Μια μεγάλη εταιρεία εμπορίας εξειδικευμένων ιατρικών μηχανημάτων, με δεσπόζουσα θέση στην παγκόσμια αγορά, διατηρεί γραφείο και στην Ελλάδα, όπου απασχολούνται τρία στελέχη και δέκα υπάλληλοι. Ο ετήσιος κύκλος εργασιών του γραφείου ανέρχεται στα 24,5 εκατ. ευρώ.
Τον Απρίλιο του 2003 κάποιος εξουσιοδότησε τη μεταφορά σε λογαριασμό στις Νήσους Κέιμαν ενός ποσού 1,5 εκατ. ευρώ. Το ερώτημα που έθεσε το Διοικητικό Συμβούλιο της επιχείρησης ήταν απλό: Ποιος το έκανε και με ποιον τρόπο; Η απάντηση μόνο απλή δεν ήταν. Λόγω των ελλιπών εποπτικών διαδικασιών, τουλάχιστον 8-10 άτομα είχαν πρόσβαση στο τερματικό από το οποίο δόθηκε η εντολή για το έμβασμα. Δεν υπήρχαν οι απαραίτητοι προστατευτικοί μηχανισμοί, ενώ η είσοδος (log-in) στο σύστημα ούτε καταγράφηκε ούτε αρχειοθετήθηκε. Ο δράστης εντοπίστηκε αρκετούς μήνες αργότερα με τη βοήθεια της αστυνομίας, όταν ένας από τους εργαζομένους ο οποίος θεωρούνταν ύποπτος επικοινώνησε με έναν συνεργό του, ο οποίος ήταν και ο κάτοχος του λογαριασμού στον οποίο έγινε το έμβασμα.
Πρόκειται άραγε για μεμονωμένο περιστατικό; Δυστυχώς, όχι. Πληθώρα παρόμοιων περιπτώσεων είναι καταγεγραμμένη.
Στην περίπτωση μιας βιομηχανικής εταιρείας, ο λογιστής απέκτησε πρόσβαση στον κωδικό πρόσβασης (password) του διευθύνοντος συμβούλου. Αυτό τού έδινε τη δυνατότητα να εγκρίνει πληρωμές για την εξόφληση τιμολογίων που εκδίδονταν από τα μέλη της οικογένειάς του. Η απάτη εντοπίστηκε τυχαία λίγα χρόνια αργότερα. Οι συνολικές ζημιές για την επιχείρηση υπολογίζεται ότι ξεπέρασαν τα 2,5 εκατ. ευρώ.
Είναι απολύτως απαραίτητο οι εταιρείες να αναλύουν τα δεδομένα που λαμβάνουν από το τραπεζικό σύστημα, ώστε να μπορούν να εντοπίσουν εγκαίρως περιπτώσεις υπεξαίρεσης κατά τη μεταφορά κεφαλαίων. Μέσω στοχευμένων ελέγχων και διασταύρωσης των στοιχείων (π.χ. με το λογιστικό σύστημα), είναι πιθανό να εντοπίσουν εγκαίρως παράτυπες συναλλαγές (όπως διπλές πληρωμές για τις ίδιες υπηρεσίες ή παραδόσεις προϊόντων), που θα μπορούσαν να συνδέονται με πιθανές απάτες. Πιο συγκεκριμένα, η ΕΥ, μέσω της εμπειρίας των στελεχών της από την ανάμειξη σε έργα Διερεύνησης Απάτης, προτείνει:
- Tη δημιουργία ενός αδιάβλητου συστήματος έγκρισης πληρωμών. Η κάθε έγκριση δεν είναι δυνατό να χορηγείται από ένα μόνο πρόσωπο, εκτός βέβαια αν η εταιρεία είναι τόσο μικρή που η θέσπιση άλλων κανόνων θα δημιουργήσει γραφειοκρατικά προβλήματα.
- Τη θέσπιση μιας ξεχωριστής διαδικασίας έγκρισης για μεταφορές μεγαλύτερων ποσών.
- Με το ίδιο σκεπτικό, οι αρμόδιοι για την έγκριση των εμβασμάτων δεν θα πρέπει να έχουν τη δυνατότητα πρόσβασης στους λογαριασμούς των προμηθευτών.
- Η καταχώριση των τιμολογίων και η πληρωμή τους θα πρέπει να αποτελούν αρμοδιότητες διαφορετικών υπαλλήλων.
- Την ανάπτυξη και εγκατάσταση συστημικών μέτρων ασφαλείας. Ηλεκτρονικά κλειδιά (tokens) και κάρτες απομακρυσμένης πρόσβασης σε λογαριασμούς της εταιρείας θα πρέπει να φυλάσσονται σε ασφαλές μέρος.
- Η πρόσβαση τόσο στο λογιστικό όσο και στο τραπεζικό σύστημα θα πρέπει να ελέγχεται και να προστατεύεται μέσω κατάλληλων μηχανισμών και λογισμικού από την παράνομη πρόσβαση.
- Επιπλέον, οι εταιρείες πρέπει να επιτρέπουν την πρόσβαση των χρηστών στο κάθε σύστημα ανάλογα με τις αρμοδιότητές τους, καθώς και να διατηρούν αρχείο της δραστηριότητας των χρηστών για ορισμένο χρονικό διάστημα.
Ολοκληρώνοντας, πρέπει να αναφερθεί ότι ενώ η υπεξαίρεση κεφαλαίων, μέσω των εμβασμάτων, δεν μπορεί πάντα να προληφθεί, είναι σχετικά απλό να εκτελούνται περιοδικές αναλύσεις και έλεγχοι των εμβασμάτων και των πληρωμών. Αυτονόητο σε αυτή την περίπτωση είναι βέβαια το πρόσωπο που εκτελεί αυτές τις αναλύσεις να μην είναι το ίδιο πρόσωπο που εγκρίνει και τις πληρωμές αυτές.
Ο κ. Γιάννης Δρακούλης είναι επικεφαλής του Τμήματος Διερεύνησης Οικονομικής Απάτης και Εταιρικών Αντιδικιών της ΕΥ Ελλάδας.
ΕΝΤΥΠΗ ΕΚΔΟΣΗ
