Meerderheid van bedrijven heeft geen beleid voor frauderisico’s
De meerderheid van de Nederlandse bedrijven heeft geen fraudebeleid. Dit gebrek kan risico's vergroten en schade toebrengen aan de reputatie van organisaties. Dat concludeert BDO in een nieuw rapport.
Uit het onderzoek blijkt dat 48% van de organisaties in de private sector een fraudebeleid heeft. Waar dit aandeel in de afgelopen jaren is gestegen, betekent het nog steeds dat meer dan de helft van de bedrijven géén beleid heeft op dit gebied.
Een fraudebeleid is essentieel voor bedrijven omdat het helpt om het risico op fraude te verkleinen en, mocht fraude toch voorkomen, de impact en schade te beperken. Voorbeelden van fraude zijn oplichting, financiële fraude, gesjoemel met declaraties en uitgaven, factuurfraude, witwassen, afpersing en nog veel meer.
Enorme kostenpost
De kosten van fraude kunnen groot zijn. Volgens BDO kan de schade voor een enkele organisatie oplopen tot 5% van de jaarlijkse omzet. Het is dus van groot belang om fraude effectief aan te pakken. In de publieke sector lijken organisaties zich daar beter van bewust. 62% van de publieke organisaties heeft inmiddels een fraudebeleid, een aanzienlijke stijging ten opzichte van de pakweg 50% in de jaren ervoor.
Een vergelijkbaar patroon is te zien in de risicomanagementprocessen die organisaties hebben om fraude te detecteren en te beheren. Zo heeft 59% van de publieke organisaties een frauderisicoanalyse uitgevoerd, terwijl dit in de private sector slechts 33% is.
Een frauderisicoanalyse is een beoordeling die helpt om te inventariseren wat er allemaal mis kan gaan binnen de organisatie. Dit stelt bedrijven in staat om gerichte maatregelen te nemen die het meest effectief zijn, in tegenstelling tot een one size fits all-benadering.
Daarnaast is een frauderisicobeleid breder van opzet en bevat het de belangrijkste uitgangspunten voor eerlijk zakendoen. Het schetst de kaders voor integer handelen in en door de organisatie en spreekt zowel werknemers als (zaken)partners direct aan.
In het onderzoek vroeg BDO de respondenten of zij over een frauderisicoanalyse, fraudebeleid, gedragscode en beleidslijnen met betrekking tot witwassen en sancties beschikken. Hieruit bleek dat er aanzienlijke verschillen bestaan tussen de publieke en private sector.
Cybercriminaliteit
De onderzoekers merken op dat fraude zich steeds vaker via digitale kanalen manifesteert. Bekende voorbeelden hiervan zijn phishing, ransomware-aanvallen, waarbij criminelen proberen in te breken en/of gegevens te versleutelen, en CEO-fraude, waarbij zij zich voordoen als een hogere manager van een bedrijf om betalingen los te krijgen.
De opkomst van AI versterkt deze trend, waardoor fraude steeds geavanceerder en moeilijker te detecteren wordt. Dit vormt een groot risico, niet alleen voor de (nationale) overheid, maar voor organisaties in alle sectoren.
In de digitale wereld van vandaag is fraude dus onlosmakelijk verbonden met digitale veiligheid. Het onderzoek laat zien dat organisaties zich steeds meer bewust zijn van het serieuze risico van cybercriminaliteit. Zo geeft 33% van de bedrijven aan kwetsbaar te zijn voor cyberaanvallen.
Organisaties in de publieke sector voelen zich nog kwetsbaarder; maar liefst 49% beschouwt zichzelf doelwit van cybercriminelen. Het is duidelijk dat organisaties zich steeds meer moeten voorbereiden op de dreigingen die voortkomen uit digitale fraude.
Tussen de deelsectoren van de publieke sector bestaan grote verschillen. Zo denkt 29% van de maatschappelijke organisaties kwetsbaar te zijn voor cybercriminaliteit, terwijl dit percentage voor woningcorporaties oploopt tot 56%.
Ook binnen het bedrijfsleven zijn de verschillen tussen de deelsectoren aanzienlijk. Slechts 7% van de bouw- en vastgoedbedrijven acht hun organisatie kwetsbaar voor cyberaanvallen, terwijl dit percentage bij techbedrijven ongeveer zes keer zo hoog is (43%).
Afhankelijkheid van digitale gegevensverwerking
Volgens BDO speelt de afhankelijkheid van digitale gegevensverwerking voor de continuïteit van de organisatie een belangrijke rol in de mate van kwetsbaarheid en de prioritering van cyberveiligheid binnen organisaties. Dit verschilt per sector, aangezien de afhankelijkheid van digitale processen varieert afhankelijk van het type organisatie en de sector waarin deze opereert.
Organisaties die sterk afhankelijk zijn van digitale technologieën, zoals techbedrijven of financiële instellingen, zullen vaak hogere prioriteit geven aan cyberveiligheid dan sectoren waar digitale processen minder cruciaal zijn voor de dagelijkse operaties.
Neem een techbedrijf: 70% van de techbedrijven gaf aan dat digitale gegevensverwerking van groot tot zéér groot belang is voor de continuïteit van de organisatie. Ook binnen de financiële dienstverlening (59%), de voedsel- en bloemenindustrie (56%) en de overheidssector (57%) is gegevensverwerking van groot tot zéér groot belang voor de meerderheid van de organisaties.
Aan de andere kant is dit veel minder belangrijk bij bijvoorbeeld een aannemersbedrijf. Dit speelt mee in de mate waarin organisaties investeren in digitale veiligheid en fraudepreventie.
Voor de studie ondervroeg BDO in totaal meer dan 900 organisaties: 685 uit het bedrijfsleven en 245 uit de publieke sector.