Thursday, February 21, 2008

E-Payments

Bye Bye Cheques, Hello Fraud

In the corporate accounts payable world payment by cheque is becoming a thing of the past. Gone are the days of preparing cheques, having them signed by two busy executives and then sending them to the cashier’s office for post or collection. Gone is the long wait for a cheque sent through snail mail. No more, the hassle of sending someone to a client to collect a cheque Friday evening after the banks have closed. Gone is the fear of the cheque bouncing. The miracle of electronic bank transfers is here to stay. All a debtor has to do is enter his bank website and with a few keystrokes, money owed is immediately transferred to a supplier’s bank account.

Highly efficient, but unfortunately, e-payments are wide open to abuse. Not by outside hackers but by insiders entrusted with their processing.

The key element in a bank website electronic transfer process is the payee bank account number. Therein lies a major internal control weakness. With the naked eye, it is extremely difficult to identify a bank account owner through the bank account number. How many people have the number of their own bank account in their heads? Very few. How many people have the numbers of other people’s bank accounts in their heads? Nobody. With a few key strokes the bank account number that an e-payment should be made to can be changed to another bank account number. When printing out the e-payment for internal control purposes, an abuser ensures the name of the correct payee appears on the document. Anybody looking at the document may see the correct payee name but will be unable to identify the incorrect bank account number.

As cheques go by the wayside, so too do internal controls associated with the cheque signing process. When sent for signature, cheques should have the source documents attached. If the cheque signers do not see an invoice, a purchase order and a goods/services received stamp they can match to the cheque, they will not sign it. Two signatures on a payment is another typical control that has all but disappeared. A bank website e-payment system may include a second password authorization but in practice that authorization is invariably provided without question. Even if it is not given automatically how does a skeptical second password holder identify a changed bank account number?

Abuse of e-payments can be a fraud in and of itself. The processor of e-payments might decide to simply transfer funds to his or her bank account. However, this type of fraud will quickly come to light once a bank reconciliation is performed. E-payment abusers will not want to get caught so easily. E-payments then become the instrument through which another fraud is very easily liquidated. That

could be any of a number of payroll frauds or accounts payable frauds. Any fraud whereby an excuse is invented to justify a payment that appears to be sent to one bank account but is actually sent to another.

A typical variation of a ghost employee payroll fraud works as follows: A company pays the salaries of its employees through e-transfers. A weekly employee leaves the company. The processor of the payroll e-payments decides to keep the exemployee on the payroll for another week or two. When executing the payroll e-payments, the processor changes the bank account number of the exemployee to his/her own bank account number. On printing the payroll e-payments for internal control purposes, the abuser will ensure he maintains the name of the ex-employee on the document. The real name will not be noticed among a list of hundreds of names on a payroll. A very cautious abuser will change the bank account number back to what it should be but most will not bother as the risk of somebody recognizing an incorrect bank account number is virtually nil.

One of the few ways this type of e-fraud can be brought to light is thorough the use of number sorting computer programs. Known in the internal auditing trade as data mining programs, they compare the bank account numbers that e-payments have been made to with bank account numbers they should have been paid to. Unfortunately, many bank website e-payment systems maintain a record of electronic transfers for one month only. After one month the record of the fraud disappears forever. This represents yet another extremely dangerous internal control breakdown associated with electronic payments.

All the internal controls in the world will not prevent e-payment abuse from occurring; however the following should mitigate the risk:

· Timely bank account reconciliations.

· Separation of duties. Separate payroll and accounts payable processors from e-payment processors. Separate bank account reconciliators from e-payment processors.

· Change of responsibilities. Change e-payment processors at least once per year.

· Regular internal audit focus on the e-payment process.

· Negotiate with your bank the maintenance of e-payments records for at least two years. If this is not possible, consider installing an IT program that duplicates e-payment entries to the bank website.

· High level (CFO, Controller, Treasurer) second password authorization of e-payments.

· Normally e-payments are processed in batches. Before authorizing e-payments, the second password holder should insist on seeing each transaction one by one. He/she should insist that each transaction has source documents attached. The idea here is that a second password holder should approach e-payments no differently from how he/she approaches putting a second signature on a cheque.

· Ensure e-payment processors take their vacations.

Cheques are vulnerable to abuse through signature or endorsement falsifications. However, a cheque is a physical document that is visible to the naked eye. Not everybody is an expert forger and if they are, there is a high risk their forgery will be visible to someone. An electronic bank transfer is a virtually invisible transaction that provides a very low risk opportunity to a processor intent on abusing it.

Pagos Electrónicos

Adiós Cheques, Hola Fraudes

En el mundo corporativo de cuentas por pagar el pago por cheque se está convirtiendo en cosa del pasado. Los días de preparar cheques, llevarlos a firmar por dos ejecutivos atareados para luego mandarlos a la oficina del cajero, están contados. Ya no hay que mandar a alguien el viernes por la tarde a cobrar un cheque después de que los bancos han cerrado. Se ha disipado el miedo de que el cheque rebote. El milagro de las transferencias electrónicas está aquí para quedarse. Todo lo que un deudor tiene que hacer es entrar a la página web de su banco y con unos cuantos tecleos, el dinero debido es transferido de inmediato a la cuenta del proveedor.

Muy eficientes, pero cuidado, los pagos electrónicos son blancos fáciles para el abuso. No por parte de hackers externos, sino por gente de adentro a la que se le ha confiado con el proceso.

