10 分鐘 2019年7月25日
二個人體模型

數位化轉型如何增加消費與零售產業舞弊風險

作者

Anurag Kashyap

EY Global Consumer Products, Forensic & Integrity Services Leader

Global CPR sector Leader. Helps clients mitigate fraud risks. Provides anti-counterfeiting solutions with Integrity at the forefront.

10 分鐘 2019年7月25日
相關主題 審計服務

隨著新科技在全通路世界的使用情形增加,潛在的網路安全隱憂也隨之提升。

位化轉型已遍及消費品與零售(Consumer Products and Retail,以下簡稱CPR)產業,包括從自動化生產到銷售、經銷以及物流和顧客付款的數位化等。然而,CPR公司在採用這些令人驚艷的新科技時,他們也面臨著全新的舞弊風險。

在這篇文章中,我們將探討CPR公司進行數位轉型時可能面臨的數位化舞弊樣態,並概述公司因應漏洞、解決不當行為並建立監控機制以預防和降低舞弊風險的方法。但首先,值得觀察的是CPR公司在數位化時代的轉變程度。

正在做電子交易的女性
(Chapter breaker)
1

第1章

是什麼推動了消費品與零售產業的數位化轉型?

為了回應消費者的需求,進口商、出口商、供應商、運輸業和經銷商之間透過資料互聯之情形比以往更為緊密。

在過去五年中,電子零售市場每年以超過100%的速度成長;2017年,電子零售銷售量占全球零售業銷售量的10.2%1 ,其中印尼、印度、墨西哥和中國是成長最快的市場。 2019年,電子零售銷售額估計占中國零售總額的三分之一2

隨著直接面對消費者的(Direct-To-Consumer,DTC)品牌以直接面對消費者的行銷模式大規模獲得顧客青睞時,消費者的期望也正在改變。全通路零售現已成為新常態,為了滿足顧客期望的速度、自在感和便利性,該產業正將傳統零售商店中的銷售時點情報系統(Point of Sale,PoS)流程,轉為可直接接觸消費者的網路線上平台以及可加快訂購和購買過程的供應鏈系統。

這些持續投資於科技的策略 — 如用於追蹤從經銷商到零售商的二級銷售經銷管理系統、從零售商到終端消費者的三級銷售PoS終端系統以及性能監控和銷售路線最佳化的自動化軟體等 — 均已協助公司邁向數位化之路。

註1. https://www.statista.com/statistics/288487/forecast-of-global-b2c-e-commerce-growt/

註2. https://www.statista.com/statistics/534123/e-commerce-share-of-retail-sales-worldwide/

隨著越來越多的利害關係人使用數位化科技,風險格局正在發生變化。公司內部人員、關聯企業/組織和外部單位所引起的舞弊事件正在暴露和利用網路業務模式的新漏洞。

除了促進進入快速成長的新興市場外,數位化還可以將進口商和出口商、供應商、運輸業、經銷商和顧客連結起來,形成多向的供應鏈。自動化正在簡化製造、物流和付款流程,並加快與第三方網絡的整合,將外包商、製造商,零售商和經銷商連結起來。這些過程產生的即時資料,可用於更準確的管理和監控。

但是,隨著越來越多的利害關係人使用數位化科技,風險格局也在發生變化。公司內部人員、關聯企業/組織和外部單位所引起的舞弊事件正在暴露和利用網路業務模式的新漏洞。

店員向遊客出售鞋子
(Chapter breaker)
2

第2章

迫切的議題

網路罪犯、不誠實或粗心的員工以及意圖不軌的第三方可能會阻礙您的最佳數位化策略計畫。

數位化將關注焦點集中在舞弊上。在「 安永第15屆全球舞弊調查」(EN) 中,36%的受訪者將舞弊和貪腐視為最大營運風險,而37%的受訪者則將網路攻擊視為最大的風險。在CPR產業中,有幾個主要數位化漏洞需要注意:

