لماذا التدريب التقليدي على الاحتيال لا يكفي
غالبية المؤسسات تتعامل مع برامج التوعية والكشف عن الاحتيال بنفس الطريقة التي اعتمدتها خلال الخمسة عشر عاماً الماضية: مرة سنوياً يجلس الموظفوون لحلّ وحدة امتثال تعرض قائمة بأنواع الاحتيال — مثل التصيد الاحتيالي، احتيال الفواتير، تلاعب المصروفات، وسرقة البيانات — مع علامات تحذيرية وإجراءات للإبلاغ. عادةً ما يتبع ذلك اختبار بنِهاية الوحدة. تكون نسبة النجاح أعلى من 90%، ومع ذلك بعد ثلاثة أشهر يكاد نفس الموظف لا يلتفت إلى فاتورة مزوّرة لوّحظ فيها تغيير طفيف في رقم الحساب المصرفي.
المشكلة ليست نسيان الموظفين للتدريب، بل أن التدريب يعلّم التعرف على أمثلة ثابتة بدلاً من تنمية مهارة اكتشاف الأنماط. من تعلّم أن ينتبه لـ«طلبات تحويل عاجلة من المدير التنفيذي» سيكتشف هذا السيناريو المحدد، لكنه لن يلتقط المورد الذي يضخّم الفواتير تدريجياً بنسبة 3% كل ربع سنة، أو الزميل الذي تظهر مصاريفه نمطاً مريباً من أجور سيارات أرقامها مستديرة، أو المورد الذي يقدّم فواتير بصيغة لا تطابق أي مزود آخر في النظام.
هذه السيناريوهات ليست غريبة. وفق تقرير جمعية محققي الاحتيال المعتمدين لعام 2024، متوسط مدة مخطط الاحتيال المهني قبل اكتشافه يبلغ 12 شهراً. أكثر طرق الاكتشاف شيوعاً هي البلاغات — أي أن إنساناً لاحظ أمراً ما — لكن ذلك يحدث في 42% فقط من الحالات. أما الباقي فيستمر لأن لا أحد في المنظمة تدرّب على رؤية النمط.
خلال العقد الماضي طوّرت صناعة اكتشاف الاحتيال نهجاً مختلفاً جوهرياً. الأنظمة المدعومة بالذكاء الاصطناعي لا تعمل بقوائم تحقق لأنواع الاحتيال المعروفة، بل تبني خطوطاً سلوكية أساسية، تقيس الانحرافات، تمنح درجات شذوذ عبر نقاط بيانات متعددة، وتعلّم أن تنبه إلى نشاط إحصائياً لا يتوافق مع الأنماط المرسخة — حتى لو لم ير النظام تلك التقنية الاحتيالية من قبل. هذه المنهجية فعّالة للغاية، ويمكن تعليمها للبشر.
ما الذي تفعله أنظمة كشف الاحتيال فعلاً
لكي نعلّم الموظفين أن يفكروا مثل نظام كشف الاحتيال، يحتاج متخصصو التعلم والتطوير أولاً إلى فهم المنهجية التي تُحاكى. يتفكك النهج إلى أربعة مكوّنات تترجم مباشرة إلى مهارات بشرية قابليه للتدريب.
1. بناء خطّ سلوكي أساسي
كل نظام فعال يبدأ بتحديد ما يبدو «طبيعياً». قبل أن يحدد الشذوذ، يحتاج إلى خط أساس للسلوك المتوقع: ما هو حجم المعاملة النمطي لهذا المورد؟ ما هي وتيرة تقديم المصروفات المعتادة لهذا الدور؟ ما هو نمط تسجيل الدخول الطبيعي لهذا المستخدم؟
المقابل البشري هو الوعي السياقي. الموظفون الذين يفهمون الأنماط الاعتيادية ضمن عملهم — كيف تصل الفواتير عموماً، ما هي خطوات الموافقة الاعتيادية، كيف تُبنى اتصالات الموردين عادةً — يستطيعون رصد متى ينحرف شيء عن هذا الخطّ. لكن هذا الوعي نادراً ما يُنمّى في التدريب: برامج الامتثال تفترض أن الموظف يعرف مسبقاً ما يبدو طبيعياً، وكثيرون، لا سيما الجدد، يفتقرون إلى أي خط أساس يقارنون به.
