Что такое «фрод»?
Последние 2-3 года мы часто задаем один и тот же вопрос нашим заказчикам: «Что значит «фрод» для вашей компании?». Компании разные, и для всех векторы угроз с точки зрения хищений и потери средств различны. Но, как показывает наш опыт, менеджмент не представляет объем убытков. И очень многие компании стараются скрыть масштаб проблемы, а она катастрофическая. Суммы потерь от противоправных действий исчисляются не долями, а целыми процентами. Что скажет вице-президент по развитию, когда ему расскажут и покажут, что 2% прибыли компании «выносят через запасной выход»?
Цель антифрода
В чем же цели построения методологии систем противодействия мошенничеству? Во-первых, сократить убытки компании от прямых хищений, во-вторых, повысить прибыльность компании, прекратив противоправные действия сотрудников или третьих лиц. Но для достижения этих целей нужно решить первичную задачу – видеть потери, которые рано или поздно случаются, чтобы в дальнейшем их минимизировать. Ведь как часто бывает: компании ловят сотрудников и заводят на них уголовные дела, но понесенные бизнесом убытки, исчисляемые миллионами рублей, на самом деле не возмещаются. Лишь в редких случаях можно рассчитывать на компенсацию от представителей топ-менеджмента. В основном дебиторская задолженность сотрудников ложится мертвым грузом на компанию. При этом категории рисков совершенно разные. Убытки компании могут быть вызваны и простой халатностью: кризисом кадров, невнимательностью сотрудников, контролирующих различные процессы, или производственными ошибками, которые больно бьют по сегментам бизнеса. Но зачастую это намеренные действия сотрудников из различных подразделений, существенно влияющие на прибыль компании.
Приведу несколько примеров из своей практики.
Пример 1
В одной добывающей компании, производящей металл высокого качества, работает стандартный транспортер руды из забоя, на который попадает первичная выработка. Старые модели транспортеров имеют определенные конструктивные особенности: часть руды падает мимо и по бокам образуются отвалы. Большинство компаний считает это браком и утилизирует такую продукцию. А предприимчивые сотрудники могут собрать отвалы, вывезти их за территорию завода и в итоге получить солидные бонусы к стандартной оплате труда. Схема перевода качественной продукции в брак является проблемой для любого производства, там, где брак не фиксируется комиссионно по каждому факту.
Косвенные, а не прямые потери
В чем проблема, которую мы видим на протяжении всех наших проектов? Большое количество потерь компании являются не прямыми, а косвенными. Приведу простой пример: если у компании украли лист железа напрямую, бизнес это считает своей фактической потерей. Деньги могут быть взысканы, а виновные наказаны. Но больше половины случаев мошенничества не приводят к прямому хищению товарной продукции. Сотрудники компании используют схемы махинаций, которые не приносят потери, а снижают маржинальность продаж товаров, либо эти хищения попадают в естественную «усушку, утряску, брак», которого могло и не быть. Иначе говоря, компания могла бы получить за продажу листа железа 10 рублей, а из-за мошеннических действий продала его за 8 рублей или вообще его не продала. Фактически компания получила прибыль, но получила на 2 рубля меньше. Если эти 2-3% «раскатать» на все предприятие, 2% недополученной руководством прибыли выльются в баснословную сумму. Понимая эту цифру, вопросы окупаемости внедрения любых технологий, позволяющих сократить убытки компании в среднем на 50-70%, решаются за несколько дней в положительную сторону. При этом мошенничество можно найти в любом сегменте: производственных линиях, продажах товарной продукции, программах лояльности, логистике.
Пример 2
Этот кейс мы обнаружили на предприятии нефтегазового сектора, он распространен на многих производственных предприятиях, отгружающих ресурсы или продукцию производства. В выявленной нами схеме участвовали сотрудник весовой эстакады, взвешивающий автотранспорт, и водитель бензовоза. Пустая машина при въезде на нефтебазу проходит весовой контроль и только после этого проезжает на территорию предприятия. На обратном пути автоцистерну уже с нефтепродуктами взвешивают повторно. Разница между первым и вторым взвешиванием и есть потенциальная масса нефтепродукта, залитого в бензовоз. На полученный бензин выписывается товарно-транспортная накладная и рассчитывается стоимость потенциальной отгрузки.
