A kiberkockázat és a vállalati visszaélések a távmunka-boom árnyoldalai

A pandémia miatt elterjedt otthoni munkavégzés tízből kilenc amerikai cégnél negatív hatással volt a csalásmegelőzési intézkedések hatékonyságára, a megfelelőségi kockázatok kezelésére, vagy a kiberbiztonságra – így összegezhetők a 2022-es KPMG Fraud Outlook megállapításai. Noha a kutatás az amerikai kontinenst célozta, a következtetések globális szinten is érvényesek: annak, aki nem tesz megfelelő lépéseket a fenyegetettség ellen, nemcsak a közvetlenül elszenvedett károkkal kell szembenéznie, hanem akár szabályozói bírságokkal, jogi következményekkel és nem utolsósorban reputációvesztéssel is számolnia kell.

A 2022 KPMG Fraud Outlook kutatás 642 felsővezető megkérdezésével készült – 58 százalékuk latin-amerikai, 42 százalékuk észak-amerikai vállalatoknál dolgozik. A gyártás, a kiskereskedelem, az energiaipar, a pénzügyi szolgáltatások, a biztosítók, az egészségügy, a távközlés és a médiaipar nagyjából azonos arányban képviseltették magukat.

A kutatás megerősítette, hogy a járvány alatt gyakoribbak és súlyosabbak lettek az olyan egymással összefüggő veszélyek, mint a csalások, a megfelelőségi problémák és a kibertámadások. A felmérésből látszik, hogy a hibrid munkavégzés és a távmunka csökkenti a meglévő kontrollok hatékonyságát.

A válaszadók 83 százaléka jelezte, hogy vállalatát az elmúlt 12 hónapban legalább egy kibertámadás érte. Csalás áldozatává 71 százalékuk vált, és több mint felük fizetett felügyeleti bírságokat vagy szenvedett el egyéb veszteségeket a kezeletlen megfelelőségi kockázatok miatt. Ezek a problémák együttesen átlagosan a profit 1 százalékát emésztették fel.

Veszélyben a nagyobb vállalatok

A kutatásban résztvevő cégek 40 százaléka rendelkezik egymilliárd dollár alatti árbevétellel, 34 százalékuk egy- és tízmilliárd dollár közöttivel, 26 százalékuk pedig a tízmilliárdot meghaladóval. Ez utóbbi halmazba eső vállalatoknak mindössze 15 százaléka nyilatkozta, hogy nem szenvedett el csalásból származó veszteséget az elmúlt évben. A kisebb cégek helyzete könnyebb, körükben csaknem kétszeres, 29 százalék ez az arány. Az elkövetők tehát legtöbbször a nagyvállalatokra csapnak le, ezeknél látják a legtöbb lehetőséget.

A válaszadók 90 százaléka látta úgy, hogy az otthoni munkavégzés negatív hatással volt a cég csalásmegelőzési intézkedéseinek hatékonyságára, megfelelőségi kockázatainak kezelésére, vagy a kiberbiztonságra – egyeseknél akár mindháromra. A megkérdezettek hatvan százaléka számít arra, hogy – részben a fokozódó szabályozás miatt – tovább nőnek a megfelelőségi kockázatok is. Az adatvédelem, a munkaügy és a környezetvédelem terén szinte mindenki újabb követelményekre számít.

Egyre növekvő fenyegetettség

A kutatás megállapításai szerint nem szabad alábecsülni a belső csalások lehetőségét sem. A felsővezetők 31 százaléka jelezte, hogy az elmúlt 12 hónapban belső csalás áldozatává vált a társaságuk. Érdekes következtetése a felmérésnek, hogy a vállalatok „szégyenérzete” sokszor erősebb motiváció, mint az anyagi kockázat: a megfelelőség immár jelentős részben reputációs kérdéssé vált. A kutatásban többen jelezték, hogy a reputáció miatt fordítanak nagyobb figyelmet a megfelelőségre, mint ahányan a bírságokat és büntetéseket jelölték meg ennek okaként.

A kiberbiztonság terén gyorsasággal és a változások iránti nyitottsággal lehet sikereket elérni. A megkérdezettek szerint átlagosan egy hónapig tart teljesen felszámolni egy kibertámadás következményeit. Ráadásul a megkérdezettek többsége jobbára még elégedett is ezzel, annak ellenére, hogy szakértők szerint ez jelentős veszteséget képez mind időben, mind anyagiakban.

