HOFFMANN-TIPS Voor bedrijfsleven en publieke sector GROEIENDE RISICO S RISICO S ANALYSEREN ÉN SERIEUS NEMEN VAN VITAAL BELANG

Mei 2015

1962 - 2015 Voor bedrijfsleven en publieke sector

HOFFMANN-TIPS

# 229

GROEIENDE RISICO’S

RISICO’S ANALYSEREN ÉN SERIEUS NEMEN VAN VITAAL BELANG

80 PROCENT VAN DE BEDRIJVEN GEBRUIKT ZWAKKE WACHTWOORDEN

MEDEWERKERS WILLEN SIMPELE WACHTWOORDEN EN SCHRIJVEN DIE GRAAG OP

“ALS IK IN DE PAUZE OP FACEBOOK ZIT, KAN DAT TOCH GEEN KWAAD?”

TIMO SCHIPPEREN VAN HET AMPHIA ZIEKENHUIS OVER BEWUSTZIJN BIJ MEDEWERKERS

PREVENTIE KRIJGT WEER MEER AANDACHT

ONDANKS BEZUINIGINGEN INVESTEREN OM FRAUDE TE VOORKOMEN

Vertrouwen is goed, Hoffmann is beter.

Column

80 procent van de bedrijven gebruikt zwakke wachtwoorden

door Richard B. Franken directeur Hoffmann

Ver van uw bed of toch niet? De kans op een terroristische daad in Nederland is volgens de NCTV reëel. Dat leest u verderop in deze Hoffmann-Tips. Ook belangrijk: cybercriminaliteit neemt een vlucht. Dit jaar zal het aantal bedrijven dat slachtoffer wordt van een cyberaanval toenemen. Maar er zijn meer groeiende risico’s, die vragen om een serieuze aanpak. Wat kunt u doen? Het begint met aandacht. Risico’s analyseren én serieus nemen is een eerste stap op weg naar een veiligere organisatie. Dat geldt voor interne criminaliteit én voor de ‘grotere’ bedreigingen van buitenaf, zoals cybercriminaliteit en terroristische daden. Cybercriminaliteit is een onderschat probleem binnen Nederlandse bedrijven. Toch levert een hack of DDOS-aanval meestal grote financiële verliezen en imagoschade op. Gegevens van klanten die op straat komen te liggen, gevoelige bedrijfsinformatie waarmee criminelen u chanteren: u wilt er niet mee te maken krijgen. Wij werkten onlangs mee aan een onderzoek naar (internationale) cybercriminaliteit. Op pagina 4 leest u wat er uit dat onderzoek kwam. Daarnaast presenteren we u adviezen die u helpen bij het opstellen van goede maatregelen om de schade na een eventuele cyberaanval te beperken. En nog beter: om de beveiliging van uw ICT-infrastructuren op een hoger peil te brengen. Wat de terroristische daden betreft, gaat het vooral om een veilig gevoel. U wilt uw medewerkers met een goed gevoel op reis sturen of op kantoor laten werken. Met de tips verderop creëert u een veilige werksfeer. Bijkomend voordeel: een veilige sfeer werkt bewustzijn en integriteit in de hand. Twee vliegen in één klap dus! Zaken als terroristische daden en cybercriminaliteit zijn voor veel bedrijven een ver-van-mijnbed-show. Ik spreek echter uit ervaring als ik zeg: het is niet de vraag óf u slachtoffer wordt van bijvoorbeeld een cyberaanval, maar wanneer. Wees voorbereid!

