Zagrożenie przestępczością gospodarczą to stale rosnący oraz coraz bardziej złożony problem. Biegły rewident coraz częściej zmuszony jest dziś korzystać z pomocy specjalistów wykorzystujących techniki śledcze i technologie.
Metody stosowane przez przestępców gospodarczych rozwijają się równolegle z postępem technologicznym jaki nieprzerwanie zachodzi w handlu i w biznesie. W miarę jak tradycyjne formy wymiany handlowej tracą na znaczeniu na rzecz instrumentów finansowych, a relacje między partnerami handlowymi stają się coraz bardziej zdepersonalizowane i zależne od udziału pośredników, poszerza się spektrum nadużyć finansowych, które godzą w mechanizmy warunkujące efektywność wymiany handlowej. Czy zmiany technologiczne jakie zaszły w biznesie w następstwie rewolucji cyfrowej, przekładają się również na skłonność do popełniania przestępstw gospodarczych oraz na ich wykrywanie i zwalczanie?
Próbę udzielenia odpowiedzi na to pytanie i objaśnienia jej skutków podjęli eksperci EY i Association of Chartered Certified Accountants w raporcie, którego pełną wersję można pobrać , tutaj (pdf). Raport przedstawia wnioski i przemyślenia przedstawicieli kadr kierowniczych wyższego szczebla na temat bieżącej sytuacji, a także wskazówki przydatne z punktu widzenia opracowywania przyszłych strategii.
Rozdział 1
Ewolucja środowiska cyfrowego
Postępująca cyfryzacja doprowadziła do zwiększenia skali i dynamiki przestępstw gospodarczych, a także poszerzenia ich dotychczasowego spektrum.
Wraz z postępem technologicznym znacznie pogłębił się zakres, w jakim narzędzia technologiczne uzupełniają, a nawet całkowicie zastępują dotychczasowe mechanizmy budowy zaufania.
Nasi eksperci zaproszeni do panelu zgodnie stwierdzili, że postępująca cyfryzacja doprowadziła do zwiększenia skali i dynamiki przestępstw gospodarczych, a także poszerzenia ich dotychczasowego spektrum.
Przed rewolucją cyfrową dokonanie nadużycia metodą „cold call” wymagało wysłania listu lub przeprowadzenia rozmowy telefonicznej, zaś ponoszone przez sprawcę koszty rosły liniowo wraz ze skalą procederu. Usługa mailingu masowego i łatwość dostępu do list mailingowych pozwala przestępcom znacząco zwiększyć liczbę ofiar do których mogą dotrzeć podczas pojedynczego ataku.
Jak zauważa Anthony Harbinson, dyrektor organizacji Safer Communities z Irlandii Północnej: „Nawet, jeśli na 1000 wysłanych maili przypada tylko 1 odpowiedź, i tak może się ona okazać źródłem świetnego zarobku.”
Przestępczy proceder stał się również łatwiejszy na skutek pojawienia się szyfrowanych komunikatorów i niepublicznych chatroomów, dzięki którym przestępcy mogą wymieniać się doświadczeniami i doskonalić pomysły na kolejne oszustwa. „W darknecie za kwotę od 5 do 55 USD można nabyć szablony, które wysłane do dowolnej organizacji będą łudząco przypominać jej własne dokumenty, jednak zamieszczone w nich odsyłacze będą zawierać przekierowania do kont bankowych lub adresów wybranych przez przestępców”, wyjaśnia Harbinson."
Z kolei Patrick Craig, Partner w Ernst & Young LLP (Wielka Brytania) i EY EMEIA Financial Crime Technology Leader ostrzega: „Dziś, by dysponować armią wirtualnych agentów, którzy wykonają zlecone ataki lub wypiorą brudne pieniądze wystarczy zaopatrzyć się w darknecie w złośliwe oprogramowanie, sieć komputerów-zombie i kont-mułów, podczas gdy kiedyś trzeba byłoby zwerbować setki osób.” Nowe technologie pozwalają skutecznie działać również tym przestępcom, którzy nie posiadają wystarczających kwalifikacji, by samodzielnie pracować przekonujący schemat nadużycia..
Globalna wioska
Umożliwiając prowadzenie działalności gospodarczej z pominięciem ograniczeń wynikających z położenia geograficznego, Internet otworzył nowe perspektywy nie tylko przed legalnym biznesem, ale również przed przestępcami. Zagraniczny stempel na znaczku pocztowym, czy obcy akcent w słuchawce telefonu u wielu konsumentów od razu budzi podejrzliwość. Jednak posługując się spreparowanymi stronami internetowymi, czy wiadomościami e-mail ze zmodyfikowanymi danymi nagłówkowymi (tzw. spoofing) przestępcy łatwo mogą uśpić czujność potencjalnych ofiar, zwłaszcza gdy zadbają o prawidłową weryfikację treści przez rodowitego użytkownika języka.
