Прототип системы мониторинга мошенничества собственных сотрудников

Во все времена в любых организациях проблемы воровства и собственной безопасности являются особенно актуальными. Сегодня любой руководитель фирмы решает проблему не только повышения конкурентоспособности бизнеса по отношению к другим игрокам на рынке, но и  защиты его от деструктивных действий, источниками которых являются собственные сотрудники.

На сегодняшний день перечень угроз, которым может подвергаться как коммерческая, так и некоммерческая организация очень велик. Это и неоптимальная внутренняя организация  процессов, «подсиживание» сотрудниками друг друга, утечка конфиденциальной информации, недостаточная квалификация персонала и т.д.  В данной статье автор предлагает рассмотреть не менее важную угрозу – это проблема мошенничества и злоупотребления должностными полномочиями.

Проблемы мошенничества и злоупотребления служебными полномочиями со стороны должностных лиц актуальны для всего мира. По данным крупнейшей мировой организации «Association of Certified Fraud Examiners», занимающейся изучением этой проблемы, был опубликован в 2010 году Доклад наций, который даёт представление о масштабе и остроте проблемы:

• типичная организация теряет 5% своего годового дохода из-за мошенничества. В 2009 году потери от мошенничества валового мирового продукта, составили более
$ 2,9 трлн.;
• средние потери от мошенничества в компании за год составляют $ 160000. Почти одна четверть махинаций приводит к потерям не менее $ 1 миллиона1;

По данным специалистов компании «Pricewaterhouse Coopers» и немецкого университета Мартина Лютера наибольший материальный ущерб организациям наносят свои сотрудники — так происходит примерно в половине случаев. Из них 58 % приходится на служащих, 30 % — на менеджеров, 12 % — на топ-менеджеров и собственников компаний. В среднем размер подобных убытков бизнесе равен 6–9 % прибыли2. По оценкам некоторых специалистов подобный ущерб среди российских компаний превышает среднемировые показатели, ввиду слабой проработки в нашей стране этих вопросов.

На сегодняшний день задача пресечения мошенничества и воровства как его частного случая решается в коммерческих организациях силами службы собственной безопасности в двух основных направлениях: «правильный» подбор персонала и постоянный контроль внутри коллектива фирмы. На первом направлении задача обеспечения безопасности решается путём всесторонней оценки личностных качеств кандидата со стороны работника службы HR и поиском полной информации о кандидате в сторонних источниках силами службы собственной безопасности. Для решения задач контроля действующих сотрудников существует множество способов, которые осуществляются с полным или частичным применением автоматизированных средств сбора информации.

Как правило, в распоряжении современных компаний имеется целый набор автоматизированных информационных систем по сбору и обработки и выдачи информации различного рода, будь то система учёта нахождения сотрудников на рабочем месте, система электронного документооборота, различные компоненты ERP-систем и т.д., которые могут быть как сильно, так и слабо интегрированы на основе имеющейся IT-инфраструктуры. Эти системы в процессе своей работы накапливают огромные объёмы данных, большинство из которых остаются невостребованными, ввиду слабой развитости аналитических средств, применяющихся на предприятии.

Решение задачи идентификации и предупреждению случаев мошенничества можно представить как работу по определенными направлениям. В общем виде она заключается в оценке текущего состояния степени защищенности организации от мошенничества на основе всей доступной информации, построении прогнозов его развития и выработке рекомендаций по управлению развитием.

Основные проблемы в решении поставленной задачи – «слабая формализация» (наличие количественных и качественных признаков, отсутствие математических моделей), структурная организация и наличие человека как активного элемента системы.

Будем называть задачу оценки текущего состояния защищенности и построении прогнозов ее развития задачей информационного мониторинга состояния защищенности организации от мошенничества, а человеко-компьютерные системы, обеспечивающие информационную поддержку подобного рода информационных задач, системами информационного мониторинга3.

Информационное пространство в котором собирается необходимая информация представляет собой совокупность различных информационных элементов, которые можно охарактеризовать следующим образом:

•  разнородность носителей информации, как например записи камер видеонаблюдения, логи баз данных, история обращения к ресурсам Интернета и т.д.;
•  фрагментарность: информация чаще всего относится к какому-либо фрагменту проблемы, причем разные фрагменты могут быть по-разному "покрыты" информацией;
•  разноуровневость: информация может относиться ко всей проблеме в целом, к некоторой ее части, к конкретному элементу проблемы;
•  различная степень надежности: информация может содержать конкретные данные различной степени надежности, косвенные данные, результаты выводов на основе надежной информации или косвенные выводы;
•  возможная противоречивость: информация из различных источников может совпадать, слегка различаться или вообще противоречить друг другу;
•  изменяемость во времени: проблема/процесс развивается во времени, поэтому и информация в разные моменты времени об одном и том же элементе проблемы может и должна различаться;
•  Возможная заинтересованность источника: информация отражает определенные интересы источника информации, поэтому может носить тенденциозный характер. В частном случае она может являться намеренной дезинформацией.

Таким образом, основная задача системы мониторинга мошенничества заключается в анализе массивов собранных данных и поиск в них корреляционных зависимостей между элементами информационного пространства. Помимо вышеописанных характеристик информационного пространства задача анализа осложняется ещё и тем, что состав элементов постоянно меняется, меняются их характеристики, и в отдельно взятый момент времени мы может не иметь полную информацию обо всех элементах системы, что намного осложняет проведения анализа.
Второй по важности задачей системы является сбор необходимых данных. Данные могут извлекаться из различных источников. Эти источники можно разделить на три категории:

• Всевозможные автоматизированные системы, используемые на предприятии, такие как система видеонаблюдения, пропускная система, СУБД для обработки и хранения управленческой информации и т.д.;
• Экспертные оценки, полученные от аудиторов или специалистов в области борьбы с мошенничеством;
• Оценки, полученные из опросов собственных сотрудников, как в прямой форме, так и в завуалированной.

Особое внимание следует уделить извлечению информации из автоматизированных систем, используемых в организации. На сегодняшний день существует огромное количество технических средств по автоматизированному сбору информации. Это и системы видеонаблюдения, и пропускные системы и различные базы данных, где накапливаются сведения различного характера и содержания, и системы электронного документооборота и т.д. Оценку эффективности этих систем можно включить в интегральную оценку технического направления.

Автором был предложен способ, который был внедрен в программный продукт фирмы «1С».  Суть метода заключается в том, что в базе данных дожны храниться логи действий пользователей, которые можно анализировать и выявлять по определнным правилам «подозрительные» действия. Например, изменение задним числом документа продажи товара и документа приема оплаты по этой продажи. Признаки «подозрительных» действий и диапазоны числовых показателей этих признаков – относительны, и должны задаваться через экспертные оценки, но в дальнейшем система может сама регулировать эти параметры на основе накопленного «опыта», т.е. самообучаться.
Для повышения достоверности выявления таких случаев, автором было предложено ввести версионирование документов, фиксирующих движение товаров и денег. Что позволяет оценивать не только время и вид манипуляций с данными, но и оценивать изменения во времени значений свойств объектов информационной базы.

Не смотря на огромные темпы развития компьютерных систем, ориентированных на решение задачи мониторинга и обработку такого рода информации, человек остаётся незаменимым участником процесса извлечения полезной информации из массивов данных. Аналитики  являются активным элементом системы мониторинга и, наблюдая и изучая элементы информационного пространства, делают выводы о состоянии проблемы и перспективах ее развития с учетом перечисленных выше свойств информационного пространства. Обычно аналитики образуют некоторую структуру (аналитический отдел, службу собственной безопасности и т.п.). В этом случае каждый аналитик "нижнего уровня" имеет дело с некоторой частью проблемы и работает с элементами информационного пространства, аналитики "более высокого уровня" имеют дело с более крупными фрагментами проблемы или проблемой в целом, и работают уже с выводами предыдущих аналитиков. При этом они могут ознакомиться с выводами более низкого уровня вплоть до элементов информационного пространства. Поэтому при построении системы мониторинга необходимо учитывать субъективность оценок каждого аналитика, потери информации при передачи её между аналитиками и «вес» оценки аналитика при рассмотрении различных вопросов.

Концепция построения системы мониторинга мошенничества предполагает максимальную автоматизацию сбора и обработки информации. Поэтому, предполагается, что все информационно-технические системы работают на общей IT-инфраструктуре и в той или иной мере интегрированы между собой. Это позволяет быстро собирать необходимые для анализа данные. Сам аналитический модуль может быть реализован на основе продуктов SAP, Oracle, 1С и т.д. или же как самостоятельный программный продукт. Его задача состоит в постоянной обработке собираемых данных, обновления состояния модели оценки защищенности, оперативного предоставления руководству или ответственным за безопасность сотрудникам отчета о текущем состоянии.

Для своевременного и качественного решения поставленных задач, учитывая противоречивость, разнородность и нецелостность получаемых данных, необходимо использовать специальный математический аппарат, отличный от методов традиционной математики.

Наиболее подходящим является математический аппарат, используемый в нечётких  вычислениях (fuzzy logic)4. На основе этой теории была разработана технология информационного мониторинга, подробно описанная в трудах Рыжова А.П., а в частности была решена основная проблема выбора оператора агрегирования информации5

Основные черты технологии информационного мониторинга можно изложить следующим образом.
Эта технология базируется на использовании ряда приемов, позволяющих обрабатывать подобного рода информацию. В частности:

•  для реализации возможности обработки информации из разнородных источников, в базе данных системы хранятся как сами документы, так и ссылки на них с оценкой содержащейся в них информации, данной экспертом;
•  для возможности обработки фрагментарной информации используется модель проблемы в виде дерева. Ясно, что для сложных проблем такое представление модели является несколько упрощенным, однако при этом достигается хорошая наглядность и простота работы с моделью проблемы;
•  обработка разноуровневой информации достигается за счет предоставления пользователю возможности отнести оценку конкретного информационного материала к разным вершинам дерева-модели;
•  обработка информации различной степени надежности и обладающей возможной противоречивостью или тенденциозностью достигается за счет использования лингвистических оценок экспертами данной информации;
•  изменяемость во времени учитывается фиксацией даты поступления информации при оценке конкретного материала, т.е. время является одним из элементов описания объектов системы.

Таким образом, системы, построенные на базе этой технологии, позволяют иметь развивающуюся во времени модель проблемы на основе оценок аналитиков, подкрепленную ссылками на все информационные материалы, выбранные ими, с общими и частными оценками состояния проблемы или ее аспектов. Использование времени как параметра системы позволяет проводить ретроспективные анализ и строить прогнозы развития проблемы (отвечать на вопросы типа "Что будет, если ... ?"). В последнем случае возникает возможность выделения "критических путей", т.е. таких элементов модели, малое изменение которых может вызвать значительные изменения в состоянии всей проблемы. Знание таких элементов имеет большое практическое значение и позволяет выявить "слабые места" в проблеме на текущий момент времени, разработать мероприятия по блокированию нежелательных ситуаций или провоцированию желательных, т.е. в некоторой степени управлять развитием проблемы.

Схема системы информационного мониторинга представлена на рис. 1.

Рисунок 1

Итак, система информационного мониторинга мошенничества должна позволять:
· единообразно обрабатывать разнородную, разноуровневую, фрагментарную, ненадежную, меняющуюся во времени информацию о возможных финансовых утечках;
· получать оценки состояния проблемы, отдельных ее аспектов;
· моделировать различные ситуации развития событий;
· выявлять “критические пути” развития, то есть выявлять те элементы системы безопасности, малое изменение состояния которых может качественно изменить состояние защищенности в целом.

Задача защиты от мошеннических действий носит комплексный характер и требует оценки проблемы с разных аспектов. Поэтому необходимо выделить отдельные направления обеспечения и провести анализ по каждому из них.

В свою очередь каждое направление можно также детализировать на отдельные подсистемы, процессы, функции. Степень детализации зависит от возможности получения оценки по каждому элементу. Если оценки различных источников сильно различаются или данные трудноформализуемые, то необходимо провести дальнейшую декомпозицию.

Для демонстрации принципов построения и работы системы были выделены четыре направления обеспечения безопасности рис. 2:

• организационная,
• техническая,
• правовая,
• финансовая.

Рисунок 2

Каждое направление можно оценить на выполняемость тех или иных требований и стандартов. Как например, организционная состовляющая может анализироваться на предмет сосредоточения ключевых финансовых потоков в одних руках, единоличное принятие важных управленческих решений людьми не несущих за это ответственность и т.д.

Техническое направление можно оценить по наличию систем контроля действий сотрудников как на предмет подозрительных перемещений, несанкционированного доступа к информации и т.д.

Помимо средств сбора данных необходимо наличие и правильная работа системы обработки этих данных и правильная интерпретация извлекаемой информации.

Дальнейшая декомпозиция необходима до того уровня, на котором эксперт или автоматическая система способна дать адекватную оценку с заданными границами допустимости, о применимости того или иного метода вывода финансовых ресурсов потенциальным мошенником. Количество методов мошенничества, на которые проверяется организация, конечно и ограничено перечнем, приведенном в Report of the Nations 20101.

В результате, каждому компоненту защиты соответствует множество оценок, разделенных по признаку отношения к тому или иному способу мошенничества. Используя математические методы нечетких вычислений, можно получить интегральную оценку как обеспечения защищенности как отдельного участка от вех рассмотренных способов, получить общую оценку защищенности организации от конкретного способа, и общую интегральную оценку защищенности всей организации от любых способов мошенничества.

Помимо этого система мониторинга мошенничества решает задачу определния наиболее уязвимых участков в организации, что помогает сосредотачивать ресурсы на закрытии наиболее опасных «дыр», а не заниматься усилением защиты от тех мошеннических действий, к которым потенциальный мошенник никогда не прибегнет, так как есть более лёгкие способы вывода финансовых средств.

Ещё одна практически полезная задача, которая решается данной системой – это задача распределения ограниченного бюджета, с целью максимизировать защищенность организации.

Таким образом, на основе вышеизложенных положений предлагается построить автоматизированную систему, которая способна обобщать разнородную и противоречивую информацию, полученную как на основе экспертных оценок, данных специалистами по различным направлениям обеспечения безопасности, так и оценок полученных из СУБД предприятия и из других информационно-технических систем, используемых в организации. И на основе полученных данных давать комплексную оценку защищенности и строить прогнозы развития состояния при различных изменениях влияющих факторов, а также решать комплекс смежных задач.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

• «Report of the Nation 2010» http://www.acfe.com/uploadedFiles/ACFE_Website/ Content/documents/rttn-2010.pdf
• «Глобальное исследование PwC в области управления частными финансами 2011» http://www.pwc.ru/en_RU/ru/wealth-management/assets/PwC_Private_banking_and_wealth_management_2011_RUS.pdf
• Рыжов А.П., Федорова М.С. Генетические алгоритмы в задаче выбора операторов агрегирования информации в системах информационного мониторинга. V Всероссийская конференция “Нейрокомпьютеры и их применение”. Сборник докладов. Москва, 17 - 19 февраля 1999 года,  с. 267-270.
• Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. М.: Мир, 1976. 166c.
• Рыжов А.П. Информационный мониторинг сложных процессов: технологические и математические основы. Кафедра математической теории интеллектуальных систем механико-математический факультет МГУ им. М.В. Ломоносова
• Минцберг Г. Структура в кулаке. Спб.: Питер, 2004, с. 23
• Леготина Ю.В., Бутрин А.Г. Проблемы финансовой логистики. //Логистика: современные тенденции развития, 2008, с.140