Tìm kiếm Blog này

Thứ Hai, 7 tháng 7, 2025

Gian lận 'trúng thưởng' xổ số

Gian lận 'trúng thưởng' xổ số

A JACKPOT WIN

Nguồn: ia202104-dl



Một hệ thống vé số dễ bị tấn công cho phép quản lý cửa hàng đánh cắp vé và tạo ra các khoản trúng thưởng không có thật.

Bối cảnh vụ việc

Khi Jenny Smith, một quản lý cửa hàng cho chuỗi bán lẻ Kangaroo Konvenience của Úc, nhận ra cô ấy có thể dễ dàng gian lận chủ của mình bằng cách khai thác hệ thống điểm bán hàng (POS), cô ấy đã nắm lấy cơ hội. Nhiệm vụ bán hàng và đối chiếu không được phân tách của cô ấy cho phép cô ấy xác nhận vé số cho bản thân mà không ghi lại việc bán hàng trong hệ thống, dẫn đến những tổn thất đáng kể cho chuỗi.


Hệ thống Xổ số tại Úc

Như ở nhiều quốc gia, xổ số ở Úc do chính quyền tiểu bang điều hành như một cách tăng doanh thu cho tiểu bang. Thông thường, khoảng một nửa doanh thu bán vé được chi cho marketing, quản lý và thuế, phần còn lại được trả lại cho quỹ giải thưởng. Mặc dù các giải thưởng giá trị thấp có xác suất trúng cao, nhưng khả năng trúng hàng triệu đô la, mặc dù xác suất thấp, vẫn tạo động lực cho người chơi. Trung bình, người chơi trúng thưởng từ 30% đến 40% số tiền họ mua vé, khiến người chơi tin rằng giải độc đắc sắp đến. Hoạt động như một đại lý xổ số có thể mang lại lợi nhuận cho các nhà bán lẻ nhờ lưu lượng khách hàng xổ số, cũng như kiếm được hoa hồng khoảng 10% trên mỗi vé bán được.

Vé số có nhiều biện pháp kiểm soát để ngăn chặn gian lận nhà nước, bao gồm mã điện tử để chống làm giả, sửa đổi hoặc sao chép. Tại Úc, mỗi vé do nhà bán lẻ bán ra phải được xác thực và đóng dấu thời gian trong hệ thống POS độc lập của chính phủ tiểu bang để tham gia trò chơi. Sau khi xác thực trò chơi, nhà bán lẻ phải nhập giao dịch bán vào hệ thống POS của riêng họ và thu tiền thanh toán.

Khai thác Lỗ hổng và Thực hiện Gian lận

Mặc dù hai hệ thống nên ghi lại các giao dịch xổ số giống hệt nhau, nhưng rủi ro thuộc về nhà bán lẻ nếu chúng không khớp. Nhà bán lẻ bán vé với 100% giá trị ghi trên vé, giữ lại khoảng 10% làm thu nhập hoa hồng và chuyển 90% còn lại của giá vé cho tiểu bang. Vì vậy, việc trộm một vé số duy nhất khiến nhà bán lẻ mất chín lần số tiền hoa hồng kiếm được. Theo Mô hình Ba tuyến của IIA, tuyến phòng thủ đầu tiên của Kangaroo bao gồm việc đối chiếu hàng ngày tất cả các giao dịch xổ số giữa hai hệ thống để đảm bảo rằng mọi vé được kích hoạt trong hệ thống POS của tiểu bang đều được thanh toán đầy đủ trong hệ thống POS của Kangaroo.

Các kiểm soát giám sát của văn phòng chính ở tuyến thứ hai cung cấp thêm sự đảm bảo rằng các kiểm soát tại cửa hàng ghi lại tất cả doanh số bán vé. Việc giám sát của văn phòng chính trở nên phức tạp hơn một chút do sự khác biệt giữa các trò chơi xổ số khác nhau trong danh mục cửa hàng của Kangaroo, các lỗi nhập liệu không thường xuyên của nhân viên khi nhập giao dịch, các khoản thanh toán tiền mặt giá trị thấp cho khách hàng tại cửa hàng và việc bán vé theo nhóm cho các nhóm khách hàng yêu cầu các phần chưa bán được tính ngược lại cho nhà bán lẻ bởi tiểu bang. Các kiểm soát tuyến thứ hai rất khó để nhân viên mới của văn phòng chính nắm bắt trừ khi họ có kinh nghiệm tại cửa hàng hoặc được thông báo đầy đủ trong quá trình giới thiệu.

Việc không ghi nhận giao dịch bán vé trong hệ thống POS của Kangaroo, Smith biết rằng doanh số bán vé bị thiếu sẽ không hiển thị trên số tiền mặt cuối ngày của Kangaroo, do đó sẽ không phát sinh chênh lệch tiền mặt. Sai sót tuyến đầu này có nghĩa là Kangaroo bị tiểu bang tính phí cho các vé đã được xác thực, mặc dù các vé này chưa được thanh toán.

Những sơ suất trong kiểm soát tuyến hai tại trụ sở chính của Kangaroo trong thời gian giám sát tài chính nghỉ thai sản đã khiến gian lận của Smith không bị phát hiện. Một nhân viên thay thế đã phát hiện ra vấn đề kiểm soát, nhưng cô ấy cũng nghỉ phép trước khi nó có thể được khắc phục. Bất chấp lời khuyên trước đó từ kiểm toán viên nội bộ của Kangaroo, việc bàn giao công việc trong quá trình thay đổi nhân sự vẫn còn kém và các biện pháp kiểm soát không được ghi lại; do đó, nhân viên mới không hiểu được rủi ro tại cửa hàng hoặc việc thiếu các biện pháp kiểm soát tuyến hai.

Thậm chí tệ hơn, Smith nghĩ rằng cô ta có thể qua mặt được trụ sở chính bằng cách nhập các giải thưởng xổ số giả vào hệ thống POS của Kangaroo để trộm tiền mặt từ quầy thu ngân, việc này cô ta đã gian lận ghi lại như những khoản thanh toán giải thưởng thật. Vé số trộm cắp của cô ta và mức trung bình 30% đến 40% tiền thắng trên mỗi người chơi giả còn được bổ sung thêm bằng việc trộm tiền mặt trực tiếp từ quầy thu ngân được ngụy trang như các khoản thanh toán giải thưởng thật, điều này đã cho phép cô ta bỏ túi hơn 100.000 đô la Úc (77.000 đô la Mỹ) trong khoảng thời gian hai năm.

Phát hiện và Hậu quả

Sự sụt giảm tỷ suất hoa hồng từ xổ số cuối cùng đã được chú ý sau khi có sự thay đổi nhân sự tại trụ sở chính của Kangaroo, điều này dẫn đến việc phát hiện ra rằng tài khoản kiểm soát xổ số không dao động quanh mức không như dự kiến. Một chuyến thăm cửa hàng ngoài giờ làm việc của ban quản lý đã tiết lộ các biện pháp kiểm soát cấp một tại cửa hàng đã lỏng lẻo dưới thời Smith. Khi được phỏng vấn, cô ấy đã thú nhận những gì mình đã làm.

Smith nhận ra cơ hội khi cô ấy xử lý sai một giao dịch bán vé mà không được văn phòng chính kiểm tra. Nghiện cờ bạc và ý định trả lại tiền sau khi trúng độc đắc là cách cô ấy biện minh cho hành động của mình, và hành động này ngày càng tăng khi cô ấy nhận ra mình có thể thắng 30% đến 40% số tiền trả thưởng được tích hợp trong hệ thống xổ số trên những vé cô ấy có được miễn phí.

Ban quản lý đã yêu cầu kiểm toán nội bộ nghiên cứu và giải thích các thất bại trong kiểm soát cho ban quản lý và ủy ban kiểm toán. Các kiểm toán viên đã sử dụng khai thác dữ liệu để xác định các hành vi trộm cắp cụ thể bằng cách đối chiếu các giao dịch xổ số của chính phủ tiểu bang với doanh số và thanh toán của nhà bán lẻ. Họ cũng sử dụng công nghệ này để đối chiếu bảng chấm công của nhân viên nhằm kiểm tra xem liệu các nhân viên cửa hàng khác có liên quan hay không và xác định xem các hành vi gian lận tương tự có xảy ra ở các cửa hàng khác hay không. Điều này cho phép kiểm toán nội bộ ghép lại các khoản thanh toán tiền mặt xổ số giả và hành vi gian lận trộm vé.

Smith ngay lập tức bị sa thải và mất tất cả các quyền lợi việc làm tích lũy, nhưng cô không bị truy tố vì cảnh sát và luật sư xác định Kangaroo có lỗi do không thực hiện các kiểm soát tuyến phòng thủ thứ nhất và thứ hai.

Matt Knight, giám đốc tài chính, đã bị sa thải vì không phát hiện ra những sai sót trong kiểm soát tuyến hai của các giám sát tài chính dưới quyền. Thêm vào đó, Knight có một số hành động từ các cuộc kiểm toán nội bộ không liên quan đã quá hạn. Giám đốc khu vực cũng bị sa thải vì không giám sát việc đối chiếu tại cửa hàng, cùng với người quản lý phòng chống thất thoát với chức danh đáng ngờ.

LESSONS LEARNED (Những bài học kinh nghiệm)

  • Do là cửa hàng nhỏ nhất của Kangaroo Konvenience nằm ngoài thị trấn, nên việc phân chia trách nhiệm không được thực hiện và các chuyến thăm của ban quản lý và kiểm toán nội bộ không thường xuyên. Các nhân viên đã được nhắc nhở về tầm quan trọng của việc phân chia trách nhiệm và thực hiện các chuyến thăm giám sát, hoặc chuyển đổi mục đích sử dụng của các cửa hàng nhỏ nếu rủi ro của chúng không thể kiểm soát được.
  • Các tài khoản kiểm soát được thiết kế để dao động quanh mức không khi các giao dịch đảo chiều tự triệt tiêu, hoặc cho thấy sự mất cân bằng ngày càng tăng. Trong trường hợp này, nhóm của kiểm soát viên tài chính đã bỏ qua cảnh báo mất cân bằng tài khoản kiểm soát.
  • Việc nhân viên thay đổi ở bộ phận giám sát tuyến hai tại trụ sở chính, kết hợp với các biện pháp kiểm soát không được ghi chép lại, là một dấu hiệu đáng báo động. Các biện pháp kiểm soát đã được cập nhật nên được ghi lại trong các sổ tay quy trình để giúp duy trì tính liên tục của kiểm soát khi có người làm thay cho nhân viên khác đang nghỉ phép hoặc khi đào tạo nhân viên mới.
  • Nhân viên trụ sở chính không có kinh nghiệm làm việc tại cửa hàng phải đến thăm các cửa hàng ít nhất hai lần một năm để tham gia và hiểu rõ hơn về các biện pháp kiểm soát tuyến đầu.
  • Vụ gian lận đã thúc đẩy ban quản lý cải thiện hệ thống kiểm soát và thay đổi nhân sự, dẫn đến giảm chi phí lương và thăng chức cho các nhân viên cấp dưới có năng lực vào các vị trí mới còn trống. Những cải tiến này đã giúp Kangaroo bù đắp các khoản lỗ bằng cách làm mới và củng cố đội ngũ tài chính và phòng chống tổn thất tại trụ sở chính.
Học CIA Online 🇻🇳

Nhãn

CIA (119) CISA (30) FRAUD (14) Học CIA Online (113) INTERNAL AUDIT (130) INTERNAL CONTROL (55) OTHERS (11) RISK (21) SAMPLING (5)