Binnen 80 procent van de bedrijven gebruiken medewerkers zwakke wachtwoorden. Dat blijkt uit de vele onderzoeken en weerbaarheidstests die wij in de afgelopen jaren hebben uitgevoerd. Het gebruik van zwakke wachtwoorden levert serieuze veiligheidsrisico’s op, omdat cybercriminelen in zo’n geval makkelijker kunnen ‘inbreken’. Wat is een zwak wachtwoord? Een zwak wachtwoord is een wachtwoord dat makkelijk te kraken valt. Doordat het heel eenvoudig is, zoals ‘welkom’, of doordat het wachtwoord niet ingesteld is. Veel bedrijven gebruiken hun vestigingsplaats als basis voor een wachtwoord. Door hieraan een hoofdletter toe te voegen, een ‘a’ door een ‘@’ te vervangen, van een ‘e’ een ‘3’ te maken en het jaartal toe te voegen ontstaat een wachtwoord. Het punt is dat deze veelgebruikte wachtwoordpolicy’s wachtwoorden opleveren die makkelijk te kraken zijn. Welke bedrijven gebruiken zwakke wachtwoorden? Slechte wachtwoorden vind je terug bij uiteenlopende bedrijven. En het is echt niet altijd de schuld van de medewerkers dat de wachtwoorden niet deugen. Soms zijn wachtwoorden gewoonweg niet ingesteld. Dat gebeurt nogal eens bij printers of applicaties. Maar zo’n geprint document, dat mogelijk bedrijfsgevoelige informatie bevat, is dan wel in te zien door cybercriminelen. Slecht gebruik Wachtwoorden worden vaak met anderen gedeeld als meerdere mensen gebruikmaken van dezelfde gebruikersaccount. Of eenzelfde wachtwoord wordt voor meerdere doeleinden gebruikt. Zo komen onze specialisten regelmatig tegen dat medewerkers maar één wachtwoord hebben, waarmee ze binnen het bedrijf op verschillende toepassingen inloggen. Het algemene inlogwachtwoord is bijvoorbeeld gekoppeld aan de e-mailaccount van de medewerker. En dan kunnen cybercriminelen het wachtwoord makkelijker achterhalen via de pop3-server van de e-mailaccount. Daarna kunnen ze ook op heel andere plekken binnen de ICTinfrastructuur van het bedrijf komen en gevoelige informatie stelen. Advies Laat iedere medewerker voor elke toepassing een ander wachtwoord gebruiken. En overweeg om de beveiliging aan te scherpen met een token (eenmalig wachtwoord) of een vingerafdruk.

2

1962 - 2015 • Mei 2015 • Nummer 229

Preventie krijgt weer meer aandacht Bedrijven schatten een preventieve aanpak meer en meer op waarde. De wil om te bezuinigen is er nog altijd. Toch steeg het aantal preventieve opdrachten dat wij in 2014 uitvoerden. Die stijging zal naar verwachting komend jaar doorzetten. Dat is goed nieuws, want fraude voorkomen is nog altijd het best. Maar preventie, hoe begin je daarmee? Een goed preventief plan van aanpak maken begint altijd met het uitvoeren van een risicoanalyse. Tijdens een risicoanalyse bekijken onze specialisten welke risico’s uw organisatie loopt. Daarnaast ontvangt u een advies voor beheersmaatregelen die de risico’s kunnen beperken. In 2014 voerden onze specialisten 20 procent meer risicoanalyses uit dan het jaar ervoor. Veel organisaties gaven aan dat ze meer inzicht nodig hadden om een gedegen preventieve aanpak op te zetten en dat een risicoanalyse hiervoor een perfecte basis was.

Anonieme beschuldiging Een anonieme e-mail. Die ontving de vrouw van een CEO van een groot bedrijf dat is gevestigd in het zuiden van het land. In de mail stond dat haar man vreemdging met zijn secretaresse. Hij zou haar ontvangen in het appartement dat hij doordeweeks bewoonde.

de specialisten vaststellen dat er later die dag tweemaal kort na elkaar was ingelogd op het e-mailaccount waarmee de anonieme e-mail was verstuurd. In de periode tussen het versturen van de e-mail en het nogmaals inloggen waren websites van lokale witgoedzaken bezocht.

De directiesecretaresse zei een dag na de melding dat zij een briefje op haar bureau had gevonden waaruit duidelijk werd dat haar computer was misbruikt om de anonieme e-mail te versturen. De directie vond dat erg vervelend voor deze dame en schakelde direct Hoffmann in om met een onderzoek te achterhalen wie op de computer had gewerkt.