2. تقييم الشذوذ متعدد العوامل
لا يُنشئ كشف الاحتيال التلقائي تنبيهاً اعتماداً على مؤشر واحد فقط. معاملة مفردة غير عادية قد تكون ضجيجاً. لكن ثلاثة مؤشرات غير اعتيادية في نفس المعاملة — مورد غير مألوف، مبلغ بأرقام مستديرة، طلب دفع مُعجل — تشكل نمطاً يستحق التحقيق. الأنظمة الحديثة تقيم كل حدث أمام عشرات نقاط البيانات في آن واحد، وتُعطي درجة مخاطرة مركّبة بدلاً من علامة ثنائية. ليس عامل واحد هو الذي يُثير الإنذار، بل التقاء العوامل.
هذه مهارة يمكن تدريب البشر عليها. يمكن تعليم الموظفين تقييم إشارات متعددة بدل الاعتماد على علامة حمراء واحدة. بريد إلكتروني من عنوان مجهول يطلب دفعة مريب. لكن بريد إلكتروني من عنوان مجهول يطلب دفعاً عاجلاً لحساب بنكي جديد خلال عطلة بينما المدير المعتمد غير متاح هو التقاء لعوامل مخاطر متعددة تستلزم تصعيداً. التمييز بين «شيء واحد غير طبيعي» و«عدة مؤشرات غير طبيعية متزامنة» هو الفرق بين حدس غير منظّم وتقييم مخاطر مُؤطر.
3. الانحراف عن التسلسل المتوقع
تراقب أنظمة الكشف ليس الأحداث الفردية فحسب، بل تسلسلات الأحداث. عملية شراء شرعية تتبع تسلسلاً متوقعاً: أمر شراء، تأكيد تسليم، فاتورة، دفع. المعاملات الاحتيالية غالباً ما تكسر هذا التسلسل — تصل فاتورة دون أمر شراء مقابِل، يُطلب السداد قبل تأكيد التسليم، أو تُعالج موافقة خارج سير العمل المعتاد.
الموظفون الذين يفهمون التسلسل المتوقع لعملياتهم قادِرون رصد الخطوات المفقودة أو المعكوسة أو المتجاوزة. هذا فعال خصوصاً ضد احتيال الفواتير وهجمات اختراق البريد التجاري، حيث غالباً ما يتخطى المهاجم خطوات لا يعرف كيف يقلدها بدقة — لأن المهاجم لا يملك معرفة كافية بالإجراءات الداخلية.
4. مراقبة الوتيرة والحجم
تتتبّع الأنظمة التلقائية معدل حدوث الأحداث. مورد كان يقدم فاتورة واحدة شهرياً وفجأة قدّم أربع فواتير في أسبوع يثير إنذارا بالوتيرة. موظف كان يقدم مصروفات ربع سنوية وفجأة قدم ثلاث تقارير خلال أسبوعين يثير إنذارا بالحجم. قد يكون النشاط مشروعاً، لكن التغير في الوتيرة يستدعي الفحص.
الوعي البشري بالوتيرة أقل استغلالاً في التدريب. الموظفون في حسابات الدفع والمشتريات والمالية يتعاملون مع معالجات متكررة بما يكفي لتكوين إحساس حدسي بالحجم الطبيعي. يجب أن يشجّع التدريب صراحةً هؤلاء على الثقة بهذا الحدس والإبلاغ عن الانحرافات — ليس لأن كل انحراف احتيال، بل لأن تغيّر الوتيرة واحد من أقوى مؤشرات الإنذار المبكرة التي تستحق التحقّق.
تصميم التدريب حول اكتشاف الأنماط
تحويل منهجية كشف الاحتيال إلى برنامج تدريبي يتطلب تحولاً من التعلم القائم على المحتوى (حفظ أنواع الاحتيال) إلى التعلم القائم على المهارة (ممارسة اكتشاف الأنماط). فيما يلي إطار مؤلف من أربعة وحدات مُصمّم لهذا التحوّل.