Мошенническая схема крайне проста. У любой нефтебазы стоит вереница из нескольких десятков бензовозов в ожидании топлива. Водитель-злоумышленник 8-тонника занимает свою очередь сразу за тягачом большего веса, например, за 10-тонником. Первый в очереди бензовоз (10 т) въезжает на весовую эстакаду, где оператор взвешивает его по документам (вес пустого автотранспортного средства вводится в товарно-транспортную накладную в электронном виде). Пока водитель садится в машину, оператор повторно взвешивает машину, но по документам уже въехавшего следом (передаются оператору по sms). В итоге в автоматизированной системе 8-тонник фиксируется как 10-тонник. Все машины заезжают на территорию предприятия, заливаются «под горлышко», выезжают и взвешиваются уже по всем правилам. И в итоге машина весом 8 т взвешена как 10 т. Получается, что две тонны нефтепродуктов исчезли, но в системах это никак не отражено. Нехватку 2-4 тонн топлива заметят только через 1-2 недели, когда опустеет резервуар или будет проводиться его инвентаризация. Но найти мошенническую цепочку на предприятии будет уже затруднительно.
Как с этим бороться?
Рассмотрим простой подход для предотвращения мошеннических схем. На высокоавтоматизированных предприятиях с большим количеством источников данных и квалифицированным персоналом можно контролировать почти все, что происходит. Причем контролировать не с точки зрения безопасности и реализации технологического процесса, а следить за отклонениями, которые потенциально есть. К сожалению, на многих предприятиях проблемы обнаруживаются слишком поздно. Стандартный случай, который мы видим у многих наших заказчиков, когда физическая безопасность хорошо развита, но она не интегрирована с информационными системами. Будущее за объединением всех систем – это позволит сделать все процессы предприятия для бизнеса максимально прозрачными и поможет предотвращать потенциальные инциденты.
Общие принципы работы систем просты: сквозной учет в производственных цепочках независимо от типа предприятия. Среди заказчиков сегодня наиболее востребованы схемы онлайн-реагирования на инциденты. Для компании намного проще интегрировать систему рисков с теми же воротам, которые выпускают автотранспорт с предприятия, чем отлавливать и пытаться взыскать средства постфактум.
Как показывает практика, существуют две ветки контроля событий, которые используются на предприятии. Компания понимает, что и как у нее воруют, но контроль правонарушений осуществляется в «ручном» режиме силами двух-трех аналитиков. Сотрудники сидят с «кипами» excel, распечатками технологических систем и с помощью агрегации всех данных пытаются понять, что произошло. Конечно, это неэффективно. Сегодня достаточно просто контролировать все системы в автоматизированном режиме.
На предприятиях высокой автоматизации, где действительно есть АСУ ТП и стандартизированы все процессы, можно создать модель эталонной последовательности действий. И контролируя отклонения от этого процесса, вы практически всегда сможете найти нарушения. Эти нарушения будут или фродом, или отказом оборудования, или ошибкой оператора. К сожалению, этой методологией сегодня крайне редко пользуются.
***
Классическая информационная безопасность АСУ ТП и противодействие мошенничеству в ней подразумевают множество аналогичных работ: анализ производственных процессов, интеграцию с источниками данных, выстраивание методик работы с инцидентами. Возможно, есть смысл реализовывать систему безопасности предприятия одним блоком, чтобы оптимизировать затраты и получить максимальный результат?
Антифрод-система способна решать дополнительный класс проблем: кроме фактических и потенциальных выявлений хищений, злоупотреблений, нарушений регламентов, система позволяет контролировать совокупную доходность технологического процесса или компании в целом, т.е. глобально управлять рисками и оптимизировать бизнес-процессы, исходя из постоянной аналитики, которая дает актуальную информацию о том, что происходит. Ведь, как показывает практика, окупаемость таких решений редко превышает 1-1,5 года, а в некоторых случаях достигается всего за несколько месяцев.