Rachel Sexton, Partner, Ernst & Young LLP UK, Forensic & Integrity Services zwraca uwagę na zmiany w modelu działania przestępców: „Moim zdaniem technologia umożliwiła przestępcom atakowanie ofiary z bezpiecznej odległości. Jesteśmy świadkami ataków przychodzących z różnych części świata – których celem są na przykład brytyjskie banki. Obecnie proceder ten stał się niezwykle wyrafinowany – przestępcy uderzają w sposób zdalny pozostając przy tym relatywnie anonimowi.”
Postęp technologiczny nie tylko przyczynił się do rozpowszechnienia znanych już wcześniej form przestępstw, ale także otworzył przed przestępcami zupełnie nowe możliwości. Ekspansja kryptowalut, w połączeniu z ich potencjałem do przechowywania i przenoszenia wartości w sposób zapewniający pełną lub częściową anonimowość, zrewolucjonizowała niektóre gałęzie przestępczości gospodarczej. Wydaje się jednak, że bardziej konwencjonalne nadużycia gospodarcze będą nadal prowadzone w oparciu o pieniądz fiducjarny.
Claire Jenkins, specjalistka ds. księgowości śledczej w brytyjskim urzędzie ds. rejestracji spółek Companies House, zaznacza: „Myślę, że warto zadać sobie pytanie na ile czulibyśmy się komfortowo współpracując z kimś, kto chce rozliczać się wyłącznie w kryptowalutach. Czy można uznać za prawdopodobne, że ludzie zaakceptowaliby taką formę rozliczeń? Mam co do tego pewne wątpliwości.”
Choć większość z uczestników „Światowego badania nadużyć gospodarczych EY” z 2018 r. potwierdziło, że w niedalekiej przyszłości ich organizacje będą rutynowo stosować cyfrowe systemy płatności, zaledwie 4% respondentów spodziewa się prowadzenia rozliczeń w kryptowalutach. Jednak w sytuacjach, w których z zasady nie ma mowy o zaufaniu, obraz ten zmienia się radykalnie. Możliwość anonimowego transferowania wartości ma olbrzymie implikacje zarówno dla procederu prania brudnych pieniędzy, jak i szerzej rozumianej przestępczości gospodarczej, obejmującej np. przemyt ludzi.
Postępująca globalizacja i cyfryzacja nieprzerwanie zmienia oblicze przestępczości gospodarczej zwiększając jej dynamikę i poziom złożoności. Chcąc sprawnie wykrywać i reagować na ryzyko nadużyć, biegły rewident coraz częściej zmuszony jest dziś korzystać z pomocy specjalistów wykorzystujących techniki śledcze i technologie.
Nowe horyzonty
Prowadzenie dokumentacji i zarządzanie danymi zawsze miało fundamentalne znaczenie dla skutecznego podejmowania decyzji biznesowych. Audyty i kapitał zaufania jaki na ich bazie budowany jest wśród interesariuszy, bazują na użytecznych i wiarygodnych danych. Jednak w erze cyfrowej nastąpił bezprecedensowy wzrost dostępności danych, których ilość i różnorodność przekroczyła najśmielsze oczekiwania.
Oczywiście sytuacja taka otwiera przed księgowymi nowe perspektywy – im szerszy strumień danych, tym wyższa wartość i dokładność opracowanych na ich podstawie analiz. Aby wykorzystać te możliwości, księgowi mogą również współpracować z działami ds. zapewnienia zgodności i zarządzania ryzykiem, b wspólnie identyfikować potencjalne obszary ryzyka i oceniać skuteczność wdrażanych mechanizmów kontrolnych.
Z drugiej jednak strony, z szans, jakie otwierają się przed legalnym biznesem korzystać może również świat przestępczy. Od dawna wiadomo jaką wartość mogą mieć dla firmy bazy danych klientów bezpośrednich konkurentów. Coraz częściej przestępcom zależy jednak, przede wszystkim, na pozyskaniu danych osobowych znajdujących się w posiadaniu przedsiębiorstw.
Na pierwszy rzut oka zagadnienie przestępczości gospodarczej wydaje się być tematem starym jak świat, w którym wszystko zostało już powiedziane. A jednak stale odkrywamy nowe mechanizmy nadużyć i nowe kategorie sprawców. W nieustannej pogoni za nowymi czynnikami ryzyka warto czasem na chwilę przystanąć i zastanowić się czy nie nadszedł czas, by zasadniczo przewartościować dotychczasowe strategie wykorzystania zasobów ludzkich, procesów i technologii.” Jeanne Boillet, EY Global Accounts Committee Assurance Lead
Ustalenie, gdzie w strukturze przestępczości gospodarczej mieszczą się takie działania, będzie wyzwaniem, które wpłynie na reakcję regulacyjną. Prawdopodobnie w spektrum, które obejmuje oszustwa, pranie pieniędzy, a nawet handel ludźmi, jest miejsce na celowe atakowanie urządzeń generujących dochody przedsiębiorstwa jako sposobu na generowanie dochodów dla złodziei.
