© 1995-2021 Компания «Инфосистемы Джет»
Аудит функции Fraud Management & Revenue Assurance
Информационная безопасность

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA).

Информационная безопасность Тема номера

Аудит функции Fraud Management & Revenue Assurance

17.03.2010

Посетителей: 412

Просмотров: 390

Время просмотра: 3.2 мин.

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA). Одновременно с этим на рынке консалтинговых услуг различными компаниями предлагается такая услуга как аудит функции FM&RA, которая позволяет провести независимую проверку соответствия FM&RA компании известным требованиям стандартов и лучших практик и выработать рекомендации по устранению выявленных несоответствий.

 

 

В рамках данной статьи мы расскажем, как правильно подойти к процессу аудита FM&RA.

 

Когда необходим аудит FM&RA?

 

Различные виды аудита FM&RA предполагают разные цели и  объемы работ, что влияет на его продолжительность и стоимость. Поэтому, прежде, чем заказывать и проводить аудит FM&RA, оператору связи следует определить: зачем это нужно?

 

Четкое определение целей и задач позволит как достичь требуемого результата, так и сэкономить затраты на аудит, оставив только необходимые активности. В противном случае, оператор получит отчет консалтинговой компании о несоответствии его функции FM&RA какому-либо стандарту и рекомендации по внедрению решений различных вендоров для устранения этого несоответствия. Но, возможно, цели и задачи аудита FM&RA были совсем другими. Например:

Необходимо было выявить причины неэффективной работы существующей функции FM&RA оператора. Вы, как менеджер, видите или подозреваете, что функция FM&RA не решает поставленных ей задач или решает их не достаточно оперативно. Признаки этого – регулярные инциденты, связанные с потерей выручки; проблемы потери выручки быстро не выявляются, а влияют на финансовую отчетность в виде роста дебиторской задолженности либо существенного падения выручки и т.д. В этом случае аудит необходим для выявления как причин неэффективной работы FM&RA (возможно, нужно просто более качественно настроить выгрузку данных из систем оператора или изменить существующие ключевые показатели эффективности), так и проверки покрытия существенных рисков потери выручки текущими контролями (например, этих контролей просто пока нет).

 

Или снизить затраты на FM&RA при сохранении приемлемого уровня оперативности и эффективности контролей. В этом случае необходимо провести аудит бизнес-процессов и текущих контролей FM&RA и определить пути их оптимизации (возможно, часть контролей следует передать в операционные подразделения компании).

 

Возможной причиной аудита может стать поиск скрытых резервов увеличения выручки. Например, выявление определенных видов фрода и потерь выручки, которыми компания пока не занималась, но которые выявлены у других операторов связи, и оценка их влияния на бизнес. Аудит в этом случае будет направлен на выявление этих резервов и создание соответствующих процессов FM&RA.

 

А также обоснование необходимости внедрения автоматизированной системы FM&RA. У оператора по какой-либо причине (опыт у других операторов, рекомендации форумов и т.д.) возникает потребность внедрения системы FM&RA. В данном случае аудит будет строиться как на проверке необходимости внедрения (создания) такой системы или ее отдельных частей (при определенных условиях аналогичный результат может достигаться, например, построением системы контролей на выгрузках данных и их интеграцией в существующую систему отчетности оператора), так и на сравнительном анализе эффективности решений различных производителей.

 

К целям проведения аудита может относиться и определение направлений дальнейшего развития в части FM&RA. Для этого потребуется объективная оценка покрытия существенных рисков потери выручки текущими контролями и определение непокрытых областей, что и будет сделано в рамках аудита FM&RA.

 

Все рассмотренные нами случаи показывают,  насколько важно четко сформулировать цели и задачи аудита, чтобы ваши ожидания от его результатов совпали с полученными сведениями. Только в этом случае средства, затраченные на его проведение, не будут потрачены впустую.

 

Что понимается под услугой аудит FM&RA?

 

«Классический» аудит предполагает независимую проверку соответствия чего-либо (процесса, отчетности и т.д.) известным требованиям (стандартов, нормативных документов и т.д.) и рекомендации по устранению несоответствий. Таким образом, в широком смысле аудит FM&RA можно определить как независимый процесс оценки эффективности функционирования FM&RA или ее отдельных частей и разработки мероприятий по устранению неконтролируемых существенных рисков потери выручки.

