Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Если вы не видите фрода, это не значит, что его нет

jet_information_security
jet_information_security

Безопасность бизнеса: основные схемы мошенничества.

1 of 22
Download to read offline
Алексей Сизов, руководитель группы разработки решений по борьбе с мошенничеством Центра информационной безопасности компании «Инфосистемы Джет» Если вы не видите фрода, это не значит, что его нет 4 июня 2014 г.
© 2013 Инфосистемы ДжетБольше чем безопасность Обзор • Тенденции и причины мошенничества • Актуальные примеры хищений и контрольных процедур • Необходимость и достаточность для достижения эффективности 2© 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность © 2014 Инфосистемы Джет Защита от мошенничества
© 2013 Инфосистемы ДжетБольше чем безопасность Мошенничество: объективная реальность 4 Прямые хищения: • прямые убытки от хищений, выявляемые при инвентаризациях или закрытии отчетных периодов; • убытки в результате сговора сотрудников и партнеров. Гарантирование доходов: • действия сотрудников, приводящие к снижению прибыльности продаж; • злоупотребления должностными полномочиями, приводящие к неэффективности бизнес-процессов. © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Мошенничество: независимые оценки 5© 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Мошенничество: оценки потерь 6 Оценки потерь по некоторым направлениям: • использование программ лояльности, акций и скидок – 14,5 млн руб. в квартал; • подконтрольные хищения при приемках, логистике – 19 млн руб. в квартал; • инвентаризации, инкассации, взаимодействия с партнерами – 12 млн руб. в квартал. © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Инфраструктура мошенничества 7 Десятки основных систем Тысячи сотрудников Сотни тысяч учетных операций © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Обзор • Тенденции и причины мошенничества • Актуальные примеры хищений контрольных процедур • Необходимость и достаточность для достижения эффективности 8© 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Критичные точки 9 • Известные уязвимости / способы хищений • Привилегированные операции в учетных системах • Планы подразделений и бизнес-единиц • Контроль комплексного бизнес- процесса © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность 10 Пример: перекрестные возвраты Продажа Iphone 5 = 35 000 © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность 11 Пример: перекрестные возвраты Возврат* Iphone 5 = 35 000 Продажа* Iphone 5 = 30 000 Убыток 5 000 руб. © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Мошенничество с использованием бонусных карт сотрудниками 12© 2013 Инфосистемы Джет Номер карты Кол- во чеков Кол-во чеков на одного кассира Кол-во дней совершения операций Кол-во магазинов Потрачено (сумма в руб.) …00008 141 124 30 1 303 550 …00006 111 89 25 4 209 047 …00011 122 93 24 3 296 933 Пример: • Кол-во бонусных карт ~ 0,5% • Сумма начисленных баллов > 600 000 руб. • Сумма списанных баллов > 500 000 руб. © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Большой процент начислений бонусных баллов от суммы чека за покупку 13© 2013 Инфосистемы Джет • Кол-во магазинов ~ 10% • Сумма чеков > 3 500 000 руб. • Сумма начисленных баллов > 700 000 руб. Дата/Время Чек Магазин Сумма чека в руб. Сумма начисленных баллов в руб. 8 июня 2013 17:00:41 1…7 0009 608 500 9 июня 2013 20:09:27 1…4 0007 4 577 859 28 июня 2013 9:51:17 1…8 0009 3 707 853 Пример: © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Овердрафт карты лояльности 14© 2013 Инфосистемы Джет Отрицательный остаток • Кол-во карт > 100 • Сумма остатка > - 600 000 руб. Номер карты Дата баланса Остаток Сумма операций …00023 09 октября 2013 - 4 004 30 041,00 …00056 12 октября 2013 -7 511 10 004,20 …00017 21 октября 2013 -11 091 114 162,80 Пример: © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Возвраты финансовых услуг 15© 2013 Инфосистемы Джет Возврат услуг • Кол-во карт > 1800 • Сумма остатка > 2 60 000 руб. Пример: 1 магазин, 1 кассир Существование продажи Отсутствие продажи Существование продажи по чеку Всего продаж кассира Кол-во Сумма Кол-во Сумма Кол-во Сумма Кол-во Сумма Итого кол-во Итого сумма 65 102 038 26 43 099 1 300 20 7 520 92 145 437 © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Обзор • Коротко о главном. Мошенничество как оно есть • Актуальные примеры хищений контрольных процедур • Необходимость и достаточность для достижения эффективности 16© 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Эволюция процесса контроля 17 • Единый интерфейс анализа данных из разнородных ИТ-систем • Формирование инцидента в момент совершения хищения • Централизация процессов управления и контроля риск-менеджмента (от закупки до реализации) • Снижение времени проводимых проверок • Возможность организации проактивных мер защиты • Уменьшение влияния человеческого фактора © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Автоматизация и скорость анализа 18 Контроль известных рисков хищений в в режиме 24/7 Построение единой корпоративной модели оценки рисков Внедрение аналитической модели контроля аномалий Построение бизнес-модели реагирования, контроля и ответственности © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Комплексность контроля 19 Подразделения Иная деятельностьПродажи Логистика • Контроль денежных потоков • Текущие оценки эффективности • Операции возвратов и сторно • Бонусные карты • Целостность акционных цен Объекты контроля • Оплата закупок • Планы подразделений • Маркетинг • Кассовые операции • Программы лояльности • Маркетинговые акции • Работа агентов • Прием товаров • Уровень складов и состояние закупок • Работа сервисных центров Бизнес- процессы • Расхождение по приемке • Уровень отбраковки • Списание товаров © 2014 Инфосистемы Джет
© 2013 Инфосистемы ДжетБольше чем безопасность Проведение расследования + лишение премий / бонусов © 2014 Инфосистемы Джет 20
© 2013 Инфосистемы ДжетБольше чем безопасность Выгоды от внедрения 21 Бизнес • Возможность вернуть недополученную прибыль в размере 2% от выручки компании СБ • Организовать все человеческие ресурсы в единый эффективный механизм • Снизить влияние человеческого фактора ИТ • Снизить трудоемкость сбора и предоставления информации © 2014 Инфосистемы Джет
Контакты: Алексей Сизов, руководитель группы разработки решений по борьбе с мошенничеством Центра информационной безопасности компании «Инфосистемы Джет» +7 (495) 411-76-01

More Related Content

Если вы не видите фрода, это не значит, что его нет

  • 1. Алексей Сизов, руководитель группы разработки решений по борьбе с мошенничеством Центра информационной безопасности компании «Инфосистемы Джет» Если вы не видите фрода, это не значит, что его нет 4 июня 2014 г.
  • 2. © 2013 Инфосистемы ДжетБольше чем безопасность Обзор • Тенденции и причины мошенничества • Актуальные примеры хищений и контрольных процедур • Необходимость и достаточность для достижения эффективности 2© 2014 Инфосистемы Джет
  • 3. © 2013 Инфосистемы ДжетБольше чем безопасность © 2014 Инфосистемы Джет Защита от мошенничества
  • 4. © 2013 Инфосистемы ДжетБольше чем безопасность Мошенничество: объективная реальность 4 Прямые хищения: • прямые убытки от хищений, выявляемые при инвентаризациях или закрытии отчетных периодов; • убытки в результате сговора сотрудников и партнеров. Гарантирование доходов: • действия сотрудников, приводящие к снижению прибыльности продаж; • злоупотребления должностными полномочиями, приводящие к неэффективности бизнес-процессов. © 2014 Инфосистемы Джет
  • 5. © 2013 Инфосистемы ДжетБольше чем безопасность Мошенничество: независимые оценки 5© 2014 Инфосистемы Джет
  • 6. © 2013 Инфосистемы ДжетБольше чем безопасность Мошенничество: оценки потерь 6 Оценки потерь по некоторым направлениям: • использование программ лояльности, акций и скидок – 14,5 млн руб. в квартал; • подконтрольные хищения при приемках, логистике – 19 млн руб. в квартал; • инвентаризации, инкассации, взаимодействия с партнерами – 12 млн руб. в квартал. © 2014 Инфосистемы Джет
  • 7. © 2013 Инфосистемы ДжетБольше чем безопасность Инфраструктура мошенничества 7 Десятки основных систем Тысячи сотрудников Сотни тысяч учетных операций © 2014 Инфосистемы Джет
  • 8. © 2013 Инфосистемы ДжетБольше чем безопасность Обзор • Тенденции и причины мошенничества • Актуальные примеры хищений контрольных процедур • Необходимость и достаточность для достижения эффективности 8© 2014 Инфосистемы Джет
  • 9. © 2013 Инфосистемы ДжетБольше чем безопасность Критичные точки 9 • Известные уязвимости / способы хищений • Привилегированные операции в учетных системах • Планы подразделений и бизнес-единиц • Контроль комплексного бизнес- процесса © 2014 Инфосистемы Джет
  • 10. © 2013 Инфосистемы ДжетБольше чем безопасность 10 Пример: перекрестные возвраты Продажа Iphone 5 = 35 000 © 2014 Инфосистемы Джет
  • 11. © 2013 Инфосистемы ДжетБольше чем безопасность 11 Пример: перекрестные возвраты Возврат* Iphone 5 = 35 000 Продажа* Iphone 5 = 30 000 Убыток 5 000 руб. © 2014 Инфосистемы Джет
  • 12. © 2013 Инфосистемы ДжетБольше чем безопасность Мошенничество с использованием бонусных карт сотрудниками 12© 2013 Инфосистемы Джет Номер карты Кол- во чеков Кол-во чеков на одного кассира Кол-во дней совершения операций Кол-во магазинов Потрачено (сумма в руб.) …00008 141 124 30 1 303 550 …00006 111 89 25 4 209 047 …00011 122 93 24 3 296 933 Пример: • Кол-во бонусных карт ~ 0,5% • Сумма начисленных баллов > 600 000 руб. • Сумма списанных баллов > 500 000 руб. © 2014 Инфосистемы Джет
  • 13. © 2013 Инфосистемы ДжетБольше чем безопасность Большой процент начислений бонусных баллов от суммы чека за покупку 13© 2013 Инфосистемы Джет • Кол-во магазинов ~ 10% • Сумма чеков > 3 500 000 руб. • Сумма начисленных баллов > 700 000 руб. Дата/Время Чек Магазин Сумма чека в руб. Сумма начисленных баллов в руб. 8 июня 2013 17:00:41 1…7 0009 608 500 9 июня 2013 20:09:27 1…4 0007 4 577 859 28 июня 2013 9:51:17 1…8 0009 3 707 853 Пример: © 2014 Инфосистемы Джет
  • 14. © 2013 Инфосистемы ДжетБольше чем безопасность Овердрафт карты лояльности 14© 2013 Инфосистемы Джет Отрицательный остаток • Кол-во карт > 100 • Сумма остатка > - 600 000 руб. Номер карты Дата баланса Остаток Сумма операций …00023 09 октября 2013 - 4 004 30 041,00 …00056 12 октября 2013 -7 511 10 004,20 …00017 21 октября 2013 -11 091 114 162,80 Пример: © 2014 Инфосистемы Джет
  • 15. © 2013 Инфосистемы ДжетБольше чем безопасность Возвраты финансовых услуг 15© 2013 Инфосистемы Джет Возврат услуг • Кол-во карт > 1800 • Сумма остатка > 2 60 000 руб. Пример: 1 магазин, 1 кассир Существование продажи Отсутствие продажи Существование продажи по чеку Всего продаж кассира Кол-во Сумма Кол-во Сумма Кол-во Сумма Кол-во Сумма Итого кол-во Итого сумма 65 102 038 26 43 099 1 300 20 7 520 92 145 437 © 2014 Инфосистемы Джет
  • 16. © 2013 Инфосистемы ДжетБольше чем безопасность Обзор • Коротко о главном. Мошенничество как оно есть • Актуальные примеры хищений контрольных процедур • Необходимость и достаточность для достижения эффективности 16© 2014 Инфосистемы Джет
  • 17. © 2013 Инфосистемы ДжетБольше чем безопасность Эволюция процесса контроля 17 • Единый интерфейс анализа данных из разнородных ИТ-систем • Формирование инцидента в момент совершения хищения • Централизация процессов управления и контроля риск-менеджмента (от закупки до реализации) • Снижение времени проводимых проверок • Возможность организации проактивных мер защиты • Уменьшение влияния человеческого фактора © 2014 Инфосистемы Джет
  • 18. © 2013 Инфосистемы ДжетБольше чем безопасность Автоматизация и скорость анализа 18 Контроль известных рисков хищений в в режиме 24/7 Построение единой корпоративной модели оценки рисков Внедрение аналитической модели контроля аномалий Построение бизнес-модели реагирования, контроля и ответственности © 2014 Инфосистемы Джет
  • 19. © 2013 Инфосистемы ДжетБольше чем безопасность Комплексность контроля 19 Подразделения Иная деятельностьПродажи Логистика • Контроль денежных потоков • Текущие оценки эффективности • Операции возвратов и сторно • Бонусные карты • Целостность акционных цен Объекты контроля • Оплата закупок • Планы подразделений • Маркетинг • Кассовые операции • Программы лояльности • Маркетинговые акции • Работа агентов • Прием товаров • Уровень складов и состояние закупок • Работа сервисных центров Бизнес- процессы • Расхождение по приемке • Уровень отбраковки • Списание товаров © 2014 Инфосистемы Джет
  • 20. © 2013 Инфосистемы ДжетБольше чем безопасность Проведение расследования + лишение премий / бонусов © 2014 Инфосистемы Джет 20
  • 21. © 2013 Инфосистемы ДжетБольше чем безопасность Выгоды от внедрения 21 Бизнес • Возможность вернуть недополученную прибыль в размере 2% от выручки компании СБ • Организовать все человеческие ресурсы в единый эффективный механизм • Снизить влияние человеческого фактора ИТ • Снизить трудоемкость сбора и предоставления информации © 2014 Инфосистемы Джет
  • 22. Контакты: Алексей Сизов, руководитель группы разработки решений по борьбе с мошенничеством Центра информационной безопасности компании «Инфосистемы Джет» +7 (495) 411-76-01