К тому времени, когда счёт поступает в вашу систему кредиторской задолженности (AP), может быть уже слишком поздно. Именно такой рабочей установки Мартин Реш хочет добиться от каждого финансового директора (CFO) в стране. Являясь президентом и генеральным директором (CEO) Cass Information Systems — компании из Сент-Луиса с 120-летней историей, ежегодно обрабатывающей более 90 млрд $ платежей в интересах своих корпоративных клиентов, — Реш обладает уникальным взглядом на платёжное мошенничество, которым мало кто из руководителей может похвастаться. То, что он наблюдает, требует коренного пересмотра подхода финансовых команд к управлению рисками. «Каждый финансовый процесс должен перейти в среду нулевого доверия», — заявляет Реш. «Следует исходить из того, что каждая транзакция является мошеннической до тех пор, пока не доказано обратное, — в противовес старой модели, при которой транзакция считается действительной до выявления факта мошенничества».
Экономика поддельного доверия
Угроза, которую большинство советов директоров ещё не осознали, не является сложной — она дёшева. В даркнете движки для создания поддельных счетов доступны практически бесплатно: они предварительно загружены тысячами порталов поставщиков и настроены по геопризнаку для генерации убедительных региональных счетов за коммунальные услуги — например, счетов Pacific Gas and Electric для калифорнийских порталов, визуально неотличимых от настоящих. Именно к экономической асимметрии Реш возвращается чаще всего: выстраивание защиты обходится дорого и требует времени, тогда как атаки становятся всё дешевле.
Эта асимметрия сделала большую часть общепринятых подходов к работе с кредиторской задолженностью устаревшими. Сопоставление шаблонов, которое прежде позволяло системам AP распознавать постоянных поставщиков — то самое обучение, благодаря которому счёт за коммунальные услуги автоматически появлялся после третьего или четвёртого раза, — теперь является именно той предсказуемостью, которую эксплуатируют мошеннические движки. Поддельный счёт выглядит точно так же, как настоящий. Процессы, которые когда-то были достаточными, таковыми больше не являются, а большинство внутренних команд ещё не перестроились под эту реальность.
Сначала видимость, затем контроль
Эффективный Контроль рисков в среде высокообъёмных платежей начинается с понимания того, что на самом деле происходит внутри ваших собственных систем. «Вам необходима видимость и прозрачность на всём протяжении вашего процесса», — настаивает он. «Вы можете контролировать транзакции только в том случае, если видите их». Каждый этап процесса должен иметь чётко определённую контрольную точку и понятный протокол обработки исключений. Когда реквизиты перевода в поступающем счёте отличаются от тех, что были зафиксированы при подключении поставщика, это расхождение является сигналом. Вопрос в том, выстроила ли организация возможность его выявить до того, как платёж будет отправлен.
Всё это становится сложнее по мере умножения платёжных каналов. Там, где корпоративные казначеи прежде направляли почти всё через единый банковский портал с жёсткими контрольными точками, современный CFO сталкивается с разрастанием рельсов, автоматизированных клиринговых домов (ACH), банковских переводов, виртуальных карт, сетей реального времени и каналов финансовых технологий (fintech), продвигаемых под обещание дохода от Возврата. Каждый новый канал — это новая поверхность атаки. Говоря конкретно о Возвратах, Реш прямолинеен: «Идея о том, что Возврат по картам является источником дохода или компенсацией расходов, сильно преувеличена».
Трение теперь является достоинством
Для финансовых руководителей, привыкших оптимизировать работу под удобство поставщиков, это означает неудобный выбор. Нулевое доверие в платежах явно предполагает обмен удобства на безопасность на входе. От поставщиков следует требовать создания аутентифицированных профилей. Двухфакторная аутентификация при подаче становится базовым требованием, а универсальные порталы загрузки, призванные снизить трение для новых поставщиков, превращаются в уязвимости. «Вы хотите сделать подачу документов более сложной для поставщиков», — признаёт Реш, — «что не идеально, но вы просто больше не можете предоставлять универсальный портал для загрузки счетов кем угодно».
Этот компромисс сохраняется и на выходе. Поставщик, прошедший более высокий порог подключения, проходит обработку сквозным образом и получает оплату вовремя. Трение находится на входе, а не в платёжном цикле. Кроме того, это не то, чем можно управлять вскользь, в нагрузку к другим обязанностям. «Это должно быть чьей-то ролью», — однозначно заявляет Реш. «Человек должен владеть этим. Он должен нести ответственность за управление рисками, прозрачность и видимость». Для организаций, не готовых выстраивать эту компетенцию внутри, ответом является партнёр, который уже встроил эти средства контроля в свои процессы. Учитывая скорость развития угрозы, рассчитывать на то, что вчерашний подход справится с завтрашними рисками, — не вариант.
Следите за Мартином Решем в LinkedIn или посетите Cass Information Systems для получения дополнительных сведений об управлении платёжными рисками, контроле высокообъёмных транзакций и построении систем нулевого доверия, защищающих корпоративную кредиторскую задолженность.
