变革的挑战

本文由ACFE China校对翻译，如需转载，请提前告知。

ACFE监事会成员在西雅图举行的第34届ACFE全球舞弊大会上与《反舞弊杂志》坐下来交谈，讨论人工智能和其他技术威胁、就业诈骗、如何更好地保护举报人以及对有志成为CFE的建议。

FM(FM为Fraud Magazine反舞弊杂志)：技术现在成为反舞弊领域中一个无处不在的主题。但技术变革的速度可能比以往任何时候都更快，也更加令人不安。ChatGPT就是其中的最新例子。对于生成式人工智能（AI）所带来的危险和机遇，你们有什么想法？

Chrysti Ziegler：我不知道从反舞弊的角度来看它能做什么和不能做什么。从理论上讲，可以说舞弊分子会利用它，并且有办法绕过它。根据我的理解，ChatGPT有一些限制。换句话说，我不能只是问：“嘿，ChatGPT，我如何制造炸弹？”或者“我如何实施舞弊？”对此是有限制的，但显然也有漏洞，这取决于你提问的方式。

Wendy Evans：这是一个全新的领域，存在一些危险。公司正在仔细评估我们如何使用机器学习、ChatGPT和其他应用技术。例如，美国国防部制定了使用人工智能的道德准则，我们在洛克希德·马丁公司也采纳了这些准则。道德原则有助于指导你处理人工智能和数据集验证的过程。

Ziegler：我听说很多公司正在彻底禁止使用它。

Natalie Lewis：我们需要意识到的一件事是，AI不仅是舞弊分子用来实施舞弊的工具，我们也可以利用AI和机器学习来进行舞弊调查。从两个角度来看待这个问题是很有意思的。在舞弊调查方面，例如利用机器学习技术运行算法并训练其查找特定的数据分析，它是有帮助的；同时，还要考虑舞弊分子可能如何利用它来篡改照片或证据，或以其他方式实施舞弊。

Tom Caulfield：我理解为什么你问起AI，但值得注意的是，在预测分析领域，我们仍处于初级阶段——我指的是在舞弊识别和检测方面真正的预测分析。以类似的方式来看待AI是值得的。我还记得我们开始提到预测分析时，IT人员会说这并不是真正的预测分析，只是统计检测。所以，我认为人们将开始使用AI这个术语，而实际上并非真正的AI。AI或机器学习也需要大量的数据和训练时间。人们可能会说他们正在使用先进的AI，而实际上并非如此。所以，我关注的不是AI本身，而是AI被错误地用来帮助我们的假象。

Ziegler：针对你的观点，你会发现一些公司或服务提供商声称他们正在使用AI来打击舞弊，但实际上并非如此。但舞弊分子肯定会使用它。从历史上看，舞弊分子通常比我们领先一步，我们不断努力追赶。这是可怕的一部分：舞弊分子可能在使用真正的AI来犯罪方面更加先进，而我们则在公司宣传他们正在使用AI时落后，而实际上并非如此。

Caulfield：我的儿子问过一个生成式AI工具如何进行工时卡舞弊。但结果至多是基础的，至少对于真正研究舞弊的人来说如此。AI还有时间成熟，但你说得对——舞弊分子会使用它。就像黑客，16-17岁的孩子一样；对他们来说，这是一场游戏。AI也是一样的。

FM：AI革命背后还隐藏着哪些危险？

Ziegler：比如钓鱼邮件。我想那些邮件会变得更好。ChatGPT可以创建一封看起来完全像来自联邦快递或亚马逊的邮件。它将更加令人信服，错误更少，并且能够伪造发件人地址。甚至CEO或CFO的邮件语气可能会通过使用ChatGPT或其他类型的生成式AI得到增强。

Caulfield：AI也将被用于社会工程计划。想想AI是如何被用来伪造对话，以说服一位母亲她的女儿处于危险中的。（参见《母亲声称AI被用来克隆“被绑架”女儿的声音来愚弄她，伪造绑架她孩子的事件》）

