浅析电信运营商内部欺诈的风险与预防

【摘 要】在电信业，内部欺诈越来越猖獗，尤其是运营商所推出的产品服务、优惠促销以及机密信息往往被利用，这些风险点分布在运营层面的各个环节。为更好地预防电信运营商的内部欺诈，依据唐纳德·卡瑞赛博士的欺诈三角理论，结合运营商自身特点，指出企业应当从机会、动机、借口三个方面全面防止内部欺诈的发生，以此规范市场制度，促进社会和谐。

【关键词】电信运营商 内部欺诈 欺诈三角理论 欺诈预防

中图分类号：F621 文献标识码：A 文章编号：1006-1010（2013）-15-0064-03

1 引言

随着整个电信业的不断发展，相关的衍生产业也是百花齐放，其中电信欺诈产业的出现是其中最为醒目的一支。很多运营商都自认为面临的欺诈对象主要是职业的不法分子，然而经国际组织GSMA反欺诈专组调查分析，内部欺诈才是对运营商的收入和形象威胁最大的，它正在迅速地影响着运营商的各个方面。

内部欺诈主要是针对职业欺诈而言的，区别主要看是否有内部员工参与。内部员工在欺诈活动中有一定的优势，他们可以查看数据、访问信息，并非常熟识相关业务知识，知道如何规避系统监测。认证欺诈检查员协会（Association of Certified Fraud Examiners）将内部欺诈定义为：“通过故意滥用或误用组织的资源或资产，利用个人职务之便为自己谋取利益的行为。”

2 常见的内部欺诈

一般而言，内部欺诈发生在各个层面，运营商所推出的一些服务以及机密信息往往是欺诈分子的利用点，它分布在运营层面的各个环节，如图1所示。

一些常见的内部欺诈的风险点如下：

（1）虚假信息开户

按正常流程要求，运营商对用户的入网激活非常严格，尤其对于批量开户或后付费用户的申请有着更严格的审批流程。如果有些工作人员在办理时没有严格按照相关流程规定，对入网材料缺失、材料虚假不予以核查，这就为欺诈者提供更方便的入网激活服务。欺诈分子利用虚假信息开户并实施恶意欺诈后，运营商也无法通过开户登记的信息有效地追踪用户（如追缴话费等）。

（2）伪造计费话单

计费话单是记录用户通信行为的信息，是交换机自动出具的，也是向用户扣除话费的凭证。如果运营商的系统运营维护人员没有在原始话单的基础上编辑、修改、删除数据或将个人账单分散到不同账户中，那么谁还敢用该运营商的服务呢？

（3）数据侵入破坏隐私

用户在使用服务的时候，其通话记录、地理位置信息均可以在网络层面实时查到。如果此信息未做好管理，在网络上维护的内部人员就可以实时查询到用户数据，透露用户隐私，比如实时位置信息相关的BSC、BTS、VLR等，更恶劣的情况是可以对通话进行拦截、侦听，以达到非法的目的。

（4）用户敏感信息泄露

“猜猜我是谁”、“您的账户异常”等典型的社会工程诈骗越来越猖獗，犯罪分子往往在打通电话的开始便能叫出受骗者的名字，甚至能说出受骗者的家人名字、工作单位和家庭住址。

用户信息的泄露也直接导致欺诈分子设置更难识别的欺诈陷阱，不仅如此，其中一些更敏感的信息，如通话清单、信誉度等也是欺诈分子做信息挖掘很好的素材。能接触到此类信息的客服及一些运维人员内外勾结贩卖信息的情况也屡屡见诸报端。

运营商内部欺诈的风险点很多，分布在电信运营商的各个环节，一旦运营商疏忽，就会为欺诈的发生留下隐患。

3 内部欺诈的预防

唐纳德·卡瑞赛博士（DR. Donald Cressey）提出的欺诈三角理论（见图2）指出：当动机、机会和借口三个重要因素同时出现时，进行欺诈的倾向就会出现，缺少其中任何一项因素，都不会使一个人进行欺诈。故而对于欺诈的预防也主要从三点入手：

（1）从机会层面预防

一般而言，欺诈分子分为两种类型：一是机会欺诈者，他们平时通常是遵纪守法者，偶然因素使他们发现自己可以利用职权获得不少的利益却不会被惩罚，从而开始一些非法操作；二是职业欺诈者，他们以欺诈活动为收入来源。在内部欺诈中，起关键因素的是机会欺诈者。

机会是允许欺诈发生的有力条件，欺诈机会的大小取决于一个人在企业中的职位、授权的责任以及与相关资产记录接触的程度。

首先，企业应该有专门的风险评估与防控部门牵头建立体系化的风险防控部署，该部门的主要职责是全面覆盖经营管理、产品管理、法律事务等重点领域。

其次，常规化的信息安全、职业道德的培训也必不可少，它是强化员工职业素质的有效手段，培训的对象应是广泛的，高管、员工、内部负责人、欺诈风险管理人员以及厂商等都应该包含在内。尤其是越高层的管理人员越应该加强防范，如果他们犯错，造成的影响将是巨大的。

最后，加强公司的流程制度落实贯彻，流程制度对企业的运营起着至关重要的作用，它在工程施工、网络维护、营销服务等各个环节可以减少机会发生的可能性，避免欺诈的产生。

（2）从动机层面预防

动机是人们进行欺诈的最根本原因，主要包括人性的贪婪、报复和自利行为。动机在欺诈三因素里面往往是最难预防的，它的产生没有预兆，也无法准确地识别，故而对于动机的预防是从招聘就要开始的。

企业在招聘时应当设立适宜的、权责明晰的用人标准，如果发现应聘人员有涉及提供虚假信息（如虚假工作经历、虚假证明等）的，实行一票否决；对于选取从事高风险领域的业务活动的人员应该设立更为严格的标准。

除了招聘时要做到严格控制，在员工离开企业时，也要加强防范。员工在辞职的时候，最容易产生争议，如果得不到和解，往往导致不必要的风险。故而在办理工作交接、离职手续时一定要清晰明了，严格执行相关法律法规，不能走捷径，应将相关责任明确到人。

（3）从借口层面预防

借口是欺诈者对欺诈行为予以合理化而进行的解释，是员工决定是否要欺诈的标准。对此可采取以下三点预防措施：

第一，企业要建立多层次的监控体系。多层次的监控体系是以预防欺诈为目的，以全面落实安全生产责任制为重点，通过对业务流程的关键点进行安全监控的一套体系，对员工有震慑作用。

第二，企业要配有客观公正的审计。审计是一种能够成功发现内部欺诈的方法，公司应当定期进行以风险导向为基础的内部审计以及客观公正的外部审计。为了进行有效的审计，审计稽核人员需要及时获取数据并利用审计信息系统等技术工具。

第三，企业更应该有完善的应急保障。在欺诈发生后，应急保障制度主要在事中进行有效的控制，以将损失尽可能地降低。应急保障体系主要包括人力资源、处理流程以及应急能力的保障。

4 结束语

内部欺诈风险已经严重威胁着我国运营商的形象以及实际利益，因此对内部欺诈的预防刻不容缓。隐患险于明火，防范胜于救灾，责任重于泰山，企业应牢固树立安全风险责任意识，切实加强内部欺诈防控。

参考文献：

[1] Advice on Internal Fraud Risks Fraud Forum[Z]. 2013.

[2] 聂新军. 企业内部控制[M]. 北京： 科学出版社， 2011.

[3] 张蕊. 基于欺诈“三角理论”的国有企业高管侵占型职务犯罪成因分析[J]. 当代财经， 2012（5）.

[4] 李忠民. 商业银行内部欺诈风险压力测试在我国的应用研究[J]. 工业技术经济， 2011（12）.

[5] 高丽君. 中国商业银行内部欺诈影响因素分析[J]. 山东财政学院学报， 2011（4）.