Время прочтения: 6 мин.

Системы внутреннего контроля также содержат шаблоны уже прошедших атак, типовых нарушений или мошенничеств. Однако если такой шаблон отсутствует в базе знаний средства защиты, такая атака или мошенничество пройдут незамеченными. Когда они будут раскрыты, по факту нанесения ущерба, специалисты изучат их схемы и алгоритмы и обновят базу знаний – после этого все угрозы, подобные им, будут выявляться по шаблону. Но пока специалисты не внесли такие системы в базу данных, вы не узнаете об этих злонамеренных действиях. Только так: сначала атака или хищение, потом средство защиты – и ничего с этим поделать было нельзя. Именно «было», поскольку благодаря современным системам искусственного интеллекта («ИИ», англ. — «Al») службы внутреннего аудита («СВА») обрели способность работать на опережение. Каким же образом?

ИИ автоматизирует многие задачи, которые ранее выполнялись ручным методом. К тому же он способен проанализировать 100% их объема, не обращаясь за помощью к человеку, помощь которого в написании тестов и базовых правил еще совсем недавно была бы незаменима. Отличает современный внутренний аудит с ИИ то, что сила сегодняшних алгоритмов машинного обучения и нейросетей заключается в возможности выявлять аномалии и предсказывать тренды поведения, которые могут трактоваться как начало или подготовка к акту мошенничества.

При этом ИИ, проанализировав сплошной объем данных в миллионы строк и тысячи документов, способен понимать всю целостность реестра, обнаруживать в них атипичные структуры, отталкиваясь не от прописанных правил и шаблонов, а от рисков и нестандартных отклонений. Можно сказать, что это риск-ориентированный подход в идеальной его реализации.

Основанные на ИИ системы, помимо всего прочего, способны постоянно обучаться и адаптироваться к новой информации. По мере того как через них проходит и обрабатывается все больше данных, ИИ анализирует их и находит корреляции, основываясь на сотнях различных переменных.

В конечном счете, по подозрительным транзакциям вывешиваются «красные флажки», как сигнал о том, что они требуют внимательного изучения. Таким образом, ИИ способен обнаружить необычные операции и другую деятельность, которые ранее не попали бы в поле зрения с традиционными подходами к тестированию. Внутренние аудиторы полагаются на профессиональное суждение и случайную выборку, а это может быть либо очень затратным по времени, либо чревато пропусками (или быть и тем, и другим). ИИ же быстро обрабатывает всю информацию и выявляет риски, которые ранее обнаружить было невозможно.

Какие процессы можно поручить «роботу» уже сейчас?

Мошеннические действия в корпоративной среде во многом обусловлены отличным пониманием злоумышленником того, как устроен тот или иной бизнес-процесс, потому что, как правило, он находится внутри организации. Нарушитель выискивает слабые места бизнес-процессов, знает, где контроль недостаточен, как будет проводиться процедура расследования и многие другие нюансы. И почти каждый подобный инцидент рассчитан на то, что через фальсификацию неких контрольных точек ущерб останется незаметен в течение продолжительного времени.

Такая тактика работает, когда ей противостоит человек. Сотрудник СВА не в состоянии проанализировать все составляющие процесса ­– он сужает свое внимание до контрольных точек. Но для машины это выглядит совсем по-другому. Для ИИ каждый бизнес-процесс – это совокупность событий, происходящих внутри информационных систем и сервисов. Каждый выданный кредит имеет свою историю, которая существует, начиная от заявки клиента на сайте, результатов скоринговой модели, решения кредитного комитета и заканчивая операциями по открытию счета, выпуску карты и отслеживанию погашения. Это четкая последовательность операций с определенными временными интервалами между событиями и количеством участников. Даже если процесс не имеет жесткой регламентации, он все равно имеет эту логику, и машина ее видит и понимает. И, что самое главное, она может сравнить между собой множество однотипных операций, построить среднюю модель и событийно контролировать каждый последующий процесс, реагируя в случаях выявления отклонений.

Такая модель позволяет видеть любые отклонения от бизнес-процесса в реальном времени. Несанкционированно изменились параметры по сделке – машина увидит это просто потому, что по другим сделкам таких изменений не происходило. Менеджер клиентского зала сделал большое количество однотипных операций – ИИ отреагирует на изменение картины стандартного дня этого менеджера. Да, безусловно, не каждое подобное отклонение будет случаем мошенничества. Его причиной может быть множество других легальных и объяснимых факторов. Однако согласитесь, что любое существенное отклонение от логики процесса – это инцидент, требующий внимания.

Например, нас есть определенное количество заявок на кредит, принятых менеджером в клиентском зале. С точки зрения отчетности все в порядке. Есть менеджер, есть количество оформленных заявок, есть приложенный к каждой из них пакет необходимых документов. Но на уровне информационных систем мы видим, что обычно между заведением заявок есть определенный интервал, есть талон электронной очереди как разделитель, есть определенные интервалы загрузки прилагаемых документов. Одновременно с этим есть 5 анкет, которые попали в систему суммарно за 10 минут. И все это случилось перед самым закрытием отделения.

Возможно, была какая-то поломка оборудования и менеджер ждал, когда проблема решится, но может быть и так, что он оформил заявки по заранее заготовленным документам, и никакого заявителя рядом не было. В любом случае система на это отреагирует. Что особенно важно – систему можно учить. Так, если изменение одних процессов было обусловлено отключением электроэнергии, то данное допущение будет применено ко всем другим процессам. Немаловажным является и существенная экономия временных ресурсов: с операциями, на проверку которых традиционными способами автоматизации уходило несколько дней, ИИ может справится за несколько минут.

Но только ли злоумышленные действия являются фактором, наносящим ущерб организации? К сожалению, нет. Основной ущерб лежит в плоскости банальной халатности.

К примеру, в рамках процесса согласования договоров мы можем видеть, что один из участников системы документооборота проводит в отношении документа определенный набор операций, которым свойственны единая последовательность и примерно одинаковые временные интервалы. Это справедливо для 90% случаев. Однако к концу каждого дня этот интервал сокращается, равно как и последовательность действий. Логично предположить, что сотрудник просто пытается закончить работу быстрее, чтобы не задерживаться по окончании рабочего дня, и имитирует процесс, просто расставляя «согласовано» и даже не читая текст. А если разобрать этот процесс «пособытийно», то мы можем в этом однозначно убедиться: вложенные файлы не открываются, страницы документа не пролистываются, нет обращений к справочной информации, отметка о согласовании проставляется спустя 10 секунд после открытия документа. Таким образом, сегодня применение машинного обучения и ИИ – это эффективный инструмент выявления мошенничеств и халатности при выполнении сотрудниками СВА их служебных обязанностей. Более того, отказ компании от инвестиций в передовые интеллектуальные системы контроля несет в себе существенный риск безнадежно отстать в технологической гонке за эффективность и тогда ценность СВА, как корпоративной единицы компании, будет поставлена под сомнение