Mára a köztudat részévé vált az online támadások jelentette veszély, illetve a miattuk bekövetkező adatvesztésből és kárelhárításból adódó veszteség. Sokkal kevesebb hangsúlyt kapnak azonban a belső visszaélések, pedig ez a jelenség szintén megcsapolja a gazdálkodó szervezetek kasszáját.
Sosem volt még annyira veszélyben az bizalmas információ, mint napjainkban
A Kroll Global Fraud & Risk Report tízedik éve készül el; a jelentés a fent említett trend kibontakozását követi nyomon. Elgondolkodtató állításai szerint nem csupán 2015-ról 2016-ra nőtt minden szegmensben a vállalat alkalmazásában állók által elkövetett visszaélések aránya, hanem az elmúlt tíz évben is a legnagyobb számokat sikerült produkálni.
Amint arról a lenti grafikon is tanúskodik (a megkérdezett vállalatok ekkora százalékban számoltak be az adott visszaélésfajtáról saját cégüknél), minden területen emelkedett a céges (adat)vagyont saját céljaikra használó alkalmazotti esetek aránya. Leginkább a piaci kartellezés és a szellemi tulajdonjogokkal való visszaélés aránya nőtt meg globálisan:
Arról, hogy mégis mekkora kiesést jelent az ilyen jellegű csalások mértéke, az Association of Certified Fraud Experts 2016-os becslése ad tájékoztatást. Eszerint egy átlagos szervezet éves szinten bevételeinek 5 százalékát kénytelen leírni ezen ügyletek miatt.
Természetesen régiónként eltérés mutatkozik az egyes visszaélési típusok között. Dél-Afrikában például a beszerzésekre költött összegek 10 százaléka ment veszendőbe a korrupciós és megvesztegetési költségek miatt, ugyanakkor a vizsgált vállalatok majdnem kétharmada számolt be arról, hogy valamilyen belső, a céges érdekekkel ellentétes tevékenységre bukkantak. Ez közel duplája a globális átlagnak. Mindeközben a brit csalásokat felderítő hatóság (National Fraud Authority) becslése szerint a központi és helyi kormányzati beszerzési büdzséknek mindössze 1 százaléka van veszélyben.
Szerencsére a trendek visszaszorítására léteznek eszközök. Az Enterprise Fraud Management (EFM) néven ismert megoldások abban segítik a vállalatokat, hogy folyamatos mérésekkel feltárják a gyanús tevékenységeket, és ezekről tájékoztassák a vállalatvezetést.
Akcióban a mesterséges intelligencia
A jelenség fontosságát jelzi, hogy egy egész előadást szenteltek a témának a február 21-én tartott SAS Analytics Day konferencián. Ennek során a vállalat csalások és megfelelőségi elemzésekkel foglalkozó igazgatója, Chris McAuley arról számolt be, hogy mit lehet tenni a visszaélésekkel szemben.
Cége Continuous Auditing & Monitoring Platform néven fejlesztett ki megoldást az adatvezérelt csalásfelderítéssel foglalkozó FACTS Consulting együttműködésével. Az elsősorban SAP és Oracle környezetek megfigyelésére létrehozott platform mesterséges intelligenciára és gépi tanulásra alapulóan vizsgálja a vállalati környezetet és kutat anomáliák után. Két-három hónapig tartó projektekben az adott vállalat komplett átvizsgálásra és átfogó jelentés készítésére képes.
Működése talán legjobban két nagy projekt kapcsán látható át. A 2017-es üzleti évben lezajlott vizsgálatok a potenciális csalásokra, felesleges és a vállalati vagyonnal visszaélő beszerzési tranzakciókra koncentráltak, ezek felderítése volt a cél még azelőtt, hogy a beszállítói számlákat kifizették volna. Emellett folyamatos ellenőrzőrendszert is felállítottak, mely azonnal jelzett, mihelyst szabálytalanságot fedezett fel az SAP adatokban. Végül pedig sor került integrált esetkezelő funkcionalitás kialakítására, illetve vezetői dashboardok és jelentések létrehozására is.
