Автор: Разина Ольга Михайловна, к.э.н., аудитор, член Ассоциации СРО «Содружество», член Ассоциации «Институт внутренних аудиторов»
Проблема мошенничества сегодня является наиболее актуальной для банков в связи с ростом объема похищенных денег граждан. Ответить на некоторые вопросы и прокомментировать наиболее важные законодательные инициативы мы попросили независимого эксперта и профессионального аудитора – Разину Ольгу Михайловну, к.э.н., члена Ассоциации СРО «Содружество», члена Ассоциации «Институт внутренних аудиторов».
Обсуждение темы банковского мошенничества сегодня является достаточно актуальной темой, что в первую очередь обусловлено ростом объема похищенных денег. В чем с Вашей точки зрения заключаются причины?
Действительно в последние годы происходит стремительный рост объема похищенных денег, по разным оценкам за прошедший год он составил от 14 до 15 млрд. рублей и эти цифры не являются окончательными, скорее речь идет о подтвержденных фактах хищения.
Во многом пик роста мошенничества я связываю с периодом активной фазы пандемии, когда большинство кредитных организаций перевели своих клиентов на удаленный формат обслуживания. Это послужило благоприятной средой для роста и активизации телефонного мошенничества. Результаты проведенного мною масштабного исследования о влиянии COVID-19 на рост мошенничества подтвердили предположение о том, что в основе большинства реализованных сценариев лежит отсутствие безопасных каналов связи банка с клиентом, реализация которых спровоцировала рост хищения денежных средств.
Кроме того, введение карантинного режима в период пандемии усилило спрос клиентов на использование бесконтактных способов оплаты товаров и услуг на крупнейших маркплейсах и онлайн платформах. Именно на крупных торговых площадках зачастую фиксируются мошеннические операции, главным образом, связанные с использованием фишинговых ссылок. И сегодня эти схемы мошенничества не теряют свою популярность, особенно в условиях возникновения дефицита на некоторые группы товаров в условиях санкций.
Как происходит утечка персональных данных клиентов? Есть ли какие-то инструменты для защиты персональной информации?
Утечка персональных данных может происходить из разных источников. Внешним источником утечки может стать — взлом клиентской базы в банках или торговых сетях. Как показывает практика, внешние угрозы удается блокировать с использованием новейших систем фрод-мониторинга, для предотвращения мошеннических транзакций банки специально вводят лимиты для определенных категорий карт и клиентов, модифицируются системы информационной безопасности, отвечающие за угрозы утечки информации – (DLP системы) и пр. А в качестве внутреннего источника утечки клиентской информации – могут выступать недобросовестные сотрудники банков или финансовых организаций имеющие личный интерес. По-моему, убедительнее всего выглядят цифры. Так, например, в последнем отчете, опубликованном RTM Group, компании реализующей услуги в сфере кибербезопасности, отмечается, что количество инцидентов связанных с хищением денег клиентов при участии сотрудников банков (включая внутренние утечки данных, проявление халатности и участие в мошеннических схемах) неуклонно растет и в следующем году увеличится еще на 50%. Только за последние годы проводилось несколько громких расследований по утечке персональных данных из крупнейших кредитных организаций с участием сотрудников банка.
Как выявить недобросовестного сотрудника при расследовании внутреннего мошенничества и в чем состоит ценность внутреннего аудита?
Достаточно вспомнить что еще в середине прошлого века, Д. Кресси была впервые сформулирована концепция «треугольника мошенничества». Напомню лишь, что суть ее сводится к тому, что на мошенника влияют как внутренние факторы – мотивация, так и внешние под давлением которых он склоняется к нарушению установленных правил.
Рассматривая схему хищения денег, можно увидеть, что в ее основе заложен «профиль клиента» — совокупность социальных характеристик, таких как пол, возраст, образование, место работы, уровень дохода и пр. В дальнейшем к этим характеристикам присоединяются используемые клиентом продукты и сервисы, на основе которых, формируется сценарий внутреннего мошенничества. При расследовании подобных инцидентов, профессиональная задача внутреннего аудитора состоит в том, чтобы провести независимую оценку возможных источников утечки информации. Понять, как информация о персональных данных клиента попала в руки мошенников, установить есть ли в этом вина сотрудника банка.
С одной стороны внутренние аудиторы выполняют роль «независимого арбитра» и третьей линии защиты в расследовании подобных инцидентов, с другой – создают дополнительную ценность для кредитной организации. В чем состоит эта ценность? Во-первых – это предоставление гарантий по предотвращению операционных и репутационных рисков для банка, которые впоследствии трансформируются в реальные потери, включая прямой ущерб. Во-вторых – это выявление недобросовестного персонала, работа которого связана со счетами и личными данными клиентов. Фактически аудитор проводит анализ соблюдения принципа «знай своего сотрудника», которым должен следовать любой банк. Этот принцип позволяет выявить отношение работника к информации которой он обладает при наличии у него возможных проблем, в том числе финансовых, имущественных, личных, которые могут потенциально привести к действиям, направленным на нарушение требований к защите информации. В-третьих, в процессе аудита создается новый продукт, на основе которого строится работа по предотвращению сценариев угроз, которые уже реализовались или могут реализоваться в будущем.
