Den kriminella ekonomin flyttar in i företagens vardag – det här behöver vd:n säkra

– Bara storleken innebär att alla företag utsätts för en risk att på något sätt medverka i den kriminella ekonomin. Det gäller även små företag och verksamheter som inte uppfattar sig som verksamma i en riskbransch, säger Peter Stier.

Företaget kan utnyttjas på flera sätt

Den direkta risken omfattar bland annat bluffakturor, kreditbedrägerier, identitetsstölder och bolagskapningar. Ett företag kan också sälja varor eller tjänster till en kund som saknar avsikt eller förmåga att betala.

Men påverkan kan också vara indirekt.

– Ett legitimt företag som betalar skatter, löner och arbetsgivaravgifter kan tvingas konkurrera med aktörer som bygger sin affär på svartarbete, skatteundandragande eller manipulerade kostnader. Företaget drabbas då inte av brottet direkt, men kriminaliteten påverkar ändå affären och konkurrenssituationen, förklarar Peter Stier.

Samtidigt gör AI det möjligt att skala upp bedrägerierna ytterligare. Kriminella kan skapa syntetiska identiteter, det vill säga: helt fiktiva personer som används för att köpa på kredit eller ta lån.

Snabbheten har ökat attackytan

Under de senaste årtiondena har det blivit enklare och snabbare att starta och ändra bolag samt hantera krediter, banktjänster och betalningar. Effektiviseringen har skapat nytta för företag och konsumenter, men också fler öppningar för kriminella aktörer.

– Vi har byggt ett system där väldigt mycket går fort. Det är bra på många sätt, men tillsammans har det skapat en mängd risker som utnyttjas i dag, säger Peter Stier.

En målkonflikt finns i företagens krav på snabba kundflöden.

– Som företagare vill du kunna avsluta affären så fort som möjligt för att få in kunden. Men ju snabbare processen går, desto mindre tid finns för att verifiera att identiteten, inkomsten eller bolagsuppgifterna faktiskt stämmer. Det är där risken uppstår, säger Peter Stier.

För att möta utvecklingen behöver företagen enligt honom använda samma slags verktyg som de kriminella.

– De kriminella använder AI och data för att arbeta snabbare och i större skala. Då behöver även vi använda teknik och data för att upptäcka mönster och avvikelser. Det är det enda sättet att hinna med när metoderna förändras så snabbt.

Varningssignaler i en affärsrelation

För vd:n är en central fråga hur företaget bedömer kunder, leverantörer och andra affärspartners. Peter Stier pekar på sex förhållanden som kan motivera en fördjupad kontroll:

• Otydlig eller orimlig verksamhetsbeskrivning. Det är svårt att förstå vad företaget faktiskt gör, eller verksamheten stämmer inte med den aktuella affären.
• Ingen tidigare omsättning eller verksamhetshistorik. Det finns begränsad verifierbar information att grunda bedömningen på.
• Mycket snabb tillväxt utan tydlig förklaring. Omsättningen ökar kraftigt utan en rimlig affärsmässig bakgrund.
• Ekonomiska uppgifter som inte stämmer med verksamheten. Omsättning, resultat eller andra uppgifter avviker från vad företagets storlek och verksamhet motiverar.
• Komplex ägarstruktur. Det är svårt att fastställa vem som ytterst äger eller kontrollerar företaget.
• Täta förändringar i bolagsuppgifterna. Företrädare, adresser eller ägarförhållanden ändras ofta utan en tydlig förklaring.

– Kan företaget inte förstå vem som ytterst står bakom motparten blir det svårt att bedöma risken. Det kan också finnas en risk att affärer görs med en sanktionerad person eller ett bolag som kontrolleras av en sanktionerad part, säger Peter Stier.

Börja med företagets egen riskbild

För mindre och medelstora företag är det sällan möjligt att bygga stora kontrollorganisationer. Riskarbetet behöver därför utgå från var företagets faktiska exponering finns och utgå från den egna riskbilden. Ett företag med många underentreprenörer har exempelvis en annan riskprofil än ett konsultbolag med ett fåtal långvariga företagskunder.

– Vilka risker är specifika för oss, i vår bransch, i vår geografi och med våra typer av kunder? Den riskbilden måste man förstå först, säger Peter Stier.

Därefter behöver medarbetare inom exempelvis försäljning, inköp, ekonomi och kundservice förstå syftet med kontrollerna och veta vilka avvikelser som ska rapporteras. Företaget behöver också ha tydliga mandat för affärs- och betalningsbeslut.

– Den som har mandat att ta in en kund eller godkänna en affär sitter i en särskilt utsatt funktion, säger Peter Stier.

Ansvaret stannar hos vd

För vd:n är uppgiften inte att själv utföra varje kontroll. Däremot behöver man se till att riskerna är identifierade, att ansvarsfördelningen är tydlig och att rutinerna fungerar i praktiken.

– Du som vd är ansvarig för företagets riskaptit. Vilken nivå är vi beredda att lägga oss på? Det kan du inte delegera bort, säger Peter Stier.

Detsamma gäller företagets regulatoriska exponering. Ledningen behöver veta vilka krav som träffar verksamheten och om den interna kompetensen är tillräcklig.

För ledningsgruppen innebär det att riskerna behöver behandlas som en del av den ordinarie styrningen, inte enbart när en incident redan har inträffat.

– Har vi rätt kunskap internt? Vet vi vilka kontroller som krävs? Och fungerar de i praktiken? Det är frågor man behöver ställa sig och saknas kunskapen kan det vara bra att ta hjälp. Det viktiga är att riskarbetet fungerar i praktiken, inte att det bara finns dokumenterat, säger Peter Stier.