保护公共资金 ： 打击政府欺诈

麦肯锡直接保护公共资金 ： 打击政府 欺诈 打击针对联邦政府的欺诈行为是一项价值数百亿美元的机会。各机构、立法机关和公众可以携手收回部分资金。 作者 ： Eric Schweikert ， Ishanaa Rambachan 和 Tim Natriello 机构逐一打击欺诈。大多数机构将欺诈视为一项项单独调查的问题，并且理想情况下会导致有人入狱。这种做法耗时且需要证明欺诈者的意图；此外，监察长办公室只能每年处理一定数量的案件。例如，美国退伍军人事务部监察长调查局在2023年仅完成了略多于100起刑事调查的定罪或赔偿。4私营部门参与者采取更为概率性的方法，并“利用机会”来阻止每年数百万吨潜在欺诈行为。此外，他们将举证责任放在客户身上，要求客户验证交易。这意味着有时他们在停止交易并要求客户电话或短信确认时会出现错误；私营部门金融机构报告的误报率在40%到90%之间。相比之下，政府机构更可能采取“先行支付并追查”的策略，缺乏处理概率性停止（在这种情况下可能会出错）的心态和机制，以方便公民验证交易。然而，当欺诈者使用被盗身份时，“追查”并不是一个有效的策略，因为与真实受益人进行的第一方欺诈相比，很难确定究竟是谁实施了欺诈行为。 美国政府问责办公室(GAO) 最近的一份报告1评估联邦政府每年因欺诈造成的损失在2330亿美元至5210亿美元之间，即联邦义务的3%至7%。对于遭受集中欺诈攻击的项目——如税收退款和疫情期间的失业保险计划——在采取有效反制措施之前，损失率可能轻松达到两位数百分比。将这一数字放在更广泛的背景下，如果能够解决这些欺诈损失，节省的资金可能足以消除年度社会保障赤字，并为国土安全部和商务部提供资金，同时还有足够的资金几乎完全资助美国农业部管理的所有食品援助项目。2 欺诈风险在私营部门和政府机构中日益增长。部分原因是欺诈分子变得越来越 sophisticated，这源于他们与银行业务领域的持续“军备竞赛”。例如，在疫情期间，国内和海外的欺诈团伙针对州失业保险（UI）机构，使用“完美”的被盗身份信息（“fullz”）并招募当地欺诈分子提交虚假索赔。由于这种身份盗用，某些州的失业保险索赔数量超过了劳动力规模。3 有能力差距。总体而言，欺诈者极其聪明，因此有效检测欺诈需要创新和人工智能能力。政府机构在招聘、培训、装备和留住AI人才方面面临挑战，往往缺乏必要的数据采集或数据管道。例如，关键的欺诈检测数据包括欺诈者的在线会话细节（如IP地址、计算机语言、时区和操作系统）。为了有效实施，这些数据必须与支付请求实时结合，这超出了许多机构的数据处理能力。最后，欺诈模式持续变化，因此良好的检测方法和模型在几个月内就会过时，需要频繁（通常每周）进行性能测量和审查，保持高度警惕的心态，并不断更新检测方法——而这通常不是大多数机构运营的方式。 这篇文章探讨了为什么欺诈在联邦政府中仍然是一个持久的挑战，有效的反欺诈努力是什么样的，以及如何使各机构、立法机关和公众能够共同努力实施这些措施。 为什么政府机构很难打击欺诈 欺诈仍然是政府面临的主要挑战，尽管经过数十年的努力来打击欺诈、浪费和滥用，甚至在私营部门发展了 sophisticated 的反欺诈方法的背景下也是如此。原因有以下几点： 许多机构担心尴尬。much政府欺诈行为往往未被发现。这意味着，在没有集中开展反欺诈工作的前提下，很难“证明”一个机构表现不佳。而如果确实开展了这样的集中努力，注意力通常会集中在多年来未被发现的损失上，即使该机构通过努力减少了这些损失。此外，整个努力将对机构的预算造成负担——因此，理性的机构负责人可能会选择让这个问题“睡过去”。 长期以来，一直致力于打击欺诈。银行利用复杂的综合数据分析方法，结合多种异质数据源，对交易进行风险评估，然后采用概率性的“验证或不支付”的方法，要求客户确认其身份（例如一次性密码、生物识别或照片识别）或联系银行以获得交易批准（通常通过专用的应用程序）。 