Gyanús Tranzakciók – IT A Barikád Mindkét Oldalán

Gaidosch Tamás, a KPMG kockázati tanácsadás üzletági vezetőjének fenti című előadása a februári ICT Day 2012 konferencián hangzott el. A magyar gazdaságban megnyilvánuló bizalomhiány nem csak makro-szinten jelentkezik, de a gazdasági társaságok belső életében is, nem alaptalanul. A KPMG 70 fős csapata igyekszik helytállni a válságban, forensic szolgáltatása jól fejlődik. A vállalati visszaélések dinamikájáról, mozgatórugójáról szólva vizsgálandók az IT-val való visszaélések, s a visszaélések IT-val való kiküszöbölése.

Miért nehéz észrevenni a csalást?

-megtévesztés: az elkövetők szándékosan megtévesztő magatartást tanúsítanak, a nyomokat megtervezetten tüntetik el, nem ritka a hamis adatszolgáltatás,ha a riportokat nem megfelelő gondossággal kérik le,

-az elkövető ismeri a kontroll-környezetet; elmúlt évi KPMG felmérés mutatja, hogy kb. 80-90%-ban valamilyen belső részlegben működő elkövetőre mutatnak a visszaélések,

Külföldi olajipari példa: a könyvelésben nem allokált veszteség. A menedzsment kifogásolni szokta a karbantartás-okozta veszteségeket a kutaknál. A hamis adatokat a tapasztalatlan auditor el is hiszi, a valódi ok; egyszerűen lopás a kutaknál (ez Magyarországon ritkán fordul elő).

Más iparágaknál, pl. pénzintézeteknél is előfordul, s aki ezeket akarja kivizsgálni, annak az IT és számviteli ismereteken kívül jó iparági tapasztalatokra és pszichológiai készségekre is szüksége van, hogyan lehet az adott iparágban marginokkal és paraméterekkel játszani. Tapasztalat nélkül nagyon nehéz eldönteni egy veszteségről, hogy reális-e, vagy túlzott.

Az auditorok az esetek felében könyvvizsgálatot végeznek, szembesülnek a fenti kérdésekkel, mégis nehezen veszik észre a hamisságot. „Rá kell hangolódni" a visszaélésekre, hogy azok jeleit észrevegyék. Erős szkepticizmussal kell közelíteni. A menedzsment szkepszise eléggé alacsony szinten áll, a belső ellenőrök szakmájukból kifolyólag jóval szkeptikusabbak, a könyvvizsgálók már jóval többet kételkednek, az u.n. csalásfelderítő auditorok pedig mindenben kételkednek.

A menedzsment nehezen viseli a népszerűtlenséget, általában nagyon erős kapcsolati hálóval rendelkezik, amit nehezen bont meg gyanús eseteknél. A belső ellenőrök elviselik a népszerűtlenséget, de kapcsolati hálójuk nekik is megvan, ők is a cég kontextusában működnek, ezért nehezen kerülnek szembe a menedzsmenttel. A könyv-vizsgálók jól bírják a népszerűtlenséget, általában van előzetes kapcsolatuk a céggel, az ő helyzetük is hordoz problémákat. A csalásfelderítő auditorok nem bánják, ha gyűlölik őket, csak kerüljön ki az igazság, nincs is előzetes kapcsolatuk. Munkájukra jellemző, hogy nagyon ritkán, vagy egyáltalán nem kerülnek vissza ugyanazon vizsgálati helyre, egy visszaélés kivizsgálása után esetleg évek múlva jelennek meg ugyanott, nem befolyásolja őket semmi a vizsgálat közben, hogy mit vesznek észre és mit nem.

Gondot jelenthet a hatékony felderítési eszköztár hiánya. Pl., számlát nyitottak bizonyos adatokkal, vajon melyik hamis ezek közül? Nehéz eldönteni megfelelő szakismeret nélkül.

A túl kicsi mintavétel problémája: hibák sokkal gyakrabban fordulnak elő csalás esetén, de a nehéz felderítés miatt jóval nagyobb mintavételre van szükség a gyanús tranzakciók felderítéséhez.

