Аудит функции Fraud Management & Revenue Assurance
Информационная безопасность Информационная безопасность

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA).

Главная>Информационная безопасность>Аудит функции Fraud Management & Revenue Assurance
Информационная безопасность Тема номера

Аудит функции Fraud Management & Revenue Assurance

Дата публикации:
17.03.2010
Посетителей:
1108
Просмотров:
1125
Время просмотра:
2.3

Авторы

Автор
Дмитрий Фефелов В прошлом — руководитель направления гарантирования доходов в ТЭК компании «Инфосистемы Джет»
На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA). Одновременно с этим на рынке консалтинговых услуг различными компаниями предлагается такая услуга как аудит функции FM&RA, которая позволяет провести независимую проверку соответствия FM&RA компании известным требованиям стандартов и лучших практик и выработать рекомендации по устранению выявленных несоответствий.

 

 

В рамках данной статьи мы расскажем, как правильно подойти к процессу аудита FM&RA.

 

Когда необходим аудит FM&RA?

 

Различные виды аудита FM&RA предполагают разные цели и  объемы работ, что влияет на его продолжительность и стоимость. Поэтому, прежде, чем заказывать и проводить аудит FM&RA, оператору связи следует определить: зачем это нужно?

 

Четкое определение целей и задач позволит как достичь требуемого результата, так и сэкономить затраты на аудит, оставив только необходимые активности. В противном случае, оператор получит отчет консалтинговой компании о несоответствии его функции FM&RA какому-либо стандарту и рекомендации по внедрению решений различных вендоров для устранения этого несоответствия. Но, возможно, цели и задачи аудита FM&RA были совсем другими. Например:

Необходимо было выявить причины неэффективной работы существующей функции FM&RA оператора. Вы, как менеджер, видите или подозреваете, что функция FM&RA не решает поставленных ей задач или решает их не достаточно оперативно. Признаки этого – регулярные инциденты, связанные с потерей выручки; проблемы потери выручки быстро не выявляются, а влияют на финансовую отчетность в виде роста дебиторской задолженности либо существенного падения выручки и т.д. В этом случае аудит необходим для выявления как причин неэффективной работы FM&RA (возможно, нужно просто более качественно настроить выгрузку данных из систем оператора или изменить существующие ключевые показатели эффективности), так и проверки покрытия существенных рисков потери выручки текущими контролями (например, этих контролей просто пока нет).

 

Или снизить затраты на FM&RA при сохранении приемлемого уровня оперативности и эффективности контролей. В этом случае необходимо провести аудит бизнес-процессов и текущих контролей FM&RA и определить пути их оптимизации (возможно, часть контролей следует передать в операционные подразделения компании).

 

Возможной причиной аудита может стать поиск скрытых резервов увеличения выручки. Например, выявление определенных видов фрода и потерь выручки, которыми компания пока не занималась, но которые выявлены у других операторов связи, и оценка их влияния на бизнес. Аудит в этом случае будет направлен на выявление этих резервов и создание соответствующих процессов FM&RA.

 

А также обоснование необходимости внедрения автоматизированной системы FM&RA. У оператора по какой-либо причине (опыт у других операторов, рекомендации форумов и т.д.) возникает потребность внедрения системы FM&RA. В данном случае аудит будет строиться как на проверке необходимости внедрения (создания) такой системы или ее отдельных частей (при определенных условиях аналогичный результат может достигаться, например, построением системы контролей на выгрузках данных и их интеграцией в существующую систему отчетности оператора), так и на сравнительном анализе эффективности решений различных производителей.

 

К целям проведения аудита может относиться и определение направлений дальнейшего развития в части FM&RA. Для этого потребуется объективная оценка покрытия существенных рисков потери выручки текущими контролями и определение непокрытых областей, что и будет сделано в рамках аудита FM&RA.

 

Все рассмотренные нами случаи показывают,  насколько важно четко сформулировать цели и задачи аудита, чтобы ваши ожидания от его результатов совпали с полученными сведениями. Только в этом случае средства, затраченные на его проведение, не будут потрачены впустую.

