纳斯达克前主席伯纳德.麦道夫,斯坦福银行董事长兼首席执行官艾伦.斯坦福和保盛丰前董事长兼CEO彭日成(Danny Pang)都是举世震惊的最新欺诈案例的主角。但是那些小人物又会如何呢?比如说管理员,中层经理或者传呼中心代表?
这些动辄数十亿美元的欺诈丑闻令企业震惊不已。根据美国注册舞弊审查师协会的市场调研发现,在经济形势严峻的今天,当企业老板纷纷开始裁员,降薪,员工对下一轮的裁员是否会发生在自己身上充满了不确定性,更多的员工开始进行欺诈。参加调研的欺诈审查师中有超过一半的受访者表示,去之前同期所调研的欺诈水平相比,在过去的一年时间里欺诈的水平出现明显上升。
根据根据美国注册舞弊审查师协会的结论,美国企业在2006年到2008年期间由于欺诈导致的年销售额高达7%,预计损失的销售总额大概为9940亿美元,这与截止到2006年结束的两年期调研统计的5%损失额相比有轻微上扬。
另外,大约有一半的受访者将攀升的经济压力作为导致欺诈事件上升的最大因素,而增加的机遇占到27%,增加的合理化因素占到24%。
欺诈行径的其他表现形式还包括窃取私人信息,伪造账单等。纽约安全咨询公司Safir Rosetti的首席运营官Adam Safir表示"他们会利用企业的信用卡来支付个人费用,通过与会计部门传统来满足他们自己的需求。"。
在此我们对这些欺诈进行深度解析。
根据根据美国注册舞弊审查师协会的研究发现,让事态更加糟糕的是,裁员会影响到企业内部的控制系统。将近60%的企业表示他们在去年进行了裁员,这些受访者中也有人经历了裁员,超过1/3的受访者表示他们的公司解除了对预防欺诈的某些控制措施。
欺诈的危险信号
–与某家厂商的联系过于频繁或者不合时宜,员工和厂商之前的家族式关系也会导致欺诈。污点记录的管理也会遮盖违法活动。
–存在经济困难的员工可能在濒临绝望时会进行欺诈。
–Safir Rosetti的首席运营官Adam Safir表示"我们发现员工会变得孤僻或者非常敌对"。还有一些保持低调的员工试图掩饰他们的欺诈行为,让其神不知鬼不觉。
–Hunton & Williams的合作伙伴Lisa Sotto补充说"要倾听来自基层的意见"。有时那些无赖员工不会对此保持沉默,因此倾听员工的聊天内容也能发现端倪。
Safir表示"我认为这一切并不新鲜,但是随着经济的下滑和员工日渐陷入绝望,他们会试图去利用公司的弱点,诸如薄弱的监管环节或者安全流程中的漏洞"。
美国注册舞弊审查师协会项目总监布鲁斯.德斯表示,欺诈审计师预计这个数字在未来1年内能还会继续上升,特别是挪用公款或者被SEC调查的庞氏骗局等欺诈行为会有所增长。"信用市场正在枯竭,对于这些类型的欺诈骗局来说扩大融资规模已经变得困难,因此你会看到许多报道称投资者意识到他们被诈骗了"。
在这种严峻的经济时期中,首席安全官们必须加强对欺诈行为的防御力度。
欺诈肆孽
挪用公款占到欺诈案例中的70%。德斯解释说"这些进行欺诈的员工从C级别高管到行政管理人员不一而足"。
厂商欺诈也呈上升趋势。审计师正在审计在合同和收购领域的欺诈阴谋,举例来说一家厂商与前一年同期相比合同量出现明显增长,特别是非投标合同尤其如此,那么这可能意味着员工收受了回扣。
数据欺诈案例继续与员工有关,但是目前许多担心丢掉工作的员工正在使用窃取的客户清单,销售数据或者公司机密来谋求新的工作机会。根据Ponemon Institute的市场调研结果显示,大约有59%的员工在离开公司或者被解雇时会窃取公司数据。有2/3的员工承认使用了前任公司的机密数据,敏感信息或者产权信息来谋求新的工作机会。
Hunton & Williams的合作伙伴兼隐私和信息 管理实践部门的负责人Lisa Sotto表示,但是即使没有经济压力和规模缩小的情况,数据被盗在日常环境中也依然是已经存在而且会继续存在下去的常见现象,那些存在安全缺口的公司经常会被无赖员工所利用。
举例来说,传呼中心代理对安全缺口高度敏感,因为他们很容易接触到用户数据,呼叫方会在倾诉中愿意说出自己的敏感信息,诸如信用卡号码灯。另外,卫生保健部门和保险公司经常会使用社会保险号码来鉴别传呼中心要求的患者身份信息。
优秀的反欺诈项目的基础
一些欺诈行为要花费两年以上的时间才能被发现。如果采取适当的从事和流程就能快点发现违法行为,比如说审计和监控,数据访问控制,物理安全,员工培训以及谨慎从事都能预防欺诈。