Kétféle megoldás lehetséges;

a folyamatos audit, vagy monitoring (continuous audit, continuous monitoring): a különböző policy-sértésekről valós időben figyelmeztetést kap a menedzsment (monitoring), vagy a belső ellenőrzés (audit). Nem technikai jellegű problémákról szól ez (mint pl. az IT behatolási kísérlet), hanem az üzleti logikát védő kontrollok megsértéséről.

A proaktív csalásfelderítő adatelemzés: különböző adatelemző eszközökkel nagyszámú tranzakciót néznek végig és kiszűrik közülük a gyanúsakat, majd utánajárnak. Itt a mintavétel nem játszik szerepet.

Az átfogó kép hiányára példa: pénzügyi-osztály auditnál a főkönyvek, számlák, megrendelések rekonsziliálása (egyeztetése) során kiderül, két esetben nincs megrendelő a számlák mögött, a bevétel könyvelve. Egy rutin ellenőrzésen egyszerűen konstatálják, hogy 25 esetből két megrendelés dokumentálása nem található, ügy lezárva.

Amennyiben visszaéléseket vizsgáló auditorhoz kerül; szól a vészcsengő: számlát kell validálni, bank-rekonsziliálásra van szükség, valószínű hamis számlázás és számviteli csalás gyanúja merül fel.

A csaló természetrajza; kik azok, akik jellemzően nagyvállalati környezetben ilyen helyzetbe keverednek?

A KPMG utolsó felmérése 2011-ben zajlott, saját munkáik (348 eset, 69 országban) alapján történt.

Az egyik legfontosabb következtetés:

-nem igaz, hogy a csaló természeténél fogva kapzsi, vagy természeténél fogva hajlamos a visszaélésre,

-nagy számú esetre igaz; az elkövető éveken át rendesen dolgozik, s egyszerre valamilyen befolyásoló tényező merül fel, pl. a munka elvesztésétől való félelem, magánéleti gondok, pénzügyi nehézségek, irreális eredmény-elvárások, vagy egyszerűen a lehetőség felfedezése. Az utóbbi években ezek a tényezők erősebben hatnak…

Az IT szerepe kétoldalú:

– IT rendszerekkel elkövetett csalás,

– számítógépes csalás-felderítés

A pénzügyi veszteségek kisebb része származik az IT biztonság problémáiból, fontos a kiküszöbölésük, de a sokmilliárdos károkat nem ezek okozzák, hanem az üzleti folyamatokat leképező ERP rendszerek problémái, összetettsége és hiányos beállításuk. Elsősorban a hiányos, nem megfelelő hozzáférés-beállítások, amelyeket kihasználnak. Akik ezt meg tudják tenni, azok nem feltétlenül IT-emberek, hanem inkább üzleti felhasználó pozícióban levők, akik ismerik a cég üzleti rendszerét, a folyamatokat, a kontrollingot, tudják, hogyan lehet ezeket megkerülni az üzleti rendszer szemszögéből, alkalmazás szinten, nem pedig infrastruktúra szinten.

Összeférhetetlen jogosultságok: integrált vállalat-irányítási rendszerek esetében nagyon jellemző.

Egy ERP rendszerben meghatározottak a szerepkörök találhatók. Felhasználótól eltekintve is tartalmazhatnak ellentmondásokat ezek a szerepkörök, iparágaktól és vállalatoktól függő ezen kockázatok szintje.

Szerepkör szintű vizsgálódás tárhatja fel a kockázatokat, a konfliktusos funkciókat. Ilyenkor felderíthető, melyek azok a felhasználók, akik a konfliktusos szerepkörben működnek. Ez nagy rendszer esetén nehéz feladat, de végül is felderíthető, mely felhasználók jelentenek kockázatot, sőt felderíthetők az összeférhetetlen tranzakció-indítások is.

Kimutatható az is, hogy adott szerep-konfliktusban hány felhasználó lehet érintett, akár esemény szintre is lebontva.

Ezt a fajta vizsgálódást leginkább proaktív módon érdemes használni, mielőtt bevezetnénk egy változást, vagy még a rendszer-bevezetés idején, így utólag sokkal kevesebb gondunk adódik.

Az üzenet:

A fő kockázat a vállalat felső vezetése szemszögéből nem a technikai IT biztonsági problémáknál adódik, hanem a vállalatirányítási rendszerek kontroll-hiányosságaiban. Azokkal tudnak visszaélni azok az üzleti felhasználók, akiknél nem is követelmény az IT tudás.

A számítógépes csalás-felderítés

A mintavétel és a teljeskörű ellenőrzés egymáshoz való viszonyában gond az adatok óriási (milliós) mennyisége.

Egy normális audit mintát választ az előzetesen feltételezett kockázat és/vagy elvárt konfidencia-szint alapján.

A valódi véletlenszerű mintavétel nagyon ritka a gyakorlatban (véletlen-generátorral…). Ugyanis, ha gyanús eseteket találunk a mintában, nem tudunk mit kezdeni vele, nincs elképzelés, hogy a teljes populáció vonatkozásában mi a helyzet. Ezzel szemben, egy teljeskörű ellenőrzéskor ilyen probléma fel sem merül.

A mintavételezést könnyebb kivitelezni, hiszen egy tízmilliós populációból választhatunk egy ezres mintát, ezért kézi módszerek is lehetségesek (a teljeskörű ellenőrzés nagyon nehéz kézi módszerekkel).

Általában, amikor nem az a cél, hogy egy visszaélést derítsünk fel, akkor jobb a mintavételezés, akkor látjuk, hogyan működnek, vagy hogyan nem működnek folyamataink.

Amikor az a cél, hogy megtaláljuk a visszaélést, akkor nem tudjuk megúszni a teljeskörű ellenőrzést, hiszen lehet, hogy éppen a 999. tranzakciónál van a probléma és mintavételben ez lehet, hogy nem lesz benne.

Megvannak az idevágó eszközök, (pl. az ACL szoftverek), amelyek hatalmas adatmennyiséget képesek feldolgozni, rendkívül széles interfészelési képességgel, saját programnyelvvel, nagyon sok, speciális munkát támogató funkcióval. Ez persze detektív kontroll, s felderítésre, nem pedig megelőzésre szolgál. Rutinszerű példa: főkönyvi feladások vizsgálata, nem is csalás-felderítési szándékkal, egyszerűen az audit támogatásaként. Az auditornak nem kötelessége felfedezni a csalást, de érzékenynek kell lennie a nyomokra, jelekre, ezeket kiszűrheti. A gyanús tranzakciók kiszűrhetők. Amennyiben az ilyesfajta elemzésekbe hiba csúszik, akkor az jól felismerhető, a szembetűnően fals adat-eredmények láttán.

Amikor strukturálatlan információkkal kell dolgozni, mint amilyen pl. egy nyomonkövetés adatlapja, arra is megvannak az eszközök, ilyet képes kezelni pl. az i2 elnevezésű szoftver. Tulajdonképpen nem is ad számunkra új információt, minden ott van az adatbázisban, Excel táblában, de ezeket úgy prezentálja, hogy nyilvánvalóan láthatóvá teszi az összefüggéseket, egy-egy fault tranzakciós időrendet, tételek mozgásának összefüggéseit. Ránézésre is többet mond számunkra, mintha végigolvastunk volna egy Excel táblát. Kapcsolati hálókat lehet felrajzolni az eszközzel, a csomópontokban megtalálhatjuk az elkövető személyét. Komplex eseménysor ábrázolására is alkalmas a helyzet jobb áttekintése végett.

Összegzés:

A bizalomhiány nem fog egyhamar elmúlni, jó dolog a bizalom, de a kontroll is jó dolog.

http://www.isidor.hu/computer-forensic.html

http://www.kpmg.com/hu/hu/whatwedo/advisory/kockazatkezeles-es-jogi-megfeleles/lapok/forensic.aspx

http://kurt.hu/termekek/digitalis-forensic-vizsgalat/

http://www.kpmg.com/HU/hu/IssuesAndInsights/ArticlesPublications/Documents/Ki-a-tipikus-csalo.pdf

http://jog.unideb.hu/documents/tanszekek/agrarjogi/alternativvitarendezes.pdf

http://www.acl.com/

http://www.i2group.com/uk

Harmat Lajos