Rozdział 2
Polityka i praktyka
Problem do rozwiązania: zadbać, aby infrastruktura regulacyjna z nią powiązana była proporcjonalnie rozbudowana i wyposażona w sposób umożliwiający rozwój innowacji przy jednoczesnym zapewnieniu istotnych zabezpieczeń.
Biorąc pod uwagę zmienność środowiska technologicznego, ACCA i EY zbadały ewoluującą rolę organów regulacyjnych, innych instytucji rządowych oraz księgowych w zwalczaniu przestępczości gospodarczej ery cyfrowej. Z przeprowadzonych dyskusji wyłania się jasna konkluzja: specjaliści, z którymi rozmawiano na potrzeby przygotowania niniejszego raportu zgadzają się, że nie zmienił się ani ogólny cel regulacji, ani napięcia związane z wprowadzaniem innowacji.
Nadal istnieje pilna potrzeba stworzenia środowiska regulacyjnego, które wspiera innowacje finansowe, a jednocześnie ogranicza czynniki ryzyka dla konsumentów i przedsiębiorców, pozwalając im na podejmowanie świadomych decyzji, opartych na zweryfikowanych informacjach. Biegli rewidenci mogliby ocenić, czy spółka należycie wywiązała się z obowiązku wdrożenia środków kontrolnych wymaganych na mocy stosownych przepisów i regulacji sektorowych obowiązujących w jurysdykcji, w której prowadzi działalność.
Dotyczy to oczywiście nie tylko przepisów i regulacji odnoszących się do np. prania brudnych pieniędzy, korupcji i uchylania się od płacenia podatków – ale również tych, które dotyczą np. ochrony danych osobowych, oddziaływania na środowisko czy praw pracowniczych.
W erze cyfrowej przestępczość gospodarcza stawia organy regulacyjne i ustawodawców wobec zupełnie nowych wyzwań, które koncentrują się wokół problemów związanych z anonimowością, dostępnością i odpowiedzialnością.
Anonimowość
Internet pozwala przestępcom prowadzić transakcje anonimowo lub pod fałszywą tożsamością. Sam pomysł, by przed organami regulacyjnymi ukrywać się za parawanem zagmatwanych instrumentów finansowych, czy niejasnych struktur holdingowych nie jest niczym nowym. Również gotówka od dawna wykorzystywana była w niejawnych rozliczeniachprowadzonych „pod stołem”.
Dziś jednak związana z kryptowalutami anonimowość ułatwia dokonywanie płatności na zupełnie nowych zasadach. Kryptowaluty są z założenia anonimowe (a dokładniej rzecz ujmując pseudonimowe). Innymi słowy, widoczne są adresy portfeli, na które trafiają przelewane środki, ale w żaden sposób nie zapewnia to wiarygodnego potwierdzenia tożsamości rzeczywistych kontrahentów lub powiązanych z transakcją osób fizycznych.
Widzimy zatem, że „wykluczając możliwość bezpośredniego śledzenia i identyfikowania beneficjentów transakcji, kryptowaluty otwierają alternatywne rynki dla działalności przestępczej”, zauważa Narayanan Vaidyanathan, dyrektor działu analityki biznesowej w ACCA. „I to jest właśnie problem, z którym wcześniej nie mieliśmy do czynienia na taką skalę.”
Większa anonimowość oznacza nowe wyzwania dla ustawodawców, organów regulacyjnych, specjalistów ds. zgodności oraz biegłych rewidentów zajmujących się walką z procederami takimi jak pranie pieniędzy. Kluczowe znaczenie ma w tym kontekście procedura „poznaj swojego klienta” (KYC - Know Your Customer). Już teraz jest to obszar, na którym toczy się ostra rywalizacja między przestępcami a osobami, które chcą ukrócić ich działania – w przyszłości konfrontacja ta będzie tylko przybierać na sile.
„Dla wielu organów zajmujących się zwalczaniem przestępczości gospodarczej możliwość przeprowadzenia identyfikacji oraz szybkiego i sprawnego zastosowania procedur KYC wciąż pozostaje świętym Graalem”, wyjaśnia David Higginson, Partner, Ernst & Young LLP UK, Forensic & Integrity Services.
