Eerder kon je lezen over toenemende fraude en de meest voorkomende soorten bedrijfsfraude. In dit artikel geven we de benodigde voorzorgsmaatregelen en kijken we naar het implementeren van een gelaagd risk assessment.
Een beoordelingskader voor frauderisico’s is een proces dat helpt gebieden aan te wijzen waar een organisatie kwetsbaar is voor fraude, zodat je concrete plannen kan ontwikkelen. Als zo’n analyse correct wordt uitgevoegd blijf je een fraudeur altijd een paar stappen voor. Je kijkt immers naar je eigen organisatie vanuit de ogen van een fraudeur. Het kader zorgt er voor dat de volgende vragen beantwoord kunnen worden: waar zitten zwakke plekken in onze controles? En op welke manieren kan onze organisatie onbedoeld fraudeurs helpen ontsnappen?
Om effectief te zijn, moet een raamwerk verschillende fundamentele, gegevens gestuurde lagen hebben. De eerste laag omvat de inspanning om nauwkeurig potentiële klanten of derden te identificeren – wie ze eigenlijk zijn en of zijn ze wie ze werkelijk zijn? Zijn er mogelijke risico’s of discrepanties op basis van bedrijfsgegevens? De tweede laag omvat het onderzoek van de digitale identiteit gekoppeld aan deze entiteiten – elektronische referenties die helpen bij het opstellen van een alomvattend bedrijfsprofiel tijdens real-time transactieprocessen. De derde laag betreft de evaluatie van operationele en financiële factoren.
Lees ook: Zakelijke fraude: Een groeiend probleem
De eerste laag: Verifiëren van identiteit
Het moment waarop een bedrijf of leverancier een nieuwe zakelijke relatie wordt, is het beste moment om een due diligence proces uit te voeren om de legitimiteit van een bedrijf te verifiëren. Dit proces is gebaseerd op gegevens – idealiter gegevens die die rigoureus zijn doorgelicht met behulp van meerdere bronnen om ervoor te zorgen dat het bedrijf echt bestaat.
Profielen met een lager risico worden gekenmerkt door meer consistentie tussen zelf gerapporteerde bedrijfsgegevens en gegevens van betrouwbare gegevenspartijen. Inconsistenties in deze gegevens wijzen vaak op een hoger risicoprofiel en een grotere kans op poging tot fraude. Deze inconsistenties omvatten kleine discrepanties die kunnen worden afgedaan als “toevallig” maar eigenlijk opzettelijk zijn. Een fraudeur kan bijvoorbeeld een “S” of “Inc.” toevoegen na een legale bedrijfsnaam om een “look-a-like” bedrijfsnaam te creëren. Fraudeurs zullen bepaalde gegevens verzinnen, overdrijven of zelfs weglaten om hun bedrijf er beter uit te laten zien. Een bedrijf kan bijvoorbeeld beweren dat het in 2015 is opgericht, terwijl betrouwbare gegevensbronnen 2021 als startjaar opgeven. Door 2015 te claimen als oprichtingsjaar kan de fraudeur allerlei gegevens zoals aantal werknemers, omzet of verkoopcijfers overdrijven. Hierdoor lijkt een bedrijf geloofwaardiger dan het is.
Het onderzoeken van het adres van een entiteit is ook een belangrijke verificatiestap. Een hoger risico wordt doorgaans geassocieerd met virtuele kantoorlocaties, postbussen of woonadressen. Hierbij is het wel van belang dat er met zorg wordt omgegaan met het verifiëren van ZZP’ers, omdat zij vaak hun woonadres als kantooradres opgeven.
Vragen waar je rekening mee moet houden tijdens de eerste laag:
- Welke zakelijke data hebben we over dit bedrijf en kan het worden geverifieerd?
- Bedrijven plegen geen fraude, individuen wel. Kunnen we alle personen achter een bedrijf achterhalen?
- Zijn de bestuursleden al eens eerder betrokken geweest bij andere (niet meer bestaande) bedrijven?
- Welke producten kopen ze, en is het logisch dat ze dit doen?