Hibás megközelítés azt gondolni, hogy a visszaélések a HR és a belső ellenőrzés, a kiberbiztonság az IT, a megfelelőség pedig a jogászok szakterülete. A vállalatoknak erre a három veszélyforrásra egy egységként kell tekinteniük, ahelyett, hogy külön próbálnák kezelni az egyes kockázatokat” – hívja fel a figyelmet Kaszap András, a KPMG igazgatója. „Az elkövetői kör, az indíték, és a sérülésnek kitett terület ugyanis sok tekintetben átfed ezeknél, ráadásul a védekezés módja és az állandó készültség igénye is hasonló formában jelentkezik.”

A csalások elkövetőinek legnagyobb részét egyébként a szervezett bűnözők teszik ki – az esetek 27 százaléka köthető hozzájuk. Második helyen a külső szolgáltatók állnak, őket követik szorosan a beszállítók és a vevők. A saját munkavállalók a csalások 18 százalékában vesznek részt, a közép- és felsővezetők ezen belül 14, illetve 10 százalékban felelősek az adatszivárogtatásokért, visszaélésekért. Ugyanakkor az esetek több mint 10 százalékában játszanak szerepet a felügyeletek és hatóságok eltévelyedő munkatársai is, megszédülve a hatáskörükben fellelt védelmi hibák kihasználhatóságának vonzerejétől.

A járvány hatásai

A 2022 KPMG Fraud Outlook alapján a pandémia miattmegváltozott munkakörülmények és a piaci helyzet egyaránt hatással volt a csalásmegelőzés hatékonyságára. Előbbi alaposan megnehezítette a gyanús viselkedésminták kiszűrését, utóbbi pedig a hirtelen fellépő ellátási zavarok miatt csökkentette az éberséget a külső partnerekkel, szállítókkal kapcsolatban. A válaszadók 59 százaléka értékelte úgy, hogy a járvány előtti csalásmegelőzési intézkedések a megváltozott munkakörülmények között már nem bizonyultak hatékonynak. A megkérdezettek 69 százaléka nyilatkozott úgy, hogy a távmunka jelentős biztonsági kihívást jelentett a cég számára. Az otthoni munkavégzés hatással volt a megfelelőséggel kapcsolatos feladatokra, például a kötelező tréningekre is. A kényszerű újratervezés számos oktatást késleltetett. A virtuális környezet ugyanakkor kulturális változásokkal is járt, ellehetetlenítve a személyes észlelésen alapuló kockázatértékelést. A felmérés résztvevőinek 19 százaléka jelezte, hogy a távmunka miatt nehezebb nyomon követni a pénzügyi, pénzmosási és korrupcióellenes kontrollokat.

„A vállalatoknak egy olyan időszak után kell szigorítaniuk a belső kontrollon, amikor a környezet éppen arra késztette őket, hogy átmeneti nehézségeiken rugalmasabb hozzáállással legyenek úrrá. Sajnos ezt a sérülékenységet sokan kihasználják” – ismerteti a trendeket Kaszap András.

A kiberfenyegetések elhárítására szinte minden vállalat tett lépéseket a járvány alatt: 55 százalékuk vezetett be kétfaktoros hitelesítést, majdnem ennyien fokozták a hálózati biztonságot, és 47 százalékuk fejlesztette a munkavállalók informatikai biztonsági képzését.

Lépések a hármas fenyegetettség kezelésére

A 2022 KPMG Fraud Outlook öt tennivalót határoz meg a hármas fenyegetettség kezelése kapcsán.

  • Az első a vezetői példamutatás, a vállalat vezetésének élen kell járnia az etikus működést és megfelelőséget előtérbe helyező vállalati kultúra formálásában, a szükséges kiberbiztonsági protokollok betartásában.
  •  A cégeknek szükségük van átfogó kockázatértékelési folyamatokra, amelyek a csalásokat és visszaéléseket – és különösen a kiberbiztonsági eredetű támadásokat – nem csak elméleti, hanem gyakorlati szinten is feltárják, így a menedzsmenttől az auditon át a napi operációig mindenkiben tudatosítva a kockázatcsökkentés érdekében rájuk háruló feladatokat.
  • Fontos a hatékony kommunikáció, szükség van a meglévő képzési és kommunikációs protokollok fejlesztésére, hogy a kockázatokról szóló üzeneteket mindenkihez hatékonyan eljuttassák.
  • A munkavállalók szerepe a csalások és visszaélések felderítésében szintén elengedhetetlen. A megelőzésben azok a vállalatok tudnak hatékonyak lenni, ahol a munkavállalók nem félnek jelezni gyanújukat.
  • Végül, a vállalatoknak emellett érdemes mérlegelniük szabályozásuk fejlesztését is annak érdekében, hogy a teljesítményértékelésben az etikai elvek, az integritás és a viselkedés szerepe nagyobb hangsúlyt kapjon.

KPMG sajtóközlemény