無論是小型初創公司還是大型跨國企業,都無法幸免于欺詐活動的影響。欺詐會對企業產生財務上的負面影響,并可能削弱當前和未來客戶以及企業投資者的信任。
為什么實施欺詐行為?
為了有效打擊欺詐行為??,了解欺詐發生的方式和原因非常重要。實施欺詐的人通常離不開三個要素。構成所謂的“欺詐三角”的三個要素是由著名的犯罪學家Donald R.Cressey在上世紀70年代開發的模型。這些要素是實施欺詐行為的機會、壓力和合理化:
•機會存在于內部控制的薄弱環節,如職責分離、違反安全規定或沒有系統控制來防止或發現欺詐。
•壓力(或動機)可能因個人財務問題或個人惡習//嗜好而施加。
•當個人為其欺詐活動提出正當理由時,就會出現合理化的理由。例如,員工可能會想,“我沒有得到加薪,所以公司欠我的。”
《欺詐威懾手冊》一書指出,“降低欺詐活動可能性的關鍵是消除欺詐三角中的三個要素之一。在這三個要素中,消除機會將受到內部控制系統的直接影響,并且通常為威懾欺詐提供了最可行的途徑”。
創建有效欺詐管理的成熟技術
以下列出了五種行之有效的技術來解決企業內部控制中的薄弱環節(即消除機會元素),這些技術可以通過更好的欺詐檢測、預防和響應控制能力來改進企業的欺詐風險管理計劃。
(1)利用風險指標檢測欺詐
根據國際內部審計師協會(IIA)的說法,欺詐風險指標是“企業用來提供整個組織欺詐風險暴露增加的早期信號的指標。在設計、評估或監控內部控制系統以限制欺詐風險時,將欺詐指標納入控制系統可以產生重大價值。”
欺詐風險指標的一些示例包括:
•存在無效的控制措施,如職責劃分不充分或數據安全性不足。
•存在異常、過度或可疑的交易撤銷、重復或取消。
•交易由通常不處理這些交易的人員處理。
利用技術持續監控這些欺詐風險指標是主動檢測欺詐的一個好方法。
(2)啟用連續控制監控
調研機構Gartner公司將持續控制監控(CCM) 確認為風險管理產品類別,強烈推薦企業用于提高其欺詐檢測能力。
根據Gartner公司的說法,有效的持續控制監控(CCM)可以實現持續保證(CA),即定期收集審計證據和指標以利于內部審計。此外,Gartner公司提到可以針對職責分離(CCM-SOD)安全違規執行持續控制監控(CCM),這是重要的欺詐風險指標之一。將職責分離(CCM-SOD)、交易CCM(CCM-T)和主數據CCM(CCM-MD)這三者結合起來,可以構成一個強大的欺詐管理控制機制以支持多層安全控制。
(3)利用人工智能和機器學習
為了應對當今復雜的欺詐風險,企業應采用人工智能和機器學習授權的數據分析來檢測不一致的使用模式。使用人工智能和機器學習的工具可以取代原有的基于規則和簽名的工具,從而顯著提高欺詐預防、檢測、響應和建議流程的有效性。此外,人工智能和機器學習可以實現全天候的欺詐監控和實時報告。
(4)采用自適應安全模型
企業能夠在威脅發生時檢測到威脅,快速識別并解決漏洞以避免攻擊,并不斷改善安全態勢,這在當今的安全形勢中至關重要。
Gartner公司推薦的一種策略是與持續自適應風險和信任評估(CARTA)方法保持一致,這是一種由基于屬性的訪問控制(ABAC)安全模型支持的自適應安全性。
基于屬性的訪問控制(ABAC)安全模型可以通過場景感知的可配置控制實現自適應安全,以防止安全違規隔離,并創建預防性交易和主數據級別控制以避免欺詐。此外,基于屬性的訪問控制(ABAC)可以在業務流程、交易和主數據級別自動執行策略要求,以防止欺詐。
(5)保持有效的內部控制
內部控制是欺詐風險管理計劃的基本推動因素。如果無法確保擁有有效的內部控制,就無法管理風險。因此,欺詐威懾和嚴格采用有效的內部控制環境,其中欺詐原則需要在每個員工的腦海中根深蒂固,這是企業打擊欺詐風險并有助于最大限度地減少欺詐的必要條件。此外,持續監控欺詐控制的有效性對于確保剩余風險水平在企業可接受的風險偏好水平內至關重要。
結論
企業在欺詐管理的努力是持續不斷的斗爭,需要有效的安全、風險管理和技術支持的分析相結合。企業需要投資有效的欺詐管理措施,使用這五種行之有效的技術將成為企業欺詐管理計劃中的一項寶貴投資。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號