政府部分领域，尤其是美国国税局（IRS）和医疗保险与医疗补助服务中心（CMS），已经掌握了银行长期以来所理解的关键原则（详见侧栏“国家州级劳动力机构协会如何大规模共享信息”）。然而，实施一套类似银行的欺诈防御措施将需要公民与政府之间关系的转变：这种广泛的数据收集和使用，以及偶尔需要联系相关机构以释放支付的需求，并非公民通常对政府的认知体验。因此，这需要精心的设计、实施、变更管理以及有效的沟通策略。 打击欺诈不是自筹资金。对于银行而言，投资反欺诈防御是自我资助的：用于反欺诈防护的资金可以通过减少欺诈损失来证明其合理性并获得资金支持，从而增加净盈利。相比之下，大多数政府机构必须通过运营支出来资助反欺诈努力，即使在福利发放欺诈减少时也未必能收回这些资金；也就是说，两种资金来源通常是法定上不同的，无法相互抵消。因此，即使是具有极高投资回报率（ROI）的反欺诈努力也可能难以获得资金支持，因为要么机构领导层需要优先考虑为反欺诈防御提供运营资金，牺牲其他机构使命优先事项，要么机构的运营支出拨款需要增加，而这需要得到国会的批准。 政府虽然不能一夜之间采纳银行的做法，但可以采取措施在打击欺诈的斗争中取得进展。这将需要各利益相关方协调行动。 政府机构 如何共同努力打击欺诈 政府机构在打击欺诈方面有若干机会（参见附录“IRS如何打击欺诈并节省数十亿美元”）。 打击欺诈似乎没有希望 ， 但一种模式已经存在 ， 因为银行业 国家劳动力机构协会如何大规模共享信息 由于各州失业保险（UI）机构在疫情期间深度暴露于欺诈问题，它们必须迅速学会如何共享数据并防范欺诈。关键的角色之一是由国家劳动力机构协会（NASWA）扮演的。从失业保险机构之间的临时讨论和支持小组开始，NASWA建立了 一个全面的UI完整性中心，协调各州的反欺诈努力。特别是，NASWA通过其完整性数据 hub促进各州之间的数据和方案共享。1这项服务通过汇集诸如欺诈模式、同时在多个州领取福利的UI受益人以及可疑银行账户列表等信息，帮助防止了大约50亿美元的欺诈行为。 并且包括电子邮件账户，以及身份验证和银行账户验证工具的集中访问权限。这提高了个人防欺诈努力的有效性，帮助机构避免“重复造轮子”，并防止欺诈分子在同一骗局上针对不同的机构反复作案。 美国国税局如何打击欺诈并节省数十亿美元 尽管整体标题很大 运行检测模型的系统。鉴于机构对困扰假阳性纳税人的问题有所顾虑，该机构仔细监控了该项目，包括精心收集关于欺诈选择和身份验证的数据，并在申报季期间每周举办一次数据驱动的高级问题解决会。 了解美国国税局领导层的优先事项 ，并评估分析可以增加价值的地方。2 政府欺诈损失方面，一些机构在相对较短的时间内取得了显著进展，加强了反欺诈防御措施，采用了本文中提到的许多最佳实践行动。 偏向行动。数据分析团队牵头开展了一项全面的努力，以识别和解决身份盗窃问题。该努力包括创新的人工智能欺诈检测模型、在提交过程中进行干预以防止可疑退款的发放、创建身份保护个人识别码（PIN）来保护受害者，以及为被错误选中（“假阳性”）的实际纳税人修订并简化身份验证程序。该计划要求数据分析部门、负责处理税务申报的业务部门、信息技术部门以及客户服务中心之间的密切合作。 税务局在2010年初遭遇了大规模的身份盗用退税欺诈。邮政检查人员发现了成千上万张含有虚假退税的预付费卡，而税务局每年收到的虚假税务申报数量达到五百万份。1 一个重要的组成部分是通过推断来尝试衡量未被察觉的欺诈。没有未被察觉欺诈的估计值，就难以确定欺诈率上升是否反映了尝试次数中欺诈比例的增加或减少（无论是胜出还是失利）。这项测量显示该计划取得了巨大成功。从2013年到2014年，IRS的欺诈预防努力将欺诈分子的成功率从尝试次数的19%降低到了12%（见图表）。最终，这些努力减少了欺诈尝试次数，并使欺诈损失减少了270亿美元——即减少了近一半（年同比）。3 执行承诺以及技能和工具。