Zanim faktura trafi do systemu zobowiązań (AP), może być już za późno. To robocze założenie, które Martin Resch chce, aby przyjął każdy dyrektor finansowy (CFO) w kraju. Jako Prezes i Dyrektor Generalny (CEO) Cass Information Systems – liczącej 120 lat firmy z St. Louis, która przetwarza rocznie ponad 90 miliardów dolarów płatności w imieniu swoich klientów korporacyjnych – Resch ma wgląd w kwestie oszustw płatniczych, któremu niewielu menedżerów może dorównać. To, co obserwuje, wymaga fundamentalnego przepisania sposobu, w jaki zespoły finansowe myślą o ryzyku. „Każdy proces finansowy musi przejść do środowiska zerowego zaufania" – stwierdza Resch. „Oczekiwanie powinno być takie, że każda transakcja jest oszukańcza, dopóki nie zostanie udowodnione, że tak nie jest – w przeciwieństwie do starego modelu, w którym transakcję akceptuje się jako ważną, dopóki nie zidentyfikuje się oszustwa."
Ekonomia sfałszowanego zaufania
Zagrożenie, którego większość zarządów jeszcze nie przyswaja, nie jest wyrafinowane – jest tanie. W darknecie silniki do tworzenia fałszywych faktur są dostępne niemal za darmo, wstępnie załadowane tysiącami portali dostawców i geolokalizowane, aby generować przekonujące regionalne rachunki za media – takie jak faktury Pacific Gas and Electric dla portali kalifornijskich – wizualnie nieodróżnialne od prawdziwych. Asymetria ekonomiczna to coś, do czego Resch powraca najczęściej: budowanie ochrony jest drogie i powolne, podczas gdy ataki stają się coraz tańsze.
Ta asymetria sprawiła, że duża część konwencjonalnej wiedzy AP stała się przestarzała. Dopasowywanie wzorców, które niegdyś pozwalało systemom AP rozpoznawać powracających dostawców – rodzaj uczenia się, który sprawiał, że rachunek za media pojawiał się automatycznie po trzecim lub czwartym wystąpieniu – jest teraz dokładnie tą przewidywalnością, którą wykorzystują fałszywe silniki. Fikcyjna faktura wygląda dokładnie tak samo jak prawdziwa. Procesy, które niegdyś były wystarczające, już nimi nie są, a większość wewnętrznych zespołów nie dostosowała się jeszcze do tej rzeczywistości.
Najpierw widoczność, potem kontrola
Skuteczne zarządzanie ryzykiem w środowiskach płatności o dużym wolumenie zaczyna się od wiedzy o tym, co faktycznie dzieje się w Twoich własnych systemach. „Potrzebujesz widoczności i przejrzystości w przepływie procesów" – nalega. „Możesz kontrolować te transakcje tylko wtedy, gdy je widzisz." Każdy krok w procesie wymaga zdefiniowanego punktu kontrolnego i jasnego protokołu wyjątków. Gdy dane remittancyjne dostawcy na przychodzącej fakturze różnią się od tych zarejestrowanych podczas wdrożenia, ta rozbieżność jest sygnałem. Pytanie brzmi, czy organizacja zbudowała zdolność do wykrycia tego przed realizacją płatności.
Wiele z tego stało się trudniejsze wraz z mnożeniem się kanałów płatności. Tam gdzie skarbnicy korporacyjni kiedyś kierowali niemal wszystko przez jeden portal bankowy z ścisłymi punktami kontrolnymi, dzisiejszy CFO stoi przed rozrostem szyn, automatycznych izb rozliczeniowych (ACH), przelewów, wirtualnych kart, sieci czasu rzeczywistego i kanałów technologii finansowej (fintech) sprzedawanych na obietnicy przychodów z rabatów. Każdy nowy kanał to nowa powierzchnia ataku. W kwestii rabatów Resch jest bezpośredni: „Idea, że rabaty kartowe są źródłem przychodów lub kompensatą kosztów, jest mocno przesadzona."
Tarcie jest teraz funkcją
Implikacje dla liderów finansowych przyzwyczajonych do optymalizacji pod kątem doświadczenia dostawcy są niekomfortowe. Zerowe zaufanie w płatnościach wprost wymienia wygodę na bezpieczeństwo na wejściu. Od dostawców należy wymagać tworzenia uwierzytelnionych profili. Dwuskładnikowe uwierzytelnianie przy składaniu staje się standardem, a ogólne portale do przesyłania zaprojektowane w celu zmniejszenia tarcia dla nowych dostawców stają się zobowiązaniami. „Chcesz utrudnić dostawcom składanie faktur" – przyznaje Resch – „co nie jest idealne, ale po prostu nie możesz już udostępniać ogólnego portalu, przez który ktoś może przesłać fakturę."
Kompromis obowiązuje również na zapleczu. Dostawca, który przejdzie wyższy próg wdrożenia, przechodzi przez proces bez zakłóceń i otrzymuje płatność na czas. Tarcie istnieje przy wejściu, nie w cyklu płatności. Nie jest to również coś, czym można zarządzać przy okazji innych obowiązków. „To musi być czyjąś rolą" – Resch jest jednoznaczny. „Muszą to posiadać. Muszą odpowiadać za zarządzanie ryzykiem, przejrzystość i widoczność." Dla organizacji, które nie chcą budować tej zdolności wewnętrznie, odpowiedzią jest partner, który już wbudował te kontrole w swój proces. Biorąc pod uwagę, jak szybko porusza się zagrożenie, zakładanie, że wczorajsze podejście poradzi sobie z jutrzejszą ekspozycją, nie wchodzi w grę.
Śledź Martina Rescha na LinkedIn lub odwiedź Cass Information Systems, aby uzyskać więcej informacji na temat zarządzania ryzykiem płatności, kontroli transakcji o dużym wolumenie i budowania ram zerowego zaufania chroniących zobowiązania przedsiębiorstw.