  • 通過電子商務收集具敏感性的個人資料: 零售商往往因為擁有最新顧客個人資料,例如姓名、地址和信用卡等詳細資訊而被犯罪分子鎖定;而備受矚目的駭客攻擊亦會對公司產生商業和聲譽影響。
  • 對網路交易平台的網路威脅: 阻斷服務攻擊(Denial-of-Service,DoS)或分散式阻斷服務攻擊(Distributed Denial-of-Service,DDoS)是主要的營運風險,因為銷售會在網路通路受到損害時被迫停止。這可能是惡意攻擊或系統故障的結果,導致平台將無法因應銷售旺季(例如黑色星期五)的網路流量。
  • 內部人風險: 公司員工可能透過濫用內部系統和流程從事舞弊行為。例如,在經銷商到零售商端的二級銷售系統中,員工可能藉由虛增新的或現有零售據點的銷售額以獲取不當利益,而在零售商到終端消費者的三級銷售系統中,員工則可能竊取本應提供給消費者的促銷優惠。

數位化將線上系統和實體流程連結在一起,讓內部部門和第三方之間共享即時資料,以減少訂單回應時間與過多的庫存。然而數位化也可能產生新的漏洞,尤其是當公司無法升級相關控制和監測措施時。我們將針對前述漏洞按類別細分說明如下。

銷售時點情報系統(PoS)

雖然數位化透過記錄和整合交易資料轉化PoS系統功能,但在此同時PoS也成為舞弊的主要目標,引發線下實體商店零售到線上電子商務的漏洞。這些包括:

  • 終端系統本身可能成為目標,例如行動PoS裝置很容易透過店內Wi-Fi網路受到惡意軟體的攻擊。
  • 大多數終端系統都接受感應式支付,以加快顧客付款時間,但這帶來了安全和認證風險。
  • 自助式結帳可能會引誘顧客從事舞弊行為,例如,結帳時掃描某件商品但實際上卻帶走另外一件較貴的商品或數件商品。

這些舞弊小事件跨及多個商店時則可能會造成重大損失。

網路市集

網路交易擴大零售業務規模,使零售商可以更快地與更多人進行交易,但這同時也增加破壞電子商務的舞弊風險。近期的趨勢包括:

  • 上架舞弊: 員工可能從賣家那裡收取款項,以交換操縱產品在網路市集上架時的能見度。
  • 佣金舞弊: 員工透過降低賣方在網路市集銷售所應支付的佣金比例,換取賣方提供的優惠。
  • 成本套利詐欺: 賣方透過在網路市集購買具有現金回饋優惠的自家商品,然後再於線下轉售以套利。
  • 現金回饋或促銷詐欺: 員工偏袒特定賣家,在某些產品上提高現金回饋和促銷方案,以收取報酬。
  • 點擊詐欺: 競爭對手和其他業者故意點擊(有時使用某些科技)按點擊付費(Pay-Per-Click, PPC)模式的廣告讓廣告客戶支付更多費用,此舉損害了PPC廣告模式,降低了轉換率,並且扭曲網路業務的用戶數據,從而提高廣告成本。
  • 上架付款舞弊: 具詐欺意圖的賣家在線上上架欲出售的產品並要求預先付款,然而實際上賣方取走款項後,產品並不存在或未寄送,而買方的銀行或信用卡詳細資訊也可能被更大型的詐欺計畫所利用。

忠誠度計畫

忠誠度計畫舞弊亦是一種普遍現象,特別是在新興市場中,例如在亞洲,大多數購買是透過貨到付款或透過行動應用程式而非信用卡進行的。

忠誠度應用程式記錄消費者所有交易,包括現金交易,並為零售商收集與消費者選擇和行為相關的豐富資料,包括銀行帳戶和位置資訊。這些寶貴的資料可能引起駭客注意。

忠誠度計畫亦可能成為內部人舞弊的目標,包括濫用積分、優惠和促銷等。涉入舞弊的員工可能未將促銷方案告知客戶,或者將額外積分給予自己、朋友或家人(無論有無實際購買行為)來換取商品或現金。