在财务部门。要关注厂商和员工之间的关系,诸如厂商和购买方之间的亲属关系,或者和某家特殊厂商厂商达成的合同数量突然剧增,这些都可能导致欺诈,要对这些关系制定相关政策。
欺诈监控项目必须包括现场审计。Safir表示"帐号应该每天进行清查。你必须立即知道需要进一步进行调查的账户存在的问题。在一些公司,这些财务部门过于复杂,他们会变得心理不平衡,这是一个非常不安全的现实"。
另外还应该让应收账款和应付账款之间职权分离。Safir称"你可以培训一名非会计师来处理应付账款。这名人员会像会计师一样理顺你的支付报表"。
审计在发现欺诈方面继续发挥重要的作用。Dorris表示"如果他们知道企业安全会在每个月的第一个周二进行审计,他们就会在周一把一切弄的天衣无缝。但是如果他们不知道什么时候会审计,他们的欺诈行为就更容易被发现"。当员工知道审计风暴即将迫近,他们可能就不敢再实施欺诈行为,因为机会已经没有了。
简单的审核财务报表也能揭发欺诈。"为什么本月的应收账款出现大幅增长?这些剧增的数字能让盈利看起来更好或者增加每股的收益吗?这些并不需要大量的资源,就可以向你预示异常的迹象,然后进一步调查它"。
在办公室周边。建筑物和其方圆范围内的物理保护也能防止欺诈。前门设有警卫吗?你会给存储敏感数据的文件柜上锁吗?你会对便携式笔记本电脑和黑莓手机等可移动媒体制定政策吗?公司的废品都去了哪里?Sotto在20年成立的家族式公司捐赠了大量用过的纸张给幼儿园进行回收再利用。最近学龄前儿童的父母报告称他们儿子的幼儿园艺术计划中包含的姓名和社会保险号码被泄露。
任何敏感文件都应该被碎纸机绞碎或者指定烧毁。
员工应该在职权范围内的基础上访问机密数据。每周或者每个季度对访问权进行复核,立即终止离职员工的系统使用权。确保每个人都设定了正确的访问权限,对某些级别的访问数据进行隐藏。审计日志文件也能证明谁登录了什么文件和系统,他们什么时候做了什么改动或者输出了什么文件。
在呼叫中心内部。防止呼叫中心的欺诈要从在雇佣他们之前就对其背景进行的审核开始。一旦他们开始工作,就要监控他们的计算机活动。Sotto表示"看看他们在寻找什么,为什么要这么做"。废除CD驱动或者USB端口,这样信息就无法被复制。接受无纸化办公环境,这样信息就不能被记录,文件也不能被删除。
在家庭中。在家办公的员工很难被监控。Sotto建议主管应该偶尔的突击造访。她补充说"设置适当的协议在个人电脑中开辟隔离区,在个人电脑访问中使用强大的密码和加密保护"。
咨询热线。根据美国注册舞弊审查师协会的统计,职业侵占欺诈行为更多的是通过匿名举报被发现而不是通过审计,控制或者其他方法被公诸于众。咨询热线是让这些举报线索得以发挥作用的最简单方法之一。沙宾法案要求公共公司建立举报咨询热线,许多私人公司也在仿效行事。其他公司会建立匿名电子邮件程序或在咖啡室设置举报信箱等。
员工培训。减少欺诈的最简单也最省钱的方法之一是通过员工培训来提高员工反欺诈保护和安全的意识。
举例来说,企业可以培训员工如何处理遗留在打印机附件的敏感文件。Safir表示"他们可能会在不知不觉中把重要信息打印出来,这些信息会被欺诈者利用或者窃取或者被遗忘在打印机的周边。最重要的是,要让员工从入职的第一天就知道公司的规章制度和关于欺诈行为的看法,而不是等到欺诈发生之后才去亡羊补牢。
将欺诈和安全项目连接在一起
Safir表示"一些首席安全官和他们的律师合作紧密。其中一些熟悉公司业务的人就会很容易接触到非常敏感的数据。一名好的首席安全官需要从事一些前瞻性工作,为行使基本职责的律师服务,帮助他们确保董事会成员和公司高管不会有欺诈行为"。
Safir称"公共事务公司必须采用高管,审计委员会和控制流程结合的方式,许多私人公司目前将其作为最佳的实践方法"。
高层制定基调
互联网控制只有从上到下一致执行才能有效。"高层制定基调"指的是任何欺诈控制流程的有效性,Dorris建议说。"如果这些C级别的高管是是诚实守信的,那么这种理念也会传递给向员工,总监,投资者,用户和买家,这些公司将更加成功,更少欺诈"。
位于美国阿拉斯加州安克雷奇市的SME Management公司所有者Sheilah Etheridge主要经营的就是清理员工的不合格帐户的工作,她表示她可以发现其中的职务欺诈行为。
Etheridge表示"经济萧条并不会让每个诚实的人变得不诚实,但是会被那些打算采取欺诈行动或者已经挪用公款的人当做嘴边的借口"。
未经允许不得转载:DOIT » 安全策略:如何防止欺诈
