Een verenigd front op het gebied van financiële misdrijven
Convergeer cybersecurity, antifraude- en anti-witwassystemen voor een betere bescherming
Financiële instellingen maken zich zorgen over cybercriminaliteit, maar weten niet hoe ze het probleem het beste kunnen aanpakken. In PwC's 2018 Global State of Information Security Survey (GSISS) en de 21ste Global CEO Survey noemden CEO's en raden van bestuur cyberaanvallen als de grootste bedreiging voor het bedrijfsleven. Echter gaf 44% van de respondenten in het GSISS-onderzoek aan geen algemene strategie voor informatiebeveiliging te hebben. PwC's Global Economic Crime Survey 2018 toonde aan dat ongeveer de helft van de bedrijven wereldwijd het slachtoffer is geworden van fraude in de afgelopen twee jaar - een stijging van 13% sinds 2016. Wij zijn van mening dat financiële instellingen hun cybersecurity, fraudebestrijding en anti-witwascontroles beter moeten coördineren om een duidelijker beeld te krijgen van bedreigingen in de werkomgeving, verdachte transacties beter te kunnen opsporen en onderzoeken te stroomlijnen.
Welke activiteiten kunnen of moeten worden geconvergeerd?
Cybersecurity, antifraude- en anti-witwasprogramma's hebben vaak gemeenschappelijke elementen en controles, evenals synergiën tussen mensen, processen en technologie. De meeste bedrijven zullen ontdekken dat bepaalde processen moeten convergeren en andere gescheiden moeten blijven. Echter moeten deze wel beter informatie met elkaar delen.
Een voorbeeld van hoe convergentie financiële instellingen zal helpen is het beheer van criminaliteitspreventie terwijl tegelijkertijd nieuwe technologieën worden verkend, zoals snellere betalingen en ‘Open Banking’. Bedrijven zullen verdachte transacties zeer snel moeten kunnen terugdraaien, aangezien klanten verwachten dat hun betalingen en andere verzoeken onmiddellijk worden verwerkt. Om dit te kunnen doen, moeten organisaties in staat zijn om snel de gedragspatronen van gebruikers, zoals het type mobiel apparaat dat wordt gebruikt, het IP-adres en de eerdere betalingsgeschiedenis, te raadplegen om de geldigheid van betalingsverzoeken te beoordelen. Dit is alleen mogelijk als er een meer complete database aan gegevens is, die het resultaat is van een betere uitwisseling van informatie.
Hoe kunnen deze activiteiten worden geconvergeerd?
De convergentie van financiële criminaliteitsprocessen kan alleen worden bereikt door het creëren van een duidelijk werkingsmodel dat als ruggengraat voor het totale programma kan dienen. Een effectief werkingsmodel bestaat uit een aantal bouwstenen: structuur, overzicht en mogelijkheden.
Financiële instellingen moeten een onderneming breed bestuursmodel definiëren dat bestaat uit risicocomités en charters voor financiële misdrijven, escalatieprotocollen, organisatiestructuren, menselijk kapitaal en modellen voor personeel en interactie. Dit omvat het formaliseren - en duidelijk documenteren - van rollen, verantwoordelijkheden en communicatiekanalen binnen de drie verdedigingslinies van een organisatie: business units, die verantwoordelijk zijn voor het bezitten en beheren van frauderisico's; onafhankelijke risicomanagementfuncties, die ook verantwoordelijk zijn voor het overzien en beheren van frauderisico's; en interne audit, die verantwoordelijk is voor het verschaffen van onafhankelijke zekerheid voor fraudebeheer activiteiten.
Daarbij dienen financiële instellingen processen te consolideren en te bepalen welke teams kunnen worden gecombineerd. Door deze manier van organiseren kan de instelling dubbele taken opsporen en elimineren. Bijvoorbeeld in plaats van een specifiek team voor de evaluatie van geëscaleerde witwaswaarschuwingen en een ander team voor de evaluatie van geëscaleerde fraudewaarschuwingen, kan een gezamenlijke groep beide controleren. Een betere zichtbaarheid van de gegevens zal het gezamenlijke team effectiever maken dan wanneer twee teams in wezen hetzelfde doen.
Organisaties moeten ook een onderneming breed bestuur kader vaststellen om de verschillende disciplines op het gebied van financiële criminaliteit effectief te beheren en moeten geformaliseerde comités voor het risico op financiële criminaliteit oprichten die het beheer, de uitvoering en het toezicht op de cyberveiligheid, fraudebestrijding en anti-witwassen ondersteunen. Dit zal de uitvoering van de algemene strategie inzake financiële criminaliteit en de handhaving van het beleid mogelijk maken en ervoor zorgen dat de bedrijfseenheden de risicobereidheid van financiële criminaliteit begrijpen en in aanmerking nemen bij het bepalen van de strategie. Als eerste stap zouden bedrijven hun bestaande rapportagestructuur in overweging moeten nemen en punten moeten identificeren om het senior management en de raad van bestuur in staat te stellen het risico van financiële criminaliteit centraal te stroomlijnen, zodat zij een centrale visie op het risico van financiële criminaliteit hebben. Dit kan betekenen dat gerelateerde activiteiten op de agenda van de chief security officer moeten worden gebracht, zoals cyberveiligheid, inlichtingen over bedreigingen, fysieke veiligheid en fraudebestrijding.
Het gebruik van gestandaardiseerde processen en centrale technologische oplossingen, zoals een enkelvoudig casemanagementsysteem en een consistente analyse van de oorzaken, zal een gecoördineerd, efficiënt en eenvoudig te herhalen onderzoeksproces mogelijk maken. Het delen van informatie tussen groepen zal leiden tot holistische onderzoeken en zal organisaties dwingen om consistente processen te ontwikkelen binnen één enkel kader, in plaats van dat verschillende teams op verschillende manieren dezelfde taken uitvoeren. Dit zal het algemene risico verminderen. De convergentie van anti-witwassen, cyberbeveiliging en fraudebestrijdingscontroles biedt de mogelijkheid om opnieuw te onderzoeken hoe instellingen ook aan hun wettelijke verplichtingen voldoen en deze processen te consolideren.
Eén maat is niet geschikt voor iedereen
De weg naar convergentie is niet eenvoudig of snel, vooral afhankelijk van de omvang en de complexiteit van de instelling. Er zijn onmiddellijk kansen die nu al rijp zijn voor convergentie, gebieden om te integreren in de toekomst en, in sommige gevallen, gebieden die gescheiden moeten blijven.
De juiste oplossing voor elke organisatie is afhankelijk van verschillende factoren, waaronder, maar niet beperkt tot: aangeboden producten en diensten, geografische voetafdruk, lokale wet- en regelgeving, en de demografie van de klant.
Welke maatregelen moeten bedrijven nu nemen?
Begin met het ontmoeten van collega's in de andere pijlers van de financiële criminaliteit en start discussies over het idee van convergentie; ontdek de voordelen op korte termijn, vraag om feedback en onderhoud de dialoog. Identificeer de verschillende technologieën en instrumenten die worden ingezet; begin met het bespreken van de stappen die nodig zijn om met succes naar effectievere oplossingen te komen.
