Международная организация по стандартизации (ISO) представила новый руководящий документ по управлению рисками мошенничества – ISO 37000.

Новый стандарт ISO по борьбе с мошенничеством: что нужно знать бизнесу.

Международная организация по стандартизации (ISO) представила новый руководящий документ по управлению рисками мошенничества – ISO 37000. Этот стандарт призван помочь компаниям всех размеров и отраслей выстроить эффективную систему противодействия мошенническим схемам.

Почему это важно?

Мошенничество – это не только прямые финансовые потери. Оно подрывает репутацию, разрушает доверие клиентов и партнеров, а в некоторых случаях приводит к уголовной ответственности.

Согласно исследованиям:

60% компаний сталкивались с мошенническими действиями за последние 3 года.

Средний ущерб от одного инцидента составляет $1,7 млн (данные PwC, 2024).

Технологическое мошенничество (кибератаки, фишинг, поддельные платежи) растет на 25% ежегодно.

Кому и зачем нужен этот стандарт?

Какие организации должны обратить внимание?

📌Банки и финтех – борьба с мошенническими транзакциями и отмыванием денег.

📌Корпорации – защита от инсайдеров и корпоративного шпионажа.

📌Госструктуры – предотвращение коррупции и хищений бюджетных средств.

📌Средний и малый бизнес – снижение рисков при работе с контрагентами.

Что предлагает стандарт?

ISO 37000 дает практические рекомендации по:

✅ Выявлению мошеннических рисков (внутренних и внешних).

✅ Предотвращению утечек данных и финансовых махинаций.

✅ Обнаружению мошенничества на ранних стадиях.

✅ Действиям после инцидента (расследование, минимизация ущерба).

✍️Ключевые принципы системы антифрод-контроля

1. Проактивность вместо реагирования

Регулярные аудиты уязвимостей.

Обучение сотрудников (как распознавать попытки мошенничества).

Мониторинг подозрительных операций (включая AI-анализ транзакций).

2. Трехуровневая защита

1️⃣ Prevention – политики, контроль доступа, шифрование данных.

2️⃣ Detection – системы мониторинга (SIEM, DLP).

3️⃣ Response – четкий план действий при выявлении угрозы.

3. Ответственность руководства

Стандарт подчеркивает: борьба с мошенничеством начинается с топ-менеджмента.

Необходимо назначить ответственных за FCMS (Fraud Control Management System).

Внедрить этический кодекс и механизмы whistleblowing (сообщений о нарушениях).

Как внедрять стандарт на практике?

🤔 Оценка текущих рисков

Какие активы наиболее уязвимы (деньги, данные, интеллектуальная собственность)?

Какие схемы мошенничества наиболее вероятны в вашей отрасли?

📌Разработка политик

Финансовый контроль (двойное подтверждение платежей, лимиты).

📌Защита данных (разграничение доступа, шифрование).

📌Работа с персоналом (проверка при найме, регулярные тренинги).

📌 Внедрение технологий

Аналитика поведения пользователей (UEBA – User and Entity Behavior Analytics).

📌Автоматизированный мониторинг транзакций.

📌Системы расследования инцидентов (например, IBM QRadar).

📌Тестирование и улучшение

Пентесты (проверка устойчивости к мошенническим атакам).

📌Симуляции инцидентов (например, фиктивные фишинговые письма).

Вывод: защита от мошенничества – это не разовая акция

ISO 37000 – не обязательный, но крайне полезный стандарт. Его внедрение помогает:

✔️ Снизить финансовые и репутационные потери.

✔️ Соответствовать регуляторным требованиям (особенно в банковской сфере).

✔️ Повысить доверие клиентов и инвесторов.

Где изучить документ?

Полный текст стандарта доступен на сайте ISO: https://www.iso.org/standard/81278.html