Inga produkter i varukorgen.
Så säkrar vd:n attestflödet före semestern
Risk & regelefterlevnad När ordinarie beslutsfattare går på semester förändras företagets kontrollmiljö. Ovana attestanter, längre kontaktvägar och brådskande betalningar kan öka risken för bedrägerier, särskilt när AI gör falska mejl och röster mer trovärdiga. Joel Altschul på EY förklarar vad vd:n behöver säkra innan ansvaret lämnas över.
Inför semestern ser många vd:ar till att kunder, leveranser och bemanning är säkrade. Men när ordinarie beslutsfattare försvinner ändras också företagets kontrollmiljö. Tillfälliga attestanter får nya mandat, kontaktvägar blir längre och brådskande betalningar kan hamna hos personer som inte brukar hantera dem.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
VD-tidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
Det är just i det läget som bedragare försöker slå till.
– Den normala interaktionen som finns på ett kontor försvinner. Medarbetarna har inte samma tillgänglighet till personer som de brukar ställa frågor till och bolla idéer med, säger Joel Altschul, partner och ansvarig för Forensic hos EY.
Han har arbetat med intern styrning, kontroll och utredningar av oegentligheter i över 20 år. Inför semesterperioden är hans råd till vd:n tydligt: nöj dig inte med att utse en ersättare. Säkerställ att den som får mandat också vet vad som ska kontrolleras, vilka avvikelser som ska stoppas och vem som ska kontaktas när något inte känns rätt.
Ovana attestanter ökar sårbarheten
Under sommaren behöver betalningar fortfarande genomföras, även när vd:n, ekonomichefen eller andra nyckelpersoner är lediga. Uppgiften kan därför hamna hos personer som sällan arbetar med attest eller leverantörskontroller.
De kan känna till företagets formella regler, men sakna erfarenhet av vad som brukar avvika.
– De som ska kontrollera utbetalningarna kanske inte är vana att göra det på samma sätt som vd:n eller andra nyckelpersoner. Det kan vara personer som inte har de här arbetsuppgifterna annars och som inte riktigt vet vilka röda flaggor de bör se upp för, säger Joel Altschul.
Samtidigt kan tröskeln för att be om hjälp bli högre. En medarbetare som fått ett tillfälligt mandat kan känna att uppgiften måste lösas snabbt och självständigt.
Därför behöver vd:n vara tydlig med motsatsen.
– Medarbetarna ska veta vem de kan prata med om de inte känner sig bekväma med en situation. De behöver inte lösa allting själva. Det är bättre att vänta med att godkänna betalningen än att trycka på knappen när man är osäker.
Gör det tillåtet att störa vd:n
En återkommande risk är att medarbetaren inte vill kontakta vd:n under ledigheten.
Det kan vara ett större problem än att vd:n faktiskt blir störd.
– Vd:n är oftast inte längre bort än ett mejl, sms eller telefonsamtal. Det viktiga är att medarbetaren vet att det är tillåtet att höra av sig när någonting sticker ut, säger Joel Altschul.
Joel Altschul föreslår korta, planerade avstämningar under semesterperioden. En chattråd för att ställa frågor eller ett digitalt möte på 15 minuter en gång i veckan kan räcka för att fånga upp frågor om ovanliga betalningar och nya leverantörer.
– De som arbetar under semesterperioden ska inte känna sig övergivna. Det behöver finnas en möjlighet att ställa frågor, säger han och fortsätter:
– Det är en sådan enkel sak som jag tror löser, inte allt, men väldigt mycket i alla fall.
Fakta
Detta bör vd:n säkra före semestern
Kartlägg avvikelserna: Identifiera större betalningar, nya leverantörer och ovanliga transaktioner som väntas uppstå under perioden.
Begränsa tillfälliga mandat: Bestäm vem som får attestera vad och vid vilka belopp frågan ska eskaleras.
Sätt stoppregler: Definiera vilka ändringar och betalningar som alltid kräver en separat kontroll.
Behåll kontrollstegen: Ta inte bort dubbel attest, leveranskontroller eller systemspärrar för att kompensera för låg bemanning.