Dostępność
Jak podkreślają eksperci, wzrost atrakcyjności stereotypu „twardego przestępcy” w połączeniu z łatwym dostępem do informacji online przyczyniły się do obniżenia bariery wejścia w środowisko przestępczości gospodarczej i większej dostępności tego procederu.
The marketplace characteristics of the digital crime mean that it may be possible, for example, to hire the services of cybercriminals even if one does not know how to commit the crime oneself. This level of accessibility does not presuppose any connection to the world of cyber hacking or the need to have an extensive network of contacts or knowledge in the area. Z uwagi na specyfikę rynku przestępczości cyfrowej, osoby, które chcą dopuścić się nadużycia, a nie posiadają potrzebnych umiejętności mogą nawet skorzystać z usług wynajętych cyberprzestępców. Na tym poziomie dostępności zbędne stają się jakiekolwiek powiązania z półświatkiem hakerów – nie trzeba już mieć rozległej sieci kontaktów, ani specjalistycznej wiedzy
Craig podkreśla, że „nawet czternastolatek może nie wychodząc ze swojego pokoju pobierać malware i rekrutować botnet do udziału w wyrafinowanym ataku sieciowym – być może nawet do pewnego stopnia nieświadomie. Niepokojącą cechą cyberataków jest ich grywalizacja”.
Innym aspektem wyzwania związanego z dostępnością tego procederu jest znaczny wzrost aktywności transgranicznej czyli globalizacja przestępczości gospodarczej. Regulacje prawne z zasady ograniczone są terytorialnym zasięgiem poszczególnych jurysdykcji.
"Prawdopodobieństwo tego, że cyberatak przeprowadzony zostanie z Kijowa, Dżakarty, czy którejś z wysp filipińskich jest identyczne”, ostrzega Harbinson.
Przestępca i jego ofiary mogą podlegać zupełnie różnym jurysdykcjom, a działające tam organy ścigania mogą ze sobą w żaden sposób nie współpracować. Tak bezprecedensowy dostęp do globalnej puli celów nadał przestępczości gospodarczej niewyobrażalny wcześniej potencjał skalowalności. Taka sytuacja stwarza ogromne wyzwania natury regulacyjnej, ponieważ organom administracji rządowej trudniej niż przestępcom przychodzi koordynowanie działań na szczeblu transgranicznym.
Odpowiedzialność
Coraz częściej sztuczna inteligencja – a ściślej rzecz ujmując inteligencja rozszerzona lub wspomagana – potrafi automatyzować nie tylko procesy, ale także decyzje. Zważywszy na wysoki stopień zaawansowania niektórych technologii rodzi to trudne pytania o kryteria osądu. Na przykład modele algorytmiczne mogą być na tyle złożone, że działy ds. zapewnienia zgodności czy sprawujące nadzór organy regulacyjne będą musiały podjąć istotny wysiłek by ustalić dlaczego zachowują się one w określony sposób
Nie powinien to być jednak powód do zwalniania podmiotów korporacyjnych z odpowiedzialności. Ostatecznie, struktury prawne w ich obecnym kształcie postrzegają podmiotowość prawną w kontekście osób fizycznych lub prawnych. Oznacza to, że nie można zrezygnować z ludzkiego nadzoru, po prostu przenosząc odpowiedzialność na algorytm.
"To wspaniale, że mamy algorytmy, które mogą pomóc w weryfikacji fałszywych alarmów, identyfikacji podejrzanej aktywności oraz sygnalizowaniu działań i wzorców noszących znamiona nadużyć. Jednak nie można na nich całkowicie polegać, gdyż w sytuacji gdy nie zdołają np. wykryć procederu prania brudnych pieniędzy lub odrzucić fałszywego alarmu, ryzyko ponosi firma”, mówi Sexton.
W tym obszarze ważnym wyzwaniem będzie osiągnięcie odpowiedniej równowagi pomiędzy regulacyjnymi wymogami utrzymania ludzkiego nadzoru a możliwością zdania się na decyzje podejmowane przez maszynę. W przeciwnym razie oznaczałaby to, że w sytuacji, gdy wszystko idzie dobrze, technologia zbiera pochwały, ale kiedy sprawy idą źle, winę ponosi człowiek. Wyzwaniem jest tu opracowanie takich proporcjonalnych i uczciwych wymogów regulacyjnych i im pokrewnych, które będą sprzyjać rozwojowi innowacyjności, a jednocześnie zapewnią niezbędne zabezpieczenia w zakresie odpowiedzialności.
Czy zasady odpowiedzialności regulacyjnej lub prawnej należy stosować jednakowo w przypadku, gdy np. wadliwy model dotyczący udzielania kredytów jest wynikiem intencjonalnego działania nastawionego na uzyskanie nieuprawnionych korzyści, jak i wtedy, gdy model taki został nieświadomie zasilony błędnymi danymi wejściowymi? Dostrzeganie takich niuansów wymaga od przedstawicieli organów regulacyjnych nieco bardziej szczegółowej wiedzy i świadomości w jaki sposób rozwój technologiczny przekłada się na kwestie odpowiedzialności i uczciwości.
