Illustriert mit der Verwendung des Ghost-Mitarbeiterprogramms

In diesem Jahr habe ich mich auf den Prozess der Betrugsrisikobewertung als Administration- und Prüfungsinstrument konzentriert. Das gemeinsame Thema meiner Blogs lautet: „Verstehen Sie das Betrugsrisiko?“ Ich habe eine Reihe von Themen angesprochen, von denen ich hoffe, dass sie Ihnen im Rahmen Ihrer Karriere als Wirtschaftsprüfer, Ermittler, Risikomanager oder leitender Angestellter hilfreich waren. In diesem Weblog befassen wir uns damit, wie es aussieht, ein tieferes Verständnis zu erlangen.

Ich vermute, dass die meisten Menschen das Wort „Betrug“ auf einer bestimmten Ebene verstehen. Und ich vermute, dass die meisten Menschen das Wort „Risiko“ auf einer bestimmten Ebene verstehen. Die neuen Requirements erfordern jedoch, dass Prüfer ein „tieferes Verständnis potenzieller Betrugsmuster“ in ihre Prüfungsplanung und -durchführung einbeziehen. Meiner Meinung nach ist dies ein zweistufiger Prozess. Erstens müssen Sie das Betrugsrisiko verstehen, zweitens müssen Sie Ihre Prüfung so planen, dass Betrug bei den von Ihnen untersuchten Transaktionen aufgedeckt wird.

Was ist ein tieferes Verständnis eines Ghost-Mitarbeiters?

Betrachten wir zur Veranschaulichung Geistermitarbeiter. Die meisten Leute denken, ein Geisterangestellter sei eine fiktive Particular person. Das ist jedoch ein oberflächliches Verständnis des Betrugsrisikos. Zur Erinnerung: Eine Betrugsrisikoerklärung besteht aus fünf Elementen. Dies sind: begehende Particular person, Entität, Aktion, Auswirkung und Betrugsumwandlung. Von diesen fünf ist immer einer der Schlüssel. Es gilt als „Primärelement“. Beachten Sie, dass es mehrere Varianten der Betrugsrisikoerklärung gibt.

Bei einem sogenannten Geistermitarbeiterprogramm ist das Unternehmen das primäre Factor. Die Aktionsanweisung ist für jede Permutation dieselbe: Bezahlt für nicht erbrachte Leistungen.

Wie erlangt man ein tieferes Verständnis?

1. Beginnen Sie mit der ersten Ebene der Betrugsrisikoerklärung.

2. Identifizieren Sie die Permutationen der ersten Ebene der Fraud Risikoerklärung.

3. Passen Sie diese Permutationen an Ihre Branche und die Organisationsstruktur Ihres Unternehmens an.

4. Passen Sie die Permutationen an Ihr Lohn- und Gehaltsabrechnungssystem an, unabhängig davon, ob es sich um ein internes System oder einen externen Dienst handelt.

5. Überlegen Sie, wer den Plan begehen könnte. Die Wer-Frage.

6. Machen Sie ein Brainstorming darüber, wie die einzelnen Betrugsrisikoerklärungen in Ihrem Unternehmen auftreten würden. Die Wie-Frage.

7. Machen Sie ein Brainstorming darüber, wo die einzelnen Betrugsrisikohinweise in Ihrem Unternehmen vorkommen würden. Die Wo-Frage.

8. Integrieren Sie das mit den Betrugsrisikoerklärungen verbundene Geschäftswissen. Die Branchenfrage.

9. Wenn Sie ein wirklich tiefes Verständnis der Betrugsrisikoerklärung wünschen, sollten Sie die Raffinesse der Verschleierung in Betracht ziehen. Das nenne ich die Schaffung der Phantasm von Anstand.

10. Denken Sie daran, das ist nicht die Zeit, über interne Kontrollen nachzudenken. Ihr Ziel ist es, das Betrugsrisiko zu verstehen.

Erste Ebene der Betrugsrisikoerklärungen

Im Geiste dieser Weihnachtszeit werde ich die erste Ebene der Betrugsrisikoerklärungen für Geistermitarbeiterprogramme bereitstellen. Jedes wird Variationen haben; Im wirklichen Leben werden die Variationen aufgrund Ihrer Branche und Ihres Unternehmens entstehen. Beginnen wir mit den folgenden anschaulichen Beispielen: Dies sind

