Kaval­lusten torjunta tili­toimis­toissa ja pk-yrityksissä

Viime vuosina olemme saaneet lukea lehdistä ja tuomioistuinten pöytäkirjoista yritysten ja yhdistysten johdon tekemistä kavallusrikoksista. Johdon ohella kavalluksia tekevät taloushallinnon ammattilaiset talousosastoilla ja tilitoimistoissa sekä ylipäätään henkilöt, joilla on mahdollisuus hoitaa yrityksen maksuliikennettä.

Huoletta voidaan lähteä siitä, että kukaan tekijöistä ei ole lähtenyt opiskelemaan ja työelämään tehdäkseen kavalluksia. Taloushallinnon ammattilaisen suorittaman kavalluksen taustalla on useimmiten pitkälle kehittynyt peliriippuvuus. Työnantajan tai asiakkaan rahoja lainataan usein siihen voittoisaan peliin, joka kuittaa kaikki aiemmat tappiot.  Toisessa tyyppitapauksessa vastuuhenkilö “lainaa” yrityksen tai yhdistyksen rahoja toisen yrityksensä talousongelmien ratkomiseen. Syitä on toki muitakin, mutta huolellisella varainkäytön valvonnalla voidaan paitsi estää yritysten varojen menetys tai tilitoimiston vahingonkorvausvastuu, myös pelastaa ihmisen loppuelämä.

Kun hyväksytään se ajatus, että kavaltaja ei ole yritykseen tai tilitoimistoon hiipinyt luihu ja määrätietoinen ammattirikollinen, vaan se mukava työkaveri, on myös valvontaan helpompi suhtautua tarpeellisella vakavuudella normaalina taloushallinnon työasiana. Kavallusten torjuntakeinojen pohtiminen voisi olla yhtä normaali aktiviteetti kuin prosessien tehostaminen tai automaation hyödyntämiskohteiden miettiminen.

Erilaiset roolit vaativat erilaisia valvontakeinoja

Kavallusten torjunnassa tulee huomioida toimijoiden erilaiset roolit, vastuut ja mahdollisuudet kavallukseen. Kavallusrikokseen voi syyllistyä pk-yrityksen johtaja tai yhdistyksen toiminnanjohtaja, jolla on tilinkäyttöoikeudet tai yrityksen maksukortti. Kavalluksia voi tehdä myös taloushallinnon ammattilainen talousosastolla tai tilitoimistossa. Nämä tilanteet vaativat erilaisia valvontakeinoja. Johdon toimien asianmukainen valvonta voi olla käytännössä hankalampi toteuttaa. Taloushallinnon ammattilaisten valvonta kuuluu tilitoimiston tai talousosaston normaaliin toimintaan osana huolellisuusvelvoitetta.

Kertapuhallus vai pienempiä siirtoja

Kriittisin tilanne yritykselle syntyy, jos yrityksen tililtä viedään kerralla olennainen summa tai tili tyhjennetään kokonaan. Vastaavasti tilitoimiston kannalta pahin riski on se, että työntekijä tyhjentää asiakkaiden tilejä. Tällainen tilanne syntyy käytännössä vain silloin, kun tekijä ei enää piittaa kiinnijoutumisen riskistä vaan tarkoituksena on häivyttää rahat ja poistua maasta. Pankkiasiantuntijoiden näkemysten mukaan suurien summien häivyttäminen ei ole enää yksinkertaista, mutta siihenkin on keinot löydettävissä.

Huomattavasti yleisempi tilanne on se, jossa kavaltaja siirtää pienempiä summia ja yrittää peitellä jälkiään. Näissä tilanteissa asianmukaisella valvonnalla voidaan estää rikoksen pidempi jatkaminen ja vähentää yritykselle ja tekijälle aiheutuvia haittoja.

Vaaralliset työyhdistelmät

Kavallusten torjunnassa keskeisiä käsitteitä on vaarallinen työyhdistelmä. Sillä tarkoitetaan työtehtävien yhdistelmää, joka mahdollistaa väärinkäytöksen kuten kavalluksen suorittamisen.  Käytännössä vaarallinen työyhdistelmä syntyy siten, että sama henkilö voi suorittaa peräkkäisiä työtehtäviä, mikä esimerkiksi mahdollistaa maksatuksen ilman toisen henkilön kontrollia. Vaarallisia työyhdistelmiä ovat esimerkiksi:

· Sama henkilö voi hyväksyä laskun ja maksaa sen

· Sama henkilö voi muokata toimittajarekisterin toimittajatietoja ja maksaa laskun

· Sama henkilö voi tilata tavaraa ja hyväksyä laskun yksin

· Sama henkilö voi muokata palkanlaskentajärjestelmän työntekijätietoja sekä laskea ja maksattaa palkat

· Sama henkilö voi tehdä matka/kululaskuja ja maksaa niitä ilman ulkopuolista hyväksyjää

· Henkilö voi käsitellä ja tehdä asiakaspalautuksia ilman aktiivista valvontaa

Suuremmissa talousosastoissa ja tilitoimistoissa on mahdollista työtehtävien eriyttämisellä estää ainakin pääosa vaarallisista työyhdistelmistä. Pk-yrityksissä ja pienemmissä tilitoimistoissa se on usein vaikeaa käytännön syistä. Kun vaarallisia työyhdistelmiä ei saada eliminoitua, tulee yrityksen tai tilitoimiston suunnitella muita valvonnan keinoja kuten jälkikäteisiä tarkastuksia. Kannattaa hyödyntää myös tilintarkastajan kokemusta ja näkemystä kontrollien kehittämisessä.

Erilaisia tekotapoja, erilaisia kontrollikeinoja

Kavallusten torjunta on merkittävästi helpompaa, kun ymmärretään vaarallisen työyhdistelmän käsite yleisellä tasolla ja lisäksi tunnistetaan erilaisia tekotapoja. Tässä kappaleessa kuvaan erilaisia kavalluksen tekotapoja ja keinoja kavallusten estämiseen tai varhaiseen havaitsemiseen.

Ostolaskujen maksatus ostoreskontrasta

Ostolaskujen maksatuksessa ohjelmistoihin ja prosesseihin on yleensä mahdollista sisällyttää monentyyppisiä kontrollikeinoja.

Oikeita laskuja yritykselle kuulumattomista tilauksista. Tässä tekotavassa vastuuhenkilö tilaa tavaraa tai palveluja itselleen tai rikoskumppanilleen yrityksen piikkiin. Toinen toimintamalli on tilata lähipiirin yhtiöiltä tai rikoskumppaneilta tavaraa tai palvelua olennaiseen ylihintaan. Kontrollikeinona on se, että tilaajan ohella toinen riippumaton henkilö hyväksyy laskun.

Nämä tekomuodot ovat olleet esimerkiksi isännöitsijöiden käytössä, koska taloyhtiöissä ei välttämättä ole tapana hyväksyttää ostolaskuja hallituksen jäsenillä. Taloyhtiöissä hallituksen jäsenet tai nimetty jäsen voisivat käydä ostolaskut läpi säännöllisesti maksun jälkeen. Tämä auttaisi hallitusta myös saamaan konkreettisemman kuvan taloyhtiön raharei’istä, koska tuloslaskelma saatetaan kokea vieraaksi ja vaikeaselkoiseksi.

Väärät laskut. Tässä tekotavassa kolmas osapuoli tai yrityksen tai tilitoimiston oma henkilökunta pyrkii saamaan yritykseltä maksuja tekaistuilla tai kyseenalaisilla ostolaskuilla tai matka- ja kululaskuilla. Tämä estetään asianmukaisella asiakastarkastuksella ja hyväksymiskierrolla.

