Fraude bij klantcontact: voorkomen is beter dan genezen

Fraude bij klantcontact:
voorkomen is beter dan genezen
April 2014
Fraude bij klantcontact: voorkomen is beter dan genezen
Klantcontact is mensenwerk; mensenwerk leidt tot frauderisico’s. Teleperformance heeft als marktleider een
innovatief en beproefd framework ontwikkeld voor fraudepreventie en -bestrijding. Het Fraud Risk
Assessment van Teleperformance is geen papieren tijger, maar een praktisch toepasbaar instrument
waarmee Teleperformance de kwaliteit en veiligheid van het klantcontactproces voor haar opdrachtgevers
verhoogt.
Voor consumenten is online zaken doen volledig
Risico’s nemen toe
ingeburgerd. We oriënteren, vergelijken,
E-commerce, het internet of things, mobiele
bestellen en betalen en doen dat allemaal
diensten en cloudcomputing maken onze wereld
onbezorgd op onze laptops, tablets en
meer en meer connected. Klantcontact wordt
smartphones. Bij al die transacties gaan er
complexer en consumenten willen steeds meer
allerlei data over en weer. Als consument
one stop service. Dat vraagt om empowered
verwacht je dat alle processen veilig verlopen en
agents, waarbij je empowerment kunt borgen
dat privacygevoelige informatie in goede
met goed beleid op vlak van security. Het imago
handen is.
van online retailers wordt in verregaande mate
Wanneer het klantcontact rondom e-commerce
bepaald door de mate waarin je een
wordt geoutsourced, gaan (klant)data op reis: ze
‘betrouwbare partner’ bent. Consumenten en
komen in handen van medewerkers van een
hun belangenorganisaties dwingen dit af met
andere organisatie. Ook als uitbesteder van
certificering en keurmerken, waarmee je kunt
klantcontact verwacht je dat het klantcontact
aantonen dat je maatregelen hebt getroffen om
veilig, betrouwbaar en integer verloopt. Als
risico’s te beperken. Gelukkig komt
uitbesteder wil je geen (imago)schade oplopen
informatiebeveiliging steeds hoger op de
als gevolg van gaten in de informatiebeveiliging.
agenda van de boardroom te staan.
De impact van fraude wordt onderschat
ze op het vlak van fraudepreventie geen
Vrijwel alle bedrijven hebben dan ook
audit- en monitoringcultuur. Ook
beleid voor informatiebeveiliging
beschikken ze zelden over specifieke
ontwikkeld. Ze letten op richtlijnen, regels
programma’s en systemen die de
en (wettelijke) voorschriften; ze
frauderisico’s structureel in kaart brengen
implementeren standaarden zoals ISO
en beperken. Het gevolg is dat bedrijven de
27001; en ze halen gecertificeerde auditors
business impact van frauderisico’s sterk
en security-analisten in huis. Daarbij gaat de
onderschatten.
meeste aandacht uit naar
cybercrime van buitenaf, maar dat is echter
slechts een deel van het probleem. De
grootste bedreigingen op het vlak van
veiligheid komen van binnenuit, al is dat
Bouwstenen van informatiebeveiliging
Een goed framework voor informatiebeveiliging is
opgebouwd uit verschillende niveaus.
Informatiebeveiliging begint bij het voldoen aan
voor veel bedrijven nog een lastig thema.
algemene wet- en regelgeving voor
De grootste veiligheidsrisico’s liggen op het
informatiebeveiliging. Op het tweede niveau gaat
vlak van misbruik of diefstal van data,
het om maatregelen die voortvloeien uit lokale
frauduleuze transacties en bestellingen en
wetgeving en maatregelen die bij specifieke lines
een ongecontroleerd gebruik van externe
of business horen – denk aan nationale en
systemen zoals internet, aldus de
Europese privacywetgeving. Het derde niveau
onderzoekers van Shopping2020: “Onze
verwachting is dat in het jaar 2020 het
winkelproces niet dramatisch zal
veranderen, maar dat voornamelijk
verschuiving plaats zal vinden ten aanzien
omvat maatregelen op het gebied van fysieke
beveiliging: denk aan clean desk policy,
toegangsrechten, camerabewaking, maar ook aan
training. Op het vierde niveau vind je maatregelen
gericht op risicobeheersing gericht op de
continuïteit van bedrijfsprocessen – denk aan IT-
van het landschap van online shopping
redundancy of uitwijkmogelijkheden.
