Edwin Slutter was succesvol als CFO van Pathé maar dat eindigde vorig jaar maart abrupt door een cybercrime-incident. Hackers braken in op de computers van de cinemaketen en wisten via CEO-fraude 19,2 miljoen euro buit te maken. Nu waarschuwt hij vanuit zijn eigen adviesbureau Added Value Finance andere CFO’s en topmanagers. “Jouw bedrijfscultuur vormt het grootste gevaar.”

Slutter wil, als we hem spreken voor Executive Finance, vooral vooruitkijken. Logisch, maar we ontkomen er niet aan om zijn casus te behandelen. Ook als waarschuwing naar andere CFO’s toe. Die casus, in zijn geheel te lezen via Rechtspraak.nl, begint op 8 maart 2018 met een e-mail. Het leek alsof een bestuurder van het Franse hoofdkantoor van Pathé zich meldde bij de directie van de Nederlandse dochterorganisatie. Slutter: “Ze braken in op de server en volgden de communicatie. Wie communiceert met wie? Wat is de cultuur in de organisatie? Ze downloaden stukken. Die jongens zijn geschoolde professionals. Op IT-gebied, maar ook in finance.”

Alarmbellen rinkelen

Uit de naam van de CEO in Parijs vroegen de fraudeurs via email verschillende malen om geld, zogenaamd om de aankoop van een bedrijf in Dubai te financieren. Het geld zou na bekendmaking van de transactie worden teruggestort. De twee Nederlandse topmensen uitten naar elkaar hun twijfel over de gang van zaken, maar waren overtuigd met de echte bestuurders te maken te hebben. Omdat de transactie werd bevestigd met handtekeningen van de hoogste leiding. En omdat de treasury-afdeling van het hoofdkantoor doorkwam met de benodigde gelden.

Bij het hoofdkantoor begonnen na drie weken alarmbellen te rinkelen. Op 28 maart bleek vervolgens dat de twee Nederlandse topmensen de dupe waren geworden van CEO-fraude. Ze werden op non-actief gezet en in april ontslagen. Slutter: “De fraudeurs creëerden een omgeving, die geloofwaardig was. Met een bedrijf in Dubai, met een website. Met een adviseur van de Big 4. Met handtekeningen om de deal goed te keuren. Met alles erop en eraan. Toen het spel uit was, knipten ze alle banden door en waren ze in geen velden of wegen meer te bekennen. De grote vraag is dan of je het geld ooit nog terugziet.”

“Dan voel je je afgedankt”

Toen het spel uitkwam, werden algemeen directeur Meijer en financieel directeur Slutter meteen geschorst. “Dat is heftig, alhoewel ik me er toen, gezien de aard van de situatie, nog wel iets bij kon voorstellen. Je wilt een onderzoek doen en dat is ook gebeurd. Maar van de één op de andere dag ben je niet meer degene die het bedrijf draaiende houdt en de lijnen uitzet, maar zit je thuis. Je moet je sleutels, iPad en iPhone inleveren. Voor de algemeen directeur duurde het een week voordat ze te horen kreeg dat ze werd ontslagen. Nog voor het onderzoek begon. Ik kreeg datzelfde bericht vier weken later. Dan voel je je afgedankt, vooral omdat je slachtoffer bent en in het belang van de organisatie hebt gehandeld.”

Doelwit van professionele bende van fraudeurs

En dat terwijl het recherchebureau dat de zaak namens Pathé onderzocht de Nederlandse CEO en CFO vrijpleitte. Letterlijk staat er in hun rapport: “Het is niet aangetoond dat personen, werkzaam bij Pathé, actief betrokken zijn geweest bij de fraude. Tevens is niet aangetoond dat deze personen, voorafgaand of gedurende de fraude, kennis van de fraude hebben gehad. Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, die door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers, en dan met name van respectievelijk mevrouw Meijer en de heer Slutter, wisten te winnen. De fraudeur wist de Pathé-medewerkers over te halen om diverse malen een aanzienlijk geldbedrag over te maken.”

Door rechtszaak is casus tot in detail openbaar

Slutter spant een rechtszaak aan tegen zijn ontslag op staande voet. Daarmee komt ook de hele casus tot in detail naar buiten. De rechter oordeelt in het voordeel van Slutter. “Betrokkene was eindverantwoordelijk voor de financiën van Pathé. In dat kader werd hij benaderd door de algemeen directeur met het oog op het verrichten van een aantal grote betalingen in opdracht van de twee hoogstgeplaatste personen binnen het Pathéconcern. Dat is op zich geen reden die betalingen klakkeloos uit te voeren, zeker als er geen relatie is met de Nederlandse vennootschap. De CFO heeft dat echter ook niet gedaan, maar heeft aangedrongen op bevestiging van de te verrichten betalingen. Die bevestiging is er ook gekomen. Vervolgens is een aantal betalingen verricht terwijl hij op vakantie was en in die periode is eveneens het aanvragen van gelden uit de cashpool in gang gezet. Na terugkomst van zijn vakantie heeft de CFO de financiële afhandeling van de verzoeken die alle binnenkwamen weer op zich genomen. Tot de betaling van de laatste tranche van de beweerdelijke transactie waren er geen bijzondere nieuwe omstandigheden die voor de betrokkene reden hadden moeten zijn om zijn opstelling te wijzigen.”