 

Чему должен соответствовать эффективный FM&RA? В FM&RA предпринимаются попытки внедрения стандартов (на основе лучших практик). Вспомним такие известные стандарты как TM Forum («TR 131», «GB 941») и GRAPA («The Revenue Assurance Standards»). Одновременно с этим, так как сама функция FM&RA является частью системы внутреннего контроля оператора за выручкой, для нее актуальными являются также и стандарты внутреннего контроля и управления рисками (COSO, FERMA и т.д.).

 

Таким образом, проведение аудита FM&RA должно выявить те несоответствия стандартам и практикам в системе FM&RA, управлении рисками и внутреннем контроле, которые снижают эффективность функции и не позволяют контролировать все существенные риски потери выручки. Например, в результате аудита FM&RA у оператора связи может быть обнаружено отсутствие регулярного контроля за полнотой формирования записей о совершенных вызовах (далее, xDR) на уровне коммутационного оборудования. Тогда, в результате сбоя или ошибок настроек и не формирования xDR, тарификация вызовов производиться не будет. Оператор данную ошибку сможет обнаружить только после существенного роста бесплатного трафика (более 10-15% от всего трафика). В финансовой отчетности это отразится в виде отсутствия роста или падения выручки компании (если это падение не компенсируется ростом выручки по другим коммутаторам).

 

Каковы основные различия у компаний, предлагающих услугу аудит FM&RA?

 

Как правило, если вы диагностировали признаки проблемы (ответили на вопрос – зачем нужен аудит FM&RA), то дальнейшее ее решение собственными силами организации может быть достаточно сложным в силу:

 

  • отсутствия достаточных компетенций в проведении аудита FM&RA;
  • необходимости дополнительных затрат (трудовые ресурсы, программно-аппаратные доработки, консультации экспертов и т.д.);
  • ограниченности времени на решение проблемы (например, если проблема затрагивает выручку компании, то чем дольше будет длиться ее решение, тем больше выручки компания недополучит/потеряет).

 

Поэтому для более эффективного достижения необходимого результата возможно привлечение консалтинговой компании.

 

Согласно исследованиям всемирной Ассоциации по борьбе с мошенничеством в телекоммуникациях (Communications Fraud Control Association, CFCA), в 2005 году потери отрасли электросвязи от этого вида преступлений составили $54,4660 млрд. За три года эта цифра выросла на 52% и составила около $90 млрд. Эксперты Ассоциации указывают, что в 2007 году убытки от мошенничества составляли 5% совокупного оборота всех операторов мира. Пару лет назад значение данного показателя было вдвое меньшим. В российских компаниях связи, по мнению некоторых аналитиков, потери от мошенничества достигают 10% операционной выручки. Однако в лидеры мы все же не попали. По данным CFCA, максимальный размах мошенничество приобрело в Пакистане, на Филиппинах, Кубе, в Индии и Бангладеш. Ассоциация опросила операторов связи в разных регионах и получила удручающие результаты: 85% респондентов заявили, что их потери от мошенничества увеличились или остались на прежнем уровне. Почти половина (47,3%) глобальных потерь от этих преступных действий обусловлена махинациями в момент идентификации пользователей.

 

«Классическая» схема аудита, применяемая большинством консалтинговых компаний, включает следующие основные этапы:

 

  1. Подготовительный. Сбор и анализ информации о существующей функции FM&RA оператора, ее целях и задачах, месте и роли в организации, стратегии развития, используемых методиках и ключевых показателях эффективности. Кроме этого необходимо изучить потоки выручки, генерируемые компанией, и ИТ-решения, применяемые для этого и т.д.
  2. Планирование аудита. После анализа полученной на предыдущем этапе информации и с учетом целей и задач предстоящего анализа составляется план и детальная программа аудита FM&RA (выбираются его целевые области и направления).
  3. Проведение аудита. Проводится анализ и оценка отобранных на предыдущем этапе областей рисков, а также существующих контролей. Общие для различных видов аудита методики включают:
    • выборочные тесты (например, проверка того, что предупреждения, которые создаются в контрольной системе, кто-то отрабатывает);
    • опросы и наблюдения;
    • «чек-листы» (проверка наличия/отсутствия у оператора того, что написано в стандарте. Например, наличие документально оформленных процедур контроля).
  4. Завершение и оформление результатов аудита.

 

Но, несмотря на общие положения, тем не менее,  услуги аудита FM&RA существенно отличаются у различных консалтинговых компаний.