(zowel technologisch, qua globaliteit en
Bedrijven die een stap verder gaan, besteden ook
schaalgrootte). Door deze verschuiving zal
aandacht aan het beheersen van frauderisico’s. Ze
afhankelijkheid van ketenpartners en de
passen systemen en processen toe op het gebied
mogelijke schaalgrootte van onveiligheid en
van preventie en detectie van fraude, zodat
fraude toenemen. Technologische
processen zonder schade of verliezen blijven
innovaties kunnen hierbij zowel faciliterend
als bedreigend zijn.” Vrijwel alle bedrijven
besteden aandacht aan
beveiligingsprocedures, maar vaak kennen
verlopen.
Het hoogst haalbare niveau van veiligheidsbeleid
is dat het securitybeleid volwassen en transparant
is voor zowel de dienstverlener als de
opdrachtgever.
Aan de slag met fraudebestrijding
Het information security system van
Teleperformance heeft als wereldwijd
Teleperformance
marktleider in de facilitaire
klantcontactsector een beproefd
framework ontwikkeld om in alle
bedrijfsprocessen proactief aandacht te
besteden aan fraudebestrijding. Dit
Het information management security system van
Teleperformance bestaat uit 18 policy standards,
120 procedures en meer dan 500 controls, die
variëren in gewicht en waarvan sommige
opdrachtgever-specifiek zijn. De policy standards
zogenaamde Fraud Risk Assessment van
worden op het niveau van de Teleperformance
Teleperformance maakt onderdeel uit van
Group samengesteld onder leiding van de
het totale security beleid van
compliance manager. Iedere maand is er een global
Teleperformance. Het securitybeleid van
meeting waarbij onder meer de input van alle
Teleperformance is ontwikkeld op basis van
landen verzameld wordt. De policies zijn dus steeds
alle best practices op het gebied van
het resultaat van wereldwijd verzamelde best
informatiebeveiliging in de
practices. De standards zijn gedetailleerde
klantcontactsector. Het security framework
grijpt aan op mensen, processen en
systemen: een global security team en local
teams in de verschillende landen;
stappenplannen en procesvoorschriften. Controls
zijn de punten waarop werkwijzen, processen en
systemen periodiek gecheckt worden door middel
van audits.
De geldigheid van iedere control verloopt na een
verschillende standards, procedures en
jaar of een kwartaal. Voor het verstrijken van de
meer dan 500 controls; en monitoring en
geldigheid moet op iedere Teleperformance locatie
training (zie kader “bouwstenen van
via een audit opnieuw ‘bewijs’ worden verzameld
informatiebeveiliging”). Met dit security
dat een control voldoet. Denk aan een control op
programma heeft Teleperformance
het gebied van visible security, die omschrijft dat
wereldwijde erkenning gekregen van Secure
Teleperformance voor alle sites zaken moet
Computing Magazine (2012: best security
controleren zoals fysieke toegangscontrole (door
team) en van Frost & Sullivan (2008, 2012:
best security practice). De toepassing van
het Fraude Risk Assessment bij een van de
klanten van Teleperformance is bovendien
middel van elektronische badges), toegangsrechten
(de vloer wordt alleen gebruikt voor een specifieke
opdrachtgever) en het in het pand onherkenbaar
zijn van de opdrachtgever (geen naambordjes
aanwezig). Andere controls hebben bijvoorbeeld
genomineerd in de categorie Innovatie voor
betrekking op het regelmatig reviewen van de
de Nationale Contact Center Awards van
firewall regels waarbij moet worden aangetoond
2014.
dat dat systemen gepatcht zijn op basis van
vulnerability scans.
Het Teleperformance Fraud Risk
processen van de klantorganisatie met de
Assessment
Teleperformance standaarden. Er wordt
Het doel van het Fraud Risk Assessment is
meegeluisterd met gesprekken tussen
dat mogelijke frauderisico’s worden
agents en klanten; agents, business unit
geïdentificeerd en vervolgens beperkt
managers, contactcentermanagers en
kunnen worden door het nemen van
supervisors worden geïnterviewd; feitelijke
gerichte maatregelen. Het Fraud Risk
processen en werkwijzen worden
Assessment bestaat daarom uit
vergeleken met gemaakte afspraken en
verschillende stappen: Prepare, Collect,
opgestelde documenten; er wordt een
Process, Improve en Result.
groot aantal steekproefcontroles
uitgevoerd op verschillende zake:
Hoe wordt het Fraud Risk Assessment
beschikken alle medewerkers over de
uitgevoerd?
vereiste verklaring omtrent gedrag (VOG)?