Ziegler：如果它能愚弄一位母亲，让她相信她的女儿处于危险中，我想它肯定会比通常情况下愚弄更多的员工。员工群体已经开始熟悉钓鱼邮件，比如检查那个邮件地址中不应该出现的第二个“i”，或者悬停在链接上以查看它是否将他们引导到正确的地方。所以，他们现在知道一些要做的事情。但随着这种AI技术和伪造技术的进步，我觉得更多人会上当受骗。

Lewis：对于钓鱼邮件，这意味着我们必须加强对员工的培训，确保他们意识到钓鱼邮件中的红旗，以便他们时刻保持警惕。

Caulfield：这涉及培训、教育和信息共享。作为舞弊调查员，我们需要更聪明地理解这些技术的能力。我们的IT安全人员将不得不变得更聪明，以知道如何构建对抗这些技术的保护措施。我们的员工也必须变得更聪明，这样他们就不会成为此类活动的受害者。这就像我们行业中发生的许多其他事情一样。

FM：在东非，诈骗分子如何利用技术？

Collins Wanderi：在肯尼亚，我们看到了与SACCO（储蓄和信贷合作社）有关的在线诈骗案件增加。SACCO与银行不在同一个平台上运作，监管要求也有所不同。所以，诈骗分子意识到SACCO在处理会员、账户和贷款时采用了不同的信息管理系统。诈骗分子与技术供应商建立了一个网络。他们做的一件事就是进行拒绝服务（DoS）攻击，他们侵入系统并拒绝服务。然后你不得不打电话给某人来进行调试，但这些供应商与诈骗分子合作，并在系统中部署恶意软件。

我碰巧是一个SACCO的监管委员会主席，我们正在努力解决的一个问题是，当我们没有足够的防火墙时，是否开放我们的系统进行更多的移动和互联网交易。政府试图对SACCO进行监管集中，但在技术和软件方面没有提供支持来阻止诈骗分子部署恶意软件。东非对此没有准备，因为关注的重点一直放在银行的互联网和移动银行业务上。但银行有央行监管机构，他们的操作系统是相似的，而SACCO则不同。SACCO通常具有不同且不兼容的系统，因此不可能部署相同类型的保护工具。

FM：是否有努力创建一个中央监管机构来监管SACCOs？更严格的监管环境是否会有所帮助？

Wanderi：是的，现在有一个称为SACCO社团监管局（SASRA）的机构。然而，该机构更关注滥用资金的SACCO管理委员会，而不是有技术挑战的机构。SACCO现在有报告要求，但并没有涉及到他们使用的技术。而另一方面，银行则需要报告他们的技术情况。换句话说，许多SACCO甚至没有业务连续性计划或灾难恢复计划，以应对可能发生的网络攻击，例如拒绝服务攻击。

FM：随着越来越多的人在网上寻找工作，工作舞弊似乎变得越来越普遍。舞弊分子使用许多伎俩来愚弄求职者，包括伪造公司网站和电子邮件。你有这方面的经验吗？

Wanderi：在东非这是普遍现象。原因是我们有高失业率，很多年轻人从大学毕业。一些诈骗分子创建了看起来非常像真实组织网站的假网站，并复制已经在其他地方发布的真实职位空缺。诈骗分子会在社交媒体上放置一个链接，引导申请人转到另一个网站进行申请。他们会在Teams或Zoom中创建一个链接，与人们进行“面试”，但他们要寻找的是潜在受害者。通常，他们会询问申请人的父母情况。这就是陷阱所在。如果父亲是工程师或医生，诈骗分子知道这个人是金钱的好来源。但如果你说你的母亲是一个佣人，诈骗分子就不会费心了，因为从这样的人那里拿到100美元将是困难的。然后，他们会要求受害者通过手机汇款来支付测试费用，例如。诈骗分子只需要1,000名年轻人给他们汇款，而且三天后网站就会消失。

Caulfield：在美国，我们可能会想知道为什么他们要求支付职位测试费用，但在其他国家，如果你想获得文件，有时你必须支付30、40或50美元。这并不罕见。

FM：Xavier Justo是本次会议的主讲人之一。他是帮助揭露马来西亚主权财富基金1MDB丑闻的内部告密者。但他付出了很高的代价。他的腐败同事能够贿赂官员逮捕并将他投入泰国监狱。如何保护那些受有影响力的深腰包犯罪分子威胁的告密者，尤其是跨越国境的情况？

