Время систем защиты от мошенничества

Вопрос защиты от мошенничества всегда был актуален для корпоративных компаний. Но в последние несколько лет ряд громких публикаций заставил владельцев бизнеса уделить этому вопросу повышенное внимание, поскольку стало очевидно, что мошенничество - это не только финансовые, но и репутационные потери. Поэтому задача внедрения систем защиты стала актуальной для всех организаций с большим объемом бизнеса, обработки информации и транзакций. Дополнительным толчком к росту спроса на решения защиты от мошенничества стал кризис, увеличивший количество недовольных сотрудников и, как следствие, число инсайдерских преступлений.

Комплексная задача

Создание системы защиты от мошенничества - это комплексная задача, которая затрагивает работу всех сотрудников компании и включает в себя технические и организационные меры, а также меры, направленные на повышение лояльности персонала. Первые относятся к задачам подразделения управления рисками (риск-менеджмента) совместно со службой по борьбе с экономическими преступлениями и/или департамента информационной безопасности. Зачастую именно риск-менеджмент становится инициатором проекта по созданию комплексной системы защиты от мошенничества. Наряду с задачами контроля и выявления мошенничества крайне важны и работы, касающиеся предотвращения самого риска преступления. Этому способствует создание благоприятного климата для сотрудников компании, что является приоритетной задачей службы персонала компании.

Борьба с мошенничеством в различных отраслях

Стоит отметить, что практически для каждой отрасли есть свои возможности борьбы с мошенничеством. Например, в сложных финансовых системах контроль действий "привилегированных пользователей" (операторов call-центров, различных бизнес-приложений, системных администраторов и т.д.) осуществляется на предмет различного рода запросов, которые потенциально могут быть квалифицированы как мошенничество или соотноситься с ним. Использование различного рода аналитических систем позволяет по уже существующим действиям проверять подозрительные активности, например, списания средств со счетов в нерабочее время. Используются и решения, напрямую сокращающие риск различного мошенничества. Например, системы многофакторной аутентификации в случае защиты Интернет-банкинга, которые позволяют снизить риск преступлений неавторизованных пользователей.

Помимо технических средств прописывается комплекс организационных мер, направленный на разделение прав доступа. Например, чтобы один человек не мог создать заявку и себе же ее подтвердить.

Таким образом, алгоритм реализации проекта по созданию системы защиты от мошенничества в финансовых структурах предполагает проведение анализа бизнес-процессов организации и выработку на его основе списка возможных мошенничеств: где они могут произойти и на какие бизнес-приложения могут быть направлены. Как правило, существует ряд данных по возможным мошенничествам, например, работа со "спящими" счетами, просмотр различных VIP-счетов, активности по списанию средств в не-
рабочее время. Также анализируются процессы работы операторов бизнес-приложений и работа операционистов, которые находятся в отделениях банка. Далее начинается проектирование необходимых систем контроля действия тех или иных операторов на основе существующих бизнес-правил. После внедрения происходит "тюннинг" системы, которую риск-менеджмент будет использовать ежедневно. В среднем на реализацию проекта требуется не более полугода.

Далее проект может получить развитие в более детальной проработке организационных мер, так как зачастую возникает вопрос, что делать с обнаружением внутреннего мошенничества (например, если система показывает, что сотрудник делает что-то неправильное, но при этом не прописаны те меры, которые можно к нему применить).

Поэтому зачастую продолжением или дополнением проекта по созданию систем по защите от мошенничества становится разработка механизмов контроля для того, чтобы система могла нести некую "боевую" направленность.