Pod ludzką i systemową kontrolą

Trzeba przede wszystkim wiedzieć, jak zarządzać informacjami, jak je przetwarzać i analizować, by wykryć faktyczne oszustwo. Trzeba działać wydajnie, aby nie tracić czasu na wyglądające podejrzanie przypadki, które nie są przestępstwem. "Same narzędzia informatyczne do tego nie wystarczą, muszą być umiejętnie wkomponowane w cały proces funkcjonowania instytucji finansowej. Ich wykorzystanie musi być zintegrowane z odpowiednimi politykami bezpieczeństwa, systemami organizacji pracy, wymaganymi procedurami i ustalonym podziałem kompetencji" - mówi Marek Milczarek, senior manager w PricewaterhouseCopers.

Niezwykle ważne jest określenie stanu wiedzy i umiejętności osób posługujących się wdrożonymi rozwiązaniami - czy ten, kto dokonuje analizy, potrafi rzeczywiście to robić. Teoretycznie, im lepszy system informatyczny, tym mniejszy jest zespół pracowników potrzebnych do monitorowania przeprowadzanych transakcji. "Ważny jest jednak kapitał ludzki" - ostrzega Marek Milczarek. Co z tego, że będą wykorzystywane mechanizmy sztucznej inteligencji, gdy zabraknie inteligentnych analityków potrafiących właściwie zinterpretować dane wyjściowe. "Z systemów informatycznych trzeba umieć korzystać. One tylko wspomagają człowieka, ale go nie zastępują" - podkreśla Marek Milczarek. Ostateczna decyzja zawsze należy do człowieka. Od jego wiedzy i doświadczenia zależy, czy właściwie oceni rzeczywisty charakter wskazanej przez system jako podejrzana transakcji.

Poznaj swojego klienta i siebie samego

Analitycy muszą działać skutecznie, ale i dyskretnie. Gdy rzucą podejrzenie na klienta, który nie jest niczemu winien, może to grozić utratą reputacji banku. Bardzo ważne są więc procedury kontrolne - zanim informacja o podejrzanej transakcji wyjdzie poza bank, musi być dokładnie i wszechstronnie sprawdzona. Banki coraz częściej zatrudniają w swoich wydziałach kontroli wewnętrznej byłych policjantów znających się na prowadzeniu dochodzeń i tzw. działalności operacyjnej.

Najważniejsza jest zasada: poznaj swojego klienta. Im bardziej wszechstronnie i dokładnie, tym lepiej. Jednak nawet wtedy nie można mu w pełni zaufać i zaniechać kontroli jego poczynań. Oszust może bowiem się ujawnić nawet po dwudziestu latach bycia grzecznym, przykładnym klientem. Z drugiej strony, trzeba robić wszystko, żeby klienta chronić, żeby nie rzucić podejrzenia na kogoś, kto jest uczciwy, chociaż w pewnym momencie zaczyna zachowywać się w sposób dla siebie nietypowy. Bardzo ważna jest umiejętność oceny zagrożenia przy poszczególnych grupach produktów i w odniesieniu do konkretnych grup klientów. Inne ryzyko jest związane np. z transakcjami hipotecznymi, a inne z operacjami walutowymi, inna jest specyfika działalności kredytobiorców w sektorze budowlanym, a odmienna w sferze produkcji dóbr szybkozbywalnych.

Istotne znaczenie dla efektywnego funkcjonowania systemu monitorowania transakcji podejrzanych ma sposób, w jaki system jest zasilany danymi. Zazwyczaj systemów źródłowych jest kilka i są zlokalizowane w różnych miejscach. Każdy bank musi zorganizować optymalny dla swojej sytuacji i własnych warunków sposób transmisji danych. Trzeba uzgodnić m.in., jak często i kiedy dane z systemów źródłowych mają trafiać do systemu monitorowania zagrożeń. Trzeba ustalić niezbędne dla tego typu operacji procedury, np. to, kto może mieć dostęp do określonych zbiorów czy klas informacji, i kto będzie odpowiadał za nadawanie uprawnień do korzystania z informacji.

Bardzo ważne są szkolenia i budowanie świadomości wyzwań związanych z wykrywaniem oszustw w całej organizacji, wśród wszystkich pracowników instytucji finansowej. Bez tego same rozwiązania informatyczne nie będą należycie funkcjonować. Ich maksymalne wykorzystanie powinno leżeć w interesie banków, m.in. również ze względu na niemałe koszty wdrożenia i utrzymania. Koszty muszą być adekwatne do korzyści osiąganych z tytułu posługiwania się systemem. Warto więc dokładnie wiedzieć, gdzie system informatyczny może sobie dawać radę sam, a gdzie jego działanie musi być wsparte wiedzą pracowników i odpowiednimi procesami w organizacji.

Przy pisaniu artykułu wykorzystane zostały informacje zaprezentowane podczas seminarium zorganizowanego przez Microsoft Polska w listopadzie 2004 r.

Inteligentne wykrywanie

Według raportu firmy Pricewaterhouse Copers na temat przestępczości gospodarczej na świecie, główną rolę w wykrywaniu przestępstw gospodarczych odgrywa zewnętrzny i wewnętrzny audyt. Dzięki niemu ujawnia się 48% nielegalnych operacji. Kolejne 41% przestępstw wykrywanych jest za pośrednictwem systemów informatycznych do zarządzania ryzykiem i wyszukiwania transakcji podejrzanych. Natomiast systemy z obszaru Business Intelligence dostarczają narzędzi pozwalających coraz skuteczniej typować i wykrywać podejrzane transakcje.

Specjalistyczne rozwiązania dla instytucji finansowych są coraz bardziej skomplikowane - w większym zakresie bazują na sieciach neuronowych czy innych rozwiązaniach z zakresu sztucznej inteligencji. Stosowane są także m.in. tzw. silniki reguł, filtry transakcji, drzewa decyzyjne, analizy powiązań, metody wizualizacyjne i metody statystyczne. Systemy te muszą bowiem operować na zbiorach (czy wręcz strumieniach danych) o ogromnych rozmiarach - ogromnych nawet jak na standardy współczesnych systemów bazodanowych.