Dochodzenie wewnętrzne? Pierwsze skojarzenie to nudni księgowi, audytorzy ze smutnymi minami. Tymczasem informatyka śledcza czasem przypomina akcje filmowego agenta Jamesa Bonda.
„Podjechali pod budynek, zegar w lobby pokazywał 0: 14. Biurowiec był opustoszały, pracowały jedynie ekipy sprzątające. Ich przewodnik znał rozkład pomieszczeń, od lat odpowiadał za bezpieczeństwo pieniędzy klientów swojego banku. Weszli do jednego z pokojów. Przewodnik wskazał swoim towarzyszom leżące na biurku komputery. Były przypięte linką do stołu, ale on miał ze sobą zapasowe klucze do wszystkich linek w firmie. Po dwóch minutach laptopy były już odpięte. Przeszli do drugiego pokoju. Sytuacja powtórzyła się, ale tym razem wzięli jeden komputer. Przeszli w trójkę kilkanaście metrów do sali konferencyjnej. Przewodnik starannie zasłonił żaluzje w oknach i przekręcił blokadę w drzwiach. Nie chciał niespodziewanej wizyty nikogo z ochrony banku. Goście wprawnymi ruchami rozkręcili laptopy, rozpoczęło się kopiowanie dysków. – Do piątej rano musicie skończyć – powiedział”.
Wbrew pozorom, jest to legalne działanie firmy prowadzącej śledztwo wewnętrzne w banku. Służba ochrony banku dostała anonimową informację o trzech wysoko postawionych menedżerach placówki, którzy mogą działać w zmowie i defraudować pieniądze klientów.
Anonim był poparty bardzo szczegółowymi informacjami, z e-maili wynikało, że planowana jest duża kradzież pieniędzy.
Pracowniczy anonim
Źródłami informacji o nadużyciach są w głównej mierze pracownicy firmy (źródło „2008 Report to the Nation on occupational fraud & abuse”, Association of Certified Fraud Examiners [ACFE], Inc). Jest to zgodne z tym, co pokazały badania przeprowadzone w polskich firmach – jeżeli aż 19 proc. procent pracowników wie o nieprawidłowościach w firmie, to prędzej czy później ktoś zdecyduje się o tym donieść lub też napisze anonim. Anonimowe źródła stanowią około 18 proc. informacji o nadużyciach. Z raportu przygotowanego w 2006 r. przez Ernst & Young wynika, że co piąty pracownik wiedział o przypadku nadużyć lub korupcji w swojej firmie.
Wracając do śledztwa informatycznego w banku X. Zarząd otrzymał anonim. Wiadomo, że bez twardych dowodów nie można podejmować żadnych dalszych działań. Do anonimu załączono wydruki korespondencji e-mailowej. Tymczasem wydruk nie jest dostatecznym dowodem, jest łatwy do zmanipulowania. Być może któryś z pracowników chciał się zemścić za zdarzenie, które miało miejsce w pracy, postanowił oczernić swoich kolegów lub przełożonych.
Dlatego potrzebne jest śledztwo wewnętrzne, którego celem jest wykluczenie manipulacji, a także zgromadzenie dowodów, po to by zarząd banku mógł podjąć właściwe decyzje, np. zwolnić dyscyplinarnie menedżerów, który planowali oszustwo.
Czynności związane z kopiowaniem dysków można by przeprowadzić w godzinach pracy, informując podejrzanych pracowników o toku śledztwa. Wtedy podejrzewani pracownicy mogą w trakcie rozmowy rzucić nowe światło na informacje zawarte w anonimie i, jeśli są niewinni, wyjaśnić całą sytuację. Mogą też zacząć niszczyć dowody swojej ewentualnej winy, ostrzec inne zamieszane w nadużycie osoby. Niestety po jawnym śledztwie pozostaje odium podejrzliwości wobec przesłuchiwanych osób. Dlatego często przeprowadza się akcje sprawdzające bez informowania podejrzanych osób.
Jeśli informacje się nie potwierdzą, nikt nie będzie podejrzanym, natomiast jeśli nowe dowody wskażą winnych, pozwoli to na ograniczenie ryzyka niszczenia dowodów, uzgadniania zeznań i utrudniania lub uniemożliwienia prowadzenia wewnętrznego dochodzenia.
Ze wschodem słońca
„Opuścili szybko biurowiec. Była 4: 37 rano. Wychodząc, byli bogatsi o zawartość trzech skopiowanych dysków twardych. Nie było problemów technicznych, dyski nie były szyfrowane, komputery udało się złożyć bez pozostawiania żadnych śladów. Teraz mieli 24 godziny na to, żeby znaleźć dowody potwierdzające podejrzenia wobec pracowników. Tym razem odpadała konieczność podróżowania po 2000 km w każdą stronę. Klient ze stolicy zaoszczędził im męczących lotów. Wiedzieli, czego szukać, a to, czego nie wiedzieli, było do ustalenia za pomocą programu do selekcji danych nazywanego pieszczotliwie Klementynką”.
Dla śledczych najważniejsze są dyski twarde, to one kryją informacje. W postępowaniach wewnętrznych najważniejsze jest to, by dotrzeć do źródłowego dokumentu. Można wtedy potwierdzić, że jest to faktycznie e-mail, który został wysłany przez daną osobę. E-maile i dokumenty elektroniczne stały się tak popularne, że w obecnej chwili prawie cała korespondencja i pisma powstają przy wykorzystaniu komputera. Ponadto pracownicy wysyłają i otrzymują nawet po kilkaset e-maili dziennie, co powoduje, że skrzynki e-mailowe zawierają coraz częściej po 50 000 – 70 000 e-maili, a na ich komputerach jest po kilka – kilkanaście tysięcy innych dokumentów. Tylko wsparcie odpowiednich systemów IT może pomóc w poszukiwaniach.
Ludzie listy piszą
„6:30. Skopiowane dyski twarde zostały już podłączone w laboratorium, trwa proces kopiowania i przetwarzania e-maili i dokumentów. Wstępne szacunki wskazywały na ok. 280 000 e-maili i kilkanaście tysięcy dokumentów. Postanowili załadować dane do Relativity, oprogramowania, które pomoże usunąć ze skrzynek pocztowych duplikaty plików. Przy odrobinie szczęścia z 280 tysięcy dokumentów będą mieli przejrzenia 12 000”.
Systemy do eDiscovery zostały wymyślone i stworzone po to, żeby ułatwić prowadzenie dochodzeń w dobie korespondencji i dokumentów elektronicznych. Istnieją mechanizmy usuwania duplikatów, które ograniczają liczbę dokumentów przeciętnie o 30 proc. Używa się również indeksowania dokumentów, czyli mechanizmu (działa na podobnej zasadzie jak Google), który pozwala w ciągu sekundy z setek tysięcy wybrać te, które zawierają dane słowo kluczowe. Dostęp do systemu ma jednocześnie wiele osób. Dzięki temu prace, które wcześniej zabierały miesiące, teraz można wykonać w 24 godziny.
„W południe, okazało się, że każdy z pracowników przechowywał po dwie kopie swojej skrzynki e-mail. W bazie było 100 000 e-maili”.
Tymczasem jedna osoba w ciągu 12 godzin może efektywnie przejrzeć (wychwytując tzw. gorące tematy) od 1 200 do 1400 dokumentów. Nic więc dziwnego, że przy rosnącej z roku na rok liczbie e-maili i dokumentów ważne jest opracowanie sposobu precyzyjnego doboru słów kluczowych. Owego skalpela, który pozwala wykroić najbardziej istotne dokumenty.
Igła w stogu siana
„Słowa kluczowe wskazane przez bank były dość precyzyjne, dały mniej niż 5 proc. dokumentów do przeglądu. Powinni się więc przyjrzeć tylko 5000 e-maili. Zbliżała się już 14:00. Podjęli decyzję o użyciu Klementynki. Ryzykowali, że stracą co najmniej dwie godziny, czekając na wyniki, które mogą okazać się jednak nieprzydatne. Natomiast jeżeli szczęście im dopisze, wówczas do przejrzenia zamiast 5000 będą mieli tylko 200 e-maili. Wtedy na pewno zdążą na czas”.
Wybór słów kluczowych w połączeniu z systemami do eDiscovery jest potężnym narzędziem do wyszukiwania e-maili i dokumentów. Klasyczne podejście do aplikowania słów kluczowych obarczone jest wysokim ryzykiem przeglądania wielu dokumentów, w których te słowa występują, ale w zupełnie innym kontekście, który w żaden sposób jest niezwiązany z przedmiotem śledztwa. Zbiór stanowiący 5 proc. wszystkich e-maili i dokumentów do przeglądu jeszcze do niedawna był dość dobrym wynikiem. Wraz z rosnącą liczbą plików konieczne stało się sięgnięcie po nowe narzędzia i technologie, takie jak text mining. Koncepcja text miningu (termin ten jeszcze nie ma polskiego tłumaczenia) jest podobna do data mining, czyli eksplorowania danych, oglądania ich w różnych przekrojach i wyciągania na tej podstawie wniosków. Text mining operuje na danych, które nie mają jednakowej struktury.
Pokazanie na schemacie, które osoby są głównymi nadawcami i odbiorcami korespondencji, umożliwia wyselekcjonowanie tych pracowników, którzy są istotni, i na wyeliminowanie z dalszej analizy tych, o których wiemy, że są niezwiązani ze sprawą, (bo np. pracują w innym kraju czy departamencie). Ustalenie, jakie jeszcze inne słowa występują najczęściej z tym słowem kluczowym, którego my szukamy, pozwala na dodanie tych słów do poszukiwanego słowa kluczowego. Umożliwia to wyłączenie dokumentów, w których te inne, dodatkowe słowa występują, automatycznie eliminując e-maile i dokumenty z przeglądu, jako nieistotne dla naszego śledztwa.
Czy gra jest warta świeczki?
„Dochodziła prawie 17. Klementynka wypluła z siebie wyniki. Z grafu przedstawiającego, kto do kogo wysyłał e-maile szybko wybrali kluczowe osoby. Na podstawie powiązanych słów kluczowych i przeglądu, w jakim kontekście występują w e-mailach, wybrali grupę słów, która miała związek z badaną sprawą. Po tych wszystkich zmianach zdefiniowali nowe słowa kluczowe, które wprowadzili do Relativity. Po kilku sekundach dostali wyniki. 300 e-maili wraz z załącznikami – do przeczytania. Po lekturze mieli w ręku dowody na to, że anonim mówił prawdę. Skończyli pracę o 17: 20”.
Nadużycia są kosztowne, według najnowszego raportu z 2008 roku, roczne straty spowodowane nadużyciami w firmach wynoszą średnio 7 proc. przychodów (ponad 25 proc. popełnionych nadużyć opiewało na ponad 1 miliona USD. Z raportu przygotowanego przez Association of Certified Fraud Examiners wiemy o skali nadużyć w zależności od pozycji zajmowanej w firmie.
Zwykły pracownik (wszystkie dane są uśrednione) w ciągu roku jest w stanie zdefraudować około 78 000 USD, jego przełożony (osoba na stanowisku menedżerskim) aż 218 000 USD, natomiast członek zarządu firmy nawet powyżej miliona USD.
Tymczasem w niektórych organizacjach zmowa kilku osób na wysokich stanowiskach może skutkować skutecznym ominięciem istniejących mechanizmów kontrolnych i popełnieniem nadużyć na szkodę firmy lub klientów. W związku z tym, że instytucje finansowe cieszą się statusem instytucji szczególnego zaufania społecznego, to system kontroli, nadzoru i wykrywania nadużyć w nich może być wzorem dla wielu firm i organizacji z innych branż i sektorów gospodarki. Umiejętne korzystanie ze zdobyczy techniki, w tym ze świata IT, sprawia, że banki nadal mogą się szczycić dużym zaufaniem klientów.
Metody poszukiwania danych
Text mining – analiza treści w dokumentach elektronicznych (strony internetowe, e-maile, pliki pdf i inne) w celu identyfikacji istotnych słów i fraz w tekście i zależności między nimi. Skuteczne w procesie identyfikacji i badaniu nadużyć. Wykonywane przy pomocy specjalistycznego oprogramowania, np. SPSS Clementine (Klementynka).
