Oszustwa przy płatnościach elektronicznych w dobie COVID-19 cz. 2

Pandemia COVID-19 to sytuacja wpływająca na nas wszystkich – na życie jednostek, rządy oraz globalną gospodarkę.

W czasie, gdy kraje starają się powstrzymać rozprzestrzenianie wirusa i chronić swoich obywateli, obserwujemy także gwałtowne spadki na światowych rynkach, a nadciągające spowolnienie gospodarcze będzie miało szereg długotrwałych implikacji.

W poprzedniej części artykułu poruszyliśmy temat oszustw popełnianych przez osoby spoza organizacji. Jako jeden z przykładów takich działań przedstawiliśmy przypadek phishingu, który skutkuje zainstalowaniem złośliwego oprogramowania podmieniającego numer rachunku bankowego w systemowym schowku.

Należy jednak podkreślić, że przedsiębiorstwa nie są zagrożone jedynie nadużyciami osób spoza organizacji, ale istnieje również ryzyko, że to pracownicy popełnią oszustwo. Po ostatniej globalnej recesji w 2008 r. ACFE (Stowarzyszenia Ekspertów ds. Przeciwdziałania Oszustwom, Nadużyciom Gospodarczym i Korupcji, ang. Association of Certified Fraud Examiners) przeprowadziło ankietę wśród specjalistów zajmujących się zwalczaniem nadużyć finansowych, z której wynikało, że większość respondentów doświadczyła zauważalnego wzrostu liczby popełnianych oszustw. W związku z publikacją wyników powyższych badań, James D. Ratley, prezes ACFE, stwierdził, że „zdesperowani ludzie podejmują desperackie kroki”. Jak zauważył nawet lojalni pracownicy muszą płacić rachunki oraz utrzymać rodziny. W czasach wzrostu gospodarczego, nigdy nie pomyśleliby o popełnieniu przestępstwa wobec swojego pracodawcy. Jednak w niespokojnych czasach organizacje muszą zachować czujność i zapewnić odpowiednie procedury przeciwdziałania nadużyciom, by ochronić się przed potencjalnymi próbami oszustwa, również ze strony pracowników.

Nieuczciwy pracownik, którego zakres obowiązków obejmuje wykonywanie przelewów bankowych może próbować oszukać organizację. Może na przykład podmienić numer rachunku bankowego kontrahenta na numer swojego konta i wykonać dwa przelewy za tę samą fakturę, raz do rzeczywistego kontrahenta, a raz na swoje konto. Może też zlecić płatność do powiązanej firmy wydmuszki, która podszywa się pod właściwego kontrahenta.

W przypadku nadużyć ze strony pracowników kluczowy jest właściwy podział obowiązków. Czynności związane z tworzeniem i akceptacją przelewów powinny być rozdzielone. Dodatkowym zabezpieczeniem jakie powinno być stosowane jest podwójna autoryzacja przelewów. Takie rozwiązanie wzmacnia swoje działanie, szczególnie teraz, gdy pracownicy nie siedzą biurko w biurko, a każdy pracuje z innej lokalizacji. Ponadto ryzyko jednoczesnego zainfekowania dwóch telefonów lub komputerów jest niższe. Żaden pracownik zaangażowany w proces płatności nie powinien również uzgadniać wyciągów bankowych. Istotne jest też, aby uzgodnienia wykonywane były codziennie, co daje szansę na szybkie zidentyfikowanie podejrzanych transakcji. Należy pamiętać także o zachowaniu ograniczeń w dostępie do firmowych kont bankowych. Wszystkie dane niezbędne do logowania, jak nazwy użytkowników i hasła, inne dla każdego z autoryzowanych użytkowników, powinny być często zmieniane oraz automatycznie deaktywowane po odejściu pracownika z pracy lub zmianie zakresu jego obowiązków. Pracownicy powinni również mieć nawyk wylogowywania się z konta bankowego natychmiast po zakończeniu czynności.

Podczas realizacji projektów związanych z szerokim obszarem zakupów oraz płatności, zespół EY zaobserwował, że wczesne wykrycie błędów lub nadużyć popełnionych w tych obszarach ma znaczny wpływ na ograniczenie strat. Obszary, na które firmy powinny zwrócić uwagę, szczególnie podczas pandemii COVID-19, to przykładowo:

  • konflikt interesów, czyli wypływ środków poprzez zakupy dokonywane w spółkach powiązanych z pracownikami,
  • weryfikacja kontrahentów w publicznie dostępnych źródłach, takich jak KRS czy CEIDG,
  • płatności za faktury ze zmienionym numerem konta bankowego, zdublowane płatności za tę samą fakturę,
  • płatności wykonane w weekendy i święta,
  • przelewy na identyczne kwoty zlecone w niewielkim odstępie czasu.

Zgodnie z naszym doświadczeniem, w celu identyfikacji oszustw związanych w płatnościami zalecamy m.in. przeprowadzenie analizy powiązań, weryfikację poprawności rachunków bankowych do zapłaty np. na tzw. białej liście, identyfikację „podejrzanych” płatności, dostawców, umów i praktyk zakupowych, analizę transakcji wysokiego ryzyka lub też przygotowanie macierzy ryzyka dostawców, która agregowałaby wyniki dedykowanych testów i analiz.

Bezpośrednio na maila

Bądź na bieżąco i subskrybuj newsletter EY

Subskrybuj

Kontakt

                                                                                             Chcesz dowiedzieć się więcej? Skontaktuj się z nami.