaten wanneer bepaalde leden van de goedkeuringsketen afwezig zijn. Bepaalde typen uitgaven worden sowieso niet dubbel goedgekeurd. De medewerker die het betalingsvoorstel goedkeurt, krijgt geen kopie te zien van de eigenlijke facturen. Twee betaalkaarten zijn in de praktijk in handen van eenzelfde persoon, enzovoorts.
Daarnaast stelt ons onderzoek vast dat de antifraudestrategie te weinig gericht is op interne fraude. Liefst 56% van de fraudepogingen leidt tot schade wanneer de fraudeur deel uitmaakt van het bedrijf, tegenover slechts 13% wanneer het gaat om een externe fraudeur.
Bij het zoeken naar een adequate bescherming is het evenwicht tussen kosten en risico's van fundamenteel belang. Sommige maatregelen brengen nauwelijks extra kosten met zich mee, zoals het invoeren van een mechanisme voor fraudemelding (beter bekend als ‘whistleblowing’) of het opstellen van een gedragscode. Het lijkt misschien ver gezocht, maar het gebeurt wel vaker dat fraudeurs zich verantwoorden door te stellen dat ze niet wisten dat het bijvoorbeeld verboden was om bepaalde informatie openbaar te maken of dat ze de verantwoordelijkheid hadden om bepaalde controles uit te voeren. Wie veilig wil spelen, evalueert om de twee tot drie jaar de frauderisico’s van het bedrijf en de manier waarop die worden ingedekt.
