Insiderhandel är ett bra exempel på ett allt större problem: varför ska en skurk fysiskt eller digital bryta sig in i en organisation för att stjäla dess pengar – när det är så mycket enklare att bara ta ett jobb där? Inifrån en organisation finns en hel rad olika sätt för en ohederlig person att berika sig själv, varav insiderbrott är ett. Andra vanliga brott är mutor, illegalt styrd upphandling, utbetalningar för påhittade tjänster, varor eller bidrag till sig själv eller närstående, länsning av kundkonton och mycket annat.
Det verkligt tråkiga är att problemen bara ökar. En färsk studie från PWC (”Adjusting the Lens on Economic Crime 2016”) visar att antalet anmälda brott som klassificeras som ekonomisk brottslighet bara ökar. I Europa har de ökat med 5 procentenheter på bara två år. 36 procent av de drygt 6 000 personer som deltagit i studien uppger att de upplevt ekonomisk brottslighet som exempelvis bedrägerier där personer inne i organisationen varit inblandade. Och detta får konsekvenser – hela 44 procent menar att problemet stör arbetsmoralen och bolagets employer branding. 22 procent hävdar att det skadar bolagets övergripande varumärke.
Förlorar 5 procent
Till dessa skador ska förstås läggas de direkt ekonomiska konsekvenserna. I den senaste rapporten från Association of Certified Fraud Examiners (ACFE) uppskattades den typiska organisationen förlora 5 procent av intäkterna varje år på grund av olika sorters bedrägeri. Vissa branscher är förstås mer utsatta än andra. Försäkringsbranschen är utsatt för både interna och externa bedrägeriförsök och bara i Storbritannien ökade, enligt en studie av Credit Industry Fraud Avoidance System (CIFAS,) de interna bedrägerierna med hela 18 procent mellan 2012 och 2013.
Detta är helt klart en alarmerande trend som måste brytas, men tyvärr är det ganska svårt. För att till fullo förstå interna bedrägerier krävs insikt om omfattningen av problemet, eftersom bedrägerier kan se ut på många olika sätt. Ett exempel är olika brott mot process och efterlevnad, som när bankanställda agerar på uppdrag av någon som de har en privat eller affärsmässig relation med. Just detta är vad MAR ska reglera, i kontexten insiderinformation. Det kan tyckas vara tämligen oskyldigt om en bankkamrer godkänner ett blygsamt lån till en kompis trots att en kreditbedömning indikerat att lånet inte borde beviljas, men ett dåligt beteende kan leda till mer extrema former av interna bedrägerier. Det kan leda till allvarligare missbruk av kreditprocessen eller direkt stöld från kundkonton.
Penningtvätt och bedrägerier
Penningtvätt och bedrägerier vid stora upphandlingar ökar också kraftigt, liksom bidragsbrott. I Storbritannien ökade bedrägeriförsök vid ansökningar om A-kassa med 70 procent på bara ett år, mellan 2012 och 2013. I Sverige har vi ju allt fler stora rättegångar om ekonomiska bedrägerier omfattande assistansersättning, hemtjänst, sjukersättning, VAB, A-kassa och mycket annat.
Att aktivt förhindra interna bedrägerier är idag högprioriterat i många organisationer. Risken för ekonomiska förluster är avgörande i alla branscher, men rädsla för skadat anseende är ofta en ännu viktigare drivkraft. Varje indikation om att en organisation inte kan lita på sin personal resulterar sannolikt i en förlust av kundförtroende.
Men den största anledningen till att många organisationer nu fokuserar på att stävja interna bedrägerier är att man blivit så bra på att upptäcka de externa. Det har blivit allt svårare för externa bedragare att komma undan. Allt fler kontrollerande myndigheter, allt bättre regelverk och en allt starkare internationell samordning inom områden som penningtvätt, insiderhandel (som MAR) och polisarbete inom ekonomisk brottslighet har gjort att de externa bedrägerierna istället flyttat in i organisationen.
En del av den organiserade brottsligheten
I många länder har bedragare ganska länge avsiktligt placerat människor inne i organisationen för att underlätta bedrägeri. Interna medarbetare fungerar därför ibland som en del av den organiserade brottsligheten och samarbetar med externa parter för att lura sin organisation – och ibland agerar dessa ”insiders” dessutom på egen hand för egen vinnings skull.
