Digitale systemer skal have et indbygget immunforsvar, hvis vi skal styre uden om nye store svindelsager

Når vi i disse år gang på gang ser svindel og bedrageri og grumme fejl i både offentlige og private virksomheder, handler det mere om ledelsesmæssig og organisatorisk umodenhed end om kreative og geniale svindlere.

I vores organisationer har vi erstattet fysiske papirgange med et digitalt flow af information. Disse ”blodårer” i den organisatoriske krop pumper data og information rundt, men hvis man ikke samtidig indfører et ”immunsystem” i de digitale processer, gør man sig åben for svindel og bedrag.

Ofte kan helt banale kontroller fange denne svindel. Jeg tænker på funktionsadskillelse (at bestiller og modtager ikke kan være samme person) og på simpel overvågning af skift af kontonumre i finansielle systemer. Processen skal designes fra starten til at forebygge forekomsten af forudsigelig svindel.

De offentlige sager løfter vores vidensniveau, fordi de kommer ud i det åbne. Men private virksomheder står med samme problemstilling. Vi har som samfund nogle børnesygdomme i forhold til at tænke og designe vores digitale løsninger, så vi opnår effektiviseringsfordelene uden at åbne en ladeport for svindlere.

Illustration: Rasmus Sand Høyer, Jyllands-Posten 24.02.2020

Ifølge Transparency International er Danmark fortsat (med nedadgående trend) i top blandt verdens mindst korrupte lande. Men de aktuelle sager er udtryk for systemfejl, der trækker nedad. Vi har to automatreaktioner, når der sker svindel eller magtmisbrug: 1. Flere regler, mere kontrol, find den ansvarlige. 2. Sid musestille og håb at sagen går over.

Den første er svaret fra en nulfejlskultur, som gerne vil have os til at tro, at fejl er sjældne undtagelser, som man kan eliminere. Tænkningen trives nok bedst i den offentlige sektor. Den anden finder vi hyppigt i den private virksomhed, hvor man ikke ønsker ridser i omdømmet. Så hellere løse problemet bag lukkede døre.

Samlet set står vi med en udfordring til vores nationale selvforståelse.

Vi skal evne at se den forskel på at være et lille, åbent, demokratisk, uformelt, hyggeligt samfund med lav magtdistance og på at være naive og dilettantiske. Vi må erkende, at hvis man kan snyde, så bliver der – før eller senere – snydt. Også i vores lille homogene ende af verden. Det stærkeste forsvar for en åben, human og dialogpræget organisationskultur er at sørge for, at den ikke bliver udnyttet af svindlere og forbrydere internt og eksternt.

De digitale systemfejl er, at vi ikke, så snart vi digitaliserer en proces, også sikrer helheden mod fejl, bedrageri og trusler. Sikkerheden skal med ind i designet, så vi umuliggør – eller i hvert fald besværliggør – den kriminelle aktivitet. Vi skal være skarpe på roller, adgangsrettigheder, godkendelsesmuligheder og på automatiske digitale kontroller.

Det smukke ved de digitale processer er, at vi kan lade computere granske hver eneste transaktion. Vi kan med andre ord bevæge os langt forbi manuelle stikprøver, fordi vi simpelthen kan stoppe transaktioner fra overhovedet at blive gennemført. Det kræver, at vi har risikotænkningen tæt integreret fra starten af den digitale designproces.

Hvis transaktioner blinker i forhold til mistænkelig adfærd, urealistiske beløb eller andet, som vi digitalt påhæfter et ”rødt flag”, skal de videre til en menneskelig vurdering. Vi kommer til at bedrive undtagelses-ledelse, hvor specialister og ledere vurderer og beslutter på grundlag af digital grovsortering.

Hvis man har styr på sine risici kan man designe sig ud af masser af problemer med en sund portion digital paranoia. Vi skal opbygge immunsystemet, så snart vi åbner nye digitale blodforsyninger til forretningsprocesserne. Jo mere komplekst, heterogent og uoverskueligt systemlandskab, jo sværere er det at indføre en procedure, som rammer alt i ét hug.

Det hele starter på ledelsesniveau. Vi må erkende, at bagsiden af den digitale medalje er et nyt trusselsbillede. Vi skal rette de digitale systemfejl ved kernen. Det er den eneste vej til færre Britta’er.

Af Hasse Poulsson, Nordisk Chef for Finans og Risikostyringsløsninger, SAP

Dette debatindlæg er oprindeligt publiceret i Jyllands-Posten.