Gian lận tại thư viện

THE LUCRATIVE LIBRARY FRAUD

Kiểm toán viên phát hiện một vụ lừa đảo kéo dài 12 năm để mua, trộm và bán lại mực in kiếm lời.

Nguồn: ia202102-dl

Bối cảnh và Cáo buộc ban đầu

""Đây là một cáo buộc rất bất ngờ,"" quản lý thư viện nói trong một cuộc phỏng vấn với kiểm toán viên. Khi Văn phòng Kiểm toán Thành phố ở Austin, Texas, ban đầu xem xét cáo buộc rằng một nhân viên của Thư viện Công cộng Austin đã mua mực in bằng thẻ tín dụng của thư viện và bán lại từ gara của mình, nhân viên thư viện báo cáo rằng không có gì có vẻ đặc biệt bất thường. Các kiểm toán viên liên tục được thông báo rằng Randall Whited, cộng sự kế toán, người mà theo kiểm toán viên, bị cáo buộc đã đánh cắp ít nhất 1,3 triệu đô la mực in khi làm việc tại thư viện, là người rất được yêu mến.

Quá trình Điều tra Gian lận

Văn phòng Kiểm toán Thành phố nhận được một tin báo nặc danh vào tháng 3 năm 2019 với rất ít chi tiết. Đơn vị Liêm chính của Kiểm toán Thành phố có một cái tên, một chức danh công việc và biết rằng Whited có quyền sử dụng thẻ tín dụng của thành phố. Cuộc điều tra bắt đầu bằng cách sàng lọc hồ sơ mua hàng, được cho là tiết lộ rằng Whited đã chi hàng trăm nghìn đô la cho một nhãn hiệu mực in cụ thể. Các kiểm toán viên tự hỏi liệu đây có phải là quá nhiều mực in hay một lượng thích hợp cho một thư viện với hơn 20 địa điểm, vì vậy họ bắt đầu tìm hiểu thêm về hệ thống mua hàng của thư viện và lượng mực được nhân viên sử dụng.

Nhân viên thư viện nói với kiểm toán viên rằng các chi nhánh của họ chỉ sử dụng một vài hộp mực mỗi năm. Tuy nhiên, các máy in công cộng, nơi sử dụng phần lớn, lại dùng một nhãn hiệu mực khác với loại Whited đã mua. Kiểm toán viên lấy lịch sử sử dụng máy in từ bộ nhớ của mỗi máy in và kết hợp nó với dữ liệu về dung lượng hộp mực của nhà sản xuất để ước tính lượng mực cần thiết. Có vẻ như Whited đã mua quá số lượng hàng trăm hộp mực mỗi năm. Vậy những hộp mực thừa đó đã đi đâu?

Mặc dù giờ làm việc của anh ta bắt đầu lúc 8 giờ sáng và người giám sát đã hướng dẫn anh ta không được đến sớm hơn 30 phút, nhưng đoạn phim từ camera cho thấy Whited thường đến sớm từ 6:30 sáng và lấy các hộp mực in từ thư viện rồi giấu chúng trong xe của mình.

Lỗ hổng Kiểm soát và Cơ chế Gian lận

Đánh giá mở rộng đã phát hiện những cách khác mà Whited bị cáo buộc gian lận tiền của thành phố, bao gồm hàng chục giao dịch mua hàng với tổng trị giá ít nhất 18.000 đô la được báo cáo là đã được chuyển đến địa chỉ nhà của Whited hoặc đến các tủ khóa Amazon nằm bên ngoài Austin. Các kiểm toán viên đã tìm thấy tài liệu chứng minh cho các giao dịch mua này—từ trò chơi điện tử đến máy bay không người lái đến máy hút bụi robot—trong đó chỉ rõ một số mặt hàng chưa bao giờ được gửi đến thư viện. Ngoài ra, một số tài liệu thiếu chi tiết, chỉ bao gồm các mô tả như ""vật tư,"" khiến những người chịu trách nhiệm phê duyệt các giao dịch mua của Whited gần như không thể biết họ đang phê duyệt cái gì.