الوحدة 1: بناء خطّك الأساسي
قبل أن يتمكن الموظف من كشف الشذوذ، يحتاج إلى فهم واعٍ لما يبدو طبيعياً في وظيفته الخاصة. تطلب هذه الوحدة من الموظفين توثيق أنماط الأساس في عملهم اليومي: كيف عادةً تصل فواتير الموردين؟ ما سلسلة الموافقات الاعتيادية لأوامر الشراء فوق حد معين؟ كيف يبدو طلب داخلي مشروع لمعلومات الدفع؟
المخرج هو مرجع خط أساس شخصي يصنعه الموظف بنفسه. هذا أكثر فعالية من تقديم خط أساس عام لأنه يخص دوره، قسمه، وعلاقاته بالموردين. أخصائي حسابات الدَفْع في شركة تصنيع له خط أساس مختلف جداً عن أخصائي في شركة برمجيات. يجب أن يعكس التدريب تلك الخصوصية.
تُظهر هذه التمارين أيضاً الفجوات: إذا لم يستطع الموظف وصف النمط الطبيعي لعملية ينفذها بانتظام، فهذه علامة ضعف رقابي يجب معالجتها — بغضّ النظر عن خطر الاحتيال.
الوحدة 2: سيناريوهات تقييم متعددة الإشارات
تقدم هذه الوحدة سيناريوهات واقعية وتطلب من الموظفين تحديد عدد إشارات المخاطرة الموجودة — ليس لتحديد ما إذا كانت الحالة احتيالاً (هذا دور المحققين)، بل لتحديد كم عامل انحرف عن الخطّ الأساسي.
مثال جيد: «تستلم فاتورة من مورد تعاملتم معه لمدة سنتين. مبلغ الفاتورة أعلى بنسبة 12% من الفواتير السابقة. تعليمات الدفع تشير إلى حساب بنكي مختلف عن المسجل. البريد الإلكتروني جاء من نطاق مختلف قليلاً عن المعتاد. الفاتورة معنونة بـ “عاجل — سداد خلال 48 ساعة”. كم إشارة مخاطرة تستطيع تحديدها؟»
الإجابة الصحيحة أربع: انحراف السعر عن الخطّ التاريخي، تغيير تفاصيل الدفع، اختلاف نطاق البريد الإلكتروني، والإلحاح المصطنع. لا تُثبت أي إشارة منفردة الاحتيال، لكن أربعة إشارات مجتمعة تمثل درجة مخاطرة مركبة تستلزم التحقق قبل الدفع — تماماً كما يتعامل النظام الآلي.
يجب أن تتضمن مكتبة السيناريوهات أمثلة بلا إشارات (معاملات طبيعية تماماً) وأمثلة بإشارة واحدة (تباينات عادية). هذا يعلّم الموظف أن ليس كل انحراف تهديداً ويُعدّل حساسيته لتجنب إرهاق التنبيهات.
الوحدة 3: تمارين التسلسل والوتيرة
تدرّب هذه الوحدة الموظفين على ملاحظة متى تكون العمليات خارج ترتيبها أو عندما يتغير إيقاع النشاط بشكل مفاجئ. عرْض خط زمني للأحداث وطلب تحديد كسور التسلسل أو شذوذات الوتيرة.
لتدريب التسلسل: «راجع هذا التسلسل من الشراء إلى الدفع. وصلت فاتورة ودُفعت في 14 مارس. تم إنشاء أمر الشراء في 16 مارس. وصل تأكيد التسليم في 22 مارس. ما المشكلة في هذا التسلسل؟» الإجابة: دُفعت الفاتورة قبل وجود أمر الشراء وقبل تأكيد التسليم — كسر تسلسلي شائع يدل على فشل في العملية أو نشاط احتيالي.
لتدريب الوتيرة: «مورد كان يفوّت شركتكم فاتورة شهرياً خلال 18 شهراً قدم 3 فواتير خلال أسبوعين. المبالغ متسقة مع الفواتير التاريخية. هل هذا مقلق؟» الإجابة: يجب الاستفسار — الأرقام تبدو طبيعية، لكن الوتيرة مختلفة عن النمط المستقر. قد يكون التغيير مشروعا (تغيير دورة الفوترة، تراكم عمل) أو قد يشير إلى فواتير مكررة. الهدف هو إكساب الموظف رد فعل روتيني بالملاحظة والتحقق، لا استخراج الجواب الحاسم من السيناريو وحده.
