Корпоративное мошенничество и цифровые технологии: смычка ЭБ и ИБ необходима!

В современном мире совершить экономические злоупотребления, на первый взгляд, не так-то просто. Мир с каждым годом становится все прозрачнее, цифровизация приводит к тому, что стало хорошо видно многие плохо просматриваемые ранее процессы.

Автоматизация учета и внутреннего контроля в компаниях, финансовый мониторинг в банковских транзакциях, высокоэффективные инструменты «цифровой слежки» в руках государства – все это по идее должно было привести к сокращению объема экономических злоупотреблений. Однако тенденции говорят об обратном. Мошенники также перешли «на цифру», да настолько эффективно, что их преследователи и контроллеры далеко не всегда понимают, где и как теперь искать симптомы и следы мошенничества.

Да, цифровизация бизнес-процессов – очень полезная опция, позволяющая исключить человеческий фактор там, где он не нужен, и автоматизировать важные процедуры. Это уже «в базе» повышает прозрачность и управляемость процессов, позволяет подняться на несколько уровней вверх над рутиной, чем существенно снижает возможности для злоупотреблений, прячущихся в темных проулках, которые плохо видны, пока «сам идешь по улице». «Глаз орла» позволяет собрать данные в одном месте и их анализировать, сравнивая факт с идеальной моделью, к которой мы стремимся, со среднеотраслевыми значениями, показателями планов и регламентов, эффективно выявляя аномалии.

ERP объединяет программные продукты для автоматизации сквозных бизнес-процессов закупок, производства,   материально технического обеспечения, отгрузки продукции и создает "цифровой двойник" компании.

Использование штрихкодов и RFID-меток позволяет автоматически отслеживать перемещение и изменение состояния активов, DLP-системы позволяют контролировать работу персонала и утечку данных из организации, предотвращать несанкционированный доступ к конфиденциальной информации. Системы учёта рабочего времени и активности сотрудников фиксируют и анализируют цифровой след действий сотрудника в корпоративной среде.  SIEM-системы помогают анализировать события безопасности и выявлять потенциальные угрозы информационной безопасности.

При этом цифровизация также дает отличную основу и для дальнейших настроек уже непосредственно антифрод-системы. В ней появляются возможности использования большего объема данных, скорости их извлечения для анализа.

Однако надо понимать, что цифровая среда лечит одно – дает нужную прозрачность и эффективность в бизнес-процессах, устраняя человеческий фактор и «ошибки ввода», но и, возможно, калечит другое – дает новые возможности для мошенников – совершать теперь цифровые «злоупотребления», манипулируя большим объемом данных, собранных в одном месте, активно используя уязвимости компьютерных систем:

• удаляются или скрываются операции (например, не подтвержденные первичкой);
• совершаются действия под чужими логинами, удаляются логи, свидетельствующие о несанкционированном доступе и «правке» данных после ввода;
• поверх верного массива вводится новая информация (например, корректирующие проводки), чтобы обеспечить нарушенные злоупотреблениями контрольные тождества;
• удаляется необходимая идентификация данных (заводские номера, технические характеристики и состояние объекта, компания-производитель);
• отключаются функции автоматической проверки вводимых данных и т.д.

И «глаз орла» уже неэффективен в таком массиве данных. Они специально искажены, да и сам «глаз» смотрит не туда, обманывая своих пользователей.

Для эффективной борьбы с такими действиями нужна смычка функций информационной и экономической безопасности, что пока окончательно не произошло даже в самых крупных и передовых хозяйствующих субъектах.

Крайне важно наладить эффективную систему противодействия «цифровому корпоративному мошенничеству», опирающуюся не только на автоматизацию выявления аномалий в бизнес-процессах, но и на возможности своевременного предупреждения и выявления самих «цифровых» манипуляций. Здесь не обойтись без объединения задач между продуктами ИБ и ЭБ. Необходимо «подружить» DLP- и SIEM-системы с работой программ по автоматизации индикаторов мошенничества (таких как наш ФродРадар).

Программируемые аномалии, свидетельствующие о мошенничестве, удобно сгруппировать по следующим основным блокам:

1. Нарушения управления и контрольной функции — наличие «избранных» руководителей и сотрудников, на которых не распространяются общие правила. Более того, и сами правила, и регламенты могут быть составлены формально и не выполняться, например, не проводиться проверки и инвентаризации, отсутствовать «горячая» линия. В этом блоке обычно происходит необоснованное сосредоточение полномочий у лиц, заведующих в компании всем и вся. В зависимости от зрелости контрольной функции можно выделить два полюса. К первому полюсу относится жизнь «на грани»: работа с сомнительными контрагентами и неэквивалентные операции санкционируются собственником и не считаются отклонением. Такой бизнес более подвержен не только рискам мошенничества, поскольку в двойной бухгалтерии точно будет и тройная, но и прочим правовым рискам, в том числе повышенному вниманию от контролирующих и правоохранительных органов.   На другом полюсе - более здоровая картина, когда управление и контрольная функция вполне налажены. Здесь индикаторы также крайне важны: они показывают особые следы схематоза, его модификации при преодолении контрольных процедур. В этом случае совершаемые злоупотребления спрятались намного глубже и пытаются приспособиться к новым процедурам. Тогда красными флажками будут выступать уже индикаторы попыток преодоления работающих контрольных процедур. Тут мошенники «дополнительно» подставляются, когда пытаются обойти работающие контрольные процедуры. Например, сотрудник отдела закупок, понимая регулярный мониторинг своей деловой переписки с потенциальным поставщиком, переводит ее в мессенджер, однако следы об этом могут сохраниться в виде логических разрывов и пропусков в их общении. 