Oikeat laskut, väärät tilinumerot. Tässä tekotavassa maksetaan sinällään oikeita laskuja, mutta väärille pankkitileille. Tekotapaa voidaan ehkäistä siten, että toimittajarekisterin ylläpito on eriytetty eri ihmiselle kuin laskujen maksatus ja maksatuksen yhteydessä varmistetaan ainakin pistokokein, että toimittajarekisterin tilinnumero vastaa laskun tilinnumeroa. Jos tämä työtehtävien eriyttäminen ei ole mahdollista, voi eri henkilö tarkistaa pistokokein maksatuksen ja ostolaskujen tilinnumeroita. Vääriin tilinnumeroihin perustuvat kavallukset tulevat joskus ilmi vasta, kun toimittajilta alkaa tulla maksukehotuksia. Jos nämä maksukehotukset tulevat rikoksen tekijälle itselleen, voivat kavallukset jatkua pitkäänkin ja seuraukset pahentua sekä tekijän että uhrin kannalta.

Ennen nykyisiä SEPA-maksuja maksutiedosto muodostettiin ostoreskontraohjelmistossa tekstitiedostoksi, joka tallennettiin palvelimelle odottamaan lähetystä pankkiin maksuliikenneohjelmistolla. Tässä välissä kekseliäs henkilö saattoi vaihtaa tiedostoon toimittajan pankkitilin sijaan oman tilinnumeronsa, jos pääsyä tiedostoon ei oltu rajattu käyttöoikeuksin. Nykyisissä reaaliaikaisissa maksusiirroissa tämä on olennaisesti hankalampaa ja edellyttää tekijältä tai rikostoverilta ainakin huomattavia IT-taitoja.

Maksatus pankkiyhteysohjelmalla tai verkkopankilla

Henkilö, jolla on pääsy yrityksen verkkopankkiin tai maksuliikenneohjelmistoon voi yleensä suorittaa maksuja vähemmillä kontrolleilla kuin ostoreskontran kautta hoidettavissa maksuissa, koska vaarallisia työyhdistelmiä ei näissä järjestelmissä yleensä voi estää. Eräissä yritysverkkopankeissa voi kuitenkin jo luoda erityyppisiä kontrolleja esimerkiksi niin, että toisen henkilön täytyy hyväksyä tietyt ehdot täyttävät maksut.

Usein valvontakeinoksi verkkopankissa jäävät jälkikäteiset tarkastukset. Pk-yrityksissä tämä tarkastusvelvollisuus voidaan antaa tilitoimistolle tai hallituksen jäsenelle. Erityisesti yhdistyksissä isännätön raha ja puutteellinen valvonta ovat mahdollistaneet johdon tekemät kavallukset joko verkkopankissa tehtyjen perusteettomien maksujen tai yhdistyksen kortilla tehtyjen perusteettomien hankintojen muodossa.  Tilitoimiston kannattaa siis yleensä suosia pankkirajapintojen käyttöä verkkopankkitunnusten sijaan myös kontrollisyistä.

Taloushallintojärjestelmään sisältyvässä tai erillisessä maksuliikenneohjelmistossa henkilö voi yleensä syöttää maksuja tilinnumeroineen ilman toisen henkilön kontrollia. Maksatusta suoraan maksuliikenneohjelmistosta ilman ostolaskujen perusteella muodostettua maksutiedostoa ei voida yleensä ottaa kokonaan pois käytöstä, koska kaikkia maksettavia kuluja ja rahoitustapahtumia ei välttämättä saada laskuina. Maksuliikenneohjelmistojen kautta suoritettavien maksujen kappalemäärä on kuitenkin yleensä niin pieni, että niiden kattava manuaalinen tarkastaminen on mahdollista.