Lees ook: De KvK gaat adresgegevens van ZZP’ers afschermen omwille van veiligheid en privacy
Tweede laag: Risico’s achter een apparaat, IP of e-mailadres blootleggen
Toen de wereldwijde pandemie de fysieke wereld tot stilstand bracht, profiteerden fraudeurs van het moment. Dun & Bradstreet gegevens tonen een toename van 251% in zakelijke identiteitsdiefstal in 2020, vergeleken met 2019. Deze piek is sterk gecorreleerd met grote stijgingen in digitale transactievolumes en gerelateerde cyberaanvallen. Meer identiteitsgegevens van consumenten die in handen van kwaadwillende komen, vertaalt zich in meer gevallen van B2B-fraude.
Gewoonlijk gebruiken fraudeorganisaties een handvol IP-adressen of hosts en doorlopen een lange lijst van gestolen gebruikers om de beveiliging van een bedrijf te doorbreken. Daarom moet het frauderisico worden beoordeeld op basis van op de e-mail, het domein, het telefoonnummer of het apparaat en IP adres dat wordt gebruikt voor transacties. Met name de leeftijd van de e-mail is een veelzeggende risico indicator. Uit gegevensanalyse is gebleken dat fraude met nieuwere e-mails steeds meer in opkomst is. Bijvoorbeeld, als een echt bedrijfsdomein abcpizza.nl is, zou een fraudeur abcpizzainc@pizzaparlor.nl aanmaken, in plaats van voorletter.achternaam@abcpizza.nl. In een echt voorbeeld plaatste een fraudeur een grote bestelling voor een restaurant en in plaats van het echte bedrijfsdomein domein bedrijfabc.com, gebruikte de fraudeur de “look-a-like”: bedrijfabc.nl.
Het is ook mogelijk om onderzoek te doen op apparaatniveau om zo dreiging buiten te deur te houden. Je kunt van elk apparaat een profiel opbouwen om zo een goed beeld te krijgen van welke appraten betrouwbaar worden gebruikt. Als een nieuw apparaat zich wilt toevoegen, moet er een evaluatie plaatsvinden. Belangrijke overwegingen zijn onder meer leeftijd, snelheid, reputatie en apparaat-IP.
Een voordeel van het gebruik van risicogegevens op apparaatniveau is dat het apparaat-ID wordt opgeslagen in plaats van een persoonlijk profiel. Als een zakelijke rekening al is afgewezen wegens verdacht gedrag, en de fraudeur hetzelfde apparaat gebruikt om een andere rekening aan te vragen onder een andere naam, dan weet de organisatie dat meteen omdat het terugkerende apparaat kan worden geverifieerd.
Derde laag: Het evalueren van operationele en financiële factoren
Het kan lastig zijn om frauderisico los te zien van “gewoon” kredietrisico. Het grootste verschil is de opzet. Bij normaal kredietrisico is er geen sprake van opzet, bij frauderisico is het de bedoeling dat het bedrijf een bust-out fraude toe gaat passen. Een bedrijf kan bijvoorbeeld consequent op tijd betalen en als een laag kredietrisico worden beschouwd. Maar dan begint het bedrijf zijn kredietlijn maximaal te benutten en blijft uiteindelijk in gebreke bij alle betalingen. Dit is typisch “bust-out” gedrag. Wanneer activiteiten zoals deze aan het licht komen, zou het een onderzoek moeten uitlokken van de financiële gezondheid van het bedrijf of de leverancier waarmee u en een nader onderzoek van de transacties.
Vragen waar je rekening mee moet houden tijdens de derde laag:
- Doet het bedrijf meer kredietaanvragen dan normaal?
- Heeft het bedrijf de limiet van zijn kredietlijn bereikt?
- Betaalt het bedrijf op tijd?
- Vertoont het bedrijf een stijgende of dalende trend op de belangrijkste financiële parameters?
- Is het bedrijf al in gebreke gebleven of staat het op de rand van het faillissement?
Bewustwording is altijd de eerste stap van een nieuw proces. De meest voorkomende soorten fraude zijn besproken, en manieren om deze te voorkomen. Nu de meldingen van zakelijke fraude zo hard stijgen is het moment aangekomen om een goed raamwerk neer te zetten en te investeren in goede due dilligence en credit risk processen.