Caulfield：保护始于并以告密者所在国家的法律之中。问题在于有时候对于“告密者”一词的定义存在差异。在某些国家，他们称之为“告密者立法”，但实际上并非真正的告密者立法，而是真正的证人保护计划。

FM：您能解释一下这个区别，以及它的重要性吗？我理解告密者通常充当证人。

Caulfield：在美国、加拿大或欧洲国家，传统上对于告密者计划和证人保护计划是有区别的。证人保护计划为与该国刑事诉讼合作的人提供帮助，政府将为他们及其家人提供保护或提供资金用于搬迁。但告密按照传统定义可以涉及从违反机构规定的违规行为到违反监管政策甚至犯罪的企业内部人员，它保护这些人不会失去工作并遭受报复。这与证人保护计划是不同的。

Ziegler：所以，告密是一种就业类型的政策？

Caulfield：主要如此，即使在我们国家，告密者也受到免受报复的保护。然而，保护免遭死亡威胁实际上是证人保护的范畴。我所知的任何美国的告密者计划并没有提供搬迁资金。此外，告密仍然带有负面含义，以前曾有讨论要更换该术语的对话，原因就是这个。

FM：这更加需要保护那些可能面临死亡威胁的告密者，对吗？

Caulfield：是的。例如，当美国政府为未来的伊拉克总检察长设立培训计划时，我们与他们举行了会议，询问他们在伊拉克作为总检察长面临的最大挑战是什么。他们毫不犹豫地回答：“保命。让人们向我们报告事情，因为害怕被处决。” Wanderi：在东非，成为告密者是一项高风险的工作。我们拥有对抗性的刑事司法制度。这意味着一旦你提供与犯罪有关的信息，你很可能会被视为潜在的证人。你会面临这样一种情况，腐败的警察机构要求提供信息，有免费电话可以拨打。但如果你想更进一步，他们会要求你写一份陈述。在那时，你就得靠自己了。

在肯尼亚和几乎所有非洲国家，告密者直到案件提交法庭之前都没有受到保护。因此，提供信息的动力非常低。事实上，如果你问我们国家和地区的许多人，如果你有某人参与舞弊和腐败的信息，你会向警察报告吗？他们会告诉你，“不”。这是因为如果你提供信息并跟进，实际上你会成为目标，因为你可以看到法律的构架方式是没有给提供信息的任何人提供保护的。

就在今年，国家医疗保险基金（该基金从全国1500万缴费人那里获得资金）的一名员工在街上晕倒。最初他们以为是心脏病发作，但仔细检查后发现她实际上是被枪击的。凶手用消音器在繁忙的街道上向她和同事行走时开枪。后来发现她是涉及该基金前首席执行官案件的潜在目击证人。没有任何理由解释为什么她的同事没有被枪击。她身上也没有被抢劫。你可以看到其中的风险。（见《评查局在NHIF职员遭枪击的街道上收集到了什么》，作者Amos Robi，Pulse，当地新闻，2023年2月17日）

我们还失去了一位CFE，我曾经培训过他。他在国家财政部工作，被派往卫生部担任审计师——东非的卫生部门充斥着大量腐败。这个人发现并分享了与COVID-19大流行期间的医疗设备和药物采购舞弊有关的信息。而不是因为阻止舞弊而获得奖章——舞弊在我们国家成为一个大问题，他被解雇了。大约一年后，他被发现死亡。因此，基本上没有动力进行举报，因为告密者实际上是犯罪的证人，可能会被迫在法庭上作证。

Caulfield：此外，在许多非洲国家，没有所谓的认罪协议，所以这些案件可能要经过五六七年才会上庭，而在此期间，这个人将成为目标。 

Wanderi：这实际上是整个东非地区的问题，在东非五个国家——肯尼亚、乌干达、坦桑尼亚、卢旺达和布隆迪，除非告密者作为证人站出来，调查会无法展开。你把信息提供给谁？你把它提供给可能非常腐败的警察，甚至调查人员也可能是腐败的。 