Theo kiểm toán viên, việc thiếu phân tách nhiệm vụ cũng góp phần vào hành vi gian lận bị cáo buộc của Whited. Ông ta được cho là đã nhận hầu hết các mặt hàng mình đặt, vì vậy ông ta kiểm soát cả hai đầu của quy trình cho thư viện. Ông ta cũng được giao nhiều vai trò trong hệ thống theo dõi mua hàng, vì vậy ông ta có thể dễ dàng chuyển hướng các câu hỏi về quy trình mua hàng hoặc các giao dịch mua của mình.

Các quản lý thư viện đã tin tưởng anh ta, vì vậy họ không bao giờ hỏi anh ta về các giao dịch mua hoặc lý do chúng được gửi đến nhà anh ta. Tệ hơn nữa, người phê duyệt không biết nên mua bao nhiêu mực in là phù hợp, vì vậy việc Whited mua mực in hàng ngày không gây ra bất kỳ lo ngại nào. Việc thư viện chi tiêu vượt quá ngân sách cho văn phòng phẩm khoảng 400% trong vài năm liên tiếp cũng không gây ra nghi ngờ. Miễn là thư viện nằm trong tổng ngân sách được phân bổ, ban quản lý đã không xem xét chi tiết.

Phát hiện và Hậu quả

Sau khi có bằng chứng Whited ăn cắp mực in, trọng tâm chuyển sang xác định số lượng mực in mà anh ta có thể đã ăn cắp. Phân tích cho thấy hơn 1,5 triệu đô la đã được mua mực in kể từ năm 2010. Thông qua dữ liệu sử dụng máy in, kiểm toán viên ước tính thư viện chỉ nên cần khoảng 15% của số đó - tối đa khoảng 200.000 đô la.

Sau khi bằng chứng được cho là đã xác nhận các phát hiện kiểm toán, các kiểm toán viên muốn biết Whited đã làm gì với những hàng hóa đó. Các câu trả lời bắt đầu nhỏ giọt thông qua phương tiện truyền thông xã hội. Các kiểm toán viên phát hiện ra rằng Whited bị cáo buộc đã sử dụng các trang mạng trực tuyến để bán một số mặt hàng, và cũng tìm thấy bằng chứng cho thấy Whited đã bán mực in cho các trang web chợ xám trực tuyến chuyên bán mực in đã qua sử dụng.

Cuối cùng, báo cáo của Kiểm toán viên Thành phố vào tháng 10 năm 2020 đã nêu chi tiết vụ gian lận lớn bị cáo buộc của Whited. Whited đã từ chức vào tháng 8 năm 2019, trước khi cuộc điều tra kết thúc. Ông bị bắt vào tháng 9 năm 2020 và đang chờ xét xử.

LESSONS LEARNED (Những bài học kinh nghiệm)

• Phân công trách nhiệm hoạt động hiệu quả vì một lý do. Không nên cho phép cùng một người đặt hàng và nhận hàng. Quan trọng không kém, nhân viên không nên được phép tự phê duyệt việc mua hàng của mình.
• Trao quyền cho người duyệt. Người phê duyệt phải biết rằng họ không chỉ là một công cụ đóng dấu. Họ nên được đào tạo về tầm quan trọng của vai trò của họ và được trang bị kiến thức để hiểu nhu cầu nào là thực tế.
• Đừng chỉ dựa vào lời khai của nhân chứng. Nếu kiểm toán viên dừng cuộc điều tra sau khi các nhân chứng ban đầu bác bỏ cáo buộc vì họ ""tin tưởng"" kẻ gian lận, thì vụ lừa đảo có thể đã không bị phát hiện.
• Luôn giữ một cái đầu cởi mở về bằng chứng. Bằng cách sáng tạo và kết hợp hồ sơ trang in với dữ liệu mực in của nhà sản xuất, kiểm toán viên đã có một bước đột phá lớn, cho phép họ định lượng chính xác vụ gian lận.

