Ett stort CFO-office uppvaktas så gott som dagligen av ivriga leverantörer som vill sälja lösningar för att förbättra organisationens säkerhet – och många av lösningarna är säkert bra. Men vill man förbättra organisationens betalningssäkerhet ska man nog börja med att titta på vem man faktiskt betalar pengar till.
Sverige är ett av de allra bästa länderna i världen när det gäller breda system för betalningar och leverantörskontroll. Vi har bankgiro och postgiro. Vi har Skatteverk och Bolagsverk som snabbt agerar om ett visst bolag inte sköter sig och får sin F-skattsedel indragen.
Ändå är svenska företag utsatta för bedrägerier, utpressning och hot utifrån på precis samma sätt som bolag i exempelvis USA, England och Italien, där girosystem inte alls är lika utbredda. Hur kommer det sig?
Svaret finns ofta i företagets historik och branschpraxis. Vem kan exempelvis tro att ett svenskt stort bolag har över 1 000 leverantörer i sin leverantörsreskontra – där betalningar görs till vanliga bankkonton? En analys av en av våra kunder visade på just detta. Orsaken är dels att bolagen har lång historik och dels att många av de här leverantörerna är småbolag som utför lokala tjänster och som gjort det i många år. I deras bransch ser man inte bankkonto som något konstigt. Många av dessa småbolag är inte heller ens aktiebolag och vissa saknar både F-skattsedel och momsregistrering.
Vår analys visar att en organisation som ALDRIG betalar ut pengar till bankkonton (utom löner till anställda förstås) är mycket mindre utsatt för bluffakturor, utpressning, VD-bedrägerier och andra hot än organisationer som rutinmässigt betalar ut pengar till bankkonton.
Vad spelar detta för roll, kan man då fråga sig? Jo, banksekretessen gör att det tar litet tid (och oftast en polisanmälan) för att få reda på identiteten bakom ett visst bankkonto. Om det är en snabb bedragare, som i många fall med bluffakturor, så är pengarna redan borta när polis och bank rett ut vem som fått pengarna. Ofta är den formella mottagaren ändå bara en ”målvakt” som lånar ut sin identitet mot litet bidrag till mat, droger och husrum.
Rutinmässig utbetalning till bankkonton kan också leda till mycket allvarligare problem. VD-bedrägerier är ett exempel. Ett VD-bedrägeri bygger på att man kapat en VDs mejladress, vilket ofta är lätt gjort. ”VDn” mejlar sedan exempelvis en ekonomiassistent och begär en (ofta stor) utbetalning direkt till en ny leverantör, till dennes bankkonto. Och det är bråttom! Vår analys visar att genomsnittssumman av den typen av bedrägerier ligger på cirka €9 500, alltså strax under den gräns där många bolag kräver flera attester.
Ett annat och mer allvarligt hot kan drabba bolagets rykte. Då man inte snabbt kan identifiera vem som står bakom ett visst bankkonto (eller bakom målvakten ifråga) så kan det visa sig att bolaget hjälper till att finansiera allvarlig brottslighet, kanske rent av terrorism.
Det kan vara läge att ändra policyn för utbetalning till bankkonton. Man kanske ska börja med att inte tillåta att några nya läggs upp och sedan systematiskt kommunicera med gamla leverantörer för att förmå dem att börja använda giron och på så sätt se till att få en förbättrad betalningssäkerhet.
Ett mer ambitiöst angreppssätt kräver litet mer arbete. Framförallt måste man förändra beteendet hos både sin egen personal och leverantörerna. Det gör man bäst genom bättre rutiner och processer och system som stöder processerna.
Till skillnad från en revision, där man gör stickprov på historiska betalningar, kan man idag relativt enkelt online få en profil på varenda bolag som man får en faktura från och på så sätt få en förbättrad betalningssäkerhet. Har de obetalda skatter, har de fått F-skattsedeln indragen, har de skulder hos kronofogden eller betalningsanmärkningar? Allt detta kan man enkelt implementera. Det innebär att man lättare kan undvika att göra fel. Snarare än att – i bästa fall – upptäcka felen när det är för sent, eller inte upptäcka dem alls.