Caulfield：公平地说，许多国家正在前进，并意识到一些这些挑战。如果有人告诉我《联合国反腐败公约》会在如今的许多国家得到采纳，我会打赌的。索马里最近签署了《联合国反腐败公约》。现在我并不天真。我知道在你成为《联合国反腐败公约》的一部分之前，你不会获得国际投资基金。但索马里仅仅做到这一点就很重要。有一场[解决腐败的运动]。它发展得足够快吗？它受到地区因素的影响吗？选举能改变这一点吗？一位总统推动反腐败努力，下一位总统却摧毁了一切吗？是的。但事情正在前进。 

Lewis：我认为让告密者更容易站出来是非常基本的最佳实践，比如在公司设立多种联系方式。例如，我们公布了美国国防部的举报电话，但我们也有道德和合规帮助热线。这个举报电话会直接转交给道德官员。即使你的举报结果与安全、人力资源或平等就业机会有关，你也将得到个人的支持，以确保举报方能得到必要的支持。你必须有一个不需要花哨或自主开发的案件管理系统。有很多好的现成案件管理服务可供选择。但你必须有一种追踪调查及其结果的方式。

FM: 对这些程序的有效性进行审计吗？

Evans：审计也很重要。美国司法部关于有效道德和合规计划的指导方针指出，你最好确保你的计划元素是有效的。光说纸面上有这个多层次的告密者计划是很好的，但你有方法评估它是否有效吗？研究你的度量标准并评估趋势非常重要。COVID-19大流行对这些影响很大，因为，例如，我们不在现场，我们没有太多人来我们办公室。但我们研究发现，在这段时间里，我们的道德官员接到的直接电话和求助电话比以往更多，弥补了来访者流量的不足。所以，你必须确保有一些最佳实践，并查看度量标准。我们的很多计划不仅接受内部审计，还接受外部或客户审计。

Caulfield：在我们对举报热线流程的审查中，一个似乎不够完善的领域是在投诉进入实体之初到移交给相关行动组织的决策树或流程中对信息的控制。我多次看到公司在投诉进入后必须先经过一个小组审议，然后小组开始根据社区做出各种决策。有时候，你在这样做时必须小心，因为它削弱了保持信息完整性的能力。因此，一个挑战是从投诉进入到解决的全过程中创建和使用决策树，始终保护信息的完整性。这涉及问题，比如：谁来做决策，谁将参与，谁将被通知？

Evans：并且举报问题的人需要了解整个过程。我们以电子形式或纸质形式提供宣传册，在其中解释我们的道德和合规流程。我们希望举报者对所期望的情况更有信心。我们还与举报者保持定期联系。想象一下，你有勇气举报或报告某事，然后似乎一切都变得漫无边际？在调查过程中，向举报方提供一些更新是非常重要的。我们询问举报方希望以什么样的联系频率，也许是每周一次。我们让他们知道有些周我们可能只是说“我们还在调查中”，但在其他更新会议上，也许我们已经到达了调查阶段，需要请他们澄清在调查过程中出现的问题或评论。当调查结束时，我们还提供最终反馈，无论案件是否得到证实。这有助于建立对该过程的信心和信任——他们可以看到整个过程——从举报到结案。

对于组织来说，拥有调查政策以及规定公司对报复的立场的政策是非常重要的。令人惊讶的是，即使是大公司也没有这些基本的政策。想象一下，你想要举报，却发现公司的标准操作程序或政策中没有定义过程并为举报者提供公司不容忍报复的保证。

FM：对于那些希望发展自己职业的有抱负的反舞弊调查员，你们会给什么建议？

Caulfield：我很幸运能够花很多时间与CFEs交流，因为我从事培训工作，我会告诉他们我告诉他们的内容。永远不要低估你所做的工作的影响力，无论是调查、检查还是审计，它都比你意识到的更重要。如果你看一下美国总务管理局（GSA）总检察长办公室所做的审计，导致了与政府人员去拉斯维加斯的大丑闻，没有人会想到它会有如此大的影响力。

