消费卡诈骗 ROBERT TIE, CFE, CFP 消费卡诈骗即是在授权过程中利用系统安全漏洞 进行诈骗。如果您的雇主或客户端发出了消费卡 ,您知不知道欺诈者可能会尝试的诈骗类型呢?
一个青年男子走进了一家位于纽约中央山谷的索 尼零售商店。在一个销售人员的帮助下,他挑选 了一台宽屏电视机、一套音响系统以及一台笔记 本电脑,总金额将近五位数。他想采用消费卡的 方式进行支付。商店经理将第一张卡放在一个特 殊的读卡器上,看了显示屏后,又重新读取了这 张卡。在重复检查第二张卡之后,记录下卡的序 列号,并告知青年这些都是超大面额的卡,需要 做一些信息确认。青年男子随即抓起两张卡以借 口钱包落在车里迅速离开了商店。
在服务柜台天花板上的黑色圆形玻璃里,这家店 的监控录下来整个场景。经理给位于新泽西的索 尼总部办事处打电话。她很快将每张卡的序列号 报给了希斯。希斯是注册舞弊审核师,同时也是 索尼损失预防部门的一名反欺诈专家。
希斯发现这两张卡最近在附近一家已经关闭了一 年多的商店里使用过。只是数据未被统计。很明 显,有人,也许是另一家商店的雇员,用非正常 手段编译了这两张卡,这让人怀疑索尼是否曾经 受到支付卡舞弊。希斯最终发现,索尼当时的内 部控制没用提供对客户消费卡支付后的的评估。 而这恰恰成了欺诈的一个重大风险。
希斯知道每个商店里有一台甚至多台机器用于激 活和增加消费卡的现金价值。但她不明白,别人是怎样利用一台激活器创造两张已经结业的商店的消费卡 ,而卡里的金额极有可能是伪造的。当希斯和一个平常不 怎么认识的同事变得异常健谈的时候,这个谜题的答案渐 渐变得清晰。
令人好奇的因素
希斯和她同事向一位IT技术人员求助。这位同事知道希斯 的团队在索尼商店调查欺诈事件。一位IT技术人员在工作 五年之后,已经掌握了help desk技术,同时被赋予了额 外的职责。然而,希斯不知道,这位技术人员最近扩大了 他的职责,包括维护商店使用的一系列包括最初配置的消 费卡激活及充值设备。
该过程包括分配一台机器到一家独特商店,并产生识别代 码,同时在消费卡上运行测试交易以确认机器可以正常运 作。在该技术人员将机器分到商店之后,标准操作流程要 求他从卡上删除已使用过但仍保存在卡上的现金价值。这 个过程产生了另一种欺诈风险,当时索尼内部控制没有要 求追踪技术人员完成测试交易后消费卡的序列号。
当身份不明的客户试图用假卡不久之后,help desk的技 术员开始频繁停留在损失预防部门的“just for chat” 板块,这些他之前从未做过。于是希斯和她的上司拜访了 IT部门的领导,期望有可能发现该技术员的行为可能和伪 造消费卡有关。当他们告诉IT部门的领导关于这个案件的 情况时,他立即拿出了该技术员在消费卡流程中新的角色 授权,同时答应在希斯推进她的调查的时候多留心该技术 员的行为。
希斯下一步优先要做的是确认每一个尝试欺诈的人的身份 。目前,她要将关注点放在公司里的雇员身上,而不是商 店里。同时,她出去寻找支撑或者反对这个理论的证据。
熟悉的脸
希斯的调查在该IT技术员的背景核查中继续,包括上网搜 索他的信息以及向与他有关的人搜问资料。当她发现他有 一个带公共文件夹及照片的Facebook账号时,她立即认出了一张熟悉的脸,就是尝试在商店里使用那两张五千 美元消费卡的青年男子。那个假客户和该IT技术员是 朋友。下一步:搞一场坦白的面谈。希斯和她的上司 将证据放在该技术员面前。他立刻承认了,同时发泄 了自己对公司的不满和怨恨,原因是尽管他很努力工 作,但依然被不公平地拒绝升职和加薪。在他开始从 事消费卡的工作不久,他无意中发现已经关闭的商店 的特殊识别代码。
之后,一个欺诈三角形的元素(压力、合理化、机遇 )在IT技术员的脑中形成了。他已经被激化去寻求报 复,同时为他的道德做合理化解释。现在,有一个有 诱人机会去犯有利可图的欺诈,同时他视为一个低风 险的情况下,该技术员实行了了轻率短暂的计划。 稽核代表至少使用以下两种方式,提供技术性质的 责任资讯的担保给需求者∶(1) 当它为会计资讯时 ,会计师使用目标语言、并由财务会计分类系统与 处理方式与技术产生担保;(2) 当它为电脑基础的 会计资讯时,会计师、簿记人员、或资料管理者使 用任何的程序语言呈现之,以便能够搜集、储存、 筛选交易资料、并显示财务的良窳。为了提供责任 资讯之担保,我们需要存取任何相关证据、并以批 判的角度评估;然而,像这样的心智与技术上的能 力,并不足以提供经济活动与行为,以及一些令人 心服口服且满意的解释。 这就是他怎样操作这些的。就在合理地配置激活机器 之前,该技术员暂时将一家已经关闭的商店代码分配 到机器上,同时为自己伪造了两张未设基金的五千美 元消费卡。然后他将商店代码换到了运营商店里,并 将机器发到商店里。这个并没有审计程序可以追踪; 只有他自己知道他“借”了激活机器同时送给自己一 万美元的一份礼物。他将自己的朋友招进计划中,将 消费卡变成自己的资产谋取不法利益。希斯的上司从 该IT技术员手中拿到了签了字的认罪书,同时索尼和 他终止了劳动合同并起诉了他。最终,该IT技术员获 得了缓刑。索尼没有受到任何损失,但希斯在解决这 个案例的时候意识到运气扮演了很重要的角色。
我们从经验中得知,改善内部控制 使我们免于遭受巨大的损失。计算 机辅助审计技术应得到重视,往往 ,很多风险如果没有意外和幸运, 我们将无从发现它们的存在!