Безусловно наличие новых вызовов, связанных с изменяющимся профилем рисков заставляет совершенствовать функцию внутреннего аудита, трансформируя ее под текущие потребности банковского бизнеса.
Вы сказали про изменение функций внутреннего аудита, в чем они состоят?
Вся моя профессиональная жизнь связана с работой в крупнейших банках и корпорациях в области внутреннего аудита и контроля. И если еще десять лет назад функция внутреннего аудита фактически определялась на уровне выполнения комплаенс процедур, то сегодня аудит выступает в роли независимого консультанта и советника по различным направлениям деятельности банка. Комплексный процесс взаимодействия со всеми операционными и бизнес-подразделениями формирует дополнительную ценность внутреннего аудита, как независимого эксперта для менеджмента кредитной организации.
Приведу пример, связанный с темой банковского мошенничества. В процессе проведения внутреннего расследования и установления мотивов действия сотрудника, взгляд менеджмента в первую очередь сфокусирован на «цифры», это может быть размер потенциального ущерба, недополученный операционный доход и пр. Взгляд внутреннего аудитора заставляет посмотреть на эту проблему иначе – выявляя корневую причину, послужившую причиной мошенничества. Это могут быть завышенные показатели выполнения KPI, которые побудили сотрудника искать новые способы продажи продукта или услуги. Причиной может являться «конфликт интересов», когда выполняемые функции сотрудника могут быть очевидно связаны с материальной выгодой, извлекаемой в процессе текущей работы (межличностный, личностный конфликты и пр). Низкая мотивация персонала, когда хищения могут быть обусловлены необходимостью решения финансовых проблем. Наличие корпоративных конфликтов, которые подтолкнули сотрудника к совершению мошеннических действий. Иными словами, функция внутреннего аудита состоит в построении причинно-следственной связи между реализованным инцидентом риска и источником его возникновения, позволяя увидеть любую проблему изнутри.
Какие профессиональные задачи Вам удалось реализовать в прошедшем году?
В прошлом году удалось завершить разработку адаптивной модели, позволяющей получить оцифрованную оценку операционных рисков, включая риски внутреннего мошенничества. Модель была разработана для применения в малых банках, не имеющих адаптированных систем фрод-мониторинга. Ее практическое использование позволяет консолидировать массивы данных, собранных из различных источников, открывая возможность их обработки из различных систем без больших трудозатрат на их подготовку и доработку. Часто выступая на профессиональных площадках, в качестве спикера или приглашенного эксперта я стараюсь уделять внимание именно проблемам аудита малых банков, которые ощущают недостаток методологической поддержки и подвержены большим рискам по сравнению с крупными кредитными организациями.
Существуют ли какие то универсальные инструменты для снижения мошенничества?
К сожалению, универсальных инструментов снижения мошенничества не существует, поскольку в любой схеме мошенничества всегда принимают участие несколько сторон. Например, если клиент добровольно передает мошеннику данные банковской карты, то банк не должен компенсировать похищенные деньги. Это правило прописано в любом договоре банковского счета. Важно учитывать, что в основе любого мошенничества всегда лежит информация, утечка которой могла произойти в т.ч. и по вине банка. Должен ли банк компенсировать такой ущерб клиенту – остается открытым вопросом.
Вы затронули очень важный вопрос о компенсации банками похищенных денег. Не могли бы Вы прокомментировать последние законодательные инициативы, направленные на снижение мошеннических действий.
На этот вопрос не существует однозначного ответа, поскольку при обращении клиента в банк необходимо установить причину утечки персональных данных. Первые шаги в направлении защиты клиентов от потенциального мошенничества были уже приняты в прошлом году, вступили в силу сразу несколько нормативных документов – дающих возможность банкам самостоятельно ограничить размер транзакции или совершения определенных операций клиентов. Также вступил в силу документ, обязывающий банки проводить идентификацию всех устройств, с которых осуществляются платежи.
Тема компенсации банками убытков от хищения сегодня активно обсуждается и на уровне банковского сообщества, и со стороны Банка России. В конце прошлого года разработан законопроект, который должен решить судьбу пострадавших от мошенничества клиентов. С одной стороны, получение компенсации от банка решит вопрос внесудебного урегулирования убытков от мошенничества, с другой – повысит стоимость банковских сервисов и продуктов, поскольку сама сумма компенсации будет уже заложена в расходы по обслуживанию банковского счета. Например, во многих развитых странах уже реализован механизм компенсации убытков по кредитным картам, и он успешно работает. Возможно, законодатель пойдет по пути комплексного решения данного вопроса по аналогии с компенсацией убытков через систему страхования вкладов. Однако я убеждена, что только введение такой инициативы без совершенствования системы фрод-мониторинга в банках не будет иметь успеха. Всегда остаются операционные риски, которым сложно противостоять в различных ситуациях.