الوحدة 4: ممارسة التصعيد المنظم
كشف الشذوذ يكون مفيداً فقط إذا عرف الموظف ماذا يفعل به. تُدرّب هذه الوحدة مهارة التصعيد: كيف يبلغ عن ملاحظة بشكل قابل للتنفيذ.
ينبغي أن يعكس نموذج الإبلاغ كيف يسجل النظام التلقائي التنبيهات: ما الذي لوحظ (الانحراف المحدد عن الخطّ الأساسي)، كم إشارة كانت موجودة (تقييم المخاطرة المركب)، ما خطوات التحقق التي اتُخذت (إن وُجدت)، وما المعلومات الإضافية المطلوبة. هذا الشكل المنظم يمنح المحققين مادة قابلة للعمل فوراً، بدل عبارة غامضة «شعرت أن هناك شيئاً غير طبيعي» التي تتطلب محادثة طويلة لفهم التفاصيل.
يجب أن تتضمن التمارين تقارير عن حالات تبين فيها أن الموظف كان مخطئاً — النشاط كان مشروعاً. هذا يؤصل فكرة أن الإيجابيات الكاذبة متوقعة ومقبولة. في كشف الاحتيال الآلي، تُعد نسبة إيجابيات كاذبة بين 5–10% صحية، لأنها تعني حساسية كافية لصيد الاحتيال الحقيقي. الشيء نفسه ينطبق على الكشف البشري: الموظف الذي يبلغ عن ملاحظة ثم يتبين أنها شرعية يكون قد أدّى دوره بشكل صحيح. يجب أن يكرّس التدريب ذلك صراحةً لمواجهة خوف «من الصياح بالذئب» الذي يكبت البلاغات في كثير من المؤسسات.
لماذا لا تزال قدرة الإنسان على اكتشاف الأنماط مهمة في عصر الذكاء الاصطناعي
تتساءل بعض المنظمات المستثمرة في أنظمة اكتشاف احتيال مؤتمتة لماذا تحتاج لتدريب البشر إذا كان البرنامج يلتقط الشذوذ. الإجابة أن الأنظمة المؤتمتة والبشر المدرّبون يكشفون أشياء مختلفة. يتفوّق الكشف الآلي على التحليل عالي الحجم وغنيّ البيانات: مسح آلاف المعاملات في الثانية، مقارنة الأنماط عبر ملايين السجلات التاريخية، واكتشاف شواذ إحصائية لا يمكن لإنسان معالجتها على هذا النطاق. لكنه ضعيف في السياق، الدقائق، والإشارات الاجتماعية.
لن يلاحظ النظام التلقائي أن جهة اتصال المورد التي كانت تتصل أسبوعياً خلال سنتين قد استبدلت بشخص لا يستطيع الإجابة عن أسئلة أساسية عن تاريخ الحساب. لن يلاحظ أن زميلاً بدأ يعمل ساعات متأخرة بشكل غير اعتيادي وأصبح دفاعياً بشأن مشروعه. ولن يلتقط أن رسالة تصيّد، رغم أنها مصاغة جيداً فنيّاً، تستخدم عبارات لا يستعملها أحد في المنظمة.
هذه مزايا الكشف البشري. هجمات الهندسة الاجتماعية — التي تتجاوز الضوابط التقنية بالاعتماد على ثقة البشر بدلاً من ثغرات النظام — لا يمكن كشفها إلا بالبشر. التهديدات الداخلية التي تستفيد من وصول مشروع لأنظمة شرعية لا تترك شذوذاً تقنياً ليلحظه النظام الآلي. انتحال المورد الذي يستخدم أرقام هواتف صحيحة وتفاصيل حساب سليمة يُحيّر آليات التحقق الآلي.
الأكثر مرونة في الوقاية من الاحتيال هو الجمع بين التقييم الآلي للمخاطر والوعي البشري باكتشاف الأنماط. التكنولوجيا تتعامل مع الحجم، والبشر يتولون السياق. لا يفي أي طرف بمفرده بالغرض.
شارك المعرفة