Rozdział 3
Dobre praktyki pod lupą
Nowe technologie choć otwierają pole do nadużyć mogą również pomóc w walce z przestępczością, zarówno w kontekście jej wykrywania, jak i zapobiegania.
Wykorzystanie AI i śledczej analizy danych do usprawnienia procesów oceny ryzyka w bankach i instytucjach finansowych istotnie wpływa na poprawę skuteczności w zakresie przeciwdziałania praniu pieniędzy (AML) i kontroli przestrzegania sankcji. Ponadto, wdrożenie RPA pozwala usprawnić operacje i zwiększyć ich spójność, przy jednoczesnym odciążeniu specjalistów ds. zgodności i biegłych rewidentów od rutynowych, algorytmizowalnych zadań i umożliwieniu im skoncentrowania się na obszarach wysokiego ryzyka.
Możliwe jest szybkie i relatywnie tanie wprowadzenie weryfikacji kont w oparciu o krzyżowe sprawdzanie tożsamości, co pozwoliłoby podnieść poziom bezpieczeństwa bez nadmiernego uszczerbku dla komfortu klienta, a w konsekwencji zbliżyć się do „świętego Graala”, o którym w poprzednim rozdziale wspomina Higginson.
Podobnie analiza rozliczeń wydatków zespołów sprzedażowych mogłaby pomóc w wykrywaniu przypadków łapownictwa.
Harbinson ujmuje to tak: „Jeśli zaczynają pojawiać się duże kwoty wydawane na bary, hotele, restauracje, czy kluby ze striptizem… ktoś to powinien sprawdzić i potwierdzić: Czy to rzeczywiście ma miejsce? Czy jest to dozwolone? ... Jeśli dajemy komuś do ręki kartę kredytową lub udostępniamy rachunek służbowy do czego je wykorzystuje? I czy w takim przypadku organizacja świadomie lub nieświadomie łamie prawo?”
Z kolei bardziej ukierunkowane narzędzia mogą okazać się pomocne w procedurach due diligence i podczas prowadzenia postępowań wyjaśniających. Do ich prowadzenia mogą służyć specjalnie zaprojektowane aplikacje, uwzględniające czynniki ryzyka specyficzne dla określonych sektorów, regionów geograficznych lub organizacji.
Dostępność zaawansowanych technologii AI i narzędzi z obszaru śledczej analizy danych pozwala dziś przedsiębiorstwom na znacznie więcej, niż tylko prostą identyfikację pojedynczych przypadków nielegalnych płatności.
Dzisiejsza technologia umożliwia analizę nie tylko ustrukturyzowanych źródeł danych, ale także danych nieustrukturyzowanych oraz integrowania wyników przy zastosowaniu analizy behawioralnej i analizy sieci społecznościowych. Daje to pracodawcom możliwość wykorzystania innych technik, takich jak: modelowanie predykcyjne, analiza dźwięku, eksploracja tekstu i analiza geoprzestrzenna przeprowadzona w granicach lokalnych przepisów o ochronie danych osobowych. Umożliwia to tworzenie kompleksowego obrazu wskaźników ryzyka, który posłuży do kierowania decyzjami o eskalacji w sposób zapewniający optymalne zarządzanie interwencjami.
Pomimo niekwestionowanej użyteczności wymienionych narzędzi w wewnętrznym środowisku organizacji, wykorzystanie ich w zwalczaniu nowych, transgranicznych odmian przestępczości gospodarczej może okazać się bardziej problematyczne.
"Dopiero zaczynamy rozumieć do czego zdolne są technologie z obszaru AI i analizy danych w dziedzinie wykrywania i zwalczania nadużyć”, mówi Todd Marlin, EY Global Forensic Technology Leader. „Są one jednak wyłącznie środkiem do osiągnięcia celu. Inwestując w rozwój technologii, organizacje muszą mieć świadomość, że ich ostatecznym celem jest generowanie wiedzy i poprawa przejrzystości, zaś dysponowanie rzetelną i bezpieczną strategią zarządzania danymi ma kluczowe znaczenie dla osiągnięcia tego celu.”
Wiele jurysdykcji wprowadza ograniczenia dotyczące przekazywania danych, co potencjalnie może stanowić przeszkodę dla przedsiębiorstw, które w związku z transakcjami transgranicznymi muszą analizować rozmaite źródła danych. Rozwój technologii takich jak szyfrowanie homomorficzne, które umożliwia badanie zaszyfrowanych danych na odległość bez konieczności dokonywania transferów transgranicznych, mógłby umożliwić wykorzystanie pełnego zakresu narzędzi analitycznych.