公司的風險管理部門需要考量,儘管上述交易相關的風險大致相似,但舞弊情境可能因不同地區的情況而略有差異,取決於該地區的文化準則、消費習慣和科技使用水平。設計風險控制措施和解決方案時必須考量這一點。

例如,已開發國家正嘗試將臉部辨識作為付款授權的一部分。但是,在電子商務成長最快的新興亞洲經濟體中,付款大多透過貨到付款、智慧型手機應用程式和預付卡完成。這些都是可轉讓的,且未連結到銀行帳戶更毋須信用證明。

供應鏈漏洞

追蹤和定位庫存物品的庫存管理和控制系統,透過與後台系統(如會計或企業資源規劃ERP),甚至常見的PoS和資產管理軟體整合,可監控庫存水準和變動。但是,許多CPR公司所舉發的各種舞弊事件,也暴露了經銷商到零售商端的二級銷售系統和零售商到終端消費者的三級銷售系統中的漏洞。

濫用經銷商到零售商端的二級銷售系統所進行的內部人舞弊案例包括:

  • 虛增新的或現有零售據點的銷售額以獲取不當利益–銷銷售人員操弄系統以換取獎勵
  • 為了達到獎勵措施和目標的要求壓力,假造「幽靈銷售員」以獲取獎勵
  • 零售店創建過程中的漏洞可能讓經銷商在經銷商到零售商端的二級銷售系統中藉由建立虛假零售據點的機會,以獲取不當的交易方案收益
  • 虛增銷售額或捏造虛假銷售據點以謀取大額款項-利用不當存取
  • 資料庫權限,允許未經授權情況下即可存取後端資料庫或透過變通的方法,例如共享密碼以繞過正常核准流程等

濫用零售商至終端消費者的三級銷售系統的舞弊案例包括:

  • PoS系統僅用於為促銷產品結帳,導致交易資料未能反映真實的消費者行為
  • 促銷優惠沒有確實告知給終端消費者,導致消費者支付全額價格,而員工獨自獲取促銷利益(例如,員工未告知顧客買一送一促銷,並將額外贈送物品留存自用)
  • 部分銷售入帳於非營業時間,導致系統銷售紀錄不完整
  • 駭客利用數位交易平台中的漏洞自肥,包括發現系統漏洞的內部人員和了解系統的外部駭客
  • 濫用獎勵積分,將消費者購買所得積分應用於另一張會員卡(員工自己的卡或屬於家庭成員或朋友的會員卡)

深入研究各類型的銷售資料可發現更具體的漏洞。例如,儘管行動PoS裝置和經銷管理系統得以改善交易和庫存水準的能見度,但資訊透明度取決於所使用的套裝軟體。處理大量交易的大型系統(尤其是在亞洲)可能會漏掉一些看似無關緊要的小事件,但卻是整體商業交易的普遍現象。

因此,儘管有公司意識到經銷商到零售商端的二級銷售系統存在一些漏洞,但他們並未意識到整體損失的嚴重性。

掛在市場上銷售的面具
(Chapter breaker)
3

第3章

修復漏洞:主動評估弱點

採行評估三步驟以辨認潛在的痛點,開始改變行為並更好地保護您的資產。

隨著CPR公司就其關鍵營運業務於科技轉型專案投入大量資金,負責這些專案的利害關係人必須評估隨之而來的舞弊漏洞。需要特別注意涉及高額預算的專案,這些專案將以獎勵或大額付款等形式對價值鏈中參與的公司員工和外部第三方產生財務影響。

這同時也強化需要採取積極主動的策略的必要性,以偵測和因應數位化轉型計畫所涉及的流程和系統中的弱點,讓舞弊得以在發生之前預防而非在事件發生後才做出回應。積極主動的策略需要公司組織辨認議題,並採取結合控制、監測和鼓勵的行動方案來因應並改變行為。

