Johan af Donner hade gjort ett bra jobb som insamlingschef på Cancerfonden. 2004 rekryterades han till Röda Korset för att få fart på insamlingsverksamheten. Han fick jobbet som kommunikationschef och hade därmed hand om utgifter på omkring 25 miljoner kronor om året. Nu misstänks han under fem års tid ha förskingrat omkring fem miljoner kronor från verksamheten och även 1,6 miljoner från Cancerfonden.

Chefsåklagare Alf Johansson vid Riksenheten mot korruption vill inte säga hur brotten ska ha gått till. Men enligt Röda Korsets generalsekreterare Christer Zettergren misstänks af Donner ha haft två kumpaner utanför verksamheten. Männen, en 62-åring och en 57-åring, fakturerade Röda Korset för olika varor och tjänster – allt inom ramarna för det kommunikationsarbete af Donner basade över.

– De flesta fakturorna stämde. Det handlade bland annat om trycksaker, rådgivning och strategiarbete, säger Christer Zettergren.

Men bland de riktiga fakturorna från de två företagen misstänks den före detta kommunikationschefen ha attesterat en mängd bluffakturor från sina kumpaner.

– Det handlar om relativt små belopp, som är fakturerade under en lång tid. På så sätt var det svårt att upptäcka, säger Zettergren.

Bubblan sprack i julas när anställda reagerade över några av fakturorna.

Alla fakturor på Röda Korset ska bestyrkas av en anställd, attesteras av en annan och betalas av en tredje.

– Våra revisorer tycker att det är ett bra system. Men när man har haft någon på insidan som säger att det här har vi beställt, det här vill vi ha, är det inte så enkelt att upptäcka bluffakturorna, säger Christer Zettergren.

Systemet används fortfarande men Zettergren säger att man nu ska se över om det eventuellt behöver förändras.

Men det är mycket svårt för en revisor upptäcka alla bedrägerier, menar Dan Brännström, generalsekreterare för FAR SRS, branschorganisationen för revisorer och rådgivare.

– Om revisorn möter personer som tycks ha kompetens och integritet litar man så klart på de bokförda beloppen i större utsträckning.

Attestsystemet med tre olika moment, som Röda Korsets, ser ut som ett säkert system, menar han. Men det räcker inte. Styrelsen måste i högre utsträckning intressera sig för intern kontroll.

– Styrelsen måste jobba aktivt med att hitta till exempel budgetavvikelser. Det är inte bara för att upptäcka bedrägerier, utan också för att hålla koll på kostnader.

Styrelsen måste också se till att den interna kontrollen inte blir statisk, säger Brännström.

– Den måste alltid innehålla överraskningsmoment. Man kan till exempel begära in listor över alla anlitade leverantörer och utbetalda belopp. De som bestyrker, attesterar och betalar fakturor måste ta kontrollmomentet på allvar. Man måste se till att man verkligen har fått de här varorna eller tjänsterna.

Johan af Donners advokat Leif Silbersky vill inte kommentera hur hans klient förhåller sig till misstankarna och skadeståndskraven.

– Jag vill vänta med att ange hans inställning tills förundersökningen är klar, säger han.

Samtidigt bekräftar han att af Donner medgett att misstankegraden ”sannolika skäl” var uppfylld vid häktningstillfällena.

af Donner släpptes i tisdags ur häktet eftersom han inte längre bedöms kunna försvåra utredningen. Åtal väcks den 28 augusti.