Palkanlaskenta

Kavallusten torjunnassa palkanlaskenta jää usein aiheettoman pienelle huomiolle, vaikka palkanlaskennassa on mahdollista kavaltaa kerralla huomattavan suuri rahasumma. Palkanlaskija voi vaihtaa palkkajärjestelmässä työntekijöiden tilinnumerojen tilalle rikoskumppaniensa tilinnumeroja. Työntekijät havaitsevat tietenkin tapahtuneen varsin nopeasti, mutta huolellisesti suunnitellen tekijä voi saada itsensä ja rahat häivytettyä. Tällaisen kavalluksen voi tietenkin ehkäistä sillä, että toinen henkilö tarkistaa maksut etukäteen ja vertaa niitä pistokokein työntekijöiden pankkitileihin. Tällainen kattava ennakkotarkastus on suhteellisen työlästä ja kallista. Tehokkainta olisi, jos palkkaohjelma antaisi hälytyksen, jos pankkitilien muutosten lukumäärä ylittää määrätyn raja-arvon.

Klassinen kavallustapa palkanlaskennassa on ujuttaa järjestelmään keksittyjä työntekijöitä tai pitää järjestelmässä voimassa päättyneitä työsuhteita ja asettaa näille sopiva pankkitili. Tällöin kavallusta voi jatkaa pidempään jäämättä kiinni. Tätä riskiä voidaan kontrolloida esimerkiksi vertaamalla HR-järjestelmän henkilötietoja palkkajärjestelmän tietoihin.

Kontrollikeinoista yleisesti

Edellä kuvasin esimerkinomaisesti tunnetuimpia ja ilmeisimpiä kavallusten tekotapoja ja esittelin niihin purevia kontrollikeinoja. Tässä kappaleessa esittelen vielä yleisimpiä kontrollikeinoja yleisellä tasolla.

Työtehtävien eriyttäminen

Työtehtävien eriyttäminen ja vaarallisten työyhdistelmien eliminointi on perusteltu toimi aina, kun se on kohtuukustannuksilla mahdollista ja ohjelmistot tukevat sitä. Jos työntekijä A päivittää yrityksen toimittajarekisteriä ja työntekijä B maksaa ostolaskut, voi A laskea sen varaan, että käry käy nopeasti, jos hän tallentaa toimittajille vääriä tilinnumeroita. Riittävä pelote kiinnijäämisestä ehkäisee yleensä rikoksen tekemisen.

Ohjelmistojen käyttöoikeudet ja logit

Työtehtävien eriyttämiseltä putoaa osin pohja pois, jos ohjelmistojen käyttöoikeusmääritykset eivät tue sitä. Tällöin on tärkeää, että ohjelmistojen logitiedoista voidaan todentaa, onko työntekijä suorittanut toimia, jotka eivät kuulu hänen toimenkuvaansa. Logitietojen merkitys on tärkeä myös silloin, kun poliisi tai yrityksen palkkaama asiantuntija alkaa tutkimaan epäiltyä kavallusta. Asianmukaisista logitiedoista käy ilmi, mitä on tehty, kuka on tehnyt ja koska on tehnyt. Logitietojen hyödyntäminen edellyttää tietenkin sitä, että kullakin työntekijällä on käytössään vain omat käyttäjätunnuksensa. Yhteiskäyttöisiä tunnuksia tulee siis välttää tämänkin vuoksi. Kannattaa myös ottaa tavaksi lukita kone, kun poistuu pidemmäksi aikaa työpisteeltä.

Manuaaliset tarkastukset

Vaarallisia työyhdistelmiä voidaan ehkäistä myös ajantasaisilla tai jälkikäteisillä tarkastuksilla. Toinen kirjanpitäjä voi tarkastaa toisen maksatuslistat pistokokein ennen maksatusta ja laittaa puumerkkinsä tarkastettuihin maksuihin joko paperilla tai digitaalisesti. Myös jälkikäteinen tarkastus lisää kiinnijäämisen riskiä ja toimii pelotteena. Taloyhtiön hallituksen jäsenen jälkikäteen suorittama ostolaskujen syynäys voi paljastaa isännöitsijän omalle työmaalle tehtyjä hankintoja, joissa taloyhtiö on pantu maksumieheksi.

Whistleblowing

Pk-yrityksissä ja erityisesti yhdistyksissä johdolta menevät joskus “omat ja firman rahat sekaisin” eli suomeksi sanottuna johto kavaltaa yrityksen rahoja.  Yrityksessä tai sitä palvelevassa tilitoimistossa toimiva taloushallinnon ammattilainen voi havaita tästä viitteitä tai jopa piinkovaa todisteaineistoa. Tilanne on todella hankala ja kiusallinen, kun epäilty on oma esimies tai tilitoimiston asiakkaan päättäjä. Tässä tilanteessa taloushallinnon ammattilaisen tulee ajatella työnantajan tai asiakkaan etua. Kirjanpitäjän tulee ottaa asia esille esimerkiksi yrityksen hallituksen kanssa.  Myös tilintarkastajalla on mahdollisuus kutsua yhtiökokous päättämään erityisestä tarkastuksesta.

Jos tilitoimiston kirjanpitäjä epäilee asiakasyrityksen johdon syyllistyneen kavallukseen tai vastaaviin väärinkäytöksiin, hänen tulee viedä asia esimiehensä tietoon toimenpiteitä varten. Jatkotoimenpiteitä kannattaa pohtia juristin kanssa. Tilitoimiston tulee purkaa toimeksiantosopimus, jos asiakasyrityksen toimielimet laiminlyövät toimenpiteisiin ryhtymisen kavalluksen johdosta.

Ohjelmistot ja koneoppiminen tarjoavat kehitysmahdollisuuksia kontrolleihin

Ylempänä olen käsitellyt perinteisiä keinoja kavallusten torjuntaan. Ohjelmistojen tuotekehitys ja koneoppimisen soveltaminen voisivat tarjota tehokkaampia ja manuaalista työtä säästäviä kontrollikeinoja. Alla muutama keksimäni esimerkki. Ehkä jotkut näistä ovat käytössäkin jossain!

· Ohjelmisto tekee ilmoituksia/listauksia/logimerkintöjä uusien toimittajien tai työntekijöiden perustamisesta ja tietojen päivittämisestä. Tietoja voisivat olla esimerkiksi (perustaja/päivittäjä, yrityksen nimi, yrityksen y-tunnus ja tilinnumero. Henkilöstölle informoidaan, että näitä tarkastetaan pistokokein.

· Ohjelmisto vertaa saman tilitoimiston tai pilvipalveluohjelmiston asiakkaiden osalta toimittajien y-tunnuksia ja tilinnumeroita ja ilmoittaa jos tietokannasta löytyy ristiriitaisuuksia. Esimerkiksi Möttösen Konepaja Oy:n tietokannassa toimittajalle Ilmarinen Oyj on asetettu pankkitili, jota ei löydy muiden asiakkaiden toimittajarekistereistä Ilmarisen kohdalta.

· Ohjelmisto antaa hälytyksen, jos pankkitiliä vaihdetaan kesken maksatusprosessin

Automaattiset ja erityisesti ajantasaiset tarkastukset saattavat asettaa haasteita ohjelmiston suorituskyvylle. Tietojen käyttöön voi liittyä myös sopimuksellisia rajoitteita. Mielestäni toteutusmahdollisuuksien pohtimiseen kannattaisi kuitenkin uhrata muutama hetki ohjelmistotaloissa.

Yhdysvalloissa kavallusten torjunta on Suomeen verrattuna normaalia toimintaa ja taloushallinnon valtavirtaa. Ajattelun lähtökohtana siellä on se, että työntekijät ja varsinkin johto yrittävät varastaa yritykseltä. Yhdysvalloissa on jo hyvällä menestyksellä sovellettu koneoppimista petosten ja kavallusten torjuntaan. Siinä missä koneoppimisalgoritmi osaa opetusdatan perusteella erottaa kissankuvat koirakuvista, se osaa myös antaa vahvoja indikaatioita, jos yksittäiset maksut poikkeavat normaalista kaavasta. Jos et usko, laita googleen “AI and fraud detection”.