Skapa en tydlig kontaktväg: Gör det klart vem medarbetarna ska ringa när något avviker, även under vd:ns ledighet.
Planera korta avstämningar: En återkommande kontrollpunkt kan fånga upp frågor innan betalningen genomförs.
Förbered incidentrutinen: Säkerställ att det är tydligt vem som kontaktar banken och säkrar dokumentationen om något går fel.
Brådskande betalningar är en varningssignal
Bedrägeriförsöken handlar ofta om att få företaget att genomföra en betalning innan någon hinner ställa kontrollfrågor.
Det kan vara en påstådd leverantör som vill ändra bankkonto, en förskottsbetalning som måste göras samma dag eller ett meddelande som ser ut att komma från vd:n. Upplägget anpassas efter verksamheten.
Ett företag som bygger ut sin fabrik kan exempelvis kontaktas av någon som påstår sig företräda en leverantör i projektet.
– Budskapet anpassas efter företaget. Bedragarna kan säga att de är leverantören och att en viss betalning behöver göras. Då måste man stanna upp och fråga om betalningen verkligen behöver genomföras just nu, säger Joel Altschul.
Samtidigt har AI-utvecklingen gjort det enklare att skapa trovärdiga bedrägeriförsök. Välskrivna mejl, manipulerade meddelanden och röstkloning kan få en begäran att framstå som om den kommer från vd:n, ekonomichefen eller en känd leverantör.
– Med AI kommer röstkloning och välskrivna mejl. Vi har utrett “phishingattacker” där det har sett ut som att meddelandet kommer från en leverantör, trots att någon har ändrat detaljer i kommunikationen, säger Joel Altschul.
Det innebär att medarbetarna inte längre kan utgå från att ett välformulerat mejl eller en välbekant röst är ett tillräckligt bevis på vem avsändaren är. Ju mer en betalning avviker från det normala, desto viktigare blir det att kontrollera begäran via en annan, sedan tidigare känd kontaktväg. Här kan en förutbestämd kontrollfråga eller kodord också vara en värdefull förberedelse för ledningsgruppen.
– Vid risk för röstkloning eller falska samtal kan ledningsgruppen också använda en kontrollfråga eller ett “safe word” som man kommit överens om. Det kanske är vad vd:ns hund hette under uppväxten eller något som en extern person rimligen inte känner till, säger Joel Altschul.
Tidspressen är i sig en varningssignal att hålla utkik efter.
– Organiserade bedragare vill att det ska gå snabbt. När någon skyndar på en betalning bör man ta ett steg tillbaka och stanna upp processen.
Joel Altschul rekommenderar att uppgifterna verifieras via en annan kontaktväg än den där begäran kom in. Ett mejl om ändrade kontouppgifter bör exempelvis följas upp med en känd kontaktperson via ett telefonnummer som företaget redan har eller ett fysiskt möte.
– Våga ställa motfrågor och även obekväma frågor. Kommunicera inte bara via mejl. Vi har sett exempel där det sitter ett kriminellt nätverk utomlands som systematiskt styr kontakten med företag. Då är det viktigt att kontrollera vem det egentligen är som ligger bakom kontakten, säger han.
Kartlägg sommarens betalningar i förväg
Vd:n behöver inte bygga ett helt nytt kontrollsystem inför semestern. Men organisationen bör gå igenom vilka betalningar och undantag som faktiskt kan uppstå under perioden.
Vilka större betalningar väntas? Kommer nya leverantörer att läggas upp? Finns det projekt där förskott eller ändrade betalningsplaner är sannolika? Och vem hanterar dem när ordinarie ansvarig är borta?
– Känner man sin verksamhet väl kan man planera vilka större betalningsflöden som kommer under sommaren. Behöver personer som inte har gjort detta tidigare tränas? Vilka varningsflaggor finns i vår verksamhet och när behöver man ställa följdfrågor? säger Joel Altschul.
För mindre och ägarledda bolag sitter mycket av den kunskapen ofta hos vd:n. Vd:n vet vilka leverantörer som brukar krångla, vilka projekt som avviker och vilka betalningar som trots allt är normala. Den kunskapen behöver föras över före ledigheten.
