Известной горькой шутке Карамзина о том, как можно одним словом описать ситуацию в России, уже больше двухсот лет. Но ситуация не меняется: воруют по-прежнему.
Обычно, когда речь заходит о воровстве, подразумевают разные формы казнокрадства и злоупотребления на государственных закупках и подрядах. Но всякого рода темные делишки весьма активно проворачивают и сотрудники коммерческих компаний. По оценке Игоря Ляпунова, директора Центра информационной безопасности компании «Инфосистемы Джет», высказанной им на четвертой конференции «Борьба с мошенничеством в сфере информационных технологий AntiFraud Russia ‘2013», ущерб от внутрикорпоративного фрода может достигать 10—15% от оборота компании и десятков процентов от операционной прибыли. Схожие оценки высказывались и рядом других экспертов. И ничего удивительного тут нет. В ситуации, когда официальные зарплаты не растут, очень велик соблазн поднять свое благосостояние за счет компании.
В итоге с такого рода проблемами в принципе может столкнуться любая организация. По данным международной аудиторской компании PwC, наиболее характерно для российских предприятий присвоение активов, которое было отмечено в 72% фирм. Речь здесь идет о классических кражах денежных средств или товарно-материальных ценностей. Взяточничество либо коммерческий подкуп были обнаружены в 48% компаний. При любых закупках и получении каких-то услуг существует риск столкнуться с пресловутыми откатами. Причем это возможно как при взаимодействии с внешними поставщиками, так и внутри организации. Наиболее высок ущерб от хищений и злоупотреблений в розничной торговле, телекоммуникационных структурах, а также в сфере реализации нефтепродуктов, как оптовой, так и розничной.
Несколько типовых сценариев махинаций
Для того чтобы совершать хищения, необходимо хорошо знать бизнес-процессы и находить в них уязвимые места. Александр Писемский, руководитель направления технологической поддержки финансовых расследований PwC, поделился своего рода портретом типичного корпоративного фродстера. Это менеджер среднего или высшего звена, как правило, мужчина, с высшим образованием, в возрасте за тридцать и со стажем работы не менее трех лет.
В своем выступлении на конференции AntiFraud Russia ‘2013 Игорь Ляпунов привел несколько сценариев, с которыми ему пришлось столкнуться. В крупных розничных сетях, в отличие от небольших палаток или несетевых магазинов, закупки и реализация товара разделены. За них отвечают разные подразделения. При этом процедура закупки товара, как правило, автоматизирована, и заказ осуществляется по результатам продаж каждого магазина. Но в то же время предусмотрена возможность ручной корректировки заказа товара. И этим пользуются. Например, те, кто отвечает за закупки, часто прямо заинтересованы в заказе объективно лишнего товара. Особенно часто в таких схемах задействуется товар нестойкий в хранении, например, сезонные ягоды. Мало кто обращает внимание на то, что часть товара списывается якобы по причине порчи, хотя на самом деле вполне успешно продается и вырученные деньги злоумышленники, естественно, кладут себе в карман. И речь идет о тоннах весьма недешевого товара.
При продаже электроники используются другие схемы. Известно, что разница в стоимости «серых» и ввезенных в страну по всем правилам смартфонов, планшетов, ноутбуков может быть весьма значительной. У последних моделей Apple или Sony она может достигать 10 тыс. рублей. Казалось бы, бизнес-процесс выстроен так, что продать устройства, не закупленные компанией, невозможно. Тем не менее «дырка» в бизнес-процессе нашлась: использовалась схема с фиктивным возвратом, при этом были вовлечены сотрудники сервиса, с которыми злоумышленники вступили в сговор. За шесть недель удалось таким образом продать несколько сотен устройств.
Были также обнаружены «дыры» в процессе передачи наличных денег инкассаторам. Тут возможно несколько вариантов. Например, недобросовестные кассиры пользовались тем, что инкассаторы не обязаны пересчитывать деньги при приеме, и в чеке-сверке указывали большую сумму, чем передавали. Такие расхождения выявлялись, но на это уходило как минимум два бизнес-дня. Однако есть способы затянуть это разбирательство на срок до месяца. И некоторые особо умелые старшие кассиры за этот срок таким образом похищали до миллиона рублей, с которыми потом успешно исчезали в неизвестном направлении.
Очень распространена схема, связанная со злоупотреблением правами пользователя в бизнес-ПО. Известны случаи, когда сотрудники подразделений продаж занижали данные о расходах в ERP-системе, тем самым пытаясь улучшить свои показатели.
Распространенной технологией является мошенничество с карточками лояльности и накопительными системами. Некоторые из них позволяют расплачиваться даже при отрицательном балансе. Этим часто пользуются недобросовестные продавцы и кассиры. В итоге сети теряют до десятков миллионов рублей.