   Ряд сотрудников не уходит люди в отпуск по многу лет. Почему? Трудоголики не хотят бросать любимую работу или же, в действительности, они понимают, что никого нельзя допускать до их компьютера. Соединение несоединяемых функций — социально полезная тема, когда стараются люди подменять друг друга. Особенно такая «социализация» и дружба опасны, когда умышленно эти функции разведены, например, закупщик, работник склада, сотрудник бухгалтерии или казначейства, который оплачивает деньги и который их впоследствии и проверяет. Такие отклонения от защитных функций внутреннего контроля также достаточно легко алгоритмизируются и вносятся в работу специальной программы.

2. Учетные несоответствия — это изъяны и шумы, которые собираются в бухгалтерском, оперативном и управленческом учете при совершении злоупотреблений. Внутри бухгалтерского учета уже находится качественная контрольная система, которая сигнализирует о том, что происходит что-то непонятное. Например, отсутствие первичного документа может свидетельствовать о том, что отраженной операции в действительности не было. Незаполнение или пропуск обязательных реквизитов в первичке, например, подписи или печати, несоответствие в различных экземплярах одного и того же документа или в документах по сквозной операции,  могут говорить о том, что кто-то не согласился с мошенниками и появился контрольный сигнал, который надо обязательно проверить. Формальные аномалии прекрасно проявляются и выше первички - в регистрах бухгалтерского и управленческого учета. Регистры могут «не биться» между собой в зависимости от доступа к ним мошенников, в учетную систему могут быть специально внесены разнообразные корректировки, чтобы сохранить контрольные тождества бухгалтерского учета, учет на отдельных участках может быть модифицирован и чрезмерно упрощен до «котлового» метода, чтобы скрыть ошибки и сигналы, которые дают защитные функции бухгалтерии.
3. Аналитические аномалии — здесь мы смотрим уже не на учетные нормы, а на саму финансово-хозяйственную деятельность и необычные явления, операции и соотношения, выпадающие из экономической логики. Например, соотношение запасы/активы у нас в 3 раза выше среднеотраслевого – это ужасная оборачиваемость или бестоварные операции? Доходы падают, а расходы растут весь в год - такое возможно? Если да, то из-за чего? У одного из контрагентов цены стабильно на 20% выше средних внутрифирменных по отдельным номенклатурам, он настолько хорош или есть сговор с нашим отделом закупок?  Аналитические аномалии - самый интересный метод по выявлению мошенничества, поскольку позволяет увидеть многое. Именно он дает выдающиеся возможности по автоматизации имеющейся информации о финансово-хозяйственной деятельности на предмет выявления необычных операций.

Ниже приведены примеры автоматизации некоторых индикаторов мошенничества в программе Фрод Радар.

Очевидные плюсы блокового подхода – возможность быстро и не так уж ресурсозатратно в первом приближении увидеть очертания схематоза, в первую очередь совершаемого зарвавшимся менеджментом. Блоковый метод убережет от финансового кризиса, вызванного масштабным мошенничеством.  Минусы блокового подхода также понятны – это подзорная труба, а не микроскоп, при помощи такой системы не увидеть хорошо замаскированных схем, если мошенники «не зарываются» и остаются в своих действиях в рамках 5-7% от оборота.

Если делать антифрод-систему с самого «фундамента», то мы, конечно же, рекомендуем применять бизнес-процессный подход к индикаторам. Для этого общая история, описанная в каждом блоке, интегрируется в основные бизнес-процессы.

Свои индикаторы и схемы рассматриваются применительно к каждому бизнес-процессу. На основе библиотеки мошеннических действий мы делаем разработку и типизацию возможных схем, с которыми в деятельности нашей компании те или иные подразделения могут столкнуться. То есть мы создаем базу знаний, закономерностей, признаков того, какие проблемы и риски в деятельности нашей организации могут быть от каждой возможной схемы мошенничества, как они будут проявляться в компьютерной информации.  Например, о бестоварных поставках в закупках будет свидетельствовать такой набор симптомов:

• явное скачкообразное увеличение запасов, превышение значения строки «запасы» в балансе над запланированным и среднерыночным значением у компаний-конкурентов;
• рост конкретных номенклатур материалов не приводит к иным изменениям в бизнес-процессах, объем производства и реализации не растут, зато увеличиваются списания материалов «в убытки»;
• одинаковые размеры файлов о проводимых инвентаризациях запасов, что свидетельствует о их формальном характере;
• изменения в худшую сторону в составе поставщиков – появление «перекупов», компаний, которые при углубленной проверке имеют признаки схемной деятельности.

Для выявления мошенничества нам нужно знать свою правильную норму материалов по всем номенклатурам, разобраться, какие списания и куда считать аномальными, знать рынок и понимать, кто является конечным поставщиком приобретаемого ассортимента материалов, понимать возможности и ограничения при проведении инвентаризации. Правильно и чувствительно настроенные риск-индикаторы бестоварной поставки сработают даже при проведении не самой крупной мошеннической операции. Главное - их корректно настроить и расшифровать.