– Man behöver sätta sig ned och ta samtalet före semestern. Det räcker inte att bara säga att man går på ledighet och lämna över ansvaret.
Bestäm vad som alltid ska stoppas
Det centrala är att definiera vilka avvikelser som inte får passera utan en extra kontroll.
Det kan handla om:
- nya leverantörer
- ändrade bankuppgifter
- betalningar över en viss beloppsgräns
- oväntade förskottsbetalningar
- utlandsbetalningar till nya marknader
- fakturor som inte stämmer med beställningen
- betalningar som påstås vara brådskande eller konfidentiella
– När någonting ändras från det normala flödet, eller går över ett visst belopp, bör det kontrolleras. Beloppsgränsen måste företaget själv definiera, säger Joel Altschul.
För nya leverantörer bör företaget kunna bekräfta att verksamheten finns, att leveransen är verklig och att det finns en tydlig koppling mellan beställning, utfört arbete och betalningsmottagare.
– Så fort det finns en otydlighet kring leverantören eller kring vilken tjänst som har köpts ökar risken.
Bygg in kontroller i systemen
Kontroller som är inbyggda i ekonomisystemet är mindre beroende av vem som råkar vara i tjänst.
Joel Altschul lyfter en så kallad three-way match som exempel. Då jämförs inköpsorder, faktura och leveransbesked innan betalningen kan godkännas.
Om inköpsordern är på 100 000 kronor men fakturan hamnar på 150 000 kronor ska betalningen stoppas automatiskt.
– Ju mer man kan använda automatiska kontroller som stoppar betalningsflödet när någonting inte stämmer, desto starkare blir kontrollramverket, säger han.
Men inte heller automatiska kontroller eller dubbel attest ger ett fullständigt skydd. Om två attestanter utgår från samma manipulerade underlag kan båda fatta fel beslut.
– Ingenting är idiotsäkert. Är bedragarna skickliga och attestanterna stressade kan betalningen gå igenom. Därför behöver man vara kritisk och skynda långsamt, säger Joel Altschul.
Agera direkt om betalningen gått iväg
Om företaget upptäcker att en felaktig betalning har genomförts behöver banken kontaktas omedelbart. Även här behöver de medarbetare som delegerats ansvaret för attestflödet informeras kring vilka rutiner som gäller om något går snett.
– Man måste vara väldigt snabb. Banken kan i vissa situationer stoppa utbetalningen, men det beror på hur långt den har kommit, säger Joel Altschul.
Företaget bör också säkra mejl, betalningsunderlag, loggar och uppgifter om vilka personer som varit involverade. Materialet kan behövas vid en eventuell polisanmälan och i kontakten med banken och försäkringsbolaget
Vissa företag har ett försäkringsskydd mot bedrägerier, men möjligheten till ersättning beror på villkoren och på vilka kontroller företaget har haft på plats.
– Försäkringsbolaget kan ställa krav på att företaget har gjort de kontroller som förväntas. Det kan också finnas en hög självrisk, säger Joel Altschul.
Se över både beteende och system
Det vanligaste misstaget är enligt Joel Altschul att utgå från att attestflödet kommer att fungera som vanligt trots att både bemanning och mandat har förändrats.
– Man tror att det bara ska rulla på av sig självt. Det gör det inte om bolaget och personerna inte är förberedda, säger han.
För vd:n handlar semesterberedskapen därför lika mycket om beteenden som om system. Medarbetarna måste veta att det är accepterat att stoppa en betalning, ifrågasätta en begäran och be om hjälp.
– Det behöver finnas en trygghet att ställa frågor. Medarbetaren ska inte bara godkänna allting för att personen har fått mandat under semestern.
Joel Altschuls slutliga råd är att fokusera på de delar av verksamheten där en felaktig betalning kan få störst konsekvenser.
– Lär känna verksamheten och medarbetarna. Risker finns alltid, men vd:n behöver veta var det krävs ett extra öga. Och ha lite is i magen.
