KPMG

30 juli 2025

Cybercrime

Governance

Het onderzoek is gebaseerd op ruim 250 onderzochte fraudezaken in de afgelopen vijf jaar. Hoewel elke zaak uniek is, laten de gegevens opvallende overeenkomsten zien. Zo blijkt de typische fraudeur vaak een man (meer dan 80 procent), tussen de 36 en 55 jaar, met een lange staat van dienst binnen het bedrijf. In 65 procent van de gevallen werkte de dader al meer dan zes jaar bij de getroffen organisatie. Van persoonlijke problemen of wrok richting de werkgever is zelden sprake. De belangrijkste drijfveer: financieel gewin, meestal puur uit hebzucht of omdat het simpelweg ‘kon’.

Fraude zelden een solo-actie

In tegenstelling tot het klassieke beeld van de ‘lone wolf’, blijkt fraude vaak een groepsactiviteit: in 70 procent van de gevallen werkten meerdere mensen samen – meestal twee tot vijf personen, vaak collega’s binnen dezelfde organisatie. KPMG benadrukt dat samenwerking het risico op ontdekking juist kan verkleinen, zeker als interne controles ontbreken.

Waar en hoe wordt gefraudeerd?

De meeste fraudezaken vonden plaats op operationele afdelingen (32 procent), gevolgd door financiën (25 procent), directie (25 procent) en inkoop (23 procent). Deze percentages overlappen deels, omdat fraude vaak meerdere afdelingen tegelijk raakt.

De meest voorkomende vorm is verduistering van activa (52 procent), zoals geld of goederen. Inkoopfraude (38 procent) komt eveneens veel voor: medewerkers werken dan samen met externe leveranciers om prijzen kunstmatig op te drijven, in ruil voor een deel van de opbrengst. Fraude met financiële rapportage werd in één op de vijf gevallen vastgesteld.

Fraude binnen de directie betekent overigens niet dat de ceo zelf betrokken is, maar wel dat functies op dat niveau vaak meer toegang geven tot middelen en minder toezicht kennen, wat het risico verhoogt.

Zwakte in controles, kracht van tipgevers

Een terugkerend patroon: in 76 procent van de gevallen ontbraken voldoende interne controles. De helft van de betrokken organisaties had zelfs helemaal geen antifraudemaatregelen zoals audits of functiescheiding. In veel gevallen bleken medewerkers onbeperkte bevoegdheden te hebben.

Het is dan ook geen verrassing dat 45 procent van de fraudegevallen aan het licht kwam via meldingen van klokkenluiders of informele tips. Een duidelijk signaal voor het belang van een veilige meldcultuur.

Cyberfraude in opkomst

Hoewel cyberfraude op dit moment slechts 5 procent van de onderzochte zaken beslaat, waarschuwt KPMG voor een stijgende trend. Nieuwe technologieën zoals AI en cryptovaluta creëren kansen voor geavanceerdere fraudevormen, bijvoorbeeld via deepfakes of ceo-fraude. In tegenstelling tot traditionele fraudevormen wordt cybercriminaliteit vaker opgespoord via data-analyse en geautomatiseerde monitoring.

Wat kunnen organisaties doen?

Volgens KPMG zijn er meerdere manieren om fraude beter te voorkomen en sneller te detecteren. Denk aan het versterken van interne controles, het invoeren van heldere autoriteitsgrenzen en het stimuleren van een open en ethische bedrijfscultuur. Ook samenwerking tussen afdelingen en due diligence op externe partijen zijn essentieel, zeker in een tijd waarin fraude zich niet beperkt tot de muren van het bedrijf.

Gerelateerd nieuws

Meer regels, minder resultaat: hoe de overheid vastloopt in haar eigen systeem

Nederlandse uitvoeringsorganisaties staan onder immense druk door een explosieve groei en toenemende complexiteit van wet- en regelgeving. Dit blijkt uit een recent onderzoek van PwC, dat voor het eerst een integraal en kwantitatief beeld schetst van de zogenaamde 'uitvoeringsdruk'. De bevindingen bevestigen niet alleen een breed gedeeld gevoel van taakverzwaring bij uitvoerders, maar tonen aan dat dit een feitelijke en gestage ontwikkeling van de afgelopen 20 jaar is.

Huis voor Klokkenluiders: meerderheid werkgevers nog geen goede meldregeling

Van de 2650 werkgevers die hebben meegewerkt aan de Werkgevers Enquête Arbeid 2024 (WEA) heeft 40 procent een aangepaste meldprocedure aan de Wet bescherming klokkenluiders. Maar 26 procent is helemaal niet bekend met een meldprocedure, ondanks dat dit al sinds 2016 verplicht is voor werkgevers met meer dan 50 werknemers.

Non-paper versterken cloudsoevereiniteit vastgesteld

Het non-paper ‘Strengthening cloud sovereignty of public administrations’ is vastgesteld in de ministerraad. Met dit stuk wordt vanuit Nederland gepleit voor een aantal maatregelen in Europees verband voor het gebruiken van cloudtechnologie door overheden. Deze maatregelen moeten bijdragen aan meer actie in EU-verband als het gaat om het versterken van de cloudsoevereiniteit. Een non-paper is een document om ideeën over toekomstig beleid te onderzoeken.

Participatie en openheid als basis voor beleid maken

Transparante, digitale informatievoorziening aan burgers (of andere belanghebbenden) is essentieel om goede participatie in te bedden. Beleidsmakers moeten bewuste keuzes maken welk type informatie ze beschikbaar stellen gedurende het participatietraject en in welke vorm. Met de juiste keuzes stel je betrokkenen beter in staat om te participeren tijdens het proces van beleid maken. In deze blog leggen we uit hoe openheid het mogelijk maakt om beleid met de samenleving te maken en wat digitale informatievoorziening hierin kan betekenen.
Meer nieuws