Kwiecień 2003 roku. Duża spółka handlująca specjalistycznymi maszynami przemysłowymi, jeden ze światowych potentatów w tym biznesie. Firma produkuje za granicą, w Polsce utrzymuje biuro handlowe. Trzech członków zarządu, kilkunastu pracowników, blisko 100 milionów złotych obrotu rocznie.

W firmie wrze. Ktoś właśnie autoryzował przelew na wyspę Man, w wysokości pół miliona euro. Pytanie postawione przez centralę spółki było proste: "Kto i jak to zrobił?" Odpowiedź nie była już tak łatwa - ze względu na bardzo słabe procedury kontrolne dostęp do terminala, z którego autoryzowano transakcję, mogło mieć 8-10 osób. Brak było odpowiednich mechanizmów zabezpieczających, nie rejestrowano i nie archiwizowano logowań do systemu, a system haseł był w rozsypce. Sprawcę zidentyfikowano po paru miesiącach przy pomocy policji, kiedy jeden z kilku podejrzanych skontaktował się ze wspólnikiem, właścicielem trefnego konta.

Odosobniony przypadek? Niekoniecznie. Odszukaliśmy kilka podobnych spraw w naszych archiwach.

Duża spółka przemysłowa, koniec lat dziewięćdziesiątych. Główna księgowa uzyskuje dostęp do "klucza elektronicznego" jednego z członków zarządu. Sama ma drugi, co pozwala jej autoryzować płatności faktur za nieistniejące usługi, wystawiane przez członków jej rodziny. Nadużycie wykryte przypadkiem po trzech latach. Suma strat - ponad 10 milionów złotych.

Firma branży energetycznej, koniec 2002 roku. Pracownik informatyki wykorzystuje słabości systemu informatycznego spółki, uzyskuje dostęp do plików przekazywanych z systemu księgowego do systemu bankowego i zmienia parametry konta bankowego w pliku tekstowym. W rezultacie płatność zostaje przekazana na konto firmy założonej przez informatyka, zamiast na właściwy rachunek bankowy. Straty - 2 miliony złotych, nigdy nie odzyskane. Zanim spółka zorientowała się, konto firmy informatyka zostało wyczyszczone, a on sam zwolnił się z pracy i wyjechał z kraju.

W poprzednich tygodniach opisywaliśmy nadużycia związane z kradzieżą i przechwytywaniem gotówki. Dzisiaj pora na oszustwa związane z przelewami środków pieniężnych. To już jest waga ciężka - tutaj nie mówimy

o kasjerkach czy parkingowych

i posługujemy się milionami, a nie tysiącami złotych.

Wykrywanie nadużyć związanych z przelewami środków pieniężnych najlepiej rozpocząć od analizy danych uzyskanych z systemu bankowego. Poprzez odpowiednio przygotowane zapytania i porównanie otrzymanych danych z informacjami z innych źródeł, takich jak system księgowy, jesteśmy w stanie uzyskać informacje na temat nietypowych kontrahentów oraz transakcji (np. podwójnych płatności za te same usługi lub dostawy). Późniejsze sprawdzenie natury biznesowej "podejrzanych" transakcji oraz ich weryfikacja polegająca na sprawdzeniu dokumentacji źródłowej pozwolą na wyodrębnienie przypadków, które faktycznie mogą wiązać się z potencjalnymi nadużyciami.

Jak przeciwdziałać nadużyciom związanym z przelewami pieniędzy? Tu sposobów jest wiele, wymienimy cztery najważniejsze.

Po pierwsze, należy stworzyć właściwy system akceptacji płatności. Autoryzacji nie powinna dokonywać jedna osoba, chyba że firma jest tak mała, że wprowadzenie innych zasad doprowadziłoby do jej paraliżu. Autoryzacja nie powinna również polegać na machinalnej akceptacji wszystkich przelewów, które są przygotowane w systemie. Rekomendowana jest także specjalna ścieżka autoryzacji dla najbardziej znaczących transferów.

Po drugie, należy wprowadzić podział obowiązków. Osoby przygotowujące dane do płatności nie powinny mieć równocześnie uprawnień do zatwierdzania przelewów. Podobnie - osoby autoryzujące przelewy nie powinny mieć możliwości zakładania kont w systemie księgowym oraz księgowania przelewów bankowych. W taki sam sposób należy rozdzielić autoryzowanie i księgowanie faktur.Po trzecie, konieczne są zabezpieczenia systemowe. Klucze elektroniczne, tzw. tokeny i inne "wynalazki", pozwalające na zdalny dostęp do konta firmowego, powinny być przechowywane w bezpiecznym miejscu. Połączenia pomiędzy systemem księgowym i bankowym powinny posiadać odpowiednie mechanizmy zabezpieczające przed nieuprawnionym dostępem. Dodatkowo, firmy muszą monitorować aktywność użytkowników w systemach informatycznych i przechowywać przez określony czas archiwalne informacje dotyczące tej aktywności.

Po czwarte, o ile nie zawsze nadużycia związane z przelewami pieniędzy mogą być w pełni powstrzymane, o tyle stosunkowo łatwo można je zidentyfikować, gdy prowadzi się okresową analizę dokonanych płatności i stanu rozrachunków. Ważne jest jednak, aby osoba prowadząca tą analizę lub księgująca rozrachunki nie była osobą autoryzującą przelewy.

Tyle dobrych rad. A swoją drogą, czy wiecie Państwo gdzie właśnie teraz płyną Państwa pieniądze?

Mariusz Witalis

menedżer

[email protected]