El elemento clave en el proceso de transferencia electrónica es el número de cuenta de quien se le va a pagar. Ahí yace la gran debilidad de control interno. A simple vista, es extremadamente difícil identificar al propietario del número de cuenta a través del mismo. ¿Cuanta gente se sabe de memoria el número de su propia cuenta bancaria? Muy poca. ¿Cuanta gente tiene el número de cuenta de otras personas en su cabeza? Nadie. Con algunos tecleos el número de cuenta al que un pago electrónico debería ser formulado puede ser cambiado a otro numero de cuenta bancaria. Al imprimir el pago electrónico para propósitos de control interno, un abusador asegura que el nombre de a quien se le debería pagar aparezca en el documento. Cualquiera que vea el documento puede apreciar el nombre correcto de quien debe recibir el dinero pero será incapaz de identificar el numero de la cuenta bancaria incorrecta.

Así como los cheques se van de lado, también se van los controles internos asociados con el proceso de firmado del cheque. Al ser mandados a firmar, los cheques deberían tener los documentos fuente adjuntos. Si quienes firman el cheque no ven una factura, una orden de compra y una estampa de bienes/servicios recibidos que puedan comparar con el cheque, no lo firmaran. Dos firmas es otro control interno que casi ha desaparecido. El sistema de la página web de un banco puede incluir una segunda autorización de contraseña pero en la práctica esa autorización es invariablemente provista sin cuestión. ¿Y si la segunda autorización no es dada automáticamente, como puede un poseedor de contraseña secundaria identificar una cuenta bancaria cambiada?

El abuso de los pagos electrónicos puede ser un fraude por sí mismo. El procesador de los pagos electrónicos puede decidir simplemente transferir fondos a su cuenta bancaria sin ton ni son. Sin embargo, este tipo de fraude será revelado rápidamente una vez que una conciliación bancaria sea hecha. Los abusadores de pagos electrónicos no querrán ser pescados tan fácilmente. Los pagos electrónicos entonces se convierten en el instrumento a través del cual otro fraude es fácilmente liquidado. Eso puede ser cualquiera de un número de fraudes de nómina o de cuentas por pagar. Cualquier fraude a través del cual se inventa una excusa para justificar un pago que aparente ser mandado a una cuenta bancaria pero que en realidad es mandado a otra.

Una variación típica de un fraude de pago de nómina a voladores en la nómina funciona de la siguiente manera: Una compañía paga los salarios de sus empleados a través de transferencias electrónicas. Un empleado semanal sale de la compañía. El procesador de la nómina decide dejar al exempleado en la nómina por otra semana o dos. Al ejecutar los pagos electrónicos, el procesador cambia el número de cuenta bancaria del exempleado a su propia cuenta bancaria. Después de una semana o dos, el abusador da de baja de la nómina al empleado que salió y lo reemplaza con otro nuevo que esta saliendo. Al imprimir los pagos electrónicos de nómina para propósitos de control interno, el abusador se asegurará de mantener el nombre del exempleado en el documento. El nombre real no será notado entre una lista de cientos, quizás miles de nombres en la nómina. Un abusador muy cauto cambiará el número de cuenta bancaria de regreso a lo que debería ser pero la mayoría no se molestará ya que el riesgo de que alguien reconozca un número de cuenta incorrecto es virtualmente nulo.

Una de las pocas maneras en que este tipo de fraude electrónico pueda ser revelado es a través del uso de programas sorteadores de números. Conocidos en la profesión de auditoria interna como programas de data mining, sirven para comparar miles de números de cuenta bancarios a los que se han hecho pagos electrónicos con cuentas a las que debieron ser pagadas. Desafortunadamente muchos sistemas de pago mantienen un registro de transferencias electrónicas por un mes solamente. Después de un mes, el registro del fraude desaparece para siempre.

· Conciliaciones de cuentas bancarias a tiempo.

· Separación de deberes. Separe a procesadores de nomina y de cuentas por pagar de los procesadores de pagos electrónicos. Separe conciliadores de cuentas bancarias de procesadores de pagos electrónicos.

· Cambio de responsabilidades. Cambie procesadores de pagos electrónicos por lo menos una vez al año.

· Enfóquese en el proceso de los pagos electrónicos regularmente con auditorias internas.

· Negocié con su banco el mantener los registros de pagos electrónicos por dos años. Si esto no es posible, considere instalar un programa IT que duplique las ejecuciones de pagos electrónicos.

· Autorización de alto nivel de finanzas (CFO, Contralor, Tesorero) de contraseña secundaria en pagos electrónicos.

· Normalmente los pagos electrónicos son procesados en grupos. Antes de autorizar pagos electrónicos, el poseedor de la contraseña secundaria debería insistir en ver cada transacción. Él o ella debe insistir que cada

· transacción tenga documentos fuente adjuntos. La idea aquí es que el ejecutivo de finanzas debe tratar a los pagos electrónicos exactamente igual a como trataba a los cheques.

· Asegure que los procesadores de pagos electrónicos se tomen sus vacaciones.

Los cheques son vulnerables al abuso a través de falsificación de firmas. Sin embargo, un cheque es un documento físico que es visible a primera vista. No todo el mundo es un falsificador experto y si lo fuese, hay un alto riesgo de que su falsificación sea vista por alguien. Una transferencia electrónica bancaria es una transacción virtualmente invisible que provee una oportunidad de riesgo muy baja para un procesador deseoso por abusar de ella.