Аудит функции Fraud Management & Revenue Assurance
Информационная безопасность Информационная безопасность

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA).

Главная>Информационная безопасность>Аудит функции Fraud Management & Revenue Assurance
Информационная безопасность Тема номера

Аудит функции Fraud Management & Revenue Assurance

Дата публикации:
17.03.2010
Посетителей:
1132
Просмотров:
1146
Время просмотра:
2.3

Авторы

Автор
Дмитрий Фефелов В прошлом — руководитель направления гарантирования доходов в ТЭК компании «Инфосистемы Джет»
На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA). Одновременно с этим на рынке консалтинговых услуг различными компаниями предлагается такая услуга как аудит функции FM&RA, которая позволяет провести независимую проверку соответствия FM&RA компании известным требованиям стандартов и лучших практик и выработать рекомендации по устранению выявленных несоответствий.

 

 

В рамках данной статьи мы расскажем, как правильно подойти к процессу аудита FM&RA.

 

Когда необходим аудит FM&RA?

 

Различные виды аудита FM&RA предполагают разные цели и  объемы работ, что влияет на его продолжительность и стоимость. Поэтому, прежде, чем заказывать и проводить аудит FM&RA, оператору связи следует определить: зачем это нужно?

 

Четкое определение целей и задач позволит как достичь требуемого результата, так и сэкономить затраты на аудит, оставив только необходимые активности. В противном случае, оператор получит отчет консалтинговой компании о несоответствии его функции FM&RA какому-либо стандарту и рекомендации по внедрению решений различных вендоров для устранения этого несоответствия. Но, возможно, цели и задачи аудита FM&RA были совсем другими. Например:

Необходимо было выявить причины неэффективной работы существующей функции FM&RA оператора. Вы, как менеджер, видите или подозреваете, что функция FM&RA не решает поставленных ей задач или решает их не достаточно оперативно. Признаки этого – регулярные инциденты, связанные с потерей выручки; проблемы потери выручки быстро не выявляются, а влияют на финансовую отчетность в виде роста дебиторской задолженности либо существенного падения выручки и т.д. В этом случае аудит необходим для выявления как причин неэффективной работы FM&RA (возможно, нужно просто более качественно настроить выгрузку данных из систем оператора или изменить существующие ключевые показатели эффективности), так и проверки покрытия существенных рисков потери выручки текущими контролями (например, этих контролей просто пока нет).

 

Или снизить затраты на FM&RA при сохранении приемлемого уровня оперативности и эффективности контролей. В этом случае необходимо провести аудит бизнес-процессов и текущих контролей FM&RA и определить пути их оптимизации (возможно, часть контролей следует передать в операционные подразделения компании).

 

Возможной причиной аудита может стать поиск скрытых резервов увеличения выручки. Например, выявление определенных видов фрода и потерь выручки, которыми компания пока не занималась, но которые выявлены у других операторов связи, и оценка их влияния на бизнес. Аудит в этом случае будет направлен на выявление этих резервов и создание соответствующих процессов FM&RA.

 

А также обоснование необходимости внедрения автоматизированной системы FM&RA. У оператора по какой-либо причине (опыт у других операторов, рекомендации форумов и т.д.) возникает потребность внедрения системы FM&RA. В данном случае аудит будет строиться как на проверке необходимости внедрения (создания) такой системы или ее отдельных частей (при определенных условиях аналогичный результат может достигаться, например, построением системы контролей на выгрузках данных и их интеграцией в существующую систему отчетности оператора), так и на сравнительном анализе эффективности решений различных производителей.

 

К целям проведения аудита может относиться и определение направлений дальнейшего развития в части FM&RA. Для этого потребуется объективная оценка покрытия существенных рисков потери выручки текущими контролями и определение непокрытых областей, что и будет сделано в рамках аудита FM&RA.

 

Все рассмотренные нами случаи показывают,  насколько важно четко сформулировать цели и задачи аудита, чтобы ваши ожидания от его результатов совпали с полученными сведениями. Только в этом случае средства, затраченные на его проведение, не будут потрачены впустую.

 

Что понимается под услугой аудит FM&RA?

 

«Классический» аудит предполагает независимую проверку соответствия чего-либо (процесса, отчетности и т.д.) известным требованиям (стандартов, нормативных документов и т.д.) и рекомендации по устранению несоответствий. Таким образом, в широком смысле аудит FM&RA можно определить как независимый процесс оценки эффективности функционирования FM&RA или ее отдельных частей и разработки мероприятий по устранению неконтролируемых существенных рисков потери выручки.

