Если вы не видите фрода, это не значит, что его нет

Алексей Сизов,

руководитель группы разработки решений

по борьбе с мошенничеством

Центра информационной безопасности

компании «Инфосистемы Джет»

Если вы не видите фрода,

это не значит, что его нет

4 июня 2014 г.

© 2013 Инфосистемы Джет Больше чем безопасность

Обзор

• Тенденции и причины мошенничества

• Актуальные примеры хищений и

контрольных процедур

• Необходимость и достаточность для

достижения эффективности

2 © 2014 Инфосистемы Джет


© 2014 Инфосистемы Джет

Защита от мошенничества


Мошенничество: объективная реальность

4

Прямые хищения:

• прямые убытки от хищений,

выявляемые при инвентаризациях

или закрытии отчетных периодов;

• убытки в результате сговора

сотрудников и партнеров.

Гарантирование доходов:

• действия сотрудников, приводящие к

снижению прибыльности продаж;

• злоупотребления должностными

полномочиями, приводящие к

неэффективности бизнес-процессов.



Мошенничество: независимые оценки



Мошенничество: оценки потерь

6

Оценки потерь по некоторым

направлениям:

• использование программ

лояльности, акций и скидок – 14,5

млн руб. в квартал;

• подконтрольные хищения при

приемках, логистике – 19 млн руб.

в квартал;

• инвентаризации, инкассации,

взаимодействия с партнерами – 12

млн руб. в квартал.



Инфраструктура мошенничества

7

Десятки основных систем Тысячи сотрудников Сотни тысяч учетных

операций



Обзор

• Тенденции и причины мошенничества

• Актуальные примеры хищений






Критичные точки

9

• Известные уязвимости / способы

хищений

• Привилегированные операции в

учетных системах

• Планы подразделений и бизнес-единиц

• Контроль комплексного бизнес-

процесса


http://images.yandex.ru/


10

Пример: перекрестные возвраты

Продажа

Iphone 5 = 35 000



11

Пример: перекрестные возвраты

Возврат*

Iphone 5 = 35 000

Продажа*

Iphone 5 = 30 000

Убыток 5 000 руб.



Мошенничество с использованием

бонусных карт сотрудниками


Номер карты

Кол-

во

чеков

Кол-во

чеков на

одного

кассира

Кол-во дней

совершения

операций Кол-во

магазинов

Потрачено

(сумма в

руб.)

…00008 141 124 30 1 303 550

…00006 111 89 25 4 209 047

…00011 122 93 24 3 296 933

Пример:

• Кол-во бонусных карт ~ 0,5%

• Сумма начисленных баллов > 600 000 руб.

• Сумма списанных баллов > 500 000 руб.



Большой процент начислений бонусных

баллов от суммы чека за покупку


• Кол-во магазинов ~ 10%

• Сумма чеков > 3 500 000 руб.

• Сумма начисленных баллов > 700 000 руб.

Дата/Время Чек Магазин Сумма чека

в руб. Сумма начисленных

баллов в руб.

8 июня 2013 17:00:41 1…7 0009 608 500

9 июня 2013 20:09:27 1…4 0007 4 577 859

28 июня 2013 9:51:17 1…8 0009 3 707 853

Пример:




Овердрафт карты лояльности


Отрицательный остаток

• Кол-во карт > 100

• Сумма остатка > - 600 000 руб.

Номер карты Дата баланса Остаток Сумма операций

…00023 09 октября 2013 - 4 004 30 041,00

…00056 12 октября 2013 -7 511 10 004,20

…00017 21 октября 2013 -11 091 114 162,80

Пример:



Возвраты финансовых услуг


Возврат услуг

• Кол-во карт > 1800

• Сумма остатка > 2 60 000 руб.

Пример: 1 магазин, 1 кассир

Существование

продажи

Отсутствие

продажи

Существование

продажи по

чеку

Всего продаж

кассира

Кол-во Сумма Кол-во

Сумма Кол-во Сумма Кол-во Сумма

Итого

кол-во

Итого

сумма

65

102

038 26 43 099 1 300 20 7 520 92

145

437




Обзор

• Коротко о главном. Мошенничество как

оно есть

• Актуальные примеры хищений






Эволюция процесса контроля

17

• Единый интерфейс анализа данных

из разнородных ИТ-систем

• Формирование инцидента в момент

совершения хищения

• Централизация процессов

управления и контроля

риск-менеджмента (от закупки

до реализации)

• Снижение времени

проводимых проверок

• Возможность организации

проактивных мер

защиты

• Уменьшение влияния

человеческого фактора



Автоматизация и скорость анализа

18

Контроль известных рисков хищений в в режиме 24/7

Построение единой корпоративной модели оценки рисков

Внедрение аналитической модели контроля аномалий

Построение бизнес-модели реагирования, контроля и ответственности



Комплексность контроля

19

Подразделения

Иная

деятельность Продажи Логистика

• Контроль

денежных

потоков

• Текущие оценки

эффективности

• Операции

возвратов и

сторно

• Бонусные карты

• Целостность

акционных цен

Объекты

контроля

• Оплата закупок

• Планы

подразделений

• Маркетинг

• Кассовые

операции

• Программы

лояльности

• Маркетинговые

акции

• Работа агентов

• Прием товаров

• Уровень складов

и состояние

закупок

• Работа

сервисных

центров

Бизнес-

процессы

• Расхождение по

приемке

• Уровень

отбраковки

• Списание

товаров



Проведение расследования

+ лишение премий / бонусов

© 2014 Инфосистемы Джет 20


Выгоды от внедрения

21

Бизнес

• Возможность вернуть недополученную прибыль в размере 2% от выручки компании

СБ

• Организовать все человеческие ресурсы в единый эффективный механизм

• Снизить влияние человеческого фактора

ИТ

• Снизить трудоемкость сбора и предоставления информации


Контакты: Алексей Сизов,

руководитель группы разработки решений

по борьбе с мошенничеством

Центра информационной безопасности

компании «Инфосистемы Джет»

+7 (495) 411-76-01

Technology

Если вы не видите фрода, это не значит, что его нет