Kontrola tak, ale to nie wystarczy, żeby nie dać się oszukać

Ryzyko straty może być nie tylko efektem nietrafionej decyzji biznesowej, ale także przestępstwa. W ciągu ostatnich dwóch lat aż 36 proc. firm padło ofiarą nadużyć - wynika z ostatniego raportu firmy doradczej PwC, dotyczącego nadużyć w krajowych przedsiębiorstwach. Ogromna większość przypadków (65 proc.) dotyczyła sprzeniewierzenia aktywów, a 32 proc. - cyberprzestępczości. 16 proc. respondentów PwC przyznało, że w ciągu ostatnich 24 miesięcy sugerowano im wręczenie łapówki, a prawie jedna piąta jest przekonana, że reprezentowana przez nich firma straciła umowę na rzecz konkurenta, który wręczył "korzyść majątkową".

Cybernetyczny nadzór

Najczęściej występującym, bezprawnym działaniem w firmach jest sprzeniewierzenie aktywów. Ta kategoria obejmuje zarówno banalną kradzież, jak i nieco bardziej wyszukane tworzenie fikcyjnych dostawców w celu wyprowadzenia środków, korzystanie z majątku firmy dla celów prywatnych, ustawianie pod wybrany podmiot przetargów czy zawyżanie faktur sprzedaży.

Przed niektórymi działaniami można się zabezpieczyć, instalując na komputerach programy monitorujące. Ich podstawową funkcjonalnością jest kontrola oprogramowania. Aplikacja zapisuje wszelkie działania związane ze zmianami oprogramowania, użyciem pamięci przenośnej (pendrive’a, twardego dysku itp.), wydrukami (programy rejestrują tzw. ścieżkę dokumentu, przez co można odtworzyć jego zawartość), ruch na serwerach sieciowych.

Na dyskach twardych firmowych PC instaluje się tzw. agenta - niewielką aplikację, która następnie przesyła wybrane informacje do monitorującej stacji zbierającej dane. Nie ma przy tym z reguły znaczenia, czy stacje robocze działają w tej samej sieci firmowej, czy też łączą się poprzez wi-fi. Monitoring prowadzony jest poprzez specjalny panel administracyjny. Ale nadzór możliwy jest także zazwyczaj z poziomu innego, na przykład domowego PC.

Koszt takiego rozwiązania nie jest duży. Najprostsze programy, za 100-200 zł, pozwalają nadzorować kilka stacji roboczych. Do kontroli większej grupy potrzebny jest soft z funkcjonalnością kontroli nieograniczonej liczby (tzw. funkcja Company On Line), który kosztuje już ok. 1 tys. zł.

- Nadzór, jak wiadomo, jest najwyższą formą zaufania - mówi Marcin Klimczak z PwC. - Prowadzenie monitoringu pracy komputerów firmowych zmniejsza ryzyko strat i czas trwania ewentualnego oszustwa lub nadużycia.

Weryfikować kontrahentów

Coraz większy jest udział cyberprzestępstw w firmowych oszustwach i nadużyciach. W wyniku ataku poprzez sieć WWW firma może stracić pieniądze, produkty, ale też prestiż i reputację, czego skutkiem będzie spadek zaufania konsumentów, kontrahentów, administracji i współpracowników. Jak wynika ze Światowego Badania Nadużyć Gospodarczych firmy doradczej EY, w grupie takich przestępstw źródłem zagrożenia są, niestety, przede wszystkim pracownicy (52 proc.), ale również konkurencja (42 proc.), działający samodzielnie lub na czyjeś zlecenie hakerzy (36 proc.), w mniejszym stopniu - zorganizowane grupy przestępcze (8 proc.).

Największe straty może spowodować wyłudzenie. Ofiarą tego procederu najczęściej padają firmy handlowe. Zdarza się często, że będące na celowniku przedsiębiorstwo dostaje e-mail z ofertą współpracy. Po dojściu do porozumienia oferent nie targuje się i płaci czekiem, wystawionym przez wiarygodny bank. Opiewa on jednak na nieco wyższą sumę niż zapisana na fakturze. W związku z tym oszust prosi o oddanie nadpłaty, najczęściej poprzez specjalizującą się w przelewach gotówki sieć Western Union. Dopiero po mniej więcej dwóch tygodniach (tyle zajmuje weryfikacja czeku) okazuje się, że dokument był nieprawdziwy. Gdy o oszustwie powiadamiane są organy ścigania, najczęściej wychodzi na jaw, że składająca ofertę firma w ogóle nie istniała albo jej dane zostały skradzione. - Możliwość odzyskania towaru i gotówki jest wtedy, niestety, niemal zerowa - uważa Artur Gajda, specjalista ds. IT pracujący dla małych i średnich przedsiębiorstw. - Przed takim oszustwem można zabezpieczyć się tylko, wprowadzając bezwzględną zasadę weryfikacji kontrahentów. W większości przypadków przestępcy prowadzą komunikację e-mailową, posługując się darmową skrzynką pocztową. Nie każda wiadomość z takiego adresu jest jednak sygnałem oszustwa. Poważny kontrahent na ogół posiada jednak dostęp do firmowej skrzynki pocztowej, mającej w adresie nazwę przedsiębiorstwa.

Należy także uważać na transakcje, które mają być prowadzone nie poprzez zwykłe konta bankowe, ale firmy specjalizujące się w transferach gotówki oraz tzw. Escrow Service (pośredników). - Oszuści często posługują się takimi rachunkami pod fałszywym adresem - zauważa Gajda. - Po wysłaniu towaru okazuje się, że strona została założona tylko do obsługi tej jednej, jedynej transakcji.

Struktura i... klimat

Korupcja jest zjawiskiem strukturalnym, któremu działająca w pojedynkę firma nie ma szans przeciwdziałać. Najskuteczniejszym źródłem wiedzy o ewentualnych oszustwach i nadużyciach są informacje od osób zatrudnionych w przedsiębiorstwie. Jak wynika z raportu Międzynarodowego Stowarzyszenia Certyfikowanych Biegłych ds. Przestępstw Gospodarczych (Association of Certified Fraud Examiners - w skrócie ACFE), niemal 44 proc. takich przypadków udaje się wykryć. Kontrole i audyt wewnętrzny pozwalają ujawnić zaledwie jedną trzecią. Dlatego najskuteczniejszym narzędziem prewencyjnym jest właściwa struktura organizacyjna i klimat współpracy. - Przedsiębiorstwo, w którym panuje nepotyzm, mają miejsce przypadki mobbingu, nieuzasadnionego faworyzowania jednych kosztem innych, podejmowanie są nieetyczne działania wobec konkurencji czy konsumentów, jest w dużo większym stopniu narażone na nadużycia i oszustwa, gdyż wszystkie takie sytuacje osłabiają więź i lojalność względem firmy - mówi Marcin Klimczak.

@RY1@i02/2016/216/i02.2016.216.13000020d.801.jpg@RY2@

W jaki sposób wykrywane są oszustwa

Aleksandra Puch

mf_dgp@infor.pl