长期以来,有效欺诈管理一直是企业的一项重要能力,并且有充分的理由。根据全球认证欺诈审查员协会在2020年发布的一份关于职业欺诈和滥用的全球研究报告,很多企业每年由于遭遇欺诈而损失大约5%的收入。此外,欺诈的平均持续时间(即欺诈开始到被发现之间的平均时间)为14个月。欺诈活动未被发现的时间越长,经济损失就越大。
无论是小型初创公司还是大型跨国企业,都无法幸免于欺诈活动的影响。欺诈会对企业产生财务上的负面影响,并可能削弱当前和未来客户以及企业投资者的信任。
为什么实施欺诈行为?
为了有效打击欺诈行为,了解欺诈发生的方式和原因非常重要。实施欺诈的人通常离不开三个要素。构成所谓的“欺诈三角”的三个要素是由著名的犯罪学家Donald R.Cressey在上世纪70年代开发的模型。这些要素是实施欺诈行为的机会、压力和合理化:
- 机会存在于内部控制的薄弱环节,如职责分离、违反安全规定或没有系统控制来防止或发现欺诈。
- 压力(或动机)可能因个人财务问题或个人恶习//嗜好而施加。
- 当个人为其欺诈活动提出正当理由时,就会出现合理化的理由。例如,员工可能会想,“我没有得到加薪,所以公司欠我的。”
《欺诈威慑手册》一书指出,“降低欺诈活动可能性的关键是消除欺诈三角中的三个要素之一。在这三个要素中,消除机会将受到内部控制系统的直接影响,并且通常为威慑欺诈提供了最可行的途径”。
创建有效欺诈管理的成熟技术
以下列出了五种行之有效的技术来解决企业内部控制中的薄弱环节(即消除机会元素),这些技术可以通过更好的欺诈检测、预防和响应控制能力来改进企业的欺诈风险管理计划。
(1)利用风险指标检测欺诈
根据国际内部审计师协会(IIA)的说法,欺诈风险指标是“企业用来提供整个组织欺诈风险暴露增加的早期信号的指标。在设计、评估或监控内部控制系统以限制欺诈风险时,将欺诈指标纳入控制系统可以产生重大价值。”
欺诈风险指标的一些示例包括:
- 存在无效的控制措施,如职责划分不充分或数据安全性不足。
- 存在异常、过度或可疑的交易撤销、重复或取消。
- 交易由通常不处理这些交易的人员处理。
利用技术持续监控这些欺诈风险指标是主动检测欺诈的一个好方法。
(2)启用连续控制监控
调研机构Gartner公司将持续控制监控(CCM) 确认为风险管理产品类别,强烈推荐企业用于提高其欺诈检测能力。
根据Gartner公司的说法,有效的持续控制监控(CCM)可以实现持续保证(CA),即定期收集审计证据和指标以利于内部审计。此外,Gartner公司提到可以针对职责分离(CCM-SOD)安全违规执行持续控制监控(CCM),这是重要的欺诈风险指标之一。将职责分离(CCM-SOD)、交易CCM(CCM-T)和主数据CCM(CCM-MD)这三者结合起来,可以构成一个强大的欺诈管理控制机制以支持多层安全控制。
(3)利用人工智能和机器学习
为了应对当今复杂的欺诈风险,企业应采用人工智能和机器学习授权的数据分析来检测不一致的使用模式。使用人工智能和机器学习的工具可以取代原有的基于规则和签名的工具,从而显著提高欺诈预防、检测、响应和建议流程的有效性。此外,人工智能和机器学习可以实现全天候的欺诈监控和实时报告。
(4)采用自适应安全模型
企业能够在威胁发生时检测到威胁,快速识别并解决漏洞以避免攻击,并不断改善安全态势,这在当今的安全形势中至关重要。
Gartner公司推荐的一种策略是与持续自适应风险和信任评估(CARTA)方法保持一致,这是一种由基于属性的访问控制(ABAC)安全模型支持的自适应安全性。
基于属性的访问控制(ABAC)安全模型可以通过场景感知的可配置控制实现自适应安全,以防止安全违规隔离,并创建预防性交易和主数据级别控制以避免欺诈。此外,基于属性的访问控制(ABAC)可以在业务流程、交易和主数据级别自动执行策略要求,以防止欺诈。
(5)保持有效的内部控制
内部控制是欺诈风险管理计划的基本推动因素。如果无法确保拥有有效的内部控制,就无法管理风险。因此,欺诈威慑和严格采用有效的内部控制环境,其中欺诈原则需要在每个员工的脑海中根深蒂固,这是企业打击欺诈风险并有助于最大限度地减少欺诈的必要条件。此外,持续监控欺诈控制的有效性对于确保剩余风险水平在企业可接受的风险偏好水平内至关重要。
结论
企业在欺诈管理的努力是持续不断的斗争,需要有效的安全、风险管理和技术支持的分析相结合。企业需要投资有效的欺诈管理措施,使用这五种行之有效的技术将成为企业欺诈管理计划中的一项宝贵投资。