Onze specialisten wilden meer weten en gingen een (informatief) gesprek met de secretaresse aan. Wat bleek? Ze was klant bij de online bezochte tandartsenpraktijk. En ze bekende dat zij de praktijkwebsite inderdaad die dag had bezocht. En de lokale witgoedzaken, die bleken in haar woonplaats gevestigd te zijn. Nader onderzoek wees uit dat zij de enige medewerker uit die plaats was.

Tijdens het onderzoek van de computer werd al vrij snel duidelijk dat de anonieme e-mail inderdaad vanaf de computer van de betreffende secretaresse was verstuurd. Uit het onderzoek bleek ook dat er vlak voor het versturen van de e-mail een aantal websites was bezocht. Eén daarvan was de website van een tandartsenpraktijk. Verder konden

De directie had vooraf geen moment gedacht dat de secretaresse de anonieme e-mail zelf had verstuurd. En ook niet dat er niets waar was van wat er in de e-mail stond. De motieven van de secretaresse zijn nooit helemaal duidelijk geworden, maar er werd wel afscheid van haar genomen.

Maarten IJzermans, unitmanager Consultancy & Opleidingen bij Hoffmann, zegt over deze case: Heeft u al nagedacht over de kosten die gemoeid zijn met de bovenbeschreven situatie? U bent veel tijd kwijt. En u moet op zoek naar een nieuwe secretaresse. Dit betekent: wervingskosten, de kosten van de opvang van de taken van de secretaresse door collega’s en inwerkkosten. Dan liggen de kosten van een screening van een (nieuwe) medewerker toch veel lager.

3

1962 - 2015 • Mei 2015 • Nummer 229

-

Neem bedreigingen serieus

Examenfraude 2.0

Bedreigingen op de werkvloer hebben een grote impact op de sfeer binnen de organisatie en op de productiviteit van de werknemers. Vaak verplaatsen werkgerelateerde bedreigingen zich naar de privéomgeving van de werknemer. Dat gebeurt zeker vaak als het om directie- of bestuursleden gaat. Daarover las u al in de vorige HoffmannTips. Het is belangrijk om in het geval van een bedreiging met beide voeten op de grond te blijven staan, maar de bedreiging wel serieus te nemen. Hoe doet u dat? • Zorg voor een centraal meldingspunt waar elke melding serieus wordt genomen en waar bijzonderheden worden gearchiveerd. • Doe in alle gevallen aangifte bij de politie en onderhoud contact met de politie over de voortgang van de behandeling van de aangifte. • Stel alle sporen aan de hand van dreigbrieven/-mails vast. Doe dit volgens een correcte procedure. (Het is belangrijk om deze procedure vooraf te kennen, opdat er geen bewijsmateriaal verloren gaat of in een later stadium ongeldig wordt verklaard.) • Overweeg het instellen van een noodnummer voor de bedreigde medewerker. Deze kan dan via dit nummer bijvoorbeeld een specialist, zoals Hoffmann, bereiken zodra er sprake is van een bedreigende situatie. • Overweeg de inzet van bedrijfsbeveiliging. Misschien kan de mobiele surveillancedienst het huis van de medewerker controleren tijdens zijn nachtelijke ronde? • Houd regelmatig contact met de bedreigde medewerker. Vraag naar zijn gevoel over de situatie. En overweeg een huisbezoek. • Maak een analyse van de situatie: zijn er zaken die intern gecommuniceerd moeten worden? Escaleert de situatie? Schakel dan altijd een professional in. Deze helpt u bij het maken van de juiste keuzes én hij kan als tussenpersoon richting de politie optreden.

