Strona główna Bezpieczeństwo biznesu Jak dzisiaj chroni się firmy i własne pieniądze

Jak dzisiaj chroni się firmy i własne pieniądze

UDOSTĘPNIJ

Michał Czuma


Cofnijmy się do 2006 r., kiedy to Felipe Calderón, ówczesny prezydent Meksyku, wypowiedział wojnę kartelom narkotykowym. Dla dziennikarzy na całym świecie najważniejsze były spektakularne akcje policji i meksykańskich jednostek specjalnych, które rozpętały na wielką skalę proces likwidacji potęgi karteli narkotykowych.

Widzowie na całym świecie mogli śledzić historie opowiadane w filmach, zastanawiając się, gdzie leży prawda, a gdzie fikcja literacka. Prawdziwa walka rozpoczęła się jednak daleko od kamer, dzienników i bossów narkotykowego rynku. Film opowiadający tę historię mógłby się zacząć w gabinecie ministra finansów Meksyku, gdzie kilku urzędników tego ministerstwa spotkało się z ekspertami amerykańskich służb odpowiedzialnych za zwalczanie procesu prania brudnych pieniędzy oraz finansowania terroryzmu. To tam padło znamienne stwierdzenie, które sprawdziło się w czasach walki z terroryzmem: Dowiedz się, jak i między kim krążą pieniądze, a szybko poznasz największe sekrety swojego przeciwnika.

W tamtym czasie rynek narkotykowy dysponował kosmicznymi kwotami. Gra toczyła się o wysoką stawkę. USA były i są największym rynkiem odbiorców narkotyków na świecie. Szacuje się, że z usług dilerskich korzysta ponad 24 mln Amerykanów, wydając na narkotyki średnio 140 dolarów dziennie. To dziesiątki, jeśli nie setki miliardów dolarów, łakomy kąsek dla wielu. Ale dopóki te pieniądze znajdują się w szarej strefie, magazynowane gdzieś w czeluściach ukrytych i pilnie strzeżonych magazynów, dopóty nie mogą trafić do legalnego obrotu. Wartość brudnych, czyli niewprowadzonych do legalnego obrotu pieniędzy, tylko teoretycznie jest duża, ale w realnym wymiarze to pieniądz w szarej strefie, wciąż kupa niewiele wartej, bo bezużytecznej waluty. Dlatego najsłabszym punktem każdego nielegalnego biznesu jest przeniesienie pieniędzy z szarej strefy do legalnej.

Przy setkach miliardów dolarów rocznie, jakie zarabiano na narkotykach, proces legalizowania (czytaj: „prania”) brudnych pieniędzy był niebezpieczny dla karteli. Łatwo można było wpaść i wszystko stracić. A legalny pieniądz baronom i powiązanym z nimi ludziom daje realną władzę. Kartele robiły wszystko, by zrealizować jeden cel: wyprać pieniądze z narkotyków. Gdy do tego dochodzą pieniądze z wyłudzeń i przestępstw finansowych, będące efektem oszustw podatkowych, finansowych oraz wielkich łapówek, nie dziwi nikogo, że przy takim zapotrzebowaniu na zalegalizowanie ogromnych pieniędzy pojawiają się chętni, by ten proceder ułatwić i jeszcze na tym świetnie zarobić.

Przy tak dużych pieniądzach, gdy za jednego dolara można było czasami zarobić nawet 80 centów, skuszenie bankierów i ludzi biznesu nie było procesem trudnym. W lipcu 2012 r. jedna z komisji Senatu USA poinformowała, że brak kontroli w brytyjskim banku HSBC dotyczącej prania brudnych pieniędzy umożliwił kartelom narkotykowym i terrorystom dostęp do amerykańskiego systemu finansowego. Tylko w latach 2007–2008 przez HSBC przepłynęło z Meksyku do USA 7 mld dolarów, znaczna ich część miała pochodzić z handlu narkotykami. HSBC zapłacił rekordową karę, co najmniej 1,9 mld dolarów.
W lutym 2017 r. media informowały o karze, jaką amerykański nadzór finansowy nałożył na jeden z największych europejskich banków – Deutsche Bank – za przymykanie oka na nieuczciwe, wielomiliardowe transakcje swoich klientów. Chcąc uniknąć niepotrzebnego rozgłosu, DB zgodził się na zapłacenie Amerykanom 630 mln dolarów grzywny, uznając tym samym swoją winę w akceptowaniu procederu prania brudnych pieniędzy. Jak ustalili finansowi śledczy z USA i Wielkiej Brytanii, w ciągu zaledwie 4 lat rosyjscy „biznesmeni” „wyprali” 10 mld dolarów, czyli mniej więcej tyle, ile wynosi w Polsce deficyt budżetowy!