 

Чему должен соответствовать эффективный FM&RA? В FM&RA предпринимаются попытки внедрения стандартов (на основе лучших практик). Вспомним такие известные стандарты как TM Forum («TR 131», «GB 941») и GRAPA («The Revenue Assurance Standards»). Одновременно с этим, так как сама функция FM&RA является частью системы внутреннего контроля оператора за выручкой, для нее актуальными являются также и стандарты внутреннего контроля и управления рисками (COSO, FERMA и т.д.).

 

Таким образом, проведение аудита FM&RA должно выявить те несоответствия стандартам и практикам в системе FM&RA, управлении рисками и внутреннем контроле, которые снижают эффективность функции и не позволяют контролировать все существенные риски потери выручки. Например, в результате аудита FM&RA у оператора связи может быть обнаружено отсутствие регулярного контроля за полнотой формирования записей о совершенных вызовах (далее, xDR) на уровне коммутационного оборудования. Тогда, в результате сбоя или ошибок настроек и не формирования xDR, тарификация вызовов производиться не будет. Оператор данную ошибку сможет обнаружить только после существенного роста бесплатного трафика (более 10-15% от всего трафика). В финансовой отчетности это отразится в виде отсутствия роста или падения выручки компании (если это падение не компенсируется ростом выручки по другим коммутаторам).

 

Каковы основные различия у компаний, предлагающих услугу аудит FM&RA?

 

Как правило, если вы диагностировали признаки проблемы (ответили на вопрос – зачем нужен аудит FM&RA), то дальнейшее ее решение собственными силами организации может быть достаточно сложным в силу:

 

  • отсутствия достаточных компетенций в проведении аудита FM&RA;
  • необходимости дополнительных затрат (трудовые ресурсы, программно-аппаратные доработки, консультации экспертов и т.д.);
  • ограниченности времени на решение проблемы (например, если проблема затрагивает выручку компании, то чем дольше будет длиться ее решение, тем больше выручки компания недополучит/потеряет).

 

Поэтому для более эффективного достижения необходимого результата возможно привлечение консалтинговой компании.

 

Согласно исследованиям всемирной Ассоциации по борьбе с мошенничеством в телекоммуникациях (Communications Fraud Control Association, CFCA), в 2005 году потери отрасли электросвязи от этого вида преступлений составили $54,4660 млрд. За три года эта цифра выросла на 52% и составила около $90 млрд. Эксперты Ассоциации указывают, что в 2007 году убытки от мошенничества составляли 5% совокупного оборота всех операторов мира. Пару лет назад значение данного показателя было вдвое меньшим. В российских компаниях связи, по мнению некоторых аналитиков, потери от мошенничества достигают 10% операционной выручки. Однако в лидеры мы все же не попали. По данным CFCA, максимальный размах мошенничество приобрело в Пакистане, на Филиппинах, Кубе, в Индии и Бангладеш. Ассоциация опросила операторов связи в разных регионах и получила удручающие результаты: 85% респондентов заявили, что их потери от мошенничества увеличились или остались на прежнем уровне. Почти половина (47,3%) глобальных потерь от этих преступных действий обусловлена махинациями в момент идентификации пользователей.

 

«Классическая» схема аудита, применяемая большинством консалтинговых компаний, включает следующие основные этапы:

 

  1. Подготовительный. Сбор и анализ информации о существующей функции FM&RA оператора, ее целях и задачах, месте и роли в организации, стратегии развития, используемых методиках и ключевых показателях эффективности. Кроме этого необходимо изучить потоки выручки, генерируемые компанией, и ИТ-решения, применяемые для этого и т.д.
  2. Планирование аудита. После анализа полученной на предыдущем этапе информации и с учетом целей и задач предстоящего анализа составляется план и детальная программа аудита FM&RA (выбираются его целевые области и направления).
  3. Проведение аудита. Проводится анализ и оценка отобранных на предыдущем этапе областей рисков, а также существующих контролей. Общие для различных видов аудита методики включают:
    • выборочные тесты (например, проверка того, что предупреждения, которые создаются в контрольной системе, кто-то отрабатывает);
    • опросы и наблюдения;
    • «чек-листы» (проверка наличия/отсутствия у оператора того, что написано в стандарте. Например, наличие документально оформленных процедур контроля).
  4. Завершение и оформление результатов аудита.

 

Но, несмотря на общие положения, тем не менее,  услуги аудита FM&RA существенно отличаются у различных консалтинговых компаний.

 

Консалтеры могут отличаться имеющимися компетенциями в FM&RA. Специалисты компании либо имеют практический опыт длительной работы в подразделениях FM&RA операторов связи, либо используют только рекомендации различных стандартов.

 

Различия также могут лежать в сфере используемых методик. Некоторые консалтинговые компании помимо общих могут применять и специальные методы, «заточенные» под определенные виды фрода и потерь доходов, которые не выявляются другими методами аудита.