Szerokie zastosowanie technologii takich jak dowód zerowej wiedzy, umożliwiający weryfikację zaszyfrowanych informacji, oraz samowystarczalna tożsamość, która weryfikuje tożsamość osoby fizycznej bez konieczności przesyłania danych na dużą skalę, mogłoby jeszcze bardziej ograniczyć potrzebę gromadzenia danych w przedsiębiorstwach. Bez konieczności przechowywania dużych archiwów potencjalnie cennych informacji w formie nadającej się do ponownego wykorzystania, atrakcyjność przedsiębiorstw jako celu przestępców zmniejszyłaby się.
Wspólne działania w obszarze wykrywania i zapobiegania
Respondenci zgodnie wskazywali na konieczność wymiany informacji i poszerzenia współpracy pomiędzy instytucjami zaangażowanymi w zwalczanie przestępczości gospodarczej. Wymieniali przykłady inicjatyw na różnym szczeblu – począwszy od współpracy między organami regulacyjnymi a poszczególnymi przedsiębiorstwami, aż po współpracę na szczeblu międzynarodowym.
Takie podejście w opinii wielu ankietowanych stanowi bardziej skuteczną odpowiedź na przestępczość gospodarczą niż tradycyjny system sankcji: wspieranie kultury współpracy między instytucjami i przedsiębiorstwami postrzegane było jako bardziej efektywna metoda walki z przestępczością od samego stosowania kar.
Jak zauważa Anne McCormick, Ernst & Young EMEIA Public Policy and Network Engagement Leader: „Biegli rewidenci mają do odegrania pewną rolę, ale są tylko jednym elementem daleko bardziej złożonego ekosystemu.” Dyrektorzy ds. cyberbezpieczeństwa wskazali na różne poziomy wymiany informacji, które mają istotne znaczenie dla poprawy wykrywalności przestępstw gospodarczych:
- W ramach organizacji. Scott Jarrell, EY Americas Forensic Data Analytics Leader, Forensic & Integrity Services, jest zdania, że przedsiębiorstwa mają jeszcze sporo do zrobienia w kwestii usprawnienia wewnętrznego przepływu informacji pomiędzy poszczególnymi działami. Jak mówi: „Tradycyjnie, wiele instytucji finansowych funkcjonowało w oparciu o struktury silosowe i dlatego powinny zacząć bardziej priorytetowo traktować zdolność tworzenia wzajemnych powiązań między danymi w ramach organizacji.” W konkluzji raportu EY i Chartis z 2015 r. czytamy: „Tym samym konieczne będzie wypracowanie zintegrowanego podejścia do zarządzania zgodnością i ryzykiem związanym z przestępczością gospodarczą, które pozwoli skuteczniej wykrywać ataki i nadużycia.”
- W ramach sektora publicznego i prywatnego prywatnego. Nasi rozmówcy wskazali na potrzebę ściślejszej współpracy pomiędzy organami regulacyjnymi a instytucjami finansowymi w zakresie wspólnego zwalczania przestępczości gospodarczej. Wspieranie wymiany informacji w czasie rzeczywistym pomiędzy sektorami w celu wykrywania i zapobiegania przestępstwom przynosi oczywiste korzyści, ale zarazem rodzi również pewne wyzwania. Mark Le Page, dyrektor w dziale Advisory Ernst & Young LLP UK, zauważa na przykład, że niektóre organy regulacyjne, takie jak brytyjski Urząd Nadzoru Finansowego (FCA) posiadają również uprawnienia w zakresie ochrony konkurencji. W związku z tym pojawiły się obawy, że wymiana informacji między sektorami i instytucjami finansowymi musi zapewnić należytą ochronę interesów handlowych, w formie m.in. ochrony własności intelektualnej.
- Na szczeblu globalnym. Zdaniem naszych rozmówców, dynamiczna ekspansja przestępczości transgranicznej wymaga równie zdecydowanej odpowiedzi ze strony organów regulacyjnych i organów ścigania. Sexton podkreśla, że „ponieważ współczesna przestępczość finansowa ma dziś wybitnie globalny charakter nie sposób jej skutecznie zwalczać w granicach jednej jurysdykcji czy nawet na szczeblu całej UE. To zjawisko rozciąga się na wiele różnych jurysdykcji”. ACCA i EY Small and Medium-sized Enterprises (SME) Network zgodnie zwracają uwagę na potrzebę współpracy organów władz państwowych i instytucji finansowych.
