Анализ типологий для противодействия организованной преступности: аналитическое решение
В экспертном сообществе термин «типология» активно используется для описания способа совершения правонарушения (преступления): уклонение от уплаты налогов, хищение бюджетных средств и вывод капиталов из страны, мошенничество с ценными бумагами, финансирование терроризма. Типология – это обобщение похожих схем совершения преступления. Типология характеризует вовлеченных в противоправную деятельность субъектов, содержит их характеристики, информацию о конфигурации выстроенных между ними связей (хронологию, суммы и т.п.), особенности движения финансовых потоков, географические аспекты преступной схемы и другие свойства.
Исследованием и работой с типологиями в сфере противодействия экономической преступности занимаются УНП ООН, ФАТФ и другие международные организации, органы государственной власти, финансовые институты, кредитные организации, казначейства, учебно-методические центры.
Для аналитиков и инспекторов, на практике работающих с типологическими схемами, актуально снижение временных затрат на их выявление. Сократить его можно за счет автоматизированной идентификации схем, которые потенциально являются незаконными.
Специфика задачи их выявления состоит в том, что точная конфигурация схемы совершения преступления заранее не известна, поэтому аналитику приходится вручную проверять различные гипотезы и анализировать большие массивы данных.
Нужен инструмент, который, во-первых, позволяет автоматизировать проверку гипотез аналитика, во-вторых, способен находить не только схемы, непосредственно заданные аналитиком, но, анализируя базу данных, и похожие схемы, если они есть.
На основе многолетней экспертизы в области противодействия мошенничеству в различных отраслях для решения этой задачи компанией SAS разработан инновационный инструментарий – система по работе с типологиями. Оперируя понятными сущностями – юридическое лицо, счет, банк, страна регистрации и т.п., пользователь задает типологию для поиска соответствующих ей схем путем «рисования» типологии в визуальном интерфейсе. Аналитик указывает характеристики субъектов, связи между ними, их хронологию и другие параметры, затем он запускает поиск. В качестве результата поиска он получает конкретные типологические схемы для дальнейшего расследования.
В основе инструмента – математические методы анализа графов. В зависимости от конфигурации заданной пользователем типологии система автоматически определяет алгоритм обработки данных для анализа цепочек финансовых операций, контрактов, деклараций, учредительских и других связей между субъектами. Помимо использования традиционного набора методов обработки графов в инструменте реализован механизм автоматического анализа структуры заданной типологии для поиска схем, похожих на ту, которую пользователь задал изначально. Это особенно важно в тех случаях, когда не хватает данных для выявления схемы в исходной постановке (есть лишь фрагменты схемы) либо одна и та же, по сути, схема имеет большое число модификаций, перебрать которые вручную практически невозможно. Например, для совершения экономического преступления движение товаров или денег осуществляется через двоих посредников, но со временем преступники изменили логику взаимодействия и стали использовать троих или четверых посредников, либо иностранных контрагентов c последующим включением российских посредников. Система автоматически учитывает при поиске такие «технические» изменения относительно структуры первоначальной схемы.
Работа с типологиями в Бельгийской таможенной службе
С помощью инструмента в Бельгийской налоговой службе успешно решена задача выявления схем уклонения от уплаты акцизов. Предпосылками этого правонарушения стали различия в ставках акцизов на алкогольную продукцию в разных странах ЕС.
Это создает почву для использования различных способов максимизации прибыли при продаже алкогольной продукции, в том числе с нарушением законодательства. Например, при продаже во Франции бельгийской алкогольной продукции, мошенники либо не уплачивают акцизный сбор, либо используют документы об оплате акциза в Бельгии (рис. 2).
Для выявления нарушений требуется практически сплошное проведение проверок розничных продавцов и их отношений с поставщиками, что приводит к неэффективному использованию ресурсов контролирующего органа.
Регламентный автоматический мониторинг заданного набора типологий позволил сократить временные затраты на поиск и выявление подозрительных схем и сосредоточить усилия на расследованиях схем. Аналитику достаточно один раз задать типологию графически, указав типы субъектов, их характеристики и связи, чтобы система автоматически выявила и представила аналитику схемы, соответствующие этой типологии. Для этого система осуществляет анализ имеющихся данных на предмет наличия похожих структур связей и рассчитывает различные математические и бизнес-метрики схемы (скорость развития схемы, наличия субъектов-участников других схем и т.п.), которые позволяют приоритизировать выбор схем.
При задании типологии аналитики в визуальном интерфейсе накладывают временные и другие ограничения на связи между субъектами (например, дата связи, актуальность, сумма), отношения между ними (требуется учесть, что первой возникла связь между субъектами А и Б, затем между Б и В и т.д.) и характеристики субъектов (вид деятельности, регион регистрации или предрассчитанные признаки).
Поиск схем, часть структуры которых неизвестна
В практике часто возникает необходимость разработки типологии, обладающей некоторой долей неопределенности, когда часть схемы неизвестна (рис. 4). Использование неопределенности позволяет обобщить несколько похожих модификаций одной и той же схемы, либо найти фрагменты схемы, по ее части. На этапе задания типологии в инструменте SAS неопределенность можно задать как особый тип узла схемы. Реализация правонарушений, представленных на рис. 2 может быть представлена другими схемами, из-за отличий, не влияющих существенно на содержание правонарушения. Например,
· Страной происхождения продукции может являться не Бельгия, а любая другая страна с низкими акцизными ставками.
· Продукция может перепродаваться французскими импортерами через цепочку посредников для усложнения процесса расследования (рис. 4) и др.
На рис. 5 показан пример задания недетерминированной типологии и результатов поиска.
Рис. 5. Пример задания типологии с неизвестными частями и найденной схемы, которая ей удовлетворяет
Интеграция с существующими процессами
Работа с типологиями может быть организована как отдельный процесс по выявлению схем или по разработке методологии выявления ранее неизвестных способов совершения преступлений, либо реализовать как составляющую риск-ориентированного подхода (каждая типология позволяет выявлять определенный тип нарушений), направленный на предотвращение развития преступных схем путем идентификации подозрительного взаимодействия между субъектами на раннем этапе.
Андрей ДЕНИСЕНКО,
консультант департамента решений
для государственного сектора, компания SAS
.Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 01.02.2017