• Beim fiktiven Personenschema wird eine Identität für eine Particular person geschaffen, die im wirklichen Leben nicht existiert.
• Der Täter nimmt die Identität einer realen Particular person an, die nicht an dem Plan beteiligt ist, und wird in Ihre Personaldatenbank aufgenommen.
• Der Täter nimmt die Identität eines kündigenden Mitarbeiters oder eines gekündigten Mitarbeiters an und der Mitarbeiter ist nicht an dem Plan beteiligt. Die Übernahme kann vorübergehend oder dauerhaft erfolgen.
• Der Täter nimmt vorübergehend die Identität einer realen Particular person in Ihrer Personaldatenbank an.
• Echte Particular person, die an der Betrugsaktion beteiligt ist. In der Lohn- und Gehaltsabrechnung wird „mitschuldig“ definiert, wenn der tatsächliche Arbeitnehmer die Lohnzahlung erhält. Der umgangssprachliche Begriff ist „No-Present-Mitarbeiter“. Das Motiv ist entweder Vermögensdiebstahl oder eine Bestechungszahlung.
• Echte Particular person, die nicht an Betrugshandlungen beteiligt ist. In der Lohn- und Gehaltsabrechnung wird „nicht mitschuldig“ definiert, wenn die tatsächliche Particular person die Lohnzahlung nicht erhält. Die Zahlung wird an den Täter umgeleitet. Man könnte argumentieren, dass sich diese letzten beiden mit den oben angenommenen Identitätsschemata überschneiden.

Gehen wir für ein tieferes Verständnis die Fragen durch.

Verwenden Sie einfache Logik, um die Permutationen zu entwickeln. Die Particular person ist eine echte Particular person oder eine falsche Particular person. Die reale Particular person ist entweder in der HR-Datenbank enthalten oder nicht. Die Identität einer Particular person wird entweder vorübergehend oder dauerhaft angenommen. Lassen Sie mich den Denkprozess veranschaulichen, der notwendig ist, um ein tieferes Verständnis des Betrugsrisikos zu erlangen:

Wir gehen davon aus, dass Ihr Unternehmen im Einzelhandel tätig ist. Daher haben Filialleiter ein hohes Maß an Kontrolle über die Eingabe von Private- und Gehaltsabrechnungstransaktionen, entweder durch direkten Zugriff oder durch Administration-Override.

• Angenommene Identität eines kündigenden Mitarbeiters, und der Mitarbeiter ist nicht an dem Plan beteiligt
• Der Filialleiter übernimmt die Identität eines Mitarbeiters, der den Arbeitsplatz verlassen hat. Der Filialleiter veranlasst, dass die Lohnstunden für den ausgeschiedenen Mitarbeiter übermittelt werden und dass die Lohnzahlung umgeleitet wird.
• Der Filialleiter übernimmt für eine begrenzte Zeit die Identität des Mitarbeiters.
• Nach einer begrenzten Zeitspanne bearbeitet der Filialleiter die Kündigung. Anschließend wählt der Filialleiter für einen begrenzten Zeitraum einen anderen kündigenden Mitarbeiter aus
• Da die Aufgaben in der Unternehmenszentrale physisch getrennt sind, wird die Wahrscheinlichkeit, dass diese Betrugsrisikoerklärung in der Unternehmenszentrale auftritt, als gering eingeschätzt.
• Das Lohn- und Zeiterfassungssystem ist ein firmeninternes System.
• Am Einzelhandelsstandort ist es am wahrscheinlichsten, dass sich der Supervisor dem Programm anschließt, es sei denn, der Supervisor hat seine Pflichten an einen Untergebenen abgegeben.
• Der Vorgesetzte würde die Personalabteilung nicht darüber informieren, dass ein Mitarbeiter den Arbeitsplatz verlassen hat, und die für den Mitarbeiter geleisteten Arbeitsstunden nicht eingeben. Alternativ füllt ein neuer Mitarbeiter das W-2-Formular aus, teilt dem Vorgesetzten seine staatliche Identifikationsnummer mit und erscheint dann nie zur Arbeit. Oder der Vorgesetzte erstellt eine Woche vor Arbeitsbeginn des neuen Mitarbeiters eine Gehaltsabrechnung für den Mitarbeiter.
• Der Plan würde höchstwahrscheinlich auftreten, wenn ein Mitarbeiter einen Papierscheck über die Zahlung in einer Währung erhält. Dies könnte passieren, wenn der Vorgesetzte eine Änderung des Bankkontos des Mitarbeiters veranlasst.
• Betriebswirtschaftliche Kenntnisse an sich sind bei diesem Schema nicht entscheidend.
• Der Vorgesetzte würde selbstverständlich alle notwendigen Unterlagen für den Mitarbeiter erstellen. Wenn das Zeitnehmungssystem elektronisch ist, würde der Supervisor die Überbrückungsfunktion nutzen. Der Supervisor würde einen Mitarbeiter auswählen, dessen Aufgaben nicht mit dem Verkaufserfassungssystem verknüpft sind. Der Vorgesetzte listet den Mitarbeiter im wöchentlichen Arbeitsplan auf.

Jetzt haben Sie beim Verfassen Ihrer Betrugsrisikoerklärung die Wahl:

• Betrugsrisiko durch Geistermitarbeiter

Oder

• Der Filialleiter übernimmt für eine begrenzte Zeit die Identität eines Mitarbeiters who ist gegangen Am Arbeitsplatz veranlasst der Filialleiter die Erfassung der geleisteten Arbeitsstunden in das Zeiterfassungssystem des ausgeschiedenen Mitarbeiters und leitet anschließend den Lohn des ausgeschiedenen Mitarbeiters um.

Welche der oben genannten Aussagen stellt für Sie ein „tieferes Verständnis“ dar?

Noch wichtiger: Mögen Ihre Feiertage für Sie und Ihre Lieben, wo immer sie auch sein mögen, voller Wärme, Lachen und Glück sein.

Betrugstrivia

1. Die Antworten des letzten Monats:

2. Was ist eine gängige KI-gestützte Technik, mit der die Stimme einer Particular person zu Betrugszwecken nachgebildet wird?
3. b) Stimmklonen. Hierbei wird KI verwendet, um die Stimme einer Particular person nachzubilden, sodass Betrüger sich als vertrauenswürdige Personen ausgeben können.

1. Welche der folgenden Aussagen ist ein potenzieller Hinweis darauf, dass es sich bei einem Video um einen KI-generierten „Deepfake“ handelt?

1. a) Die Kleidung des Sprechers wechselt zwischen den Schnitten. Unstimmigkeiten wie das Wechseln der Kleidung, das Verschwinden von Hintergrunddetails oder unnatürliche Nackenbewegungen können verräterische Anzeichen für einen Deepfake sein.

1. Wie macht KI Phishing-Angriffe gefährlicher und schwerer zu erkennen?
2. a) Durch die Erstellung hochgradig personalisierter Nachrichten, die den Ton und Stil eines legitimen Absenders nachahmen. KI kann anspruchsvollere, überzeugendere und personalisiertere E-Mails erstellen.

1. Auf welche visuelle Inkonsistenz sollten Sie bei der Analyse eines verdächtigen Bildes zur KI-Manipulation achten?

1. b) Reflexionen auf glänzenden Oberflächen, die keinen Sinn ergeben. Während sich die KI bei häufig auftretenden Fehlern verbessert hat, sind Fehler in Reflexionen und Schatten immer noch häufige Anzeichen für ein manipuliertes Bild.

1. Was kann ein KI-System tun, um betrügerische Finanztransaktionen in Echtzeit zu erkennen?

1. b) Suchen Sie anhand erlernter Muster nach Anomalien oder ungewöhnlichen Aktivitäten. KI-gestützte Betrugserkennungssysteme nutzen maschinelles Lernen, um ungewöhnliche Aktivitäten zu erkennen, die vom normalen Kundenverhalten abweichen.

Die Fragen dieses Monats

5. Welche KI-Technologie wird verwendet, um realistische, aber gefälschte Movies oder Bilder von Personen zu erstellen?
   a) Sprachsynthese
   b) Neuronale Netze
   c) Deepfakes
   d) Verarbeitung natürlicher Sprache (NLP)
7. Was ist eine Verhaltensbiometrie, die KI verwenden kann, um einen legitimen Benutzer zu identifizieren und Betrug zu verhindern?
   a) Die Größe des Benutzers.
   b) Die Tippgeschwindigkeit und -muster des Benutzers.
   c) Die Haarfarbe des Benutzers.
   d) Die Schuhgröße des Benutzers.
9. Was ist der beste erste Schritt, wenn Sie per Telefonanruf eine unerwartete Geldanfrage von einem Familienmitglied erhalten?
   a) Senden Sie das Geld sofort.
   b) Ignorieren Sie die Nachricht.
   c) Überprüfen Sie die Anfrage, indem Sie die Particular person oder Establishment direkt über einen bekannten, vertrauenswürdigen Kanal kontaktieren.
   d) Teilen Sie die Anfrage in den sozialen Medien, um zu sehen, ob andere den gleichen Betrug erhalten haben.
11. Was könnte bei KI-generiertem Textual content ein Zeichen dafür sein, dass der Inhalt betrügerisch ist?
    a) Konsistente Formatierung.
    b) Ein einzigartiger und origineller Schreibstil.
    c) Tatsachenbehauptungen oder Statistiken, die nicht überprüft werden können.
    d) Korrekte Grammatik und Rechtschreibung.
13. Was ist der Hauptvorteil des Einsatzes von maschinellem Lernen zur Betrugserkennung?
    a) Es ist ein perfektes, fehlerfreies System.
    b) Es kann aus historischen Daten lernen, um neue Transaktionen automatisch und schnell zu klassifizieren.
    c) Es ist ein Ersatz für alle menschlichen Sicherheitsteams.
    d) Es ist nur eine kleine Datenmenge erforderlich, um effektiv zu sein.