Oczywistą barierą dla swobodnej wymiany informacji jest prawo osób fizycznych do ochrony prywatności. „Obowiązujące obecnie przepisy o ochronie danych osobowych, a w szczególności RODO (Ogólne rozporządzenie o ochronie danych) utrudniają wymianę informacji”, tłumaczy Nick Maginot, Partner w Ernst & Young Australia, Forensic & Integrity Services. Istnieje wyraźna potrzeba pogodzenia ingerencji państwa w prywatność jednostek oraz wymiany informacji pomiędzy instytucjami bez uzyskania zgody osób, których dotyczą, z szeregiem nowych wyzwań, jakie w erze cyfrowej stwarza przestępczość gospodarcza.
Jack Jia, Partner w Ernst & Young China, Forensic & Integrity Services, wyjaśnia, że „udostępnianie danych osobom trzecim lub wykorzystywanie ich do przeprowadzania dodatkowych analiz bywa problematyczne. Załóżmy, że bank jest zaniepokojony pewnymi transakcjami przeprowadzonymi za pomocą karty kredytowej. Chce zlecić zewnętrznej firmie analitycznej przeprowadzenie kontroli podejrzanych transakcji. Jednak przekazanie informacji o transakcjach dokonanych za pomocą karty kredytowej osobie trzeciej może godzić w przepisy o ochronie danych."
Zmiana perspektywy - zapobieganie przestępczości gospodarczej
Przydatność nowych narzędzi do wykrywania przestępstw w środowisku korporacyjnym powinna zostać uznana zarówno przez kierownictwo, organy regulacyjne, jak i organy ścigania, a zachęty do ich stosowanie powinny znaleźć się w uregulowaniach prawnych, odpowiednio dostosowanych pod kątem nadawania wagi dowodom generowanym i gromadzonym przez narzędzia AI. Przestępcy są bardziej skłonni do powstrzymania się od nielegalnych działań, jeśli uznają, że ryzyko wykrycia jest zbyt duże.
Uczciwość jest kluczem do stworzenia środowiska organizacyjnego „wrogiego” dla przestępczości gospodarczej. Opierając się na podstawowych filarach w postaci zarządzania, kultury, kontroli i analizy, firma może połączyć czynniki ludzkie z udoskonalonymi narzędziami, wykorzystując innowacyjne techniki do wyeliminowania ewentualnej luki pomiędzy intencjami a działaniami organizacji.
Inwestując w rozwój technologii, organizacje muszą mieć świadomość, że ich ostatecznym celem jest lepsza dostępność informacji i poprawa przejrzystości.
W miarę jak informacje zebrane w wyniku wzmożonego monitorowania i analizy środowiska kontrolnego przyczyniają się do lepszego zrozumienia ludzkich decyzji kształtujących działalność firmy można odpowiednio dostosować mechanizmy zarządzania, aby pomagały budować i umacniać kulturę zgodności. Wtedy właściwe postępowanie i unikanie kosztów alternatywnych związanych z konsekwencjami niewłaściwych działań staje się naturalną i oczywistą postawą.
Tego rodzaju unowocześnione i udoskonalone struktury będą wymagać nieco innych kompetencji i zmiany podejścia pracowników i kadry zarządzającej, a także modyfikacji polityk i procesów. Firmy będą musiały zainwestować w szkolenia personelu, który należy wyszkolić w zakresie efektywnego wykorzystania AI oraz znajomości prawnych i wizerunkowych konsekwencji braku świadomości zagrożeń, jakie niesie ze sobą AI. .
Jednym z nieodłącznie ludzkich elementów w walce z przestępczością jest sygnalista. Wielu naszych rozmówców podkreślało istotne znaczenie skutecznych mechanizmów informowania o nieprawidłowościach, które przyczyniają się zarówno do sprawniejszego zapobiegania, jak i wykrywania przestępstw gospodarczych. Na przykład, zdaniem Harbinsona „rozwój programów zgłaszania nieprawidłowości w ramach własnej organizacji” jest kluczowym elementem obrony przed przestępczością gospodarczą. Dodał przy tym, że ochrona ta musi być również „dostępna dla dostawców i klientów”.
W serii przeprowadzonych przez ACCA sondaży na temat świadomości i wpływu łapówkarstwa i korupcji w mniejszych przedsiębiorstwach, głośne medialnie dochodzenia zajęły zaledwie czwarte miejsce na pięć pod względem skuteczności działań. Przepisy i mechanizmy dotyczące zgłaszania nieprawidłowości awansowały z trzeciego miejsca w 2007 r. i drugiego w 2013 r. do rangi najskuteczniejszej metody prewencji w 2019 r.