 

Консалтеры могут отличаться имеющимися компетенциями в FM&RA. Специалисты компании либо имеют практический опыт длительной работы в подразделениях FM&RA операторов связи, либо используют только рекомендации различных стандартов.

 

Различия также могут лежать в сфере используемых методик. Некоторые консалтинговые компании помимо общих могут применять и специальные методы, «заточенные» под определенные виды фрода и потерь доходов, которые не выявляются другими методами аудита.

 

Так, например,  компания «Инфосистемы Джет» использует в своих проектах следующие специальные методы, которые основаны на опыте реализованных проектов, лучших практиках и стандартах аудита FM&RA (например, TM Forum, COSO, FERMA):

 

  1. выгрузка и сверка данных по собственным алгоритмам из различных систем оператора;
  2. прямые тесты систем оператора – совершение тестовых вызовов для определения реальных маршрутов терминации, потерь записей о вызовах и корректности тарификации;
  3. тесты на проникновение (или «пентесты») – дружественные попытки взлома офисных АТС (или PBX) клиентов фиксированного оператора связи для определения незащищенного выхода на телефонную сеть общего пользования.

 

Таким образом, вы можете получить полную картину происходящего, включая те сведения, которые невозможно выявить с помощью стандартных методик проведения аудита.

 

И, конечно же, консалтинговые копании отличает друг друга опыт реальных проектов в FM&RA.

 

В основе методики компании «Инфосистемы Джет» для обнаружения некорректной терминации трафика лежит следующий способ тестирования: осуществление большого количества тестовых звонков из различных точек России, СНГ и дальнего зарубежья, совершаемых как с сетей
фиксированной и мобильной телефонии, так и через VoIP-провайдеров. По завершении тестирования эксперты компании собирают и при помощи специализированного программного продукта анализируют протоколы состоявшихся тестовых соединений.

 

В результате формируется детальный отчет о маршруте каждого тестового звонка. Это позволяет выявить точки некорректной терминации, через которые на сеть направлялись существенные объемы входящих МН/МГ-вызовов под видом местных звонков, что является нарушением порядка пропуска трафика, регламентированного условиями действующих договоров о присоединении.

 

Подводя итог, отметим, что рассмотренные в данной статье вопросы к проведению аудита FM&RA направлены на то, чтобы компании, принявшие решение о проведении такого проекта,  смогли наиболее правильно и четко определить цели и задачи аудита, грамотно подойти к выбору консалтинговой компании, обладающей лучшим набором характеристик, необходимых для качественного выполнения задания. Все эти факторы призваны помочь оператору связи с наименьшими для себя потерями и наиболее эффективно реализовать проект аудита FM&RA.

Уведомления об обновлении тем – в вашей почте

Внедрение антифрод-решения – взгляд менеджера проекта

Любой проект сопряжен с рисками, с этим вряд ли кто-то поспорит. И так же мало разногласий возникнет относительно того, что с рисками надо работать для минимизации их влияния на ход и результат проекта.

Социальные сети на службе у мошенников

Банки фиксируют всплеск активности мошенников, использующих методы социальной инженерии для обмана клиентов банков.

Защита систем дистанционного банковского обслуживания на базе решения Oracle Adaptive Access Manager

Информатизация практически всех банковских услуг и консолидация управления счетами в одном бизнес-приложении, доступ к которому осуществляется через интернет, определили рост объемов операций, совершаемых через сервисы удаленного обслуживания. При этом критичным фактором защищенности операций ДБО стал показатель безопасности среды выполнения платежных транзакций.

Воровство SIM-карт ради мошенничества?

Не так давно эксперты стали отмечать участившиеся случаи мошенничества, основанного на замене злоумышленниками sim-карт реальных абонентов по поддельным документам для получения доступа к интернет-банкингу.

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Гарантирование доходов и противодействие мошенничеству в телекоммуникационных компаниях

В лексиконе крупных компаний, занимающихся розничной продажей товаров народного потребления, существует такое понятие как «shrinkage», (пер. с англ. – «сокращение, усушка, уварка»). Это термин означает потерю части товара (а значит, и потенциальной выручки) в результате его порчи, утери, воровства и т. п.

Математика на службе у антифрода

Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы

Не тушите пожар пирогами

За последние 10 лет произошли существенные изменения в технологиях защиты банковских счетов и карт наших сограждан

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня