Fraude bij klantcontact: voorkomen is beter dan genezen
April 2014
Fraude bij klantcontact: voorkomen is beter dan genezen Klantcontact is mensenwerk; mensenwerk leidt tot frauderisico’s. Teleperformance heeft als marktleider een innovatief en beproefd framework ontwikkeld voor fraudepreventie en -bestrijding. Het Fraud Risk Assessment van Teleperformance is geen papieren tijger, maar een praktisch toepasbaar instrument waarmee Teleperformance de kwaliteit en veiligheid van het klantcontactproces voor haar opdrachtgevers verhoogt.
Voor consumenten is online zaken doen volledig
Risico’s nemen toe
ingeburgerd. We oriënteren, vergelijken,
E-commerce, het internet of things, mobiele
bestellen en betalen en doen dat allemaal
diensten en cloudcomputing maken onze wereld
onbezorgd op onze laptops, tablets en
meer en meer connected. Klantcontact wordt
smartphones. Bij al die transacties gaan er
complexer en consumenten willen steeds meer
allerlei data over en weer. Als consument
one stop service. Dat vraagt om empowered
verwacht je dat alle processen veilig verlopen en
agents, waarbij je empowerment kunt borgen
dat privacygevoelige informatie in goede
met goed beleid op vlak van security. Het imago
handen is.
van online retailers wordt in verregaande mate
Wanneer het klantcontact rondom e-commerce
bepaald door de mate waarin je een
wordt geoutsourced, gaan (klant)data op reis: ze
‘betrouwbare partner’ bent. Consumenten en
komen in handen van medewerkers van een
hun belangenorganisaties dwingen dit af met
andere organisatie. Ook als uitbesteder van
certificering en keurmerken, waarmee je kunt
klantcontact verwacht je dat het klantcontact
aantonen dat je maatregelen hebt getroffen om
veilig, betrouwbaar en integer verloopt. Als
risico’s te beperken. Gelukkig komt
uitbesteder wil je geen (imago)schade oplopen
informatiebeveiliging steeds hoger op de
als gevolg van gaten in de informatiebeveiliging.
agenda van de boardroom te staan.
De impact van fraude wordt onderschat
ze op het vlak van fraudepreventie geen
Vrijwel alle bedrijven hebben dan ook
audit- en monitoringcultuur. Ook
beleid voor informatiebeveiliging
beschikken ze zelden over specifieke
ontwikkeld. Ze letten op richtlijnen, regels
programma’s en systemen die de
en (wettelijke) voorschriften; ze
frauderisico’s structureel in kaart brengen
implementeren standaarden zoals ISO
en beperken. Het gevolg is dat bedrijven de
27001; en ze halen gecertificeerde auditors
business impact van frauderisico’s sterk
en security-analisten in huis. Daarbij gaat de
onderschatten.
meeste aandacht uit naar cybercrime van buitenaf, maar dat is echter slechts een deel van het probleem. De grootste bedreigingen op het vlak van veiligheid komen van binnenuit, al is dat
Bouwstenen van informatiebeveiliging Een goed framework voor informatiebeveiliging is opgebouwd uit verschillende niveaus. Informatiebeveiliging begint bij het voldoen aan
voor veel bedrijven nog een lastig thema.
algemene wet- en regelgeving voor
De grootste veiligheidsrisico’s liggen op het
informatiebeveiliging. Op het tweede niveau gaat
vlak van misbruik of diefstal van data,
het om maatregelen die voortvloeien uit lokale
frauduleuze transacties en bestellingen en
wetgeving en maatregelen die bij specifieke lines
een ongecontroleerd gebruik van externe
of business horen – denk aan nationale en
systemen zoals internet, aldus de
Europese privacywetgeving. Het derde niveau
onderzoekers van Shopping2020: “Onze verwachting is dat in het jaar 2020 het winkelproces niet dramatisch zal veranderen, maar dat voornamelijk verschuiving plaats zal vinden ten aanzien
omvat maatregelen op het gebied van fysieke beveiliging: denk aan clean desk policy, toegangsrechten, camerabewaking, maar ook aan training. Op het vierde niveau vind je maatregelen gericht op risicobeheersing gericht op de continuïteit van bedrijfsprocessen – denk aan IT-
van het landschap van online shopping
redundancy of uitwijkmogelijkheden.
(zowel technologisch, qua globaliteit en
Bedrijven die een stap verder gaan, besteden ook
schaalgrootte). Door deze verschuiving zal
aandacht aan het beheersen van frauderisico’s. Ze
afhankelijkheid van ketenpartners en de
passen systemen en processen toe op het gebied
mogelijke schaalgrootte van onveiligheid en
van preventie en detectie van fraude, zodat
fraude toenemen. Technologische
processen zonder schade of verliezen blijven
innovaties kunnen hierbij zowel faciliterend als bedreigend zijn.” Vrijwel alle bedrijven besteden aandacht aan beveiligingsprocedures, maar vaak kennen
verlopen. Het hoogst haalbare niveau van veiligheidsbeleid is dat het securitybeleid volwassen en transparant is voor zowel de dienstverlener als de opdrachtgever.
Aan de slag met fraudebestrijding
Het information security system van
Teleperformance heeft als wereldwijd
Teleperformance
marktleider in de facilitaire klantcontactsector een beproefd framework ontwikkeld om in alle bedrijfsprocessen proactief aandacht te besteden aan fraudebestrijding. Dit
Het information management security system van Teleperformance bestaat uit 18 policy standards, 120 procedures en meer dan 500 controls, die variëren in gewicht en waarvan sommige opdrachtgever-specifiek zijn. De policy standards
zogenaamde Fraud Risk Assessment van
worden op het niveau van de Teleperformance
Teleperformance maakt onderdeel uit van
Group samengesteld onder leiding van de
het totale security beleid van
compliance manager. Iedere maand is er een global
Teleperformance. Het securitybeleid van
meeting waarbij onder meer de input van alle
Teleperformance is ontwikkeld op basis van
landen verzameld wordt. De policies zijn dus steeds
alle best practices op het gebied van
het resultaat van wereldwijd verzamelde best
informatiebeveiliging in de
practices. De standards zijn gedetailleerde
klantcontactsector. Het security framework grijpt aan op mensen, processen en systemen: een global security team en local teams in de verschillende landen;
stappenplannen en procesvoorschriften. Controls zijn de punten waarop werkwijzen, processen en systemen periodiek gecheckt worden door middel van audits. De geldigheid van iedere control verloopt na een
verschillende standards, procedures en
jaar of een kwartaal. Voor het verstrijken van de
meer dan 500 controls; en monitoring en
geldigheid moet op iedere Teleperformance locatie
training (zie kader “bouwstenen van
via een audit opnieuw ‘bewijs’ worden verzameld
informatiebeveiliging”). Met dit security
dat een control voldoet. Denk aan een control op
programma heeft Teleperformance
het gebied van visible security, die omschrijft dat
wereldwijde erkenning gekregen van Secure
Teleperformance voor alle sites zaken moet
Computing Magazine (2012: best security
controleren zoals fysieke toegangscontrole (door
team) en van Frost & Sullivan (2008, 2012: best security practice). De toepassing van het Fraude Risk Assessment bij een van de klanten van Teleperformance is bovendien
middel van elektronische badges), toegangsrechten (de vloer wordt alleen gebruikt voor een specifieke opdrachtgever) en het in het pand onherkenbaar zijn van de opdrachtgever (geen naambordjes aanwezig). Andere controls hebben bijvoorbeeld
genomineerd in de categorie Innovatie voor
betrekking op het regelmatig reviewen van de
de Nationale Contact Center Awards van
firewall regels waarbij moet worden aangetoond
2014.
dat dat systemen gepatcht zijn op basis van vulnerability scans.
Het Teleperformance Fraud Risk
processen van de klantorganisatie met de
Assessment
Teleperformance standaarden. Er wordt
Het doel van het Fraud Risk Assessment is
meegeluisterd met gesprekken tussen
dat mogelijke frauderisico’s worden
agents en klanten; agents, business unit
geïdentificeerd en vervolgens beperkt
managers, contactcentermanagers en
kunnen worden door het nemen van
supervisors worden geïnterviewd; feitelijke
gerichte maatregelen. Het Fraud Risk
processen en werkwijzen worden
Assessment bestaat daarom uit
vergeleken met gemaakte afspraken en
verschillende stappen: Prepare, Collect,
opgestelde documenten; er wordt een
Process, Improve en Result.
groot aantal steekproefcontroles uitgevoerd op verschillende zaken:
Hoe wordt het Fraud Risk Assessment
beschikken alle medewerkers over de
uitgevoerd?
vereiste verklaring omtrent gedrag (VOG)? Is de fysieke toegangscontrole goed
1. Prepare – Teleperformance past de
geregeld? Zijn de werkstations gehardened?
Teleperformance security standaards toe bij het ontwerp en de implementatie van
3. Process – De resultaten van deze
nieuwe klantcontactprocessen van
grondige analyse worden administratief
klantorganisaties (uitbesteders).
vastgelegd en leiden tot een overzicht van risico’s. De impact van deze risico’s wordt
2. Collect – Het securityteam van Teleperformance Benelux vergelijkt de
door een team van security experts
bepaald, waarbij zij alle risico’s aan de hand
5. Result – Findings uit een audit kunnen
van drie criteria wegen:
leiden tot nieuwe klant- of projectspecifieke
- de populariteit van een risico: hoe bekend
controls die aan het security management
is het frauderisico bij de direct
systeem worden toegevoegd. Zo wordt de
betrokkenen?
daadwerkelijke follow-up voor de toekomst
- de exploitability van een risico: hoe
geborgd en raakt de veiligheid van de
gemakkelijk is het om fraude te plegen?
klantprocessen volledig in het
- de business impact van een risico: de
Teleperformance securitybeleid ingebed.
totale mogelijke schade; niet alleen directe
Nieuwe controls worden – afhankelijk van
financiële schade, maar ook
hun gewicht – jaarlijks of per kwartaal
reputatieschade.
geaudit, waarbij de auditoren voor iedere
De drie wegingsfactoren samen leiden tot
control het bewijs moeten aanleveren dat
een impact level score voor ieder risico.
er passende maatregelen zijn genomen om het risico te beheersen. Sommige risico’s
4. Improve – Een eerste audit van
worden, onderbouwd met redenen,
Teleperformance leidt vrijwel altijd tot
geaccepteerd. Onderdeel van het hoogste
findings. Findings worden steeds
volwassenheidsniveau van
teruggekoppeld en leiden op verschillende
informatiebeveiliging (zie kader) is dat daar
niveaus tot scores in het security systeem.
zowel bij klant als dienstverlener
Daardoor is per site, per land en per
overeenstemming over bestaat.
aandachtsgebied zichtbaar hoe er op compliancy gescoord wordt, waar problemen of aandachtspunten zitten, wie daarvoor aanspreekbaar zijn en wat er wanneer moet gebeuren. Bij complexe findings wordt uiteraard naar diepere (grond)oorzaken gezocht door middel van een root cause analyse die besproken worden met het team van de klant. Findings vormen uiteraard de basis voor acties (ingrepen in processen of systemen) of adviezen.
Fraudepreventie en -bestrijding is geen sinecure Met IT en fysieke beveiliging kan veel bereikt worden – denk aan toegangscontrole, autorisaties en cleandesk policies – maar de volgende stap in fraudepreventie heeft te maken met de medewerker. Veel bedrijven kiezen er voor om procedures zo te ontwerpen dat de agent niet te veel beslissingsbevoegdheden heeft. Dat gaat vaak ten koste van de mogelijkheden om optimale service te verlenen. Veiligheid en one stop service hoeven elkaar niet uit te sluiten. Wel vergt het moed om op het het vlak van veiligheid en fraude: - de juiste analyses te durven maken - conclusies te durven trekken over mensen middelen en systemen - vervolgens passende maatregelen te nemen. Security realiseer je met z’n allen. Binnen Teleperformance worden alle medewerkers in trainingen en via posters actief aangemoedigd om (los van de auditors) zelf findings te rapporteren. Dat kan binnen Telepeformance op een veilige manier – dus met respect voor de ‘melder’. .
Voor meer informatie kan je contact opnemen met
[email protected] of 079 – 750 31 67 www.teleperformance.com