为应对这一挑战，2011年，IRS领导层建立了直接向主管局长报告的分析卓越中心，并为其分配了专门的预算。随后，IRS聘请了具有领导应用分析项目经验的分析专家。分析团队列席主管局长和副主管局长每周的工作人员会议， 更好的数据捕获。税务局已有用于研究目的的数据集市。但一旦建立了模型，它就需要一个更好的系统来交付这些数据。 Web <2024> Exhibit< MCK240551 打击欺诈 > < 1 > 的附件 < 1 > 国税局的欺诈预防措施将欺诈者的成功率降低了七个百分点。 国税局在身份盗窃方面的表现 ，% 麦肯锡公司 执行承诺。高层机构的承诺是克服资金、心态、能力和政治障碍的关键，这是不可或缺的。这种承诺可以体现在由机构高层（如秘书长或主任）直接向专门反欺诈团队汇报的工作模式上，这将使团队能够获得必要的资源和支持，与运营单位合作实施所需的过程和心态转变。承诺至关重要，因为这项努力需要持续多年的真金白银；初期打击欺诈的努力可能取得高达50:1的投资回报率，即使在这种（不可持续的）投资回报率下，阻止每10亿美元的欺诈也需要花费2亿美元，而总的欺诈损失则达到数百亿美元。因此，机构及其领导人可能需要在出现负面媒体报道时，为具体错误判断的情况辩护并坚持下去。 可以在不确定情况下进行部署。与完全冻结账户不同，银行正在寻找方法通过增加额外的检查和控制来“增加摩擦”（例如，要求在证件验证时提交自拍照或要求电话确认），以在防止欺诈的同时为可能错误干预创造空间。 更好的数据捕获和机构内的共享。欺诈检测可以通过改进建模来提升，但最大的收 益来自于新增数据，例如增加欺诈者在线会话的详细信息。机构可以考虑扩展数据捕获范围、构建数据融合结构，并建立数据管道以及时将数据传递给检测模型。 立法机关和管理和预算办公室 国会可以探索两项打击欺诈的行动。 技能和工具。机构可以考虑聘请或外包一批AI工作人员（数据科学家和数据工程师）以及欺诈专家，并投资于数据访问和管道、数据融合、授权时间检测、欺诈预防和客户验证的系统。随后，分析团队可以与机构运营部门合作，设计有效的欺诈检测和干预及客户验证流程——只有在确定可行的干预措施后，再回溯到最有助于实现这些干预措施的建模方法。建立一个欺诈卓越中心（COE）是一种起步方式——或者鉴于机构在吸引和留住专门人才方面面临的困难，这个欺诈COE可以设置为共享服务中心，供多个机构使用。 反欺诈筹资机制。国会有考虑改革预算授权的可能性，允许机构将通过欺诈预防节省的部分资金重新用于那些努力所需的运营支出。这样做可能增加机构合理投入资源以抵御欺诈的机会。 跨机构的信息共享。像机构内部的数据共享一样，跨机构的数据共享可以在检测欺诈方面发挥作用。虽然财政部财政服务局的“不予支付”服务是一个跨机构数据共享的例子，但跨机构的数据共享通常受到难以管理的点对点数据共享协议以及《计算机匹配和隐私保护法》的制约。一个由相关机构访问且由简化或统一的隐私和披露结构管理的中央数据仓库，可以帮助实现有效防欺诈所需的数据融合。由于试图利用一个机构的欺诈者往往会尝试在其他机构使用相同的手段，因此数据共享可以扩展到跨机构层面。 不确定下的行动偏向。在接受一定程度的付款人负担而绝对确定欺诈并未发生之间表示舒适的态度，代表了一种重大的思维转变。机构可以考虑勤勉且频繁地衡量反欺诈措施的有效性，以确立其益处，并实施简单的客户验证步骤以减少“假阳性”的“成本”。私营部门的银行正在积极扩展他们可采取的干预措施菜单。 机构即使在缺乏上述待办事项列表中一些较为困难的支持因素（如资金改革）的情况下也能取得进展，IRS的例子证明了这一点。但是，自下而上的反欺诈努力很可能仅限于漂亮的示范案例，因为面临诸多阻力。因此，旅程的起点应该是高层级对持续努力的承诺。一些机构发现，通过将当前的反欺诈流程与最佳实践进行诊断性审查，并估算未被发现的欺诈金额，来巩固这种承诺是有帮助的。 分享已知的欺诈模式 ， “不良 ” 银行账户的负面清单等等。