A két nagy projekt az Eskom és a Saudi Aramco átvilágítását célozta. Előbbi egy dél-afrikai energetikai közműszolgáltató, utóbbi pedig Szaúd-Arábia legnagyobb, állami tulajdonban levő olajvállalata. A Saudi Aramco azért is érdemel kiemel figyelmet, mert az éves szinten 500 milliárd dollárnál nagyobb bevételt termelő cég - az SAP legnagyobb energetikai felhasználója - idén tőzsdére készül lépni. Így a bevétel 1-5 százalékos megcsapolásának megszüntetése komolyan meglökheti a kibocsátani tervezett papírok árát.
Dél-Afrikában a projekt 16 héten keresztül zajlott és 85 speciáls szabályt vezettek be, a közel-keleti megbízó esetében valamivel gyorsabban, 12 hét alatt lefutott az ellenőrzés, ahol a SAS javaslatára 75 szabályt implementáltak. Megvizsgálták többek között az alkalmazotti (75 ezer rekord) és beszállítói információkat (120 ezer rekord), a vállalati megrendeléseket (420 ezer rekord) és a beszállítói tranzakciókat (800 ezer rekord).
Eredmények
Számos gyanús adat bukott ki az ellenőrzések során. Például 182 olyan alkalmazottat találtak, akiknek a kereszt- és a vezetékneve megegyezett, 26 olyan munkavállalóra bukkantak, akik eltérő vezetéknevük ellenére egy bankszámlaszámmal rendelkeztek. Találtak olyan alkalmazottat, akinek nem numerikus vagy más okból kifolyólag hibás volt a személyi azonosítója. Közel kétezren pedig annak ellenére dolgoztak, hogy már elérték a 65 éves korhatárt, és így a helyi rendelkezések szerint nyugdíjba kellett volna küldeni őket.
A nagyobb problémákra bukkantak a beszállítói oldalon. Az ellenőrzési időszakban számos olyan partnert tártak fel, melyek eltérő néven, de azonos címen tevékenykedtek, ugyanazt a bankszámlaszámot használták. Közel nyolcszáz esetben akadtak rá alkalmazottakra, akik megosztották saját accountjukat egy beszállítóval. De napvilágot láttak az egyes alkalmazottak külső cégek felé való rejtett elköteleződései is.
Például a vizsgálatok során a munkavállalók aktív beszállítói érdekeltséggel rendelkező megállapodásai közel félmilliárd dollárra rúgtak. Hasonló érdekeltséggel bíró, de az inaktív (tehát a múltban zajlott együttműködéssel rendelkező) beszállítói szerződések értéke már 1,1 milliárd dollár felett alakult. A vizsgálat ideje alatt a cégnél már nem dolgozó, de aktív beszállítói kapcsolattal rendelkezők által kötött megállapodások értéke megközelítette a 120 millió dollárt, a munkakörükből korábban távozottak által kezdeményezett, már lezárult beszállítói szerződések összege pedig több mint 40 millió dollárra rúgott.
A legnagyobb összegű csalásgyanús eseteket azonban a számlák bevizsgálása eredményezte. Például az egyetlen nap alatt kibocsátott számlasorozatok értéke meghaladta a 9 milliárd dollárt, de az ugyanannak a beszállítónak ugyanakkora összegről legalább 5 ezer dollár értékben kiállított, duplának látszó számlák összege is meghaladta a 4,3 milliárd dollárt. Ehhez képest az azonos számlaazonosító alatt rögzített, azonos (de legalább 100 dollár) értékben különböző beszállítóknak kiállított duplikált számlák 123 millió dolláros értéke egészen eltörpül.
Természetesen a fenti adatok nem jelentettek mindig és minden körülmények között visszaélést. Ezekkel az adatokkal azonban célzott belső vizsgálatok indíthatók, melyekkel ténylegesen és aprólékosan feltárhatók a munkavállalók (legyenek bár az igazgatótanács tagjai) által elkövetett csalások. Az itt elért eredmények pedig közvetlenül a vállalati nyereségszintet növelik, hiszen olyan kiadások lezárását eredményezhetik, melyek nem szolgálták, szolgálják az adott szervezet érdekeit.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak