Nadużycia wewnętrzne w bankach długo traktowano jako rzadkie incydenty. Dzisiaj coraz wyraźniej widać, że są stałym elementem krajobrazu ryzyka. Nie chodzi tylko o spektakularne sprawy karne. Chodzi o codzienną podatność organizacji na działania pracowników, którzy mają dostęp do systemów, danych klientów i wrażliwych procesów.
W niniejszym artykule opisuję, czym są nadużycia wewnętrzne, jakie obszary banku dotykają najmocniej, jakie ramy regulacyjne mają znaczenie w tym obszarze oraz jakie filary powinien mieć system ochrony przed takim ryzykiem. Na końcu wskazuję kilka napięć, które każdy bank musi świadomie ułożyć: między bezpieczeństwem a prywatnością, między technologią a kulturą organizacyjną, między zaufaniem a kontrolą.
Czym są nadużycia wewnętrzne? Nadużycia wewnętrzne to sytuacje, w których pracownik banku albo osoba współpracująca wykorzystuje swoje uprawnienia, dostęp do systemów albo wiedzę o procesach do działania sprzecznego z interesem banku, klientów lub z prawem. Czasem jest to świadome nadużycie nastawione na korzyść majątkową. Czasem jest to działanie motywowane chęcią ukrycia błędu lub poprawy wyniku. Czasem jest to wsparcie osób trzecich w obejściu mechanizmów bezpieczeństwa.
Ryzyko nadużyć wewnętrznych obejmuje nie tylko pracowników, którzy działają z wyraźnym zamiarem popełnienia oszustwa. Obejmuje także osoby, które są wewnątrz organizacji, mają dostęp do systemów i informacji, ale stają się najsłabszym ogniwem z powodu nieostrożności, braku świadomości lub podatności na naciski z zewnątrz. Z perspektywy bezpieczeństwa skutki mogą być podobne, nawet jeżeli motywacja jest inna.
Nie jest to zatem tylko problem pojedynczego działu czy narzędzia informatycznego. Nadużycia wewnętrzne łączą obszary rekrutacji, kultury organizacyjnej, systemów informatycznych, ochrony danych, przeciwdziałania praniu pieniędzy, sankcji, zasobów ludzkich oraz współpracy z organami ścigania. Dopiero spojrzenie na to ryzyko w sposób przekrojowy pozwala je realnie ograniczać.
Trzy oblicza nadużyć wewnętrznych. W praktyce można wyróżnić trzy typowe profile pracowników, którzy stają się źródłem nadużyć wewnętrznych.
Pierwszą grupę stanowią pracownicy, którzy działają z zamiarem popełnienia nadużycia. To są osoby, które wiedzą, co robią. Znają procesy, rozumieją, gdzie są słabe punkty kontroli i potrafią je wykorzystać. Zdarza się, że wchodzą w porozumienie z klientem albo z osobami spoza banku. Zdarza się, że wykorzystują uprawnienia administracyjne, dostęp do systemów oraz wiedzę o tym, jak wygląda weryfikacja transakcji. W takich sytuacjach mamy do czynienia z klasycznym oszustwem, często z udziałem małego zespołu rozłożonego między klienta i pracownika.
Drugą grupę stanowią pracownicy, którzy stają się zagrożeniem z powodu lekkomyślności albo braku świadomości. To są osoby, które nie mają złej intencji, ale logują się z niebezpiecznych urządzeń, przekazują hasła współpracownikom, zostawiają sesje otwarte na komputerze, klikają w linki phishingowe albo publikują w mediach społecznościowych informacje, które pozwalają przestępcom lepiej ich profilować. Z punktu widzenia ryzyka banku takie zachowania otwierają drzwi do poważnych incydentów, nawet jeżeli sam pracownik nie czerpie z tego bezpośredniej korzyści.
Trzecią grupę tworzą pracownicy poddani silnym naciskom zewnętrznym albo znajdujący się w trudnej sytuacji osobistej. W praktyce dochodzeń gospodarczych widać, że nadużycia wewnętrzne często nie zaczynają się od chęci wzbogacenia się, lecz od próby ratowania swojej sytuacji finansowej, rodzinnej albo zawodowej. Kiedy ktoś ma problemy z zadłużeniem, boi się utraty pracy albo znajduje się pod wpływem nacisków osoby trzeciej, łatwiej o decyzje, które w normalnych warunkach byłyby nie do pomyślenia. Dlatego bank powinien dostrzegać nie tylko zdarzenia techniczne w systemach, lecz także sygnały dotyczące kondycji pracownika.
Obszary banku szczególnie narażone na nadużycia wewnętrzne. Mapa ryzyka nadużyć wewnętrznych pokrywa się z mapą miejsc, gdzie koncentrują się uprawnienia, informacje i możliwość działania.
Jednym z kluczowych obszarów jest dostęp do systemów i danych klientów. Pracownik, który ma możliwość przeglądania danych identyfikacyjnych, historii transakcji oraz informacji o produktach, posiada zestaw informacji o dużej wartości. W niepowołanych rękach te dane mogą posłużyć do kradzieży tożsamości, przygotowania ataków socjotechnicznych albo budowy nieformalnych baz danych.
Drugim obszarem są procesy transakcyjne. Jeżeli pracownik może inicjować, autoryzować lub korygować transakcje, pojawia się ryzyko nadużycia lub manipulacji. Dotyczy to zarówno płatności wychodzących, jak i modyfikacji danych odbiorców, zmian limitów oraz obsługi wyjątków w systemach. Im bardziej skomplikowany jest proces, tym łatwiej ukryć w nim nienaturalne działanie.
Trzeci obszar to procesy gotówkowe i operacyjne. W miejscach, gdzie pojawia się fizyczna gotówka albo inne nośniki wartości, ryzyko nadużyć jest naturalnie wyższe. Dotyczy to kas, sejfów oraz transportu gotówki. W takich procesach znaczenie ma nie tylko system kontroli, lecz także sposób organizacji pracy oraz proste, ludzkie mechanizmy nadzoru.
Istnieją także obszary, w których łączy się wiedza o kliencie, produktach i systemach. Pracownicy takich zespołów rozumieją, jakie transakcje wzbudzają zainteresowanie systemów monitorujących, jakie są progi, jakie są wyjątki i jaka jest tolerancja organizacji na odstępstwa. Z jednej strony są to kluczowi strażnicy bezpieczeństwa. Z drugiej strony, jeżeli zabraknie właściwej kultury organizacyjnej i mechanizmów kontroli, ta wiedza może zostać wykorzystana w niewłaściwy sposób.
Nadużycia wewnętrzne są trudne także dlatego, że pracownik zna procesy i zna luki w kontrolach. Osoba z zewnątrz musi się tych słabości dopiero nauczyć. Pracownik wewnątrz często wie od razu, gdzie można zaryzykować, jak ominąć standardową ścieżkę, jakie działania mogą długo pozostać niezauważone. Funkcjonuje przy tym w środowisku zaufania, co samo w sobie jest potrzebne dla sprawnego działania organizacji, ale utrudnia szybkie reagowanie na pierwsze sygnały ostrzegawcze.
Ramy regulacyjne nadużyć wewnętrznych. Nadużycia wewnętrzne nie są tylko problemem operacyjnym. To obszar silnie uregulowany, w którym nakładają się na siebie różne reżimy prawne oraz wytyczne nadzorcze.
Po pierwsze, istotna jest perspektywa przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. System przeciwdziałania praniu pieniędzy opiera się na założeniu, że instytucja obowiązana działa w dobrej wierze, stosuje środki bezpieczeństwa finansowego i monitoruje transakcje. Jeżeli osoba wewnątrz banku pomaga w obejściu tych mechanizmów albo wręcz je sabotuje, to uderza w sam fundament zaufania nadzorcy do systemu. Wymogi dotyczące podziału obowiązków, niezależności funkcji, dokumentowania decyzji i rozliczalności mają bezpośrednie znaczenie dla ograniczania ryzyka nadużyć wewnętrznych.
Po drugie, duże znaczenie ma perspektywa sankcyjna. Reżimy sankcyjne opierają się na założeniu, że instytucje finansowe będą skutecznie identyfikować powiązania z podmiotami i osobami objętymi środkami ograniczającymi. Jeżeli pracownik pomaga w ukryciu takiego powiązania albo celowo ignoruje sygnały ostrzegawcze, bank naraża się nie tylko na ryzyko reputacyjne, lecz także na poważne konsekwencje prawne i nadzorcze. Procesy weryfikacji pracowników, którzy mają dostęp do systemów sankcyjnych i danych klientów, są częścią szerszego systemu zgodności z sankcjami.
Po trzecie, ważna jest perspektywa ochrony danych osobowych. Bank jako pracodawca i jako administrator danych klientów ma obowiązek szanować prawa pracowników i przestrzegać zasad przetwarzania danych. Monitorowanie aktywności pracowników w systemach, logowanie działań i analiza zachowań wymagają odpowiedzi na pytania o podstawę prawną, proporcjonalność, zakres danych oraz okres ich przechowywania. Inspektor ochrony danych powinien nie tylko pilnować zgodności z przepisami, ale także pomagać projektować rozwiązania w duchu privacy by design i privacy by default.
Po czwarte, istotne są ogólne wymogi dotyczące systemu kontroli wewnętrznej, ładu korporacyjnego i zarządzania ryzykiem. Nadzorca oczekuje, że bank będzie miał system, który umożliwia identyfikowanie, ocenę i monitorowanie ryzyk, w tym ryzyk związanych z personelem i dostępami. Wytyczne nadzorcze podkreślają rolę trzech linii obrony. Jednostki biznesowe odpowiadają za właściwe działanie procesów. Funkcja ryzyka i compliance zapewnia spojrzenie z drugiej linii. Audyt wewnętrzny weryfikuje, czy system działa w praktyce i czy mechanizmy kontrolne rzeczywiście są stosowane.
Kto w banku odpowiada za ryzyko nadużyć wewnętrznych? Ryzyko nadużyć wewnętrznych dotyka wielu funkcji w banku. Odpowiedzialność jest rozproszona, dlatego tak ważne jest jasne zdefiniowanie ról.
Zarząd i rada nadzorcza wyznaczają ton z góry. Ustalają akceptowalny poziom ryzyka, decydują o budżetach, zatwierdzają polityki kadrowe i bezpieczeństwa. Jeżeli na tym poziomie nie ma jasnego komunikatu, że tolerancja dla nadużyć jest równa zeru, a kwestie etyczne są równie ważne jak wynik finansowy, to nawet najlepiej napisane procedury pozostaną na papierze.
Funkcja compliance spina różne perspektywy regulacyjne. Widzi wymagania prawa bankowego, przepisy przeciwdziałania praniu pieniędzy, przepisy sankcyjne, wytyczne nadzorcze i wewnętrzne standardy etyczne. Jej rolą jest wskazywanie, gdzie w praktyce pojawiają się luki i niespójności oraz jak budować procesy, które są zgodne z prawem, a jednocześnie wykonalne operacyjnie.
Inspektor ochrony danych odpowiada za to, aby narzędzia kontroli pracownika były zgodne z zasadami przetwarzania danych. Często oznacza to konieczność zawężania zbyt szerokich pomysłów na monitoring, ograniczania zakresu danych, skracania okresu przechowywania albo wprowadzania dodatkowych zabezpieczeń dostępu. Jednocześnie inspektor ochrony danych powinien rozumieć, że całkowita rezygnacja z monitoringu w imię ochrony prywatności nie jest realistyczna w sektorze finansowym.
Obszar bezpieczeństwa odpowiada za dostęp do systemów, architekturę uprawnień, logowanie działań i reagowanie na incydenty. To tu zapada wiele decyzji o tym, kto ma jaki dostęp, na jak długo i z jakimi ograniczeniami. To także miejsce, gdzie analizuje się nietypowe zachowania w systemach i koordynuje działania z innymi funkcjami, gdy pojawia się podejrzenie nadużycia.
Obszar przeciwdziałania praniu pieniędzy widzi ryzyko wewnętrzne przez pryzmat danych i transakcji. Z jednej strony analizuje zachowania klientów. Z drugiej strony, jeżeli systemy są dobrze zaprojektowane, może wychwycić także nietypowe zachowania pracowników, którzy próbują modyfikować ustawienia, omijać alerty lub wspierać klientów wysokiego ryzyka.
Nie można też pominąć roli zasobów ludzkich. Zespoły personalne są pierwszym filtrem w procesie rekrutacji oraz ważnym uczestnikiem procesów oceny okresowej, awansów, zmian stanowisk i rozwiązywania umów. Bez ich udziału trudno jest na wczesnym etapie dostrzec problemy z etyką, konflikty interesów czy sygnały, że pracownik może być podatny na naciski.
Między tymi obszarami pojawiają się naturalne napięcia. Z jednej strony mamy potrzebę bezpieczeństwa, która skłania do gromadzenia informacji, rozszerzania monitoringu i ścisłego kontrolowania zachowań. Z drugiej strony mamy ochronę prywatności i przepisy, które nakazują ograniczać zakres przetwarzanych danych do tego, co jest niezbędne, oraz nie przechowywać danych dłużej niż to konieczne. Z jednej strony istnieje potrzeba szybkiego reagowania na podejrzenia nadużycia. Z drugiej strony istnieje obowiązek zapewnienia rzetelnej procedury, unikania pochopnych oskarżeń i dokumentowania każdego kroku.
