I spåren av den ryska invasionen av Ukraina och de sanktioner som införts mot främst Ryssland ser FAR att bedrägeriförsöken ökar och risken blir större. I FAR-bloggen reder Camilla Carlsson, auktoriserad redovisningskonsult på FAR, ut begreppen och ger råd om hur du kan agera.
Att bli utsatt för bedrägeri – det händer bara andra, inte mig. Och framför allt sker det inte via mina kunder. Så tänker nog de flesta.
Men tänk om din kunds mejladress blir kapad och du sedan får ett mejl från ”kunden” med ”nya” betalningsinstruktioner. Troligtvis skiljer sig mejlet inte nämnvärt från de mejl du brukar få från kunden och du misstänker kanske ingenting. Instruktionen om betalningen är ju i stort sett identisk med hur den brukar vara. Men här gäller det att vara vaksam.
Vad är ett betalningsuppdrag?
Vi börjar med att reda ut vad ett betalningsuppdrag är. Ett betalningsuppdrag är när redovisnings-eller lönekonsulten genomför betalningar självständigt för uppdragsgivarens räkning. Konsulten har åtkomst till kundens bankkonton och utför betalningar åt kunden.
Om konsulten biträder uppdragsgivaren med att ta fram ett betalningsförslag och betalningsfilen laddas upp men uppdragsgivaren slutgodkänner/verkställer betalningen så är det däremot inte att betrakta som ett betalningsuppdrag enligt Reko 750, Svensk standard för redovisnings- och lönetjänster.
Tydligt uppdrag minskar risken
Om du har ett betalningsuppdrag ska du genast bli misstänksam om du får ändrade instruktioner från kunden. Det kan i värsta fall vara så att kundens mejl har blivit kapad. För dig och din byrå är det viktigt att tänka igenom vad ni kan göra för att skydda er.
Mitt råd är ett tydligt uppdragsavtal där det framgår vem som ansvarar för vad och med tydliga attestinstruktioner och beloppsbegränsningar för utbetalningar. Det är visserligen kundens ansvar att ge dig tydliga instruktioner, men här har du möjlighet att vara en bra rådgivare åt din kund genom att hjälpa till att ta fram tydliga instruktioner samtidigt som du även minimerar din egen risk.
Det kan till exempel vara att det skrivs in i avtalet att om betalningen ska gå till en annan bank eller ett annat land ska det krävas att betalningen bekräftas genom ytterligare en kommunikationsväg, exempelvis ett telefonsamtal eller ett sms. På så sätt kan man säkerställa att instruktionerna kommer från kunden och du som konsult har dessutom dokumentation som säkerställer flödet, vilket minskar risken.
På tal om risk, informera gärna dina kunder om dataintrång och att särskilda kontroller bör göras regelbundet för att undvika bedrägerier.
Krav på konsulten undviks med säkra rutiner
Vi har tyvärr noterat att det har framställts krav mot konsulter som haft betalningsuppdrag och därför är det viktigt att du ser till att skydda dig. Även om det slutliga ansvaret inte ligger på den enskilde konsulten eller byrån är det värt mycket att slippa en jobbig och tidskrävande process mot kunden. Så se gärna över era rutiner så att ni kan hantera olika typer av betalningar, nya upplägg och ändringar av betalningsmottagare.
Jag vill också passa på att påminna om att underlagen för utbetalningar ska rimlighetsbedömmas och att uppdragsgivaren ska attestera underlagen som ligger till grund för betalningar.
