長期以來，有效欺詐管理一直是企業的一項重要能力，並且有充分的理由。根據全球認證欺詐審查員協會在2020年釋出的一份關於職業欺詐和濫用的全球研究報告，很多企業每年由於遭遇欺詐而損失大約5%的收入。此外，欺詐的平均持續時間（即欺詐開始到被發現之間的平均時間）為14個月。欺詐活動未被發現的時間越長，經濟損失就越大。

無論是小型初創公司還是大型跨國企業，都無法倖免於欺詐活動的影響。欺詐會對企業產生財務上的負面影響，並可能削弱當前和未來客戶以及企業投資者的信任。

為什麼實施欺詐行為?

為了有效打擊欺詐行為，瞭解欺詐發生的方式和原因非常重要。實施欺詐的人通常離不開三個要素。構成所謂的“欺詐三角”的三個要素是由著名的犯罪學家Donald R。Cressey在上世紀70年代開發的模型。這些要素是實施欺詐行為的機會、壓力和合理化：

•機會存在於內部控制的薄弱環節，如職責分離、違反安全規定或沒有系統控制來防止或發現欺詐。

•壓力（或動機）可能因個人財務問題或個人惡習//嗜好而施加。

•當個人為其欺詐活動提出正當理由時，就會出現合理化的理由。例如，員工可能會想，“我沒有得到加薪，所以公司欠我的。”

《欺詐威懾手冊》一書指出，“降低欺詐活動可能性的關鍵是消除欺詐三角中的三個要素之一。在這三個要素中，消除機會將受到內部控制系統的直接影響，並且通常為威懾欺詐提供了最可行的途徑”。

建立有效欺詐管理的成熟技術

以下列出了五種行之有效的技術來解決企業內部控制中的薄弱環節（即消除機會元素），這些技術可以透過更好的欺詐檢測、預防和響應控制能力來改進企業的欺詐風險管理計劃。

（1）利用風險指標檢測欺詐

根據國際內部審計師協會（IIA）的說法，欺詐風險指標是“企業用來提供整個組織欺詐風險暴露增加的早期訊號的指標。在設計、評估或監控內部控制系統以限制欺詐風險時，將欺詐指標納入控制系統可以產生重大價值。”

欺詐風險指標的一些示例包括：

•存在無效的控制措施，如職責劃分不充分或資料安全性不足。

•存在異常、過度或可疑的交易撤銷、重複或取消。

•交易由通常不處理這些交易的人員處理。

利用技術持續監控這些欺詐風險指標是主動檢測欺詐的一個好方法。

（2）啟用連續控制監控

調研機構Gartner公司將持續控制監控（CCM） 確認為風險管理產品類別，強烈推薦企業用於提高其欺詐檢測能力。

根據Gartner公司的說法，有效的持續控制監控（CCM）可以實現持續保證（CA），即定期收集審計證據和指標以利於內部審計。此外，Gartner公司提到可以針對職責分離（CCM-SOD）安全違規執行持續控制監控（CCM），這是重要的欺詐風險指標之一。將職責分離（CCM-SOD）、交易CCM（CCM-T）和主資料CCM（CCM-MD）這三者結合起來，可以構成一個強大的欺詐管理控制機制以支援多層安全控制。

（3）利用人工智慧和機器學習

為了應對當今複雜的欺詐風險，企業應採用人工智慧和機器學習授權的資料分析來檢測不一致的使用模式。使用人工智慧和機器學習的工具可以取代原有的基於規則和簽名的工具，從而顯著提高欺詐預防、檢測、響應和建議流程的有效性。此外，人工智慧和機器學習可以實現全天候的欺詐監控和實時報告。

（4）採用自適應安全模型

企業能夠在威脅發生時檢測到威脅，快速識別並解決漏洞以避免攻擊，並不斷改善安全態勢，這在當今的安全形勢中至關重要。

Gartner公司推薦的一種策略是與持續自適應風險和信任評估（CARTA）方法保持一致，這是一種由基於屬性的訪問控制（ABAC）安全模型支援的自適應安全性。

基於屬性的訪問控制（ABAC）安全模型可以透過場景感知的可配置控制實現自適應安全，以防止安全違規隔離，並建立預防性交易和主資料級別控制以避免欺詐。此外，基於屬性的訪問控制（ABAC）可以在業務流程、交易和主資料級別自動執行策略要求，以防止欺詐。

（5）保持有效的內部控制

內部控制是欺詐風險管理計劃的基本推動因素。如果無法確保擁有有效的內部控制，就無法管理風險。因此，欺詐威懾和嚴格採用有效的內部控制環境，其中欺詐原則需要在每個員工的腦海中根深蒂固，這是企業打擊欺詐風險並有助於最大限度地減少欺詐的必要條件。此外，持續監控欺詐控制的有效性對於確保剩餘風險水平在企業可接受的風險偏好水平內至關重要。

結論

企業在欺詐管理的努力是持續不斷的鬥爭，需要有效的安全、風險管理和技術支援的分析相結合。企業需要投資有效的欺詐管理措施，使用這五種行之有效的技術將成為企業欺詐管理計劃中的一項寶貴投資。