Pankit eivät yleensä voi ehkäistä kavalluksia

Voisivatko pankit pysäyttää maksut, ennen kuin rahat ehtivät ulkomaille tai bitcoineiksi, jos yritysten oma valvonta on pettänyt? Selvitin tilannetta pankkien turvallisuustoimia tuntevilta ja on selvää, että tämän varaan ei voi laskea. Pankeilla on toki käytössä monenlaisia automaattisia ja manuaalisia tarkastuksia esimerkiksi rahanpesun ja maksupetosten havainnointiin. Yritysten liiketoiminta ja rahoitus on nykyään kuitenkin niin kansainvälistä ja monimuotoista, että kattavaa valvontaa ja maksujen pysäytysjärjestelmää ei voi pystyttää halvauttamatta Suomen taloutta. Kavallettu summa voi siis jäädä pankin haaviin, mutta tämän varaan ei voi yrityksissä ja tilitoimistoissa tuudittautua.

Huolellisuusvelvoitteen vaikutus vahingonkorvaukseen

Huolellinen toiminta kavallusten ehkäisyssä voi vaikuttaa tilitoimiston vahingonkorvausvelvollisuuteen ja vahingonkorvauksen määrään, jos tilitoimiston henkilökunta syyllistyy kavallukseen. Käytännössä valvontavelvollisuutta ei voi kokonaan asettaa asiakkaalle vaan tilitoimisto vastaa pitkälti henkilökuntansa johtamisesta ja valvonnasta. On tärkeää, että tilitoimisto kykenee myös todentamaan toimineensa huolellisesti ja valvoneensa maksuliikennettä asianmukaisesti. Tilitoimiston vahingonkorvausvastuusta käytännössä voit lukea artikkelista Sopimusperusteinen vahingonkorvaus.

Vakuutusturva

Tilitoimiston tulee tarkastaa, kattaako sen vakuutusturva työntekijän suorittamasta kavalluksesta aiheutuneen vahingon. Eräillä vakuutusyhtiöillä varallisuusvastuuvakuutus kattaa työntekijän tekemän kavalluksen, mutta toisilla se edellyttää erillistä vakuutusta. Tilitoimiston tulee myös huomioida sopimuksensa vastuunrajaus. Vakuutus kattaa sopimusperusteisen vahingonkorvauksen vain vastuunrajauksen summaan asti. Jos tilitoimisto korvaa vastuunrajauksen summaa suuremman vahingon, ylimääräinen osa katsotaan vapaaehtoiseksi, asiakassuhteen ylläpitämiseksi maksetuksi goodwill-korvaukseksi, jota vakuutus ei korvaa. Jos asiakas hakee ja saa oikeusteitse vastuunrajauksen ylittävän korvauksen, kattaa vakuutus lähtökohtaisesti koko vahingonkorvauksen.

Lopuksi

Toivon, että tämä kirjoitus antaa eväitä miettiä omalle yritykselle tai tilitoimistolle sopivia kavallusten torjuntakeinoja. Samalla haluan hälventää kavallusten torjuntaan liittyvää nolouden tunnetta. “Mitä alaiseni ajattelevat, jos otan teeman esille – puhumattakaan siitä, että tuon konsultin paikalle asioita kehittämään”. Jokainen, joka lukee sanomalehtiä – puhumattakaan meistä, jotka seuraamme oikeusasteissa kiertäviä rikosjuttuja – tietää, että kavalluksia tapahtuu ja niitä tapahtuu usein. Ja tekijä on yksi meistä mukavista taloushallinnon ammattilaisista. Avoin ja luottamuksellinen työyhteisö, jossa uskaltaa sanoa omalle kaverille, että elämä on rytyssä rahapelien takia, on parasta ennaltaehkäisyä.