Торговые сети в последнее время выпускают полноценные платежные карты под своим брендом, часто плохо рассчитывая возможные риски. Этому было посвящено выступление на AntiFraud Russia эксперта «Академии информационных систем» Дмитрия Левиева. В ходе проекта в неназванной розничной сети, которая столкнулась со значительными убытками в качестве платежного агента, после запуска карточек была выявлена массовая их компрометация: сотрудники, упаковывавшие карточки в конверты, переписывали все их реквизиты, включая пинкод. Были выявлены и явные нарушения законодательства, чреватые крупными штрафами для руководства компании и даже возможным отзывом лицензии у банка, который фактически являлся эмитентом. Причем допущены эти нарушения были по широко известному принципу «хотели как лучше, а получилось, как всегда». Впрочем, данный случай все же не совсем типичный, и подробнее на нем останавливаться мы не будем.
Как можно выявить злоумышленников
Александр Писемский в своем выступлении на конференции AntiFraud Russia поделился своим опытом выявления всякого рода злоупотреблений и махинаций. Эта работа связана с обработкой больших объемов информации. При этом он особо подчеркнул, что ни в одной компании не было единой точки риска. Воровать могут везде, и традиционные методики выявления злоупотреблений, известные как «подход красных флагов», практически не работают. Они основаны на выявлении таких фактов, как проведение финансовых операций в нерабочее время или контрактов с весьма круглыми суммами. Фродстерами, которые приносят крупный ущерб, являются квалифицированные специалисты, способные вполне успешно заметать следы в течение довольно длительного времени. Они прекрасно понимают, где и на чем их могут разоблачить. И все без исключения факты злоупотреблений в России происходили до формирования бухгалтерской отчетности.
Тем не менее PwC разработала методику выявления мошенничеств и хищений, основанную на анализе поведенческих паттернов злоумышленников. В любой системе, обслуживающей бизнес-процесс, скажем, закупок, остается тот или иной отпечаток. Но эти данные необходимо обогащать, дополняя информацией из других источников, например регистраторов. Это позволяет выявлять различные связи между компаниями. Так формируется модель данных, на базе которой можно проводить ее анализ. При этом среди компаний, у которых происходят закупки, выявляются те, которые можно считать подозрительными. Это, например, компании, каким-либо образом аффилированные с тем или иным сотрудником. Или находящиеся в состоянии банкротства (ликвидации). Таким образом можно выделить как всякого рода закономерности между разными сотрудниками и компаниями-поставщиками, с которыми они работают, так и, наоборот, аномалии, являющиеся отклонениями от стандартной модели. В результате, когда имеет место совокупность данных признаков, и выявляются потенциально проблемные поставщики и сотрудники. Помимо фрода при этом выявляются различные ошибки, например, в проведении налоговых платежей, или просто неоптимально выстроенные бизнес-процессы, что также очень полезно.
Например, в одной розничной сети было обнаружено, что несколько компаний-поставщиков работают только с одним менеджером, причем объемы контрактов вплотную приближаются к лимиту, который требует дополнительного одобрения. Причем наибольшая активность отмечается в высокий сезон продаж, когда компания перегружена и соответственно имеет меньше возможностей для детального анализа контрактов. А детальный анализ договоров давал высокую вероятность того, что имели место откаты, что в итоге и подтвердилось.
Как снизить свои риски
Выход в целом очевиден: выявлять и устранять «дыры» в бизнес-процессах, как только о них становится известно. Для этого у сотрудников служб экономической и информационной безопасности должны быть соответствующие квалификация и полномочия. Как и ресурсы, которых очень часто не хватает. Однако в ряде случаев сделать это удается очень быстро, например, найти уязвимость, связанную с возможностью ухода карточек лояльности в овердрафт.
Естественно, необходимо ограничить права на доступ к информационным системам. Они должны быть достаточными для выполнения прямых обязанностей, и не более того. Хотя это может оказаться делом не слишком простым, особенно в крупных компаниях или там, где не существует четкого разделения ролей. Не слишком хорошо ролевая модель работает и тогда, когда один сотрудник выполняет несколько функций, что в ряде случаев неизбежно, например, в совсем небольших филиалах.
Иногда выходом может стать переход к аутсорсинговой модели. Так, если кассиры не являются сотрудниками торговой сети, а предоставляются сторонней компанией по договору аутстаффинга, то риски с кассовым фродом серьезно снижаются. Компания-аутстаффер отвечает за финансовые риски, в итоге вероятность возврата денег существенно увеличивается по сравнению с тем, как если бы пришлось иметь дело со штатным кассиром.
Как отметил Игорь Ляпунов, хорошие результаты дает внедрение систем контроля сотрудников. Это могут быть системы видеонаблюдения либо средства, отслеживающие работу в информационных системах. Причем сотрудники должны знать, что их контролируют. Сам факт контроля способен существенно улучшить ситуацию.
Хорошие результаты может дать избавление от человеческого фактора. Так, например, проблему компрометации платежных карт, о которой говорилось выше, удалось полностью снять за счет того, что для упаковки конвертов с картами стали использовать полностью автоматическую линию, работающую без какого-либо участия человека.
Необходим также мониторинг транзакций, особенно тех, которые связаны с резкими изменениями, которые невозможно объяснить естественными причинами. Не говоря уже о каких-то явно аномальных переводах и превышениях лимитов. И эту задачу невозможно решить без использования автоматизированных средств. Ведь приходится обрабатывать просто гигантские объемы событий — без всякого преувеличения каждую покупку, а их число идет на миллионы. Вручную обрабатывать такие объемы невозможно.