Narkotykowi bonzowie z Ameryki Południowej korzystali z usług nie tylko HSBC. Pierwszą instytucją, która została otwarcie oskarżona o pomoc kolumbijskim kartelom, w tym osławionemu kartelowi z Medellin, był brytyjski Barclays Private Bank. Sprawa wyszła na jaw w 2006 r., a bank został ukarany grzywną w wysokości prawie 9 mln funtów szterlingów.

Niestety niedoskonały nadzór, czasami chciwość menedżerów sprzyjają takim zachowaniom. Nie tylko banki są narażone na to, że mogą być wykorzystywane jako „pralnie”. Tak naprawdę każda firma działająca legalnie może być środkiem prowadzącym do legalizacji „brudnych pieniędzy”. Aby wykrywać ten proceder, nałożono na firmy wiele obowiązków (i są kolejne) związanych z przeciwdziałaniem praniu brudnych pieniędzy. Ale wiele firm sięgnęło i sięga po narzędzia, które służąc wykrywaniu procederu, okazały się świetne w działaniu pozwalającym chronić własne pieniądze i wykrywać tych, którzy pasożytują na budżetach niemal 89% wszystkich firm.

„Cudownym” środkiem okazały się aplikacje wykorzystywane wcześniej przez amerykańskie służby specjalne, które śledząc nielegalne operacje finansowe w sektorze bankowym i giełdowym, starały się dotrzeć do osób i rządów finansujących terroryzm. Nie wymienię producentów tego oprogramowania, ale dzisiaj każdy zainteresowany ma dostęp do tych aplikacji i może zaimplementować produkty, które niczym nie różnią się od tych, które jeszcze 10–20 lat temu były oznaczone symbolem classified, secret czy confidential i pozwalały na wykrywanie źródeł pochodzenia nielegalnych pieniędzy.

Podpięcie systemów bankowych pod jeden system rejestrujący anomalie w obrocie finansowym spowodowało, że kartele musiały wynieść się z pieniędzmi z Meksyku. Cały koszt budowy systemu wykrywającego pranie brudnych pieniędzy zwrócił się szybko w kilka miesięcy – kiedy rząd Meksyku skonfiskował wywożone w panice i na masową skalę pieniądze z lewych, założonych na słupy kont bankowych.

Rozwiązania systemowe, które sprawdziły się w wielu krajach, by zwalczać nielegalne, przestępcze działania, przyczyniły się do tego, że z dziesięciu najważniejszych ludzi w kartelu Los Zetas trzech nie żyje, a siedmiu przebywa w więzieniu. Rząd meksykański ogłosił zwycięstwo nad grupą, która została pozbawiona przywództwa, chociaż w jej miejsce pojawiły się inne kartele powoli przejmujące terytoria i równie okrutne jak poprzednicy. Tylko w zeszłym roku w Meksyku, w walkach pomiędzy gangami narkotykowymi oraz wojskiem zginęło ponad 29 tys. osób. Ta wojna byłaby jednak o wiele bardziej krwawa, gdyby nie praca kilkudziesięciu programistów, którzy jeszcze na początku lat 90., pracując dla izraelskiego, a później amerykańskiego wywiadu nie znalazło sposobu na przewidywanie szykowanych przez terrorystów zamachów poprzez analizę przepływów na kontach w globalnej sieci transferów pieniężnych.
Dzisiaj cywilne wersje tych aplikacji znajdują się w użyciu wielu różnych biznesów na całym świecie, od firm internetowych po banki oraz duże koncerny produkcyjne i usługowe. Systemy te, potocznie zwane systemami zarządzania ryzykiem wyłudzeń albo systemami antyfraudowymi, są codziennie stosowane na świecie, od wielu już lat działają również w Polsce.

Dzisiaj żaden poważny i liczący się biznes, czy jest to bank, firma leasingowa, pożyczkowa, faktoringowa, czy działalność prowadzona w Internecie, fintech, sprzedaż mobilna czy rozproszony kanał sprzedaży bezpośredniej, rozległa sieć dystrybucyjna, czy tylko sklep internetowy – to wszystko nie działa prawidłowo, jeśli nie ma systemu wykrywania fraudów. Najlepsze strategie sprzedażowe, plany marketingowe, wdrożenie niesamowitych produktów, usług czy decyzje strategiczne redukujące koszty lub etaty nie przynoszą spodziewanych efektów, jeśli wraz z nimi nie implementuje się dostosowanych do potrzeb i oczekiwań firmy systemów wykrywających nadużycia.
Chcąc mieć przewagę nad konkurencją, trzeba mieć dobry system podpięty pod systemy CRM, systemy transakcyjne, magazynowe, rejestrujące stany towarów, przelewy na kontach firmowych, analizujących zachowania klientów, dostawców, pośredników, franczyzobiorców, pracowników, systemy ewidencji, systemy HR rejestrujące obecność w pracy, systemy monitorujące służbowe telefony komórkowe, smartfony, komputery, iPady oraz notebooki, pocztę korporacyjną, a nawet ewidencję wejść i wyjść z firmy, monitorujących ruch GPS samochodów służbowych i wielu innych systemów monitorujących, takich jak kamery dozorowe i wszystko to, co nazywa się globalnie systemami klasy SIEM (Security Information and Event Management) po to tylko, by ludzie, na których przerzuca się ciężar wykrywania nadużyć, mogli w terabajtach informacji wskazać te 0,037% danych, które pozwalają ujawnić zdarzenie generujące zagrożenia i straty, które dopiero mogą się wydarzyć.

Brzmi to trochę jak science fiction, gdzie globalnie wykrywa się i likwiduje możliwość spowodowania zagrożenia, jeszcze nim pomysł o nim powstał w głowie potencjalnego sprawcy, opisany w opowiadaniu Philipa K. Dicka Raport mniejszości, przeniesionego na ekrany kin w 2002 r. przez Stevena Spielberga. To, co opisał Dick, w bardziej realnym zakresie już jest, istnieje i działa. W wielu korporacjach pracownicy obsługujący zgłoszenia reklamacyjne, zanim odbiorą połączenie od niezadowolonego klienta, już wiedzą, z jakim problemem do nich dzwoni. Nie muszą czekać na informacje – system identyfikacji klienta wywołuje na ekranie monitora nie tylko historię jego zakupów, jego dane dotyczące zamieszkania, płatności, zaległości, z wykresem jego zachowań sprzedażowych, ale także pokazuje informacje o tym, czy dzwoniący nie jest osobą zaklasyfikowaną jako potencjalny oszust albo nie usiłuje się pod klienta podszyć.

W wielu firmach przychodzący do pracy menedżerowie mają na swoich skrzynkach wygenerowane przez systemy antyfraudowe informacje o pracownikach, którzy deklarowali urlop, a faktycznie przebywali na terenie innych firm, bo ich telefony służbowe zalogowały się w lokalizacjach konkurentów. Małe i duże firmy ubezpieczeniowe, banki, firmy sieciowe lokalne i globalne są informowane o alertach wykrywających próby oszustw wewnętrznych, wyłudzeń, kradzieży, sygnały o pojawieniu się „anomalii” w konkretnych oddziałach, firmach współpracujących, w działaniach pracowników, systemów, które generują ryzyko strat, i przez to, dzięki przyjętym wcześniej politykom, zostały zablokowane albo przekazane wraz z raportem i dokumentacją źródłową.

Większość firm, która zainstalowała u siebie tego rodzaju rozwiązania, nie widzi już bez nich swojego istnienia na rynku. Ci, którzy się zdecydowali na ich zakup, wdrożenie i stosowanie, często wcześniej doświadczyli tego, jak boleśnie dla portfeli i reputacji firm kończy się oszczędzanie na bezpieczeństwie biznesu, jak się kończy słaby albo zupełny brak monitorowania firmy, procesów i wiara „na słowo”, że każdy menedżer, pracownik czy klient, deklarując, iż będzie dotrzymywał warunków podpisywanych przez siebie umów, dotrzyma danego słowa. Duże straty, efekt analizy procesów, audytów mających na celu wykrycie przyczyn rosnących kosztów funkcjonowania firm i strat z tytułu nieuczciwości, poniesione straty wizerunkowe – wszystko to sprzyja decyzji o zakupie systemów antyfraudowych. Dzisiaj większość firm kupi takie systemy. Ci, którzy tego nie zrobią, wcześniej czy później znikną z rynku.

Przy rosnącej ilości danych, jakie codziennie rejestruje się w firmach, szczególnie otrzymywanych z systemów monitorujących, tworzą się ogromne zasoby, których człowiek nie jest w stanie samodzielnie przeanalizować i zinterpretować na tyle, by mogły stanowić podstawę do podjęcia decyzji zarządczych niwelujących ryzyko poniesienia strat. Właściciele firm już rozumieją prostą prawdę. Tańsze jest przeciwdziałanie stratom niż ich likwidacja.To sprawia, że firmy kupują, wdrażają i intensywnie korzystają z systemów zarządzania ryzkiem nadużyć, jednocześnie budując biura antyfraudowe podejmujące natychmiastowe działania mające na celu wyeliminowanie w zarodku patologii w funkcjonowaniu przedsiębiorstwa.

