Фрод – реальность современного бизнеса

Дмитрий Костров
дирекция информационной безопасности ОАО "МТС"

Определение фрода

В литературе существует много определений понятия "фрод" (мошенничество).

Фродом можно назвать умышленные действия или бездействие физических и/или юридических лиц с целью получить выгоду за счет компании и/или причинить ей материальный и/или нематериальный ущерб.

Любая организация может   быть   жертвой мошенничества. Отсутствие контроля над уровнем фрода может привести компанию к остановке деятельности.

В данной статье остановимся на принципах и подходах организации защиты от фрода.

Принципы построения защиты

Существует пять основных принципов построения эффективной системы защиты от фрода:

Принцип 1. В системе управления организацией должна быть разработана программа управления уровнем мошенничества, включающая в себя специальную политику (документ), отражающую требования совета директоров и высших топ-менеджеров в части снижения уровня фрода.

Принцип 2. В каждой компании риск фрода должен периодически проверяться (оцениваться) для идентификации специальных потенциальных схем и событий с целью его снижения до приемлемого уровня.

Принцип 3. Технические приемы предотвращения (снижения) риска мошенничества должны быть внедрены, где это возможно.

Принцип 4. Технические приемы выявления риска мошенничества должны быть внедрены для нахождения новых схем (методик) фрода, когда превентивные меры не оправдывают себя или когда выявлен риск мошенничества, уровень которого нельзя снизить.

Принцип 5. Процесс подготовки периодических отчетов должен быть включен в карту бизнес-процессов организации для оценки уровня существующего фрода. Отчетность помогает координировать методы расследования и корректирующие действия с целью снижения уровня риска фрода должным образом в соответствующее время.

Политика снижения рисков

Большинство компаний имеют разработанные политики и/или процедуры противодействия мошенничеству. Однако не у всех есть сжатые и лаконичные руководства, которые реально помогают снижать риски фрода. Конечно, данные документы могут быть не похожи друг на друга – все зависит от проведенного анализа рисков, от подтвержденного на высшем уровне аппетита рисков.

В политику снижения рисков мошенничества должны входить следующие элементы:

• роли и ответственность;
• обязательства;
• осознание риска фрода;
• описанный процесс утверждения процедур;
• конфликт обнаружения фрода;
• периодический анализ риска фрода;
• процедуры отчетности и защита свидетелей;
• процесс расследования;
• корректирующие действия;
• обеспечение качества;
• непрерывный мониторинг.

Для своей защиты и защиты своих акционеров от риска мошенничества руководство компании должно ясно понимать риск фрода и иные специфические риски, которые прямо или косвенно влияют на организацию. Грамотно структурированный анализ рисков, специально адаптированный под размер организации, отрасль и стратегические цели компании, должен пересматриваться с определенной, согласованной с высшим руководством, периодичностью. Анализ риска фрода может проводиться как в рамках общего анализа рисков всей компании, так и отдельно, но при этом обязательно должен включать в себя: идентификацию риска, вероятность риска, оценку риска (качественную или количественную) и реакцию на риск. Процесс идентификации рисков может также включать в себя сбор информации из внешних источников:

• специальных руководств: Cadbury, King Report7 и The Committee of Sponsoring Organizations of the Treadway Commission (COSO);
• профессиональных организаций: The Institute of Internal Auditors (IIA), the American Institute of Certified Public Accountants (AICPA), the Association of Certified Fraud Examiners (ACFE), the Canadian Institute of Chartered Accountants (CICA), The CICA Alliance for Excellence in Investigative and Forensic Accounting, The Association of Certified Chartered Accountants (ACCA), The International Federation of Accountants (IFAC).

Внутренние источники для идентификации рисков должны включать в себя обзоры выявленных случаев фрода, свидетельства очевидцев и аналитические расчеты.

Детектирование фрода и его предотвращение

Процессы детектирования и предотвращения фрода связаны между собой, но имеют существенные различия. Предотвращение связано с политиками, процедурами и иными работами по недопущению фрода, в случае же детектирования фокус смещается в сторону работ и технологий, которые вовремя определяют мошеннические действия, при этом мошенничество уже произошло или происходит. Необходимо отметить, что пока технологии предотвращения фрода не могут со 100%-ной вероятностью обеспечивать безопасность, но они являются первой линией защиты от мошенничества. Комбинация превентивного и детективного контроля, усиленная эффективной программой антимошенничества, в настоящее время является основным методом противодействия мошенничеству.

Расследование и корректирующие действия

В настоящее время не существует систем противодействия фроду, которые могут со 100%-ной уверенностью защитить организацию. В этом случае руководство организации должно инициировать  создание системы противодействия фроду, определив собственную роль в процессе защиты от мошенничества.

Процесс противодействия мошенничеству, как часть всего процесса управления предприятием, должен начинаться с разработки политики противодействия фроду (как документ), где четко прописывается роль руководства.

Часто компании разделяют все виды фрода на четыре основные группы:

• искажение финансовой отчетности;
• неправомерное использование/присвоение имущества компании;
• злоупотребление должностным положением;
• фрод в сетях связи.

При анализе лучших практик (best practice) можно выделить следующие методы управления фродом:

1. мониторинг уровня фрода;
2. предотвращение, выявление и профилактика фрода;
3. расследование случаев фрода;
4. устранение недостатков, приведших к возникновению фрода.

В целях предотвращения и выявления случаев фрода (в пределах, предусмотренных законодательством) организация может проводить следующие мероприятия, но не ограничиваться ими:

• профилактические мероприятия по предотвращению фрода;
• обучение сотрудников (anti-fraud awareness program);
• мероприятия по проверке контрагентов и кандидатов перед приемом на работу;
• управление физическим и логическим доступом;
• выявление и контроль над конфликтами интересов;
• процедуры согласования и авторизации действий;
• прием анонимных сообщений о фроде и подозрениях на фрод;
• внутренний аудит;
• регистрация выявленных случаев фрода.

Необходимо особо отметить, что все выявленные случаи фрода должны быть расследованы, а результаты расследований – задокументированы и содержать перечень мер безопасности, которые были обойдены фродстером, а также недостатки технологических и бизнес-процессов.

Фродстер – физическое или юридическое лицо, совершившее фрод. Борьба с фродом – комплекс мероприятий по предотвращению, выявлению, оценке, расследованию и минимизации последствий случаев фрода.

После выявления случая фрода необходимо определить перечень мер по устранению недостатков, приведших к возникновению фрода, исполнителя и срок исполнения. Для разработки мер противодействия фроду нового типа должна формироваться специальная группа с привлечением необходимых специалистов других подразделений компании.

Отметим, что еще одним из обязательных мероприятий по противодействию фроду является его ранжирование. Целью ранжирования случаев фрода является приоритезация видов фрода с целью разработки адекватных антифродовых мероприятий.

Комментарий эксперта

Илья Трифаленков

директор по технологиям и решениям ЗАО "РНТ", к. т. н.

Задача противодействия мошенничеству (фроду) существует столько же, сколько и собственно само мошенничество. Технологии противодействия мошенничеству издавна основываются на ряде простых положений, а именно:

• чем больше порядка в процессе деятельности, тем меньше там возможностей для мошенничества;
• чем лучше мы представляем себе основные процессы нашей деятельности, тем легче мы отличим мошенничество;
• если мы будем строить процессы в соответствии с лучшими практиками, шансы для мошенничества резко упадут.

Проблема борьбы с мошенничеством в IТ-системах становится все более актуальной, поскольку процессы автоматизированной обработки информации все больше сплетаются с основными процессами деятельности. Такие области, как телекоммуникации, просто не могут существовать сегодня без применения информационных технологий – они являются основным производством данной сферы. Именно поэтому вопросы борьбы с мошенничеством в этой области возникли раньше, чем где-либо, и сегодня представить крупного оператора телекоммуникационного рынка без внедренной системы мероприятий по противодействию фроду практически невозможно. В ряде случаев (как, например, в представленной статье) мошенничество в телекоммуникационной сфере выделяется как независимый вид мошенничества. Это, конечно, не так. По мере внедрения информационных технологий в другие сферы деятельности в рамках IТ-систем реализуются основные меры противодействия мошенничеству, причем они основываются на одних и тех же независимых от предметной области принципах.

Рост информационных систем, переход от стихийной автоматизации к плановому развитию корпоративных IТ-систем, применение проектных и бизнес-ориентированных технологий создали предпосылки для выявления возможных способов мошенничества, критериев его распознавания и реализации мер по минимизации потерь. При этом возможность глубокого автоматизированного анализа процессов в IТ-системе делает меры по предотвращению мошенничества существенно более эффективными, чем раньше.

Несмотря на наличие сложных и дорогих инструментов, обеспечивающих выявление мошенничества, их применение не является необходимым условием достижения успеха. Не менее эффективными оказываются часто простые меры мониторинга деятельности пользователей в системе, особенно в точках, уязвимых для известных технологий мошеннических действий. Именно поэтому применение дорогостоящих технических мер не должно быть приоритетным, куда важнее понять, какие части бизнес-процессов, реализованных в IТ-си-стемах, наиболее привлекательны для потенциального нарушителя, кто этот нарушитель и каковы его возможности и стимулы, насколько уязвима система, которую он будет пытаться использовать в своих интересах.

В целом борьба с мошенничеством является хорошей иллюстрацией эволюции парадигмы информационной безопасности от применения и совершенствования набора средств защиты к пониманию и оптимизации процессов деятельности организации и связанных с этими процессами рисков. В этой ситуации безопасность переходит из узкой ниши технической проблемы в задачу, решаемую бизнесом в целом и во многом определяющую его успешность.