Kluczowe jest nie to, kto wygrywa ten spór, lecz to, czy bank potrafi świadomie ułożyć te elementy w spójny system. System, w którym role i odpowiedzialności są jasne, przepływ informacji jest przemyślany, a każda z funkcji rozumie, że nadużycia wewnętrzne są obszarem wspólnym.
Pięć filarów systemu ochrony przed nadużyciami wewnętrznymi. Praktycznie zaprojektowany system ochrony przed nadużyciami wewnętrznymi można opisać jako kilka filarów, które wzajemnie się uzupełniają.
Pierwszym filarem jest rekrutacja i weryfikacja kandydata. Bank powinien szczególnie uważnie podchodzić do obsady stanowisk wrażliwych. Chodzi o role, w których pracownik ma dostęp do systemów, danych klientów, procesów transakcyjnych i funkcji administracyjnych. Sama ocena kompetencji merytorycznych nie wystarcza. Istotne jest sprawdzenie spójności historii zawodowej, identyfikacja potencjalnych konfliktów interesów oraz sygnałów dotyczących etyki. Proces ten musi pozostawać w granicach prawa pracy i przepisów o ochronie danych osobowych, ale powinien być ustrukturyzowany, powtarzalny i adekwatny do poziomu ryzyka stanowiska.
Drugim filarem jest zarządzanie dostępami i uprawnieniami. Nawet najlepiej zweryfikowany pracownik nie powinien mieć uprawnień większych niż to konieczne. Zasada minimalnego niezbędnego dostępu powinna mieć odzwierciedlenie w praktyce. Rola w systemie powinna wspierać wykonywanie obowiązków, ale nie otwierać możliwości przeprowadzenia nadużycia od początku do końca przez jedną osobę. Ważne jest rozdzielenie obowiązków tam, gdzie w jednym procesie pojawia się inicjacja, autoryzacja i rozliczenie. Regularny przegląd uprawnień po zmianie roli, odejściu z zespołu czy zmianie zakresu obowiązków często stanowi słaby punkt praktyki.
Trzeci filar to monitorowanie, sygnały ostrzegawcze i dokumentacja. Bank musi mieć zdolność obserwowania, co dzieje się w systemach i procesach, oraz wyciągania z tego wniosków. Logowanie działań pracownika, analiza nietypowych wzorców zachowań i spójność między systemami transakcyjnymi a systemami bezpieczeństwa są elementami codziennej pracy. Równie ważna jest kultura, w której pracownik może zgłosić niepokojące zachowanie kolegi lub przełożonego bez ryzyka stygmatyzacji. Dokumentacja odgrywa kluczową rolę. Brak udokumentowania ustaleń i decyzji utrudnia wyciągnięcie konsekwencji oraz wykazanie należytej staranności przed nadzorcą czy organami ścigania.
Czwartym filarem są technologia i silne uwierzytelnianie. Wiele nadużyć wewnętrznych opiera się na przejęciu tożsamości pracownika albo wykorzystaniu słabych mechanizmów logowania. Zastosowanie silnego uwierzytelniania ogranicza możliwość prostego skopiowania czy przechwycenia danych logowania. Nie eliminuje ryzyka całkowicie, ale znacząco podnosi poprzeczkę. Istotne jest spójne logowanie aktywności oraz możliwość odtworzenia, kto, kiedy i w jakim celu wykonywał daną operację. Bez tego nawet najlepszy system uwierzytelniania będzie przypominał czarną skrzynkę, w której trudno zrekonstruować przebieg zdarzeń.
Piątym filarem są media społecznościowe i publiczna obecność pracowników. Socjotechnika często zaczyna się od informacji, które pracownicy sami o sobie ujawniają. Jeżeli pracownik publikuje szczegółowe informacje o swojej roli, projektach i procesach, ułatwia przestępcom profilowanie i przygotowanie ataku. Jeżeli otwarcie opowiada o swoich frustracjach czy problemach, może stać się celem dla osób szukających słabego punktu w organizacji. Odpowiedzią nie jest masowa inwigilacja życia prywatnego, lecz mądrze zaprojektowane polityki i edukacja. Chodzi o to, aby pracownicy rozumieli, jakie informacje budują ich markę osobistą, a jakie tworzą nieakceptowalne ryzyko dla banku.
Wszystkie te filary muszą być spójne z kulturą organizacyjną. Jeżeli głównym komunikatem w organizacji jest sprzedaż za wszelką cenę albo prymat wyniku, nawet najlepszy system formalnych kontroli może okazać się niewystarczający. Pracownik będzie czuł, że system oczekiwań popycha go do balansowania na granicy. Tam, gdzie od początku jasno komunikowana jest równa waga etyki, bezpieczeństwa i wyniku finansowego, łatwiej jest wprowadzać wymagające rozwiązania techniczne i organizacyjne i uzyskiwać dla nich akceptację.