Onvoldoende gebleken dat CFO de red flags had moeten zien

Even later formuleert de rechter wel een kritische noot: “Naar het oordeel van de kantonrechter had in de laatste fase meer oplettendheid van betrokkenen mogen worden verwacht, maar het ontbreken daarvan is onvoldoende om een dringende reden op te leveren.”

De conclusie die het door Pathé ingeschakelde recherchebureau trekt, ligt hiermee volgens de rechter in lijn. “De CFO is op geraffineerde wijze in een val van fraudeurs gelokt. De door Pathé opgesomde red flags kunnen met de wijsheid van nu niet over het hoofd worden gezien en evenmin kan er twijfel over zijn wat de conclusie hiervan is als deze nu op een rij worden gezet: er klopt iets niet. Waar het echter om gaat is of de CFO al die red flags destijds heeft gezien of had moeten zien en niettemin zijn handelwijze niet heeft aangepast. Dat is onvoldoende gebleken. Ten aanzien van de e-mailadressen geldt dat het eerst zichtbare e-mailadres steeds eindigt op pathe.com. Weliswaar staat daar een afwijkend adres achter, maar dat geldt ook voor het echte mailadres.” Ook heeft Slutter de adviseur van de transactie geverifieerd.

Niet checken maakt deel uit van geheimhouding

Het niet checken van handelingen en betalingsomschrijvingen bij anderen bij Pathé past volgens de rechter in de opgelegde geheimhouding. “Daarvan kan nu dus worden vastgesteld dat deze onderdeel is van de geraffineerde wijze waarop de fraudeurs het vertrouwen hebben gewonnen en hun werkwijze uit het zicht hebben gehouden.” Wat de CFO meer of anders had moeten doen, heeft Pathé volgens de rechter overigens ook weinig concreet gemaakt. Volgens Pathé had de CFO moeten bellen. De rechter: “Echter, Slutter had al aangedrongen op een handtekening en die was zonder omhaal verkregen. Uiteraard kan nu achteraf gezegd worden dat het bellen de fraude had kunnen voorkomen, maar onderdeel van die fraude waar de CFO zich in mee liet nemen, was nu juist dat er niet telefonisch mocht worden gecommuniceerd.”

Delen en leren van ervaringen: Bedrijfscultuur als boosdoener

De rechter constateerde in zijn uitspraak dat het vertrouwen tussen Pathé en de CFO er niet meer is. Daarom vernietigde hij het ontslag op staande voet uit april, maar liet hij het arbeidscontract wel pas per 1 december 2018 ontbinden. Tot die tijd ontving Slutter met terugwerkende kracht salaris.

Slutter heeft tijd om te reflecteren en doet studie naar het onderwerp CEO-fraude. Hij constateert dat deze vorm van fraude veel voorkomt maar vanwege schaamte vaak binnenshuis worden gehouden. In slechts 5 procent van de gevallen wordt aangifte gedaan, waardoor fraudeurs ongestoord door kunnen gaan. Hij besluit met zijn ervaringen andere CFO’s en bestuurders van lessen te voorzien. Met zijn eigen adviesbureau Added Value Finance, als spreker op congressen, als in company-trainer en met een whitepaper. Daarin wijst hij vooral naar de bedrijfscultuur als boosdoener. “Bij organisaties die te maken hebben met CEO-fraude, zijn er overeenkomsten in de bedrijfscultuur zichtbaar. Zo hebben organisaties die te maken krijgen met deze vorm van fraude vaak een duidelijke hiërarchie, heerst er een masculiene cultuur en wordt er topdown gestuurd. Met een zakelijke aanpak gericht op succes. Veelal hebben deze organisaties vestigingen in meerdere landen, waarbij communicatie geen vanzelfsprekendheid is. Het management zit er vaak al lang en er is een gevoel van afstand tussen het management en de rest van de organisatie. De cultuur is gericht op het laten zien van krachtig handelen en het kunnen nemen van beslissingen. Onzekerheid wordt zoveel mogelijk vermeden.” Om af te sluiten met: “Zonder dat ze het zelf in de gaten hebben, zijn deze organisaties kwetsbaar.”

Wereldwijde schade van CEO-fraude 9 miljard euro

Uit een rapport van Trend Micro uit 2018 blijkt dat de wereldwijde schade van CEO-fraude wordt geschat op 9 miljard euro per jaar. “Organisaties zijn het doelwit van fraudeurs, die hen vaak al een tijd observeren om hun cultuur te leren kennen. Ze proberen in hun communicatie hierbij aan te sluiten en leggen contact met de lokale directie of de medewerkers van de financiële administratie met een dringende vraag. Deze kan niet wachten en vraagt uiterste geheimhouding. Dit wordt ook wel omschreven als social engineering.” In de welbekende fraudedriehoek, wordt gesproken over gelegenheid, druk en rationalisatie als oorzaken. Slutter: “In het geval van CEO-fraude zien we vaak dat het slachtoffer niet de ruimte voelt om vragen te stellen: druk. Er wordt immers gerekend op discretie. Er is geen enkele reden om aan te nemen dat deze boodschap niet van het hoger management komt: rationalisatie. Daarnaast zijn zij in staat te voldoen aan het verzoek: gelegenheid. Medewerkers in organisaties zijn zich vaak van geen kwaad bewust en handelen uit behulpzaamheid, erkenning, druk en angst.”

Geldoverboeking moet getest worden

In een andere variant doen oplichters zich voor als de IT-leverancier met de boodschap dat een geldoverboeking getest moet worden. In werkelijkheid gaat het om een echte overboeking. Ook komt het voor dat brieven worden verstuurd over een nieuwe bankrekening waar betalingen in de toekomst naartoe moeten. Dat is dan natuurlijk de bankrekening van de oplichter.

Rol van de Commissarissen is belangrijk

CEO-fraude zit uiterst geraffineerd in elkaar. “Mijn casus begon enkele uren nadat ik de maandcijfers had gerapporteerd en het dus nog vier weken duurde voordat ik weer moest rapporteren. Daarmee kochten ze tijd. Ze doen hun huiswerk.” Wat mogen we van de accountant verwachten in dergelijke fraudegevallen? Slutter: “De accountant is niet verantwoordelijk voor de inrichting van de organisatie, maar hij kan wel een beoordeling maken van de bedrijfscultuur. Hij voelt bijvoorbeeld besluiteloosheid, laksheid, slordigheid of dominantie aan. En hij zou dat wat mij betreft eerst bij de directie en -bij geen gehoor- bij de Raad van Commissarissen moeten melden. Commissarissen zijn medeverantwoordelijk voor de juiste cultuur die wordt ingezet door de directie. Bij hen ligt een belangrijke taak om kwetsbaarheden te signaleren en op te lossen.”

Speak up-cultuur creëren

Maar hoe pak je als CFO die cultuur aan? “Door een speak up-cultuur te creëren. Net zoals je bij kinderen hoop je dat ze alles tegen je als ouder durven te zeggen. Daarbij gaat een medewerker je echt niet voor elk wissewasje benaderen. Maar er moet wel een cultuur zijn waarbij die medewerker jou een vraag durft te stellen.” Hoe de cultuur ervoor staat, is onder andere ook bespreekbaar te maken tijdens exitgesprekken. Slutter: “Haal daar het net op. Waarom verlaten medewerkers jouw organisatie? Veel informatie haal je ook uit onderzoeken over de medewerkerstevredenheid. Kijk goed naar de beoordelings-en beloningsstructuur en promotiecriteria. Maar ook wat is de stijl van vergaderen, hoe is het gesteld met groepsgedrag en hoe zijn de mandaten en bevoegdheden ingeregeld.”

CFO: ken je cultuur

Meerdere CFO’s benaderden Slutter met de vraag om zijn verhaal te komen doen. “Ik ben vaker het gesprek aangegaan. Ik hoop dat ik met dergelijke gesprekken kan laten inzien waar CFO’s kwetsbaar zijn. Doe een 360 graden-scan en ken je cultuur. Dat naast de techniek om ervoor te zorgen dat het moeilijk wordt voor hackers om je systeem te penetreren.” Slutter is weer beschikbaar om aan de slag te gaan als CFO. “Ik heb door deze ervaring en de studie juist de ervaring om de kwetsbaarheden in organisaties te zien. Het belangrijkste is nu om het thema onder de aandacht te brengen. Cybercrime staat in de top vijf van bedreigingen van organisaties. Fraudeurs zetten zelfs stemcomputers en acteurs via Skype in. Dan is wapenen met alleen techniek niet voldoende, maar is juist de mens- en organisatiekant belangrijk. CEO-fraude is na dit incident niet weg. Sterker nog: het gaat nooit meer weg. Het is belangrijk daar als CFO scherp op te zijn. Daar kan ik niet genoeg voor waarschuwen.”

Bron: ExecutiveFinance.nl