Men vet du vilka typer av individer som oftast blir sådana här interna bedragare? Dessvärre finns inget enkelt svar på den frågan. Ofta är det dock de som man säkert minst misstänker: trotjänare och ledare. En intern bedragare har ofta varit minst tio år i sin organisation, gjort karriär och klättrat till någon sorts mellanchefsbefattning. Det skulle alltså kunna vara Yngve på ekonomiavdelningen eller Birgit på projektkontoret. Vem skulle kunna tro det? Jo, den typen av anställda kan organisationens system inklusive dess brister och är som sagt oftast betrodda personer. Men varför blir de bedragare?
Det finns ett antal faktorer som kan få en anställd att begå bedrägeri. Oftast är det en akut ekonomisk situation, som en skilsmässa eller olycka. Men det kan också vara narkotikamissbruk eller spelberoende, missbruk som ibland kan döljas för omvärlden i många år. Oavsett orsaken till bedrägerier så börjar det oftast i ganska liten skala. En kamrer på en bank, med ekonomiska problem, kan börja ta småpengar från kunders konton eller övertar kunders identitet och lämnar in nya låneansökningar i kundens namn – låneansökningar som bedragaren sedan själv godkänner.
Förutom strikt ekonomiska drivkrafter som akuta livshändelser eller missbruk så ligger det också en hel del i uttrycket ”tillfället skapar tjuven”. Många organisationers interna system och rutiner är så dåliga att en anställd snabbt inser att man skulle kunna tillskansa sig medel med väldigt liten risk för upptäckt. Det kan exempelvis vara en kultur där man attesterar sina egna reseräkningar eller där man inte behöver redovisa representation. En tredje orsak till interna bedrägerier är att en person gjort ett misstag som vederbörande sedan försöker dölja eller reparera. Detta är särskilt vanligt i värdepappershandel, där en felsatsning i komplicerade strukturer som warrants kan ge enorma förluster. Den person som orsakat förlusten kan då försöka rädda sin karriär genom att göra olika bedrägerier för att det ska se ut som om förlusten är mindre än vad den egentligen är. Drivkraften behöver alltså inte nödvändigtvis vara att berika sig själv.
Svårare att förutse
Det är sålunda inte alldeles enkelt att identifiera en bedragare och ännu svårare att förutse vem som skulle kunna riskera att bli en. Men har man egentligen något annat alternativ än att ändå försöka? Om det inte räcker med det ansvar man har mot kunder, anställda och ägare (exempelvis genom MAR), så har man också ett juridiskt och moraliskt ansvar mot omvärlden i stort.
Det första man måste göra är att identifiera vilka områden man ska fokusera på samt ranka dessa. Vanliga områden kan vara stöld från kunder, upphandlingsbedrägerier eller underlättandet av penningtvätt. När detta är gjort måste organisationen säkerställa att man har en 360–graders vy av alla data som behövs. Vanligtvis handlar det om att komma åt data från en rad källor i hela organisationen, inklusive finansiella och icke–finansiella transaktioner, kunddata, data från personalsystem och olika partner. Tyvärr sitter den här sortens data oftast i separata silos, så det är långt ifrån enkelt att genomföra. När det väl är gjort så kan man dock gå till nästa steg, vilket innebär att man kan göra en riktig analys av organisationen, dess anställda och deras beteende.
Medveten policy
En stor utmaning är att olika affärsenheter ofta fungerar på ett mer eller mindre självständigt sätt. Detta gör det svårt att på ett systematiskt sätt konsekvent utvärdera olika anställdas beteende. Detta kan spegla av en medveten policy och/eller en kultur där man gärna lämnar personalen ifred. Det kan man förstå om organisationen ifråga säljer höns eller färg, men det är inte acceptabelt för en bank eller en myndighet. Och även hönsfarmen eller färgfabriken måste i sinom tid göra något åt en situation där de inte vet vad deras personal har för sig.
Många organisationer har ännu inte sjösatt system eller processer för att hantera interna bedrägerier. Även de som har gjort det har tenderat att införa enkla regelbaserade metoder som relativt lätt kan kringgås. Erfarna medarbetare vet vanligtvis inte bara om vilka kontroller eller regelverk som införts, men också hur man kan undvika dem. Dessutom är en regelstyrd approach till bedrägerier ganska flytande där en mängd ofta nödvändiga undantag ständigt urvattnar processen. Det behövs därför ett mer sofistikerat förhållningssätt till upptäckt och behandling av interna bedrägerier. Datahantering är enormt viktigt, framförallt möjligheten att få tillgång till och analysera data från flera olika källor och i en mängd olika format i hela organisationen. I framtiden kommer organisationen i allt högre grad behöva göra detta regelbundet samt löpande övervaka och vid behov höja kvaliteten på dessa data.
Data mot omvärlden
Nästa steg är att koppla data mot omvärlden på ett konsekvent sätt. Detta kan åstadkommas genom analys av medarbetarnas kontaktnät. I princip så kartlägger man alla konton och applikationer som öppnas av enskilda medarbetare och följer hur olika individer interagerar med kunder och kollegor. Organisationen måste kunna se över hela profilen för sina anställda för att exakt utvärdera om dessa individer innebär hög risk. Självfallet måste systemen vara så korrekta som möjligt så att man inte av misstag märker en helt oskyldig person som en högriskkandidat. Här kan regelbaserade processer stödja – i dessa kan man se hur olika riskindivider hanterat konkreta ärenden.
Målet är att se om ett beteende förändras över tid. Avgörande för hela denna process är att man letar efter anomalier som markerar när en anställd avviker från det normala beteendemönstret. Med utgångspunkt i detta får man med avancerade analyser en rad möjligheter, med avancerade modelleringsalgoritmer och så kallade beslutsträd, för att få en mer korrekt riskbedömning och tidigare upptäckt av risker. Med textanalys tas detta ännu ett steg längre och gör det möjligt för företag att hitta mönster i både strukturerad och ostrukturerad information, exempelvis i flöden i sociala medier, nyhetsmedier och kommentarsfält. Den här typen av analys gör att man automatiskt kan se en känslomässig aspekt i många sorters data, exempelvis hur en nyhet tas emot inte bara i form av ändrad börskurs – som ju är ett enkelt numeriskt mått – utan också om kommentarer om nyheten i olika forum tenderar att vara övervägande positiva eller negativa.
Definiera och identifiera risker
Målet är att definiera och identifiera risker innan konkreta bedrägerier genomförs. Med detekteringsfasen klar återstår att utveckla system som larmar när risker identifieras, samt att utforma dessa larm på lämpligt sätt. Hur man väljer att göra det varierar. En del organisationer i reglerade branscher har helt enkelt ett regelverk som man följer. Andra utvecklar en rapportstruktur och ser till att man har personal som inte bara tar hand om larmen och följer upp dem, men som också ständigt utvecklar systemen.
Kompetent personal är jätteviktigt. Det kvittar om man har system som larmar om larmen inte tas om hand på ett kompetent sätt. Nyckelpersonal måste utbildas att upptäcka tecken på bedrägeri och dessutom av olika slag. En viss anställd kan vara på väg att begå ett bedrägeri på grund av en livskris. En annan kan vara en mer ”aktiv” bedragare. En tredje kan vara utpressad av kriminella gäng. Organisationen måste kunna analysera olika typer av drivkrafter bakom potentiella bedrägerier och också införa regelverk och processer där anställda stimuleras att anmäla misstänkt beteende – utan att man för den skull hamnar i en angivarkultur. I den kontexten ska man se system och analys som det steg i undersökningen där man eliminerar falsklarm. Det gör ju att man slipper utsätta oskyldiga personer för besvärande processer.
Måste vara enkla
Men det innebär också att systemen måste vara enkla att använda av personer som egentligen inte är IT-experter. De är snarare controllers, internrevisorer, personalchefer eller har andra befattningar där de inte nödvändigtvis är vana att köra avancerade analysmodeller. Det bästa sättet att få ned alla hästkrafterna i marken är att tillämpa politik tillsammans med teknik, vilket garanterar att alla inom organisationen är medvetna om vad som är tillåtet och vad som inte är tillåtet. Det är också viktigt att se till att åtkomsträttigheter till olika system anpassas för den särskilda rollen varje anställd har och att man säkerställer att alla relevanta konton omedelbart avslutas när någon slutar.
Det är oerhört viktigt att införa en kultur där bedrägerier inte tillåts och som uppmanar till vaksamhet mot bedrägerier. Men det räcker inte. Dagens digitala miljöer, med många system, kontaktytor och kommunikationskanaler, gör det omöjligt att upptäcka alla bedrägerier bara genom bra policys. Med hjälp av analysbaserade system kan vi däremot inte bara identifiera bedrägerier – vi kan ofta göra det innan de hunnit genomföras. Det kan inte bara förhindra felaktiga utbetalningar på väldigt stora belopp, utan också göra att organisationen ifråga slipper dyra och pinsamma böter.
