Hoe uw onderneming beschermen tegen fraude-aanvallen? | Agoria

Hoe uw onderneming beschermen tegen fraude-aanvallen?

Afbeelding
Gepubliceerd op 12/10/21 door William Schoofs
Betalingsfraude, factuurfraude, CEO-fraude, e-fraude (phishing), factuurfraude of Sepa Direct Debit-fraude zijn situaties waarbij oplichters een factuur vervalsen of zich voordoen als een leidinggevende van uw bedrijf met als doel een ongeoorloofde betaling uit te voeren. Als de ontvanger de betaling uitvoert, betaalt hij dus de oplichters. Goede procedures kunnen dit risico sterk verminderen. Wij geven u hierbij enkele aanbevelingen.

Hoe gaan oplichters te werk?

Bij betalingsfraude doet een oplichter zich voor als de CEO/CFO of andere leidinggevende van uw bedrijf met de vraag om een dringende, vaak vertrouwelijke betaling uit te voeren. In het vakjargon noemen we dit social engineering of CEO-fraude.

Bij factuurfraude onderschept een oplichter een papieren of elektronische factuur en wijzigt hij het rekeningnummer. Als de ontvanger deze factuur betaalt, betaalt hij dus de oplichters. Zowel de verzender van de factuur als de ontvanger zijn slachtoffer.

Bij e-fraude proberen de oplichters geheime codes te bemachtigen om toegang tot uw bankrekening te krijgen en deze nadien te plunderen.

Bij Sepa Direct Debit-fraude gaat een oplichter het mandaat vervalsen dat een betaler aan zijn ontvanger geeft om automatisch geld af te houden van zijn rekening. Sinds 1 februari 2014 worden domiciliëringsmandaten beheerd door de schuldeiser, bijvoorbeeld een webwinkel of een nutsbedrijf. Volgens de regels van SEPA is een mandaat een papieren of elektronisch document, dat getekend moet worden door de klant. Zodra het mandaat is verkregen, kan de schuldeiser meteen geld van de rekening van de klant halen.

Procedures

Om fraude te voorkomen en een vlotte afhandeling te garanderen, moet een bedrijf procedures opstellen voor enerzijds het goedkeuren van aankopen en anderzijds het uitvoeren van betalingen. Deze twee procedures zijn noodzakelijk omdat een oplichter een betalingsverzoek of factuur kan voorleggen waarvoor de aankoop geen interne goedkeuring kreeg, of een betalingsverzoek of factuur sturen voor een goedgekeurde aankoop, maar met een verkeerd rekeningnummer. Informeer ook uw werknemers over de veel voorkomende fraude gevaren en hoe zij hiervoor alert kunnen zijn.

Interne goedkeuring voor aankopen

​​De interne goedkeuring dient om ervoor te zorgen dat de aankoop in het belang is van de vennootschap en past binnen de strategische krijtlijnen van het bedrijf. Deze procedure start met het vastleggen van de doelstelling van de organisatie. Interne goedkeuringsprocedures gebruiken verschillende regels voor weerkerende betalingen (zoals gas, water elektriciteit), ad hoc aankopen en al dan niet gebudgetteerde kosten. Het werken met purchase orders is een efficiënte manier om interne goedkeuringen te verlenen en om betalingen efficiënt af te handelen.

Betalingsgoedkeuringen

In principe vermijdt u betaalrisico door de leverancier te vragen zijn betalingsgegevens te bevestigen. Als u kan aantonen dat u betaald heeft op de bankrekening die u van een leverancier kreeg, dan heeft u een bewijs dat u aan uw betalingsverplichting heeft voldaan.

We raden aan om masterdata te creëren. Masterdata is een databank binnen het bedrijf waar u de gegevens bewaart, waaronder het bankrekeningnummer van uw leveranciers. Het concept van masterdata zit ingebakken in de meeste ERP-pakketten. Kijk na of het rekeningnummer op een factuur overeenkomt met de facturatiegegevens in de masterdata. De rekeningnummers in de masterdata moeten gevalideerd worden door uw financieel departement. Betalingen mogen enkel gebeuren naar rekeningnummers die in de masterdata staan.

Koppel in uw boekhoudsysteem gevalideerde rekeningnummers aan bedrijven. De meeste boekhoudsystemen kunnen u verwittigen als een factuur een rekeningnummer bevat dat niet gekend is in de masterdata. Wees waakzaam als een factuur een nieuw rekeningnummer vermeldt of als er een sticker “Opgelet, gewijzigd rekeningnummer” op de enveloppe of op de factuur kleeft. Ook als het de eerste factuur is die u ontvangt van een leverancier, neemt u best even wat tijd om het rekeningnummer na te kijken vooraleer u betaalt.

Als u een factuur per e-mail ontvangt, controleer of het e-mailadres correct is. Bel in geval van twijfel uw leverancier op via een telefoonnummer dat u kent (het nummer op de factuur kan vervalst zijn). Wees voorzichtig als er een tijdsverschil van meer dan een week zit tussen de verzenddatum van de factuur en de datum waarop u ze ontvangt. Dit tijdsverschil kan een indicatie zijn van fraude. Betaal nooit een factuur of rekening die er verdacht uitziet. Oplichters proberen alle soorten facturen te onderscheppen: het gaat vooral om eenmalige betalingen van een groot bedrag. Uit de meldingen van factuurfraude die de FOD Economie, blijkt dat het meestal gaat over facturen van 1.600 euro tot 55.000 euro.

Factuurfraude gebeurt ook via digitale kanalen. Oplichters kunnen vanop afstand binnendringen in het informaticasysteem van een leverancier en facturatiemails onderscheppen, of ze passen het rekeningnummer aan. Met andere woorden, ook bij facturen die u elektronisch ontvangt, moet u op uw hoede zijn.

Procedure voor betalingen

Hieronder een aantal ideeën die u in uw betalingsprocedure kan gebruiken:

  1. Identificeer al uw leveranciers en controleer hun gegevens. Laat leveranciers een leveranciersformulier invullen. U kan een leverancier vragen om dit formulier te laten ondertekenen door een wettelijke vertegenwoordiger van het bedrijf. Meestal bevat dit leveranciersformulier de volgende elementen: Naam rechtspersoon+ registratienummers (BTW, Legal ID #), adres en contactgegevens voor commerciële contacten en boekhoudcontact, betaalgegevens (bankrekeningnummer, betalingsinstructies, banknaam en bankadres), beschrijving van bedrijf + belangrijkste producten, verwacht jaarlijks bedrag, lijst van goedgekeurde purchase orders.
  2. Check de inkomende facturen en betalingsverzoeken:
    • Is er een interne goedkeuring voor de aankoop/betalingsverzoek?
    • Zijn de leveranciersverplichtingen voldaan (levering, installatie, inbedrijfstelling,…)?
  3. Vergelijk de data op de factuur met de purchase order en met de masterdata: komen de naam/bankgegevens/BTW nummers overeen met de gegevens in de masterdata en komt de aankoop overeen met de gegevens van het purchase order?

Een dubbele interne goedkeuring voor betalingen van SEPA-betaalfiles is geen waterdicht controlemechanisme. Sommige interne goedkeurders zien hun goedkeuring als een routineklus en doen weinig of geen controle. Laat interne goedkeurders gerichte steekproeven doen (bv. voor betalingen hoger dan 10.000 euro de rekening van de betalingsopdracht nakijken met de rekening in de masterdata en dit te documenteren). Zorg ervoor dat de persoon die facturen goedkeurt niet dezelfde persoon is als degene die de betalingen goedkeurt. 

De bovenstaande stappen zouden voldoende moeten zijn om betaalfraude te vermijden. Voor grote of gevoelige transacties kunnen bijvoorbeeld bijkomende controles gedaan worden:

  • Verifieer het bankrekeningnummer bij de bank. Bel de bank, identificeer uzelf en uw bedrijf en vermeld de reden van het telefoontje. Vraag de bankmedewerker welke informatie de bank nodig heeft voor verificatie. Dit is meestal de volledige naam, het adres en het bankrekeningnummer van de leverancier. De bank kan dan bevestigen of u over de juiste gegevens beschikt.
  • Doe een testbetaling van bijvoorbeeld 1 cent of 1 euro. Vraag de leverancier of hij de proefbetaling goed ontvangen heeft.
  • Er zijn gecentraliseerde databases met bankrekeningnummers zoals het centraal aanspreekpunt (CAP) in België. Het CAP is een register dat alle bankrekeningnummers en contracten bij financiële instellingen in België bevat van zowel ingezeten als niet-ingezeten natuurlijke of rechtspersonen. Maar dit CAP kan niet geraadpleegd worden door bedrijven om bankrekeningnummers te verifiëren.

Wat als u toch slachtoffer bent van betalingsfraude ?

Als u een vervalste factuur betaalde, neem dan eerst contact op met de leverancier. Misschien is er gewoon een vergissing in het spel. Is dat niet het geval, contacteer dan zo snel mogelijk uw bank en de bank van het rekeningnummer naar waar u hebt overgeschreven om de fraude te melden. Uw bank vraagt aan de bank van het rekeningnummer van de oplichters om het geld terug te storten. De bank zal proberen de overschrijving te blokkeren of blokkeert de rekening zodat geldafhalingen door de oplichters niet meer mogelijk is.

Dien klacht in bij de lokale politie en meld fraude op meldpunt.belgie.be (optie “vervalste factuur”). U krijgt aan het einde van uw melding meteen advies en informatie over welke stappen uw bedrijf nog kan ondernemen en wie u daarbij kan helpen. Het meldpunt is een samenwerkingsverband tussen verschillende federale agentschappen, de Federale Politie, de FOD Financiën en de FOD Economie. Het meldpunt dient om meldingen of andere informatie te ontvangen van particulieren of ondernemingen, om oplichting, bedrog, fraude en illegale handelspraktijken te bestrijden. Het meldpunt doet geen snelle interventies en beschikt niet over een 24u/24u permanentie.

Heeft u vragen voor Agoria Financial Services? Neem contact met ons op via financial.services@agoria.be.
Was dit artikel nuttig?

Gerelateerde thema's