 

Так, например,  компания «Инфосистемы Джет» использует в своих проектах следующие специальные методы, которые основаны на опыте реализованных проектов, лучших практиках и стандартах аудита FM&RA (например, TM Forum, COSO, FERMA):

 

  1. выгрузка и сверка данных по собственным алгоритмам из различных систем оператора;
  2. прямые тесты систем оператора – совершение тестовых вызовов для определения реальных маршрутов терминации, потерь записей о вызовах и корректности тарификации;
  3. тесты на проникновение (или «пентесты») – дружественные попытки взлома офисных АТС (или PBX) клиентов фиксированного оператора связи для определения незащищенного выхода на телефонную сеть общего пользования.

 

Таким образом, вы можете получить полную картину происходящего, включая те сведения, которые невозможно выявить с помощью стандартных методик проведения аудита.

 

И, конечно же, консалтинговые копании отличает друг друга опыт реальных проектов в FM&RA.

 

В основе методики компании «Инфосистемы Джет» для обнаружения некорректной терминации трафика лежит следующий способ тестирования: осуществление большого количества тестовых звонков из различных точек России, СНГ и дальнего зарубежья, совершаемых как с сетей
фиксированной и мобильной телефонии, так и через VoIP-провайдеров. По завершении тестирования эксперты компании собирают и при помощи специализированного программного продукта анализируют протоколы состоявшихся тестовых соединений.

 

В результате формируется детальный отчет о маршруте каждого тестового звонка. Это позволяет выявить точки некорректной терминации, через которые на сеть направлялись существенные объемы входящих МН/МГ-вызовов под видом местных звонков, что является нарушением порядка пропуска трафика, регламентированного условиями действующих договоров о присоединении.

 

Подводя итог, отметим, что рассмотренные в данной статье вопросы к проведению аудита FM&RA направлены на то, чтобы компании, принявшие решение о проведении такого проекта,  смогли наиболее правильно и четко определить цели и задачи аудита, грамотно подойти к выбору консалтинговой компании, обладающей лучшим набором характеристик, необходимых для качественного выполнения задания. Все эти факторы призваны помочь оператору связи с наименьшими для себя потерями и наиболее эффективно реализовать проект аудита FM&RA.

Уведомления об обновлении тем – в вашей почте

«Золотое дно» микроплатежей

Злоумышленники вокруг нас! Заходишь в интернет и рано или поздно попадаешь на сайт, видишь баннер или просто очередной пост на каком-нибудь форуме со ссылкой на сомнительное предложение.

Компания «Инфосистемы Джет» оценила годовые потери российского бизнеса от мошенничества

Компания «Инфосистемы Джет» подготовила экспертную оценку годовых потерь от мошенничества для трех сфер отечественного бизнеса – телеком-операторов, кредитно-финансовых и ритейловых компаний. Расчеты выполнены в рублях с распределением по ключевым категориям рисков и позволяют сравнить показатели 2014–15 гг.

Математика на службе у антифрода

Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы

Защита ДБО от мошенничества на уровне бизнес-процессов

Наш опыт показывает, что противодействие мошенничеству в рамках дистанционного банковского обслуживания (ДБО), внедрение дополнительных и совершенствование существующих традиционных механизмов защиты не приводят к снижению рисков мошенничества до приемлемого уровня.

Особенности внедрения и использования антифрод-систем в ритейле

Для борьбы с потерями большинство ритейл-компаний применяют исторически хорошо зарекомендовавшие себя традиционные методы: инвентаризации, видеонаблюдение, контрольные закупки/поставки, выборочные сверки отчетности, выборочный аудит транзакций и т.п.

Информационная безопасность 2021 глазами участников Positive Hack Days

Какие отрасли бизнеса сегодня подвергаются атакам чаще всего? Почему злоумышленники предпочитают шантаж, а не классические киберограбления? Чем фреймворк «Аэропорт» эффективнее традиционного подхода к ИБ? Что ждет сферу ИБ в ближайшие годы?

Личные кабинеты уже не личные? О предотвращении угона данных, баллов и денег

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники.

Антифрод-команда и мошенники разыгрывают классический «киношный» сюжет

В остросюжетном кино популярна ситуация, когда преступная группировка и служба безопасности крупного предприятия или банка одновременно продумывают, каждая со своей стороны, способы ограбления и защиты материально-финансовых ресурсов этой организации. И это соревнование идет на всем протяжении фильма.

Рабочая лошадка современного антифрода

Банк, 2016 год. Облачные технологии стали популярны 5 лет назад, распределенные вычисления – 7, а облачный антифрод, стартовавший на тех же временных рубежах, только сейчас выходит на уровень реально работающих решений для защиты ресурсов и технологий от атак третьих лиц.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня