En kulen och gråkall novembermorgon fick jag ett mejl. Det var skickat från en relativt nytillträdd HR-chef och tämligen kortfattat i sitt innehåll. Det stod: Ring mig ASAP.
Det här mejlet skulle komma att bli upptakten till en ganska omfattande utredning som ledde till en persons avsked, krismöten, ändringar av interna processer och skapandet av en krisledningsgrupp på företaget. Jag ringde HR-chefen omedelbart och fick strax läget klart för mig som i korthet kan beskrivas enligt följande:
Karin (låt oss kalla henne det) hade arbetat i cirka tio år som lönehandläggare på företaget. När den nye HR-chefen tillträtt noterade hen att Karins kapacitet tycktes vara extremt låg. Hon klagade ofta över extrem stress, för låg lön och arbetade regelmässigt 20 timmar övertid varje månad för att ”överhuvudtaget hinna med”.
HR-chefen noterade även att Karins kontor och skrivbord var en riktig röra och erbjöd henne stöd i form av extra inkallade konsulter som kunde avlasta henne, något som Karin inte var glad åt.
När lönekörningarna skulle göras var det ofta panik. Karin hade sällan sitt arbete klart och lönelistorna som skulle attesteras före bankkörning var alltid ett stort bekymmer då Karin ofta hade strulat till det. Till slut fick HR-chefen nog och kallade in extrapersonal.
Strax därefter kom en av de inkallade konsulterna till HR-chefen och berättade att Karin inte var att lita på och att hon sannolikt manipulerat lönelistorna och tillskansat sig pengar på detta sätt. HR-chefen valde att polisanmäla och tre dagar senare fick man besked från polisen att ärendet lagts ned utan några utredningsåtgärder.
Vad göra? Här stod man med en misstänkt förskingrare och en ovillig polis som inte ville utreda.
Vi satte genast igång med en utredning och Karins motdrag var att sjukskriva sig och gå hem samt göra sig otillgänglig. Karin hade också omsorgsfullt raderat alla sina filer på sin dator och i sin telefon men tack vare ett bra IT-forensiskt arbete av vårt IT-forensiklabb kunde alla filer återskapas.
Efter att intervjuat ett antal medarbetare och gått igenom Karins kontor, arbetsplats, datorer och telefon kunde vi i detalj bevisa hennes brottslighet. Karin hade satt i system att överlämna en icke klarmarkerad lönelista till CFO för attestering och efter CFO:s signatur kunde hon föra över en mängd småbelopp från bolagets alla anställda till sig själv innan hon skickade lönelistan till banken.
På så vis kunde hon ”krydda” sin lön med närmare 1 000 000 kronor per år – under nästan tio år! Vi kunde även se att hon ägnat cirka tre–fyra timmar per arbetsdag på Tradera och andra webbsajter där hon i huvudsak konsumerade lyxartiklar.
Då arbetstiden inte riktigt räckte för att hinna med, registrerade hon regelmässigt cirka 20 timmar övertid per månad. Vi kunde även konstatera att hon tio år tidigare fått avsked från hennes föregående arbetsgivare på grund avsamma typ av brottslighet men att denne då valt att inte anmäla.
Vad kan man då lära sig av denna historia? Jag gör som jag brukar och punktar upp det:
- Att rekrytera medarbetare är förenat med risk. En felrekrytering kan få en omfattande arbetsmiljö- och varumärkespåverkan och därför måste rekryteringsprocessen innehålla moment som minskar denna risk. Dessa säkerhetsrutiner får inte åsidosättas och måste vara gryntydliga avseende innehåll, vilka som berörs och ansvarsförhållanden. Involvera säkerhetschefen eller extern expertis i framtagandet av säkerhetsaspekterna i rekryteringsprocessen.
- Jobba med bakgrundskontroller vid rekrytering och gör det på ett professionellt och systematiskt sätt. Bakgrundskontroll är inte synonymt med att be den sökande visa ett registerutdrag från polisen i ett obrutet kuvert.
- Om du misstänker oegentligheter men har ett dåligt bevisläge, avvakta med att polisanmäla då sannolikheten för att polisen bara tar upp en anmälan för att därefter lägga ner den är näst intill 100 procent. Om ärendet inte läggs ner direkt kan det bero på att det hamnat i en balanshög och där kan det bli liggande, läääääänge medan företaget inget får veta och brottsligheten fortgår.
- Om ni bestämmer er för att göra en internutredning, ta stöd av expertis innan ni agerar på något sätt. Jag har sett massor med ärenden helt förstörda på grund av att man agerat taffligt och felaktigt i det initiala skedet.
- När bevisläget är bra, polisanmäl! Ni anar inte hur många personalfall som exporteras runt bland olika arbetsgivare därför att man gett personen ”transportvitsord” om denne säger upp sig själv och arbetsgivaren som motprestation låter anmälan bero. Med rent straffregister kan personen sedan gå vidare till nästa anställning.
- Har du personer i känsliga befattningar, exempelvis IT-administratörer, ekonomifunktioner eller annat, var då mån om att verkligen känna era anställda. Jobba med säkerhetsintervjuer både vid rekryteringen men även löpande.
- Se till att ni har inskrivet i er säkerhets- eller HR-policy att ni som företag kan genomföra drogtester. Bra att ha tillgång till det verktyget antingen proaktivt eller vid misstanke om missbruk. Som arbetsgivare har man tolkningsföreträde gällande detta och alla legala möjligheter att genomföra sådana tester. Den som i så fall vägrar att låta sig testas kan skiljas från sin anställning.
- Om ni har någon anställd där ni misstänker missbruk, betrakta alltid detta som ett potentiellt säkerhetsärende och inte bara som ett omvårdnads-/HR-ärende. Sitter personer i en känslig befattning? Har hen tillgång till känsliga uppgifter eller kan hen transferera pengar?
- Till sist. Lita på din magkänsla. Om din magkänsla säger dig att något är fel, då är det som regel värre än du trodde.
Mattias Nygren, 2Secure
redaktionen@forvaltarforum.se