Tijdens een door Hoffmann georganiseerde kennissessie over examenfraude, op 2 april jl., leerden afgevaardigden van middelbare scholen, hbo-opleidingen en andere onderwijsinstellingen van specialisten én ervaringsdeskundigen over de uitdagingen die digitaal examineren en DDOSaanvallen met zich meebrengen. Het bleek dat vooral bewustzijn kan helpen bij het tegengaan van fraude en DDOSaanvallen. Toegangspasjes uitlenen, wachtwoorden uitwisselen en toetsen onbeveiligd versturen zijn voorbeelden van situaties die met voldoende bewustzijn niet meer voorkomen. Onder andere Adri van der Ven van het College voor Toetsen en Examens vertelde over de manier waarop de fraude bij Ibn Ghaldoun aan het licht kwam. En over de impact van de situatie op de maatschappij. De aanwezigen waren het erover eens dat schoolbesturen en besturen van andere instanties de ‘examenfraude 2.0’ hoog op de agenda moeten plaatsen. Er wordt steeds vaker digitaal geëxamineerd. Het is belangrijk om de digitale infrastructuren daarop in te richten. De maatschappelijke verantwoordelijkheid vraagt daarom. Benieuwd naar alle presentaties? Neem contact met ons op voor de toezending van de presentaties.

Zo groot is cybercriminaliteit nu In de media wordt er veel over geschreven, maar velen weten er maar weinig van: cybercriminaliteit. Dat blijkt uit een op 16 april verschenen onderzoeksrapport met betrekking tot cyberaanvalrapportages. Tijdens het onderzoek werd een nieuw licht geworpen op de 70 meest toonaangevende rapportages van de afgelopen jaren, afkomstig uit vijftien verschillende landen. Het rapport is een initiatief van The Hague Center for Strategic Studies, samen met Hoffmann Bedrijfsrecherche en een aantal andere partners.

Een tipje van de sluier? Dit leest u in het rapport : • Nederland, Verenigde Staten en Verenigd Koninkrijk zijn de best beschermde landen. • Cyberaanvallen worden steeds vaker gerapporteerd. Hoe dat gebeurt, verschilt per land. • De kosten voor zowel grote als kleine organisaties naar aanleiding van cyberaanvallen stijgen de laatste jaren significant. • Bij een groot deel van de cyberaanvallen zijn insiders betrokken. • Criminele organisaties gebruiken cybercriminaliteit steeds vaker. • Doelwitten zijn moeilijker in te schatten. Dat komt door de toenemende digitalisering. (Denk aan koelkasten en smartwatches die op het internet zijn aangesloten.) • Cybercriminelen ontwikkelen hun tools met succes. Alleen goed overzicht van de mogelijke bedreigingen helpt organisaties om zich te wapenen tegen cybercriminaliteit.

Wilt u het rapport helemaal lezen? Bel ons even. Wij voorzien u graag van een exemplaar.

4

1962 - 2015 • Mei 2015 • Nummer 229

Paniek op de werkvloer na zwervende usb-sticks Ernst Jan Zwijnenberg is unitmanager ICT-Security bij Hoffmann. Hij vertelt over een test die Hoffmann onlangs uitvoerde: “Bedrijven waren geschokt toen ze de resultaten zagen.” “We hebben een aantal bedrijven gevraagd om mee te werken aan een test”, vertelt Zwijnenberg. “50 testbedrijven ontvingen allemaal twee USB-sticks. Afzonderlijk van elkaar en via de post. Eén stick was gericht aan de afdeling personeelszaken en één aan de afdeling bedrijfsvoering. Er zat een begeleidend briefje bij waarop stond dat de stick gevonden was in de metro in Amsterdam en dat het mogelijk afkomstig was van de betreffende organisatie.” Op de USB-sticks was door de specialisten van Hoffmann kwaadaardige software (malware) geplaatst. Zodra een medewerker de USB-stick in zijn laptop of pc zou doen, zou de malware direct geïnstalleerd worden. Daarna zou de software direct verbinding maken met een server van Hoffmann. “Onze specialisten stonden in de

schoenen van de cybercriminelen”, vertelt Zwijnenberg. Hij vervolgt: “Dankzij de malware zouden ze eenvoudig de ICT-infrastructuren van de bedrijven kunnen afspeuren, op zoek naar gevoelige of voor hen belangrijke informatie.” Wat bleek? “Binnen 40 procent van de bedrijven werd ten minste één usb-stick geactiveerd”, vertelt Zwijnenberg. Hij vervolgt: “Een aantal organisaties nam contact op met de zogenaamde afzender, omdat de usb-stick niet werkte.” Zwijnenberg: “Er ontstond binnen enkele organisaties een operationele crisis. In meer dan de helft van de gevallen werd er geen juiste procedure gevolgd. Veel opdrachtgevers schrokken daarvan.” “Uiteraard bekeken wij alleen of de sticks gebruikt werden”, zegt Zwijnenberg. “Maar een kwaadwillende zou serieus informatie kunnen lekken. En dat terwijl medewerkers zich van geen kwaad bewust waren en alleen wilden helpen of hun nieuwsgierigheid niet konden bedwingen.” De tactiek met de usb-sticks wordt veel gebruikt door cybercriminelen. Zwijnenberg: “Het is verstandig om niet zomaar apparaten aan te sluiten op het netwerk.” Hij vervolgt: “Uit dit onderzoek blijkt wel dat cybercriminaliteit niet alleen met techniek te maken heeft. De mens is ook een belangrijke factor. Bij het opstellen van maatregelen moeten bedrijven hier zeker rekening mee houden.” Hij sluit af: “Alle directies waren wel blij met deelname aan de test. Het is goed om te zien waar de zwakke plekken binnen de organisatie zitten.”

Hoffmann heeft nieuwe operationeel directeur Sinds begin april heeft Hoffmann een nieuwe operationeel directeur: Martijn van de Beek. Martijn geeft nu sturing aan de drie units Bedrijfsrecherche, ICT-security en Consultancy & Opleidingen. Martijn volgt Jos Meekel op, die na tien jaar de functie van operationeel directeur vervuld te hebben nu de functie van account directeur binnen Hoffmann zal vervullen. Martijn heeft gedurende 20 jaar diverse leidinggevende functies bij de (nationale) politie vervuld en is afgestudeerd aan de UvA als meester in de rechten. “De dynamiek en innovatiedrang bij Hoffmann spreken mij aan”, vertelt Martijn. “Ik zal me inzetten om de markt, de interne bedrijfsvoering en het vakgebied optimaal op elkaar te laten aansluiten.”

5

1962 - 2015 • Mei 2015 • Nummer 229

“Als ik in de pauze op Facebook zit, kan dat toch geen kwaad?”

Interview

Het Amphia Ziekenhuis won in november 2014 de Hoffmann Cyber Security Award®. Het ziekenhuis, met een vestigingen in Breda en Oosterhout, kreeg de award voor zijn innovatieve awarenessprogramma. De heer Timo Schipperen is security-officer binnen het ziekenhuis en vertelt over het winnende awarenessprogramma. Eerste risicoanalyse Het awarenessprogramma van het Amphia Ziekenhuis werd geboren in 2005. Toen voerde het ziekenhuis de eerste risicoanalyse op het gebied van informatiebeschikbaarheid uit. “Integriteit en betrouwbaarheid waren nog van ondergeschikte waarde voor de heren medici”, zegt Schipperen. “Maar”, zo zegt hij, “het was een eerste stap.” Awarenessessies In 2011 startte de heer Schipperen met awarenessessies: “Ik laat de deelnemers aan de hand van sprekende voorbeelden kennismaken met awareness en informatiebeveiliging. Zo is de vraag hoe je met patiënteninformatie omgaat in het kader van integriteit belangrijk. De voorbeelden moeten rechtstreeks uit de praktijk komen, anders spreken ze de medewerkers niet aan.” Mensenwerk “Veel medewerkers denken dat informatiebeveiliging een ICT-kwestie is, maar het draait juist om mensen”, zegt Schipperen. Hij vervolgt: “Medewerkers vragen me: ‘Als ik in de pauze op Facebook zit, kan dat toch geen kwaad?’ Dat kan het dus wel. Het risico voor het ziekenhuis is natuurlijk niet anders.” Hij vervolgt: “Vanaf de PRafdeling worden medewerkers gestimuleerd om op Facebook in groepen mee te discussiëren. Een bezoekje aan de persoonlijke pagina is dan snel gemaakt. Daarnaast zijn er mensen die via het zakelijk netwerk op buitenlandse websites een vakantie boeken. En als iemand dan naar een slecht beveiligde website van een of ander hostel in Thailand surft, levert dat gevaar op. Tegen virussen uit zo'n land is ons systeem niet bestand.”

6

Wekelijkse veiligheidschecks Een ander onderdeel van het awarenessprogramma is de veiligheidscheck, die elke week bij een andere afdeling wordt uitgevoerd. Schipperen: “We bekijken onder andere de privacy en informatiebeveiliging: zwerven er wachtwoorden rond of zijn er systemen niet goed afgesloten?” Het meetbaar maken van de kwalitatieve gegevens werpt volgens Schipperen zijn vruchten af: “Medewerkers laten zelden nog een werkplek onbeheerd achter. En er wordt nu bijna overal ingelogd op persoonlijke titel. Ook in vakantietijd worden minder inloggegevens uitgewisseld. Dat komt de veiligheid van informatie ten goede.” Als een afdeling op bepaalde punten negatief scoort, krijgt het de vraag om een plan voor verbetering in te dienen.

Timo Schipperen neemt de Hoffmann Cyber Security Award ® 2014 in ontvangst

1962 - 2015 • Mei 2015 • Nummer 229

Kofferbakmarkt Een onderzoek naar de reparatie van privégereedschap bij een leverancier. Dat stelden onze specialisten onlangs in, in opdracht van een middelgrote organisatie. Wat was er aan de hand? Een medewerker van de organisatie had zijn grondboor laten repareren op kosten van zijn baas. Toen de factuur binnenkwam, deed de medewerker echter alsof hij van niets wist. Tijdens een gesprek met de medewerker zei deze dat hij de grondboor op een kofferbakmarkt in de stad had gekocht. Direct na het gesprek werd hij geschorst door zijn baas. En onze specialisten stelden een nader onderzoek naar de herkomst van de boor in. De gemeente bleek de eigenaar van de boor te zijn. Nog specifieker behoorde de boor toe aan de afdeling waar de betrokken medewerker had gewerkt voordat hij bij zijn huidige baas kwam werken. Tijdens een bezoek aan de gemeente bleek dat er nog veel meer apparaten werden vermist. Onze specialisten vermoedden dat de betrokken medewerker hier meer van wist en ze besloten een tweede gesprek met hem te voeren. De betrokken

medewerker bekende dat hij vijf apparaten van de gemeente had verduisterd. Hij had ze nodig voor een privé-klus, zei hij. Maar omdat zijn toenmalige werkgever er nooit om had gevraagd, heeft hij ze nooit teruggebracht. Het is zelfs zo dat de betrokkene één van de verduisterde apparaten in het magazijn van onze opdrachtgever bewaarde, die hier niets vanaf wist. De betrokken medewerker heeft alle apparaten bij zijn werkgever ingeleverd. Toen bleek dat sommige apparaten niet eens op de lijst van vermiste goederen stonden bij de gemeente. De opdrachtgever én de gemeente, die alle apparaten terugkreeg, waren blij met de (discrete) oplossing van deze zaak. De betrokken medewerker werd ontslagen.

Maarten IJzermans, unitmanager Consultancy & Opleidingen bij Hoffmann, zegt over deze case: Vaak zijn collega’s als eerste op de hoogte van een misstand. Met een beetje geluk keuren de collega’s het gedrag van de fraudeur dan af. Maar de vraag is of zij dit bij de organisatie (anoniem) kunnen melden. Hoe is dat bij uw organisatie geregeld? Overweeg de anonieme meldmisstanden-lijn van Hoffmann. Onze specialisten staan uw medewerker te woord als zij een fraudegeval willen rapporteren en nemen daarna direct contact met u op.