 

Что понимается под услугой аудит FM&RA?

 

«Классический» аудит предполагает независимую проверку соответствия чего-либо (процесса, отчетности и т.д.) известным требованиям (стандартов, нормативных документов и т.д.) и рекомендации по устранению несоответствий. Таким образом, в широком смысле аудит FM&RA можно определить как независимый процесс оценки эффективности функционирования FM&RA или ее отдельных частей и разработки мероприятий по устранению неконтролируемых существенных рисков потери выручки.

 

Чему должен соответствовать эффективный FM&RA? В FM&RA предпринимаются попытки внедрения стандартов (на основе лучших практик). Вспомним такие известные стандарты как TM Forum («TR 131», «GB 941») и GRAPA («The Revenue Assurance Standards»). Одновременно с этим, так как сама функция FM&RA является частью системы внутреннего контроля оператора за выручкой, для нее актуальными являются также и стандарты внутреннего контроля и управления рисками (COSO, FERMA и т.д.).

 

Таким образом, проведение аудита FM&RA должно выявить те несоответствия стандартам и практикам в системе FM&RA, управлении рисками и внутреннем контроле, которые снижают эффективность функции и не позволяют контролировать все существенные риски потери выручки. Например, в результате аудита FM&RA у оператора связи может быть обнаружено отсутствие регулярного контроля за полнотой формирования записей о совершенных вызовах (далее, xDR) на уровне коммутационного оборудования. Тогда, в результате сбоя или ошибок настроек и не формирования xDR, тарификация вызовов производиться не будет. Оператор данную ошибку сможет обнаружить только после существенного роста бесплатного трафика (более 10-15% от всего трафика). В финансовой отчетности это отразится в виде отсутствия роста или падения выручки компании (если это падение не компенсируется ростом выручки по другим коммутаторам).

 

Каковы основные различия у компаний, предлагающих услугу аудит FM&RA?

 

Как правило, если вы диагностировали признаки проблемы (ответили на вопрос – зачем нужен аудит FM&RA), то дальнейшее ее решение собственными силами организации может быть достаточно сложным в силу:

 

  • отсутствия достаточных компетенций в проведении аудита FM&RA;
  • необходимости дополнительных затрат (трудовые ресурсы, программно-аппаратные доработки, консультации экспертов и т.д.);
  • ограниченности времени на решение проблемы (например, если проблема затрагивает выручку компании, то чем дольше будет длиться ее решение, тем больше выручки компания недополучит/потеряет).

 

Поэтому для более эффективного достижения необходимого результата возможно привлечение консалтинговой компании.

 

Согласно исследованиям всемирной Ассоциации по борьбе с мошенничеством в телекоммуникациях (Communications Fraud Control Association, CFCA), в 2005 году потери отрасли электросвязи от этого вида преступлений составили $54,4660 млрд. За три года эта цифра выросла на 52% и составила около $90 млрд. Эксперты Ассоциации указывают, что в 2007 году убытки от мошенничества составляли 5% совокупного оборота всех операторов мира. Пару лет назад значение данного показателя было вдвое меньшим. В российских компаниях связи, по мнению некоторых аналитиков, потери от мошенничества достигают 10% операционной выручки. Однако в лидеры мы все же не попали. По данным CFCA, максимальный размах мошенничество приобрело в Пакистане, на Филиппинах, Кубе, в Индии и Бангладеш. Ассоциация опросила операторов связи в разных регионах и получила удручающие результаты: 85% респондентов заявили, что их потери от мошенничества увеличились или остались на прежнем уровне. Почти половина (47,3%) глобальных потерь от этих преступных действий обусловлена махинациями в момент идентификации пользователей.

 

«Классическая» схема аудита, применяемая большинством консалтинговых компаний, включает следующие основные этапы:

 

  1. Подготовительный. Сбор и анализ информации о существующей функции FM&RA оператора, ее целях и задачах, месте и роли в организации, стратегии развития, используемых методиках и ключевых показателях эффективности. Кроме этого необходимо изучить потоки выручки, генерируемые компанией, и ИТ-решения, применяемые для этого и т.д.
  2. Планирование аудита. После анализа полученной на предыдущем этапе информации и с учетом целей и задач предстоящего анализа составляется план и детальная программа аудита FM&RA (выбираются его целевые области и направления).
  3. Проведение аудита. Проводится анализ и оценка отобранных на предыдущем этапе областей рисков, а также существующих контролей. Общие для различных видов аудита методики включают:
    • выборочные тесты (например, проверка того, что предупреждения, которые создаются в контрольной системе, кто-то отрабатывает);
    • опросы и наблюдения;
    • «чек-листы» (проверка наличия/отсутствия у оператора того, что написано в стандарте. Например, наличие документально оформленных процедур контроля).
  4. Завершение и оформление результатов аудита.

 

Но, несмотря на общие положения, тем не менее,  услуги аудита FM&RA существенно отличаются у различных консалтинговых компаний.

 

Консалтеры могут отличаться имеющимися компетенциями в FM&RA. Специалисты компании либо имеют практический опыт длительной работы в подразделениях FM&RA операторов связи, либо используют только рекомендации различных стандартов.

 

Различия также могут лежать в сфере используемых методик. Некоторые консалтинговые компании помимо общих могут применять и специальные методы, «заточенные» под определенные виды фрода и потерь доходов, которые не выявляются другими методами аудита.

 

Так, например,  компания «Инфосистемы Джет» использует в своих проектах следующие специальные методы, которые основаны на опыте реализованных проектов, лучших практиках и стандартах аудита FM&RA (например, TM Forum, COSO, FERMA):

 

  1. выгрузка и сверка данных по собственным алгоритмам из различных систем оператора;
  2. прямые тесты систем оператора – совершение тестовых вызовов для определения реальных маршрутов терминации, потерь записей о вызовах и корректности тарификации;
  3. тесты на проникновение (или «пентесты») – дружественные попытки взлома офисных АТС (или PBX) клиентов фиксированного оператора связи для определения незащищенного выхода на телефонную сеть общего пользования.

 

Таким образом, вы можете получить полную картину происходящего, включая те сведения, которые невозможно выявить с помощью стандартных методик проведения аудита.

 

И, конечно же, консалтинговые копании отличает друг друга опыт реальных проектов в FM&RA.

 

В основе методики компании «Инфосистемы Джет» для обнаружения некорректной терминации трафика лежит следующий способ тестирования: осуществление большого количества тестовых звонков из различных точек России, СНГ и дальнего зарубежья, совершаемых как с сетей
фиксированной и мобильной телефонии, так и через VoIP-провайдеров. По завершении тестирования эксперты компании собирают и при помощи специализированного программного продукта анализируют протоколы состоявшихся тестовых соединений.

 

В результате формируется детальный отчет о маршруте каждого тестового звонка. Это позволяет выявить точки некорректной терминации, через которые на сеть направлялись существенные объемы входящих МН/МГ-вызовов под видом местных звонков, что является нарушением порядка пропуска трафика, регламентированного условиями действующих договоров о присоединении.

 

Подводя итог, отметим, что рассмотренные в данной статье вопросы к проведению аудита FM&RA направлены на то, чтобы компании, принявшие решение о проведении такого проекта,  смогли наиболее правильно и четко определить цели и задачи аудита, грамотно подойти к выбору консалтинговой компании, обладающей лучшим набором характеристик, необходимых для качественного выполнения задания. Все эти факторы призваны помочь оператору связи с наименьшими для себя потерями и наиболее эффективно реализовать проект аудита FM&RA.

Уведомления об обновлении тем – в вашей почте

Компания «Инфосистемы Джет» оценила годовые потери российского бизнеса от мошенничества

Компания «Инфосистемы Джет» подготовила экспертную оценку годовых потерь от мошенничества для трех сфер отечественного бизнеса – телеком-операторов, кредитно-финансовых и ритейловых компаний. Расчеты выполнены в рублях с распределением по ключевым категориям рисков и позволяют сравнить показатели 2014–15 гг.

Современные Сизифы

Сизиф, царь Коринфