IT machtig wapen in strijd tegen fraude
Onlangs verscheen een onderzoek van de Association of Certified Fraud Examiners naar fraude door medewerkers van organisaties. De uitkomsten van het wereldwijde onderzoek zijn op z’n zachtst uitgedrukt onrustbarend. Uit het rapport blijkt dat organisaties per jaar gemiddeld 5 procent van hun omzet kwijtraken door fraude; in het onderzoek komt dat gemiddeld neer op een dikke ton en meer dan een vijfde van de fraudegevallen kostte de getroffen organisatie zelfs een miljoen. Het fraudebedrag is hoger naarmate de dader een hogere positie bekleedt of langer in dienst is.
Bovendien zijn de meeste fraudeurs debutanten en hebben een keurig arbeidsverleden. Het ergste is nog dat de helft van de getroffen organisaties nooit meer iets terug ziet van het ontvreemde geld.
Toch doen de meeste organisaties niet stelselmatig onderzoek naar fraude. Het duurt dan ook gemiddeld maar liefst achttien maanden voor de fraude überhaupt wordt ontdekt en dan meestal nog door een tip, of toevallig tijdens een review, een audit, een opschoningactie of gewoon: zomaar.
Overgeleverd aan het toeval dus, terwijl fraude ernstige schade aan de organisatie kan toebrengen. Veel instellingen hebben bovendien te maken met criminelen van buitenaf die met allerlei listen en valse informatie grote hoeveelheden geld naar privérekeningen sluizen. De conclusie is dat het tijdig detecteren van fraude en oplichtingspraktijken voor organisaties van grote betekenis is.
In dit landschap spelen stelselmatige controles door gespecialiseerde IT-systemen nog nauwelijks een rol. De meeste audits en controles vinden handmatig plaats, een aanpak die weinig kans op succes heeft. Bovendien zijn waarschijnlijk weinig financieel managers bekend met de huidige stand van de technologie op het gebied van fraudebestrijding. Er kan veel, heel veel zelfs.
Vrijwel alle communicatie over transacties verloopt digitaal en er dagelijks verdwijnen gigantische hoeveelheden data in opslagsystemen. Het ligt voor de hand om al die beschikbare data door een systeem te laten onderzoeken op patronen, verbanden en correlaties, en te laten toetsen aan standaarden voor aannemelijkheid en gedrag. Een dergelijk systeem moet beschikken over voldoende capaciteiten om snel enorme hoeveelheden data te verwerken en intelligente software die de gegevens kan analyseren. Zo kan de opsporingstijd worden teruggeschroefd van een toevallige achttien maanden naar een solide achttien seconden – of minder.
Een dergelijk systeem is in staat de transacties te analyseren als ze plaatsvinden – in real-time dus. De mogelijke fraude wordt direct geconstateerd en niet pas na enkele weken of maanden. Het is vervolgens aan de verantwoordelijk financieel manager om maatregelen te treffen of de fraude nog enige tijd – gecontroleerd – door te laten gaan om de dader op heterdaad te kunnen betrappen, of de vermoedelijke frauduleuze transacties direct te blokkeren.
Een fraudemanagementsysteem stoort zich bovendien niet aan landsgrenzen en kan de loop van ontvreemd geld volgen tot in de verste uithoeken van de wereld. Het systeem moet bijvoorbeeld kunnen constateren dat een creditcardbetaling in Seoel niet past in het kader van aannemelijkheid als er twee uur tevoren een huurauto in Glasgow mee is betaald. Het systeem spoort mogelijke fraude snel op en vergroot zo de kans om de fraude te voorkomen, de pakkans voor de dader en de mogelijkheid op het terugkrijgen van het gestolen geld.
Welke stappen zijn belangrijk voor een financieel manager om fraude tegen te gaan?
1. Zorg voor een fraudemanagementsysteem dat real-time werkt, 24×7.
2. Analyseer alle transacties en dataverkeer om afwijkende patronen te vinden op basis van relaties, logica en parameters.
3. Zorg ervoor dat het systeem verschillende alerts stuurt bij mogelijk afwijkende transacties, waarschijnlijke fraude en zekere frauduleuze handelingen.
4. Zorg dat de handelingen van fraudeurs direct worden geblokkeerd of indien gewenst continu worden gevolgd.
5. Bouw een dossier op over de fraude, met alle gegevens inclusief geografische informatie en netwerkconnecties.
6. De verantwoordelijke voor fraudedetectie werkt het beste met duidelijke, intuïtieve bedieningsschermen.
7. Regels voor fraudedetectie en andere parameters moeten gemakkelijk worden aangepast; zorg voor een simulatieomgeving beschikbaar om de werking te testen en zo het aantal valse alarmen te minimaliseren.
Een professionele, systematische aanpak van mogelijk criminele activiteiten binnen organisaties gaat niet over Total Cost of Ownership of Return on Investment. Een fraude management oplossing, biedt de organisatie de zekerheid dat fraude snel wordt onderkend, of zelfs wordt voorkomen. De opbrengst daarvan laat zich niet alleen uitdrukken in geld.
Mark Raben
Director Innovation & Product Strategy bij SAP Nederland