Terroristische daden gevaar voor Nederlandse bedrijfsleven De onrust in de maatschappij neemt sinds begin 2015 duidelijk toe. Volgens de Nationaal Coördinator Terrorismebestrijding is de kans op een aanslag reëel. De overheid is vooral bang dat Jihad-strijders uit bijvoorbeeld Syrië hier in Nederland aanslagen plegen. De AIVD houdt deze groep mensen in de gaten, maar er is ook een ‘onzichtbare’ groep van radicaliserende jongeren in Nederland. Terroristische daden kunnen grote schade berokkenen aan Nederlandse bedrijven en de maatschappij. Het is voor bedrijven belangrijk

7

om de vertaalslag te maken van de algemene dreiging naar de concrete belangen van de organisatie en de bedrijfsvoering. Het is dus ook niet gek dat de vraag vanuit bedrijven om advies op het gebied van terreurpreventie en -signalering afgelopen tijd flink toenam. Wilt u voorbereid zijn op de (in)directe gevolgen van een terroristische daad en uw medewerkers met een zeker gevoel op pad sturen of in de organisatie laten werken? Onze specialisten helpen u graag met een gedegen risicoanalyse en een passend preventief advies.

1962 - 2015 • Mei 2015 • Nummer 229

Zelf administratieve fraude voorkomen? Accountants vragen er steeds vaker om: een analyse van fraude- en integriteitsrisico’s binnen uw administratie. Misschien is uw accountant er ook al over begonnen. Zo’n analyse is een goede stap naar het verbeteren van de fraudepreventie binnen uw organisatie. Wilt u liever direct zelf aan de slag? Met de volgende tips en adviezen kunt u zelf actie ondernemen. Tips voor het voorkomen van administratieve fraude • Betrek uw medewerkers bij het bepalen van de risico’s en het regelen van beheersprocessen. Zo weet u zeker dat alle maatregelen werkbaar zijn. Daarnaast creëert u begrip voor het treffen van de maatregelen, waardoor uw medewerkers meer bereid zijn om de maatregelen op te volgen. • Controleer daadwerkelijk of de opgestelde maatregelen worden opgevolgd. Laat aan uw medewerkers ook merken dat die controle plaatsvindt. Doe dit bijvoorbeeld door de bevindingen van de controle te bespreken. Houden medewerkers zich niet aan de regels? Oordeel dan niet te snel. Vraag waarom dingen niet zijn gegaan op de manier die de procedures voorschrijven. Misschien blijken de procedures toch niet zo werkbaar als u dacht. • Roep een anonieme meldmisstanden-lijn in het leven. Als een medewerker knoeit met de administratie (of op andere wijze fraudeert), weten collega’s daar vaak vanaf. Bied die collega’s een mogelijkheid om de misstanden anoniem te melden. • Zet het bespreken van integriteitsdilemma’s als vast punt op de agenda van het management. Laat ieder lid van het managementteam om de beurt een dilemma voorleggen, bijvoorbeeld.

Ook een risicoanalyse?

Anonieme meldmisstanden-lijn

Heeft u de bovenstaande tips toegepast én wilt u professionele hulp bij het verbeteren van de fraudepreventie binnen uw organisatie? Onze specialisten helpen u graag met een analyse van de risico’s binnen uw administratieve processen. Ze combineren een observatie van de huidige processen dan met een enquête, waarmee u de integriteit van uw medewerkers in beeld brengt. Na de analyse ontvangt u een uitgebreid rapport met op maat gesneden adviezen.

Het is mogelijk om via Hoffmann een anonieme meldmisstanden-lijn op te zetten. Uw medewerkers bellen dit nummer als ze het vermoeden hebben dat iemand fraudeert of als ze vermoeden dat de organisatie op een andere manier zou kunnen worden benadeeld. Ze maken hun melding anoniem. Na het telefoontje nemen onze medewerkers contact met u op om de melding en eventuele vervolgacties te bespreken.

Hoffmann-Tips voor bedrijfsleven en publieke sector is een periodieke uitgave van

Elke mogelijke gelijkenis van wat in de Hoffmann-Tips

Wie snel op de hoogte wil zijn van het laatste Hoffmann-nieuws, volgt HoffmannBV op twitter.

Hoffmann Investigations Bezoekadres: Luidsprekerstraat 10, 1322 AX ALMERE

Postadres: Postbus 60090, 1320 AB ALMERE Telefoon: (036) 52 33 000, fax: (036) 52 33 033 E-mailadres: [email protected] Website: www.hoffmannBV.nl Overname van artikelen is uitsluitend toegestaan met volledige bronvermelding.

wordt beschreven met bestaande gebeurtenissen en/of personen berust op louter toeval.