Napięcia, które trzeba świadomie ułożyć. Każdy bank, który poważnie podchodzi do ryzyka nadużyć wewnętrznych, musi zmierzyć się z kilkoma napięciami.
Pierwsze dotyczy granic weryfikacji kandydata. Z jednej strony bank nie może być naiwny i ma obowiązek dbać o bezpieczeństwo klientów, stabilność procesów i zgodność z prawem. Z drugiej strony obowiązują go konkretne ograniczenia prawa pracy i przepisów o ochronie danych osobowych. Nie można żądać od kandydata wszystkiego. Nie można opierać się na nieformalnej wymianie informacji między instytucjami tylko dlatego, że tak byłoby wygodniej. Trzeba zbudować proces weryfikacji, który jest skuteczny, a jednocześnie szanuje granice prawa.
Drugie napięcie dotyczy wymiany informacji o pracownikach wysokiego ryzyka. Z punktu widzenia obszaru przeciwdziałania praniu pieniędzy, sankcji czy bezpieczeństwa naturalne jest oczekiwanie, że instytucje chciałyby wiedzieć, czy kandydat nie był wcześniej źródłem poważnych problemów. Z punktu widzenia ochrony danych osobowych i praw pracownika sytuacja wygląda inaczej. Nie istnieje prosty i oczywisty model, który pozwalałby tworzyć listy niepożądanych pracowników i przekazywać je między podmiotami. Bank musi szukać rozwiązań, które są zgodne z prawem, a jednocześnie pozwalają poważnie traktować ryzyko. Wymaga to realnej współpracy inspektora ochrony danych, obszaru przeciwdziałania praniu pieniędzy, bezpieczeństwa i zasobów ludzkich.
Trzecie napięcie dotyczy roli technologii. Z jednej strony istnieją duże oczekiwania wobec systemów bezpieczeństwa, silnego uwierzytelniania, logowania działań i analityki behawioralnej. Łatwo uwierzyć, że inwestycja w nowe narzędzia rozwiąże w dużej mierze problem nadużyć wewnętrznych. Z drugiej strony doświadczenie pokazuje, że technologia działa dobrze tylko wtedy, gdy jest osadzona w sensownych procesach i zdrowej kulturze organizacyjnej. Jeżeli te dwa elementy zawodzą, najlepszy system staje się kolejną warstwą, którą ktoś z wewnątrz nauczy się omijać.
Wreszcie pojawia się napięcie między zaufaniem a kontrolą. Bank nie może działać w permanentnym klimacie podejrzeń. Pracownicy, aby wykonywać swoje zadania dobrze, potrzebują poczucia zaufania i sprawczości. Jednocześnie zarząd i nadzór nie mogą zakładać, że nic się nie wydarzy, tylko dlatego że dobrze znają swój zespół. Trzeba zbudować system, w którym pracownik rozumie, że jest rozliczalny, a jego działania w systemach są rejestrowane i mogą podlegać analizie. Jednocześnie powinien mieć poczucie, że mechanizmy kontroli służą ochronie całej organizacji, a nie nieograniczonej inwigilacji.
Podsumowanie. Największym ryzykiem dla banku nie jest sama technologia ani pojedyncza osoba. Największym ryzykiem jest połączenie słabej kultury organizacyjnej z nieprzemyślanymi procesami i brakiem współpracy między kluczowymi funkcjami. Jeżeli organizacji uda się wzmocnić to połączenie, nadużycia wewnętrzne przestają być wyłącznie źródłem bolesnych zaskoczeń, a stają się ryzykiem, którym można świadomie zarządzać.
To wymaga dojrzałego spojrzenia na nadużycia wewnętrzne jako na ryzyko przekrojowe. Wymaga gotowości do prowadzenia trudnych rozmów o granicach weryfikacji kandydata, o wymianie informacji między instytucjami, o zakresie monitoringu pracowników, o roli mediów społecznościowych i o tym, jaki komunikat tak naprawdę płynie z decyzji zarządu i rady nadzorczej.
Bank, który traktuje te pytania poważnie i szuka spójnych odpowiedzi, buduje nie tylko bezpieczniejszy system kontroli. Buduje także organizację, w której pracownicy lepiej rozumieją swoją rolę, a zaufanie i kontrola przestają być sprzecznością, a stają się dwoma elementami tego samego, odpowiedzialnego podejścia do ryzyka.