Is de fysieke toegangscontrole goed
1. Prepare – Teleperformance past de
geregeld? Zijn de werkstations gehardened?
Teleperformance security standaards toe bij
het ontwerp en de implementatie van
3. Process – De resultaten van deze
nieuwe klantcontactprocessen van
grondige analyse worden administratief
klantorganisaties (uitbesteders).
vastgelegd en leiden tot een overzicht van
risico’s. De impact van deze risico’s wordt
2. Collect – Het securityteam van
Teleperformance Benelux vergelijkt de
door een team van security experts
bepaald, waarbij zij alle risico’s aan de hand
5. Result – Findings uit een audit kunnen
van drie criteria wegen:
leiden tot nieuwe klant- of projectspecifieke
- de populariteit van een risico: hoe bekend
controls die aan het security management
is het frauderisico bij de direct
systeem worden toegevoegd. Zo wordt de
betrokkenen?
daadwerkelijke follow-up voor de toekomst
- de exploitability van een risico: hoe
geborgd en raakt de veiligheid van de
gemakkelijk is het om fraude te plegen?
klantprocessen volledig in het
- de business impact van een risico: de
Teleperformance securitybeleid ingebed.
totale mogelijke schade; niet alleen directe
Nieuwe controls worden – afhankelijk van
financiële schade, maar ook
hun gewicht – jaarlijks of per kwartaal
reputatieschade.
geaudit, waarbij de auditoren voor iedere
De drie wegingsfactoren samen leiden tot
control het bewijs moeten aanleveren dat
een impact level score voor ieder risico.
er passende maatregelen zijn genomen om
het risico te beheersen. Sommige risico’s
4. Improve – Een eerste audit van
worden, onderbouwd met redenen,
Teleperformance leidt vrijwel altijd tot
geaccepteerd. Onderdeel van het hoogste
findings. Findings worden
volwassenheidsniveau van
steedsteruggekoppeld en leiden op
informatiebeveiliging (zie kader) is dat daar
verschillende niveaus tot scores in het
zowel bij klant als dienstverlener
security systeem. Daardoor is per site, per
overeenstemming over bestaat.
land en per aandachtsgebied zichtbaar hoe
er op compliancy gescoord wordt, waar
problemen of aandachtspunten zitten, wie
daarvoor aanspreekbaar zijn en wat er
wanneer moet gebeuren. Bij complexe
findings wordt uiteraard naar diepere
(grond)oorzaken gezocht door middel van
een root cause analyse.die besproken
worden met het team van de klant. Findings
vormen uiteraard de basis voor acties
(ingrepen in processen of systemen) of
adviezen.
Fraudepreventie en -bestrijding is geen
sinecure
Met IT en fysieke beveiliging kan veel
bereikt worden – denk aan
toegangscontrole, autorisaties en cleandesk
policies – maar de volgende stap in
fraudepreventie heeft te maken met de
medewerker. Veel bedrijven kiezen er voor
om procedures zo te ontwerpen dat de
agent niet te veel beslissingsbevoegdheden
heeft. Dat gaat vaak ten koste van de
mogelijkheden om optimale service te
verlenen. Veiligheid en one stop service
hoeven elkaar niet uit te sluiten. Wel vergt
het moed om op het het vlak van veiligheid
en fraude:
- de juiste analyses te durven maken
- conclusies te durven trekken over mensen
middelen en systemen
- vervolgens passende maatregelen te
nemen.
Security realiseer je met z’n allen. Binnen
Teleperformance worden alle medewerkers
in trainingen en via posters actief
aangemoedigd om (los van de auditors) zelf
findings te rapporteren. Dat kan binnen
Telepeformance op een veilige manier – dus
met respect voor de ‘melder’.
.
Voor meer informatie kan je contact
opnemen met
[email protected]
of 079 – 750 31 67
www.teleperformance.com

Download Report