以下舞弊主動評估三步驟可以為尋求減輕潛在漏洞的企業增加價值:

1.辨認並了解

  • 辨認具有高度財務影響的轉型計畫
  • 了解該等轉型計畫的目的和目標
  • 了解與該等轉型專案連結的關鍵績效指標,這些指標可能會給內部和外部利害關係者帶來利益,以及它們會對公司財務的影響
  • 分析該等轉型計畫中所涉及的關鍵業務流程與系統之間的關聯性

2.執行功能測試和數據分析

  • 對即將採用的系統應用程式或平台進行功能測試
  • 針對與關鍵系統應用程式或平台連結的業務流程,設計攸關的舞弊風險情境
  • 從攸關來源擷取資料並進行鑑識資料分析,對應用於企業的舞弊風險情境進行假設測試
  • 針對資料分析辨認的異常執行額外的資料驗證

3.減輕風險

  • 辨認高風險區塊並按優先順序進行分類
  • 設計切實可行的控制措施以減輕風險
  • 根據參數建構監控框架,以持續幫助識別示警信號
  • 與管理階層討論,協助實行控制措施
  • 定義並對控制措施的持續覆核機制達成共識

當企業的主要風險透過使用上述測試情境和資料分析加以辨識時,針對特定類型的舞弊事件的監控則可以併入控制框架中。

但是,考慮到電子記錄和交易的數量顯著增加,CPR公司面臨艱鉅的任務;他們需要使用直覺科技輔助工具來主動進行分析,評估資料、強調有差距缺口的地方並辨認行為模式。

數據分析是極為強大的工具。例如,網路銷售資料的趨勢分析可幫助發現不正當的購買模式,例如:大批購買和重複退貨。 PoS終端系統的回溯性分析可用於辨認不當或詐欺行為,可與信用卡公司進行的支付分析搭配運用。

考慮到電子記錄和交易的數量顯著增加,公司面臨艱鉅的任務,他們需要使用直覺科技輔助工具來主動進行分析,評估資料、強調有差距缺口的地方並辨認行為模式。

資料視覺化和機器學習使大型機構能夠辨別出潛在舞弊行為的趨勢,並與公司進行交流,以告知哪些員工可能對其組織造成最大風險。

結論和關鍵重點

數位化為CPR產業的環境帶來許多正面的改變,而電子商務讓來自世界各地的各種產品幾乎可以即時地進行交易。成功的網路和全通路零售可帶來高獲利,但是數位化也帶來不同的風險。

新的威脅包括網路犯罪分子攔截實體和網路銷售系統,不誠實或粗心的員工,以及第三方故意尋找機會利用漏洞或系統變通辦法,使系統變成容易受到攔截或成為舞弊計畫的目標。CPR產業數位化產生大量的資料,這些資料若妥善運用得以使企業擴展營運及保障業務。

相較於處分或開除詐欺行為的個人,若能辨認營運風險所在並主動改變行為是更合適的方式。持續監控和衡量交易的真實性以辨認哪些策略和流程正在發揮作用,並確保將正確的活動和群體作為目標很重要。

現今CPR產業需要可以辨認和應對數位化帶來舞弊風險的系統,零售科技的新發展亦帶來新風險。 採用上述舞弊評估三步驟是管理CPR產業舞弊事件相關風險的關鍵。

結語

公司內部人員、關聯企業/組織和外部單位所引起的舞弊事件正在暴露和利用網路業務模式的新漏洞。積極主動的策略需要公司組織辨認議題,並採取結合控制、監測和鼓勵的行動方案來因應並改變行為。

關於本文章

作者

Anurag Kashyap

EY Global Consumer Products, Forensic & Integrity Services Leader

Global CPR sector Leader. Helps clients mitigate fraud risks. Provides anti-counterfeiting solutions with Integrity at the forefront.

相關主題 審計服務