Łatwo można sobie wyobrazić, dlaczego firmy sięgają po tego typu rozwiązania. Wystarczy uzmysłowić sobie to, co odkryłem, analizując dane o wykrywanych przez moje zespoły fraudach, a mianowicie że ok. 0,037% kooperantów i pracowników w jednej tylko firmie potrafi generować straty mieszczące się w przedziale 3–8% obrotów firmy rocznie. Zastosowanie rozwiązań antyfraudowych powoduje, że ponoszone straty są mniejsze o blisko 95%.

Jeśli więc planujesz zwiększenie sprzedaży, wejście na nowe, ryzykowne rynki i chcesz odnieść sukces nową strategią, produktami czy usługami, zapomnij o sukcesie, gdy nie masz w firmie wdrożonego skutecznego systemu antyfraudowego i sprawnie działającego zespołu, który natychmiast podejmie działania mające na celu zlokalizowanie, udokumentowanie i odsunięcie nieuczciwych pracowników, menedżerów czy kontrahentów lub klientów od generowania strat i zagrożeń dla firmy.

Zorganizowane grupy oszustów wielkim łukiem omijają te firmy i korporacje, w których działają systemy i biura antyfraudowe – tam ryzyko ich wpadki jest prawie pewne. Większość oszustów zachowuje się jak złodziej chodzący po osiedlu czy klatkach schodowych bloków naszych domów. Chwytają za klamki, usiłując sprawdzić, czy drzwi są zamknięte. Plądrują mieszkania i domy z otwartymi drzwiami.

W dobie Big Data – ogromnej ilości danych i leadów generowanych w krótkim czasie – praca analityków już nie wystarcza. Potrzebują oni wsparcia systemowego i narzędziowego. Dzisiejsze oszustwa są skuteczne, gdyż nie są proste, dzieją się szybko, ale są powtarzalne w długim okresie. W masie transakcji zawsze może coś umknąć. W zdecydowanej liczbie firm większość danych napływających z systemów nadzorczo-monitorujących jest tylko archiwizowana. Same w sobie są bezużyteczne, bo kto je będzie analizował i wyciągał z nich wnioski, jeśli są to gigabajty danych na sekundę?
Systemy tej klasy wykorzystują zaawansowaną analitykę bazującą na profilach klientów, urządzeń, lokalizacji, kontrahentów itp. Dane zbierane ze wszystkich wykorzystywanych w danej organizacji kanałów komunikacji z klientem są przetwarzane w jednym silniku analitycznym zbudowanym z reguł logicznych zdolnych do wykrycia transakcji podejrzanych i wskazania wartości ryzyka, jakim jest obarczona dana transakcja (scoring), albo wprost rejestrujących i wskazujących anomalie (analiza behawioralna) w zachowaniach ludzi oraz wykonywanych przez nich czynności lub przekazywanych przez nich informacji. Na bazie takiej informacji transakcja może zostać zablokowana lub przekazana do weryfikacji. Wysokiej klasy rozwiązania umożliwiają weryfikowanie i ewentualne blokowanie podejrzanych transakcji w czasie rzeczywistym. I co najważniejsze – nie redukują sprzedaży, ale poprawiają jej jakość, a także klarują jakość portfela klientów.

Czy przy zakupie lub w trakcie obsługi sprzedaży zadałeś sobie pytanie: Skąd oni to wiedzą? Skąd wiedzą, że nie było mnie w kraju albo gdzie kupiłem aplikację do komputera? Pracownik infolinii banku czy firmy usługowej przywitał cię pytaniem o podanie danych – to oznacza, że masz do czynienia z firmą, która już wie o tobie bardzo dużo. A jeśli nie otrzymałeś odmowy i dostałeś to, o co prosiłeś, oznacza, że system antyfraudowy ocenił cię dobrze i masz w danej firmie wysoką reputację.
Taka jest dzisiaj normalność. Jeśli tego jeszcze w swojej firmie nie masz, zastanów się, dlaczego zwlekasz. Za chwilę twojej firmy może już nie być…

Michał Czuma
Wiceprezes i współwłaściciel G+C Kancelaria Doradców Biznesowych. Wcześniej stworzył i zarządzał pierwszymi w kraju Biurami Antyfraudowymi w spółkach grupy PKO BP. Były wieloletni z-ca dyrektora Departamentu Bezpieczeństwa PKO BP.