W firmach z sektora MŚP o ograniczonych zasobach, zasadnicze znaczenie będzie miał dostęp do programów dla interesariuszy, czy to zapewniony przez rząd czy partnerów z łańcucha dostaw. W praktycznym wymiarze, nie wolno lekceważyć wyzwań związanych z efektywnym wdrażaniem programów sygnalizowania nieprawidłowości. Tworzenie regulacji i procesów to mniej niż połowa sukcesu, a czynniki kulturowe zarówno w biznesie, jak i w społeczeństwie często niwelują skuteczność takich inicjatyw.
Rola biegłych rewidentów
Oprócz mechanizmów kontroli wewnętrznej stosowanych przez przedsiębiorstwa, należałoby zbadać także skalę konsekwencji dla zawodu biegłego rewidenta. Wyniki ankiety przeprowadzonej przez ACCA wśród ogółu społeczeństwa ujawniły powszechne wśród respondentów przekonanie, że biegli rewidenci powinni być odpowiedzialni za wykrywanie nadużyć na każdym szczeblu (niezależnie od względów istotności i istniejących ram regulacyjnych).
W skali globalnej zaledwie 30% ankietowanych uznało, że mogą istnieć pewne ograniczenia zdolności biegłych rewidentów do wykrywania nadużyć. W Wielkiej Brytanii 69% respondentów oczekuje od biegłych rewidentów wykrywania nadużyć, które miałyby wpływ na sprawozdania finansowe lub wykrywania i zgłaszania wszystkich nadużyć, niezależnie od ich skali lub konsekwencji.
W przeszłości, przedstawiciele branży zareagowaliby zapewne na te wyniki ankiety stwierdzeniem, że jakkolwiek atrakcyjny nie wydawałby się ten ambitny cel, niezależnie od konceptualnej roli biegłego rewidenta, poziom nakładów niezbędnych do przeprowadzenia pełnej analizy czyniłby ją w zasadzie niewykonalną z perspektywy ekonomicznej. Jednak techniki stosowane do wykrywania i przewidywania odstępstw w czasie rzeczywistym mogą być wykorzystane również w audycie danych historycznych w celu identyfikacji wzorców dostrzegalnych tylko z perspektywy czasu.
Naturalnie, nadal nie będzie się dało wykryć wszystkich przestępstw gospodarczych, zwłaszcza w obliczu zdeterminowanych sprawców stosujących równie zaawansowane technologie w celu uniknięcia wykrycia. Jednak jeśli koszt ukrycia przestępstwa zacznie przewyższać korzyści z jego popełnienia, już sam ten fakt będzie działał odstraszająco na racjonalnie myślących przestępców.
Mimo korzyści z analizy mającej sygnalizować obszary potencjalnych nieprawidłowości, wykwalifikowany i czujny rewident nadal będzie miał do odegrania istotną rolę. Skuteczność tych mechanizmów zależy bowiem nie tylko od efektywnego wykorzystania technologii, ale również od interwencji człowieka. „Powinniśmy wkładać tyle samo wysiłku w szkolenie ludzi i korzystanie z własnych prognoz ” - do takiego wniosku doszedł Alex Albright, cytowany przez magazyn Wired badacz z Harvardu, który analizował zarzuty dotyczące stronniczości decyzji o zwolnieniu za kaucją wspomaganych przez sztuczną inteligencję.
Wyzwaniem dla zawodu biegłego rewidenta będzie w równym stopniu luka w umiejętnościach, co w technologii. Specjaliści muszą naturalnie opanować umiejętność korzystania z nowych narzędzi, aby wspierać wewnętrzne funkcje zapewnienia zgodności poprzez ocenę środków przeciwdziałania nadużyciom. Jednak żeby zmaksymalizować efekty wykonywanej w ten sposób pracy, będą musieli także skutecznie interpretować i prezentować swoje ustalenia kierownictwu i organom regulacyjnym.
Jasne i efektywne przekazywanie informacji o wynikach czynności kontrolnych pomoże podmiotom odpowiedzialnym za wykrywanie nadużyć finansowych w tworzeniu lepszych systemów, a podmiotom odpowiedzialnym za opracowywanie przepisów - we wdrażaniu ram i obowiązków odzwierciedlających możliwości nowej technologii.
W ostatecznym rozrachunku taki zintegrowany i responsywny zestaw środków zaradczych i kontrolnych pomoże budować zaufanie do zdolności przedsiębiorstw do zarządzania zagrożeniami, jakie cyfrowa przestępczość gospodarcza stwarza dla ogółu społeczeństwa.
Podsumowanie
Technologia może działać w dwie strony: jako wektor przestępczości, ale także jako narzędzie do generowania ogromnej wartości i jej ochrony przed przestępcami finansowymi. Same narzędzia nie wystarczą jednak do walki z przestępczością. Zasadniczą rolę mają do odegrania ludzie, a cieszący się powszechnym zaufaniem wykwalifikowani księgowi powinni znaleźć się w tym obszarze w centrum działań każdej organizacji.