Evans：ACFE的资格认证和培训确实超越了职业。我认为当你在上大学或攻读硕士学位时，你往往会以一种局限的方式思考。当我开始我的职业道路时，我从未想过自己会成为道德和合规官员。实际上，在我上大学时，没有这样的研究领域或职业。我喜欢CFE资格认证的一件事是它将不同专业领域的人们聚集在一起，共同致力于预防、阻止和发现舞弊行为。我非常喜欢在ACFE的会议上与人们见面并将他们添加到我的联系人中，以分享信息和最佳实践。一个人可能有国际贸易合规背景，另一个人可能是审计师。资格认证在不同职能和职业之间流动是很棒的。

Lewis：作为CFE，我们需要不同的观点和不同的背景，以揭示正在发生的事情，无论是舞弊、浪费和滥用，还是其他问题。我欣赏团队中的不同观点。

Caulfield：持续学习也非常重要。技术。数据分析。问题不在于数据分析如何帮助我们，而是为什么你不使用数据分析？

Ziegler：对于任何新的有抱负的CFE来说，建立一个人脉网络尤为重要，因为你不仅在你自己的专业领域建立了这个网络，而且在各个行业之间建立了这个网络。我告诉学生，当你开始建立人脉时，不要期望好处会立即到来。它可能要在十年之后，而且可能是来自你没有预料到的人的帮助。早期建立这些关系非常重要。你可以通过说，“嗨，我的名字是Chrysti。上次见到你，工作怎么样？”这些小事情创造了那种关系，到了十年后，当我们都成为审计管理层时，我们可以互相联系，说，“我遇到了这个问题。你处理过吗？你的解决方案是什么？”因为你们有十年的关系，所以向他们寻求帮助变得更加容易。

Caulfield：这很重要，因为没有一个CFE能够掌握所有的知识。这个职业实在太多样化了。拥有那个联系人名单非常有帮助。我记得在我作为一名调查员的早期，我会联系一些技术专家，告诉他们我们有某种性质的指控，并问，“这是舞弊吗？”你获得的这种专业技术交流将对你非常有帮助。如果你认为你掌握了所有的信息，那就是天真的。

Lewis：对于新兴的CFE来说，他们可能不知道有什么样的机会或角色。但他们可能在其中一个人脉机会中遇到某个人，然后说，“嘿，我不知道我可以做那个。这是一个有趣的机会或职业道路。也许我想更多地了解一下。”

Wanderi：或许我们应该告诉那些有抱负的想要获得资格认证的人，它并不是终点。它只是一个开始。我记得当我获得我的资格认证时，我在处理法证和诉讼支持方面，基本上是一个新领域。我更加专注于舞弊检测和预防培训。但在沿途中我意识到，作为一名专业人士，你必须不断进步。你必须学习和重新学习。当我在2006年和2007年开始的时候，我们国家有很多实体文件，所以进行法证文件分析并获得趋势是很容易的。现在我们几乎不使用纸张了，所以正如Tom所说，你必须学习数据分析、大数据和数据分割。换句话说，你必须准备好做一些你原本认为自己永远不会做的事情。但是CFE资格认证给了你这种信心，然后你必须准备好被告知、被教导和被纠正。要准备学习。例如，我属于那一代人，他们没有从技术开始。我们的孩子从技术开始。所以，我实际上从年轻人那里学到东西。在某一点上，你必须向年轻人学习，因为他们具有新知识和多样化的优势。

Evans：我对技术发展的速度感到吃惊，我认为如果我们诚实一点，我们大多数同事也会有同样的感觉。作为CFE，并参加这样的会议，使你能够预见趋势并应对这些变化。几年前谁能想到我们会经历一次大流行，现在大多数组织都看到远程员工数量的增加。然而，这也带来了其他相关问题。例如，我们看到远程员工兼职就业的利益冲突类型的案例增加，有时对主要雇主造成损害。参加这样的会议，你可以真正互相学习，了解人们如何应对这些新兴趋势。