(có thể không load được trên trình duyệt web của điện thoại)

Học CIA Online 🇻🇳 "

Gian lận 'trúng thưởng' xổ số

A JACKPOT WIN

Nguồn: ia202104-dl

Một hệ thống vé số dễ bị tấn công cho phép quản lý cửa hàng đánh cắp vé và tạo ra các khoản trúng thưởng không có thật.

Bối cảnh vụ việc

Khi Jenny Smith, một quản lý cửa hàng cho chuỗi bán lẻ Kangaroo Konvenience của Úc, nhận ra cô ấy có thể dễ dàng gian lận chủ của mình bằng cách khai thác hệ thống điểm bán hàng (POS), cô ấy đã nắm lấy cơ hội. Nhiệm vụ bán hàng và đối chiếu không được phân tách của cô ấy cho phép cô ấy xác nhận vé số cho bản thân mà không ghi lại việc bán hàng trong hệ thống, dẫn đến những tổn thất đáng kể cho chuỗi.

Hệ thống Xổ số tại Úc

Như ở nhiều quốc gia, xổ số ở Úc do chính quyền tiểu bang điều hành như một cách tăng doanh thu cho tiểu bang. Thông thường, khoảng một nửa doanh thu bán vé được chi cho marketing, quản lý và thuế, phần còn lại được trả lại cho quỹ giải thưởng. Mặc dù các giải thưởng giá trị thấp có xác suất trúng cao, nhưng khả năng trúng hàng triệu đô la, mặc dù xác suất thấp, vẫn tạo động lực cho người chơi. Trung bình, người chơi trúng thưởng từ 30% đến 40% số tiền họ mua vé, khiến người chơi tin rằng giải độc đắc sắp đến. Hoạt động như một đại lý xổ số có thể mang lại lợi nhuận cho các nhà bán lẻ nhờ lưu lượng khách hàng xổ số, cũng như kiếm được hoa hồng khoảng 10% trên mỗi vé bán được.

Vé số có nhiều biện pháp kiểm soát để ngăn chặn gian lận nhà nước, bao gồm mã điện tử để chống làm giả, sửa đổi hoặc sao chép. Tại Úc, mỗi vé do nhà bán lẻ bán ra phải được xác thực và đóng dấu thời gian trong hệ thống POS độc lập của chính phủ tiểu bang để tham gia trò chơi. Sau khi xác thực trò chơi, nhà bán lẻ phải nhập giao dịch bán vào hệ thống POS của riêng họ và thu tiền thanh toán.

Khai thác Lỗ hổng và Thực hiện Gian lận

Mặc dù hai hệ thống nên ghi lại các giao dịch xổ số giống hệt nhau, nhưng rủi ro thuộc về nhà bán lẻ nếu chúng không khớp. Nhà bán lẻ bán vé với 100% giá trị ghi trên vé, giữ lại khoảng 10% làm thu nhập hoa hồng và chuyển 90% còn lại của giá vé cho tiểu bang. Vì vậy, việc trộm một vé số duy nhất khiến nhà bán lẻ mất chín lần số tiền hoa hồng kiếm được. Theo Mô hình Ba tuyến của IIA, tuyến phòng thủ đầu tiên của Kangaroo bao gồm việc đối chiếu hàng ngày tất cả các giao dịch xổ số giữa hai hệ thống để đảm bảo rằng mọi vé được kích hoạt trong hệ thống POS của tiểu bang đều được thanh toán đầy đủ trong hệ thống POS của Kangaroo.

Các kiểm soát giám sát của văn phòng chính ở tuyến thứ hai cung cấp thêm sự đảm bảo rằng các kiểm soát tại cửa hàng ghi lại tất cả doanh số bán vé. Việc giám sát của văn phòng chính trở nên phức tạp hơn một chút do sự khác biệt giữa các trò chơi xổ số khác nhau trong danh mục cửa hàng của Kangaroo, các lỗi nhập liệu không thường xuyên của nhân viên khi nhập giao dịch, các khoản thanh toán tiền mặt giá trị thấp cho khách hàng tại cửa hàng và việc bán vé theo nhóm cho các nhóm khách hàng yêu cầu các phần chưa bán được tính ngược lại cho nhà bán lẻ bởi tiểu bang. Các kiểm soát tuyến thứ hai rất khó để nhân viên mới của văn phòng chính nắm bắt trừ khi họ có kinh nghiệm tại cửa hàng hoặc được thông báo đầy đủ trong quá trình giới thiệu.

Việc không ghi nhận giao dịch bán vé trong hệ thống POS của Kangaroo, Smith biết rằng doanh số bán vé bị thiếu sẽ không hiển thị trên số tiền mặt cuối ngày của Kangaroo, do đó sẽ không phát sinh chênh lệch tiền mặt. Sai sót tuyến đầu này có nghĩa là Kangaroo bị tiểu bang tính phí cho các vé đã được xác thực, mặc dù các vé này chưa được thanh toán.

Những sơ suất trong kiểm soát tuyến hai tại trụ sở chính của Kangaroo trong thời gian giám sát tài chính nghỉ thai sản đã khiến gian lận của Smith không bị phát hiện. Một nhân viên thay thế đã phát hiện ra vấn đề kiểm soát, nhưng cô ấy cũng nghỉ phép trước khi nó có thể được khắc phục. Bất chấp lời khuyên trước đó từ kiểm toán viên nội bộ của Kangaroo, việc bàn giao công việc trong quá trình thay đổi nhân sự vẫn còn kém và các biện pháp kiểm soát không được ghi lại; do đó, nhân viên mới không hiểu được rủi ro tại cửa hàng hoặc việc thiếu các biện pháp kiểm soát tuyến hai.

Thậm chí tệ hơn, Smith nghĩ rằng cô ta có thể qua mặt được trụ sở chính bằng cách nhập các giải thưởng xổ số giả vào hệ thống POS của Kangaroo để trộm tiền mặt từ quầy thu ngân, việc này cô ta đã gian lận ghi lại như những khoản thanh toán giải thưởng thật. Vé số trộm cắp của cô ta và mức trung bình 30% đến 40% tiền thắng trên mỗi người chơi giả còn được bổ sung thêm bằng việc trộm tiền mặt trực tiếp từ quầy thu ngân được ngụy trang như các khoản thanh toán giải thưởng thật, điều này đã cho phép cô ta bỏ túi hơn 100.000 đô la Úc (77.000 đô la Mỹ) trong khoảng thời gian hai năm.

Phát hiện và Hậu quả

Sự sụt giảm tỷ suất hoa hồng từ xổ số cuối cùng đã được chú ý sau khi có sự thay đổi nhân sự tại trụ sở chính của Kangaroo, điều này dẫn đến việc phát hiện ra rằng tài khoản kiểm soát xổ số không dao động quanh mức không như dự kiến. Một chuyến thăm cửa hàng ngoài giờ làm việc của ban quản lý đã tiết lộ các biện pháp kiểm soát cấp một tại cửa hàng đã lỏng lẻo dưới thời Smith. Khi được phỏng vấn, cô ấy đã thú nhận những gì mình đã làm.

Smith nhận ra cơ hội khi cô ấy xử lý sai một giao dịch bán vé mà không được văn phòng chính kiểm tra. Nghiện cờ bạc và ý định trả lại tiền sau khi trúng độc đắc là cách cô ấy biện minh cho hành động của mình, và hành động này ngày càng tăng khi cô ấy nhận ra mình có thể thắng 30% đến 40% số tiền trả thưởng được tích hợp trong hệ thống xổ số trên những vé cô ấy có được miễn phí.

Ban quản lý đã yêu cầu kiểm toán nội bộ nghiên cứu và giải thích các thất bại trong kiểm soát cho ban quản lý và ủy ban kiểm toán. Các kiểm toán viên đã sử dụng khai thác dữ liệu để xác định các hành vi trộm cắp cụ thể bằng cách đối chiếu các giao dịch xổ số của chính phủ tiểu bang với doanh số và thanh toán của nhà bán lẻ. Họ cũng sử dụng công nghệ này để đối chiếu bảng chấm công của nhân viên nhằm kiểm tra xem liệu các nhân viên cửa hàng khác có liên quan hay không và xác định xem các hành vi gian lận tương tự có xảy ra ở các cửa hàng khác hay không. Điều này cho phép kiểm toán nội bộ ghép lại các khoản thanh toán tiền mặt xổ số giả và hành vi gian lận trộm vé.

Smith ngay lập tức bị sa thải và mất tất cả các quyền lợi việc làm tích lũy, nhưng cô không bị truy tố vì cảnh sát và luật sư xác định Kangaroo có lỗi do không thực hiện các kiểm soát tuyến phòng thủ thứ nhất và thứ hai.

Matt Knight, giám đốc tài chính, đã bị sa thải vì không phát hiện ra những sai sót trong kiểm soát tuyến hai của các giám sát tài chính dưới quyền. Thêm vào đó, Knight có một số hành động từ các cuộc kiểm toán nội bộ không liên quan đã quá hạn. Giám đốc khu vực cũng bị sa thải vì không giám sát việc đối chiếu tại cửa hàng, cùng với người quản lý phòng chống thất thoát với chức danh đáng ngờ.

LESSONS LEARNED (Những bài học kinh nghiệm)

• Do là cửa hàng nhỏ nhất của Kangaroo Konvenience nằm ngoài thị trấn, nên việc phân chia trách nhiệm không được thực hiện và các chuyến thăm của ban quản lý và kiểm toán nội bộ không thường xuyên. Các nhân viên đã được nhắc nhở về tầm quan trọng của việc phân chia trách nhiệm và thực hiện các chuyến thăm giám sát, hoặc chuyển đổi mục đích sử dụng của các cửa hàng nhỏ nếu rủi ro của chúng không thể kiểm soát được.
• Các tài khoản kiểm soát được thiết kế để dao động quanh mức không khi các giao dịch đảo chiều tự triệt tiêu, hoặc cho thấy sự mất cân bằng ngày càng tăng. Trong trường hợp này, nhóm của kiểm soát viên tài chính đã bỏ qua cảnh báo mất cân bằng tài khoản kiểm soát.
• Việc nhân viên thay đổi ở bộ phận giám sát tuyến hai tại trụ sở chính, kết hợp với các biện pháp kiểm soát không được ghi chép lại, là một dấu hiệu đáng báo động. Các biện pháp kiểm soát đã được cập nhật nên được ghi lại trong các sổ tay quy trình để giúp duy trì tính liên tục của kiểm soát khi có người làm thay cho nhân viên khác đang nghỉ phép hoặc khi đào tạo nhân viên mới.
• Nhân viên trụ sở chính không có kinh nghiệm làm việc tại cửa hàng phải đến thăm các cửa hàng ít nhất hai lần một năm để tham gia và hiểu rõ hơn về các biện pháp kiểm soát tuyến đầu.
• Vụ gian lận đã thúc đẩy ban quản lý cải thiện hệ thống kiểm soát và thay đổi nhân sự, dẫn đến giảm chi phí lương và thăng chức cho các nhân viên cấp dưới có năng lực vào các vị trí mới còn trống. Những cải tiến này đã giúp Kangaroo bù đắp các khoản lỗ bằng cách làm mới và củng cố đội ngũ tài chính và phòng chống tổn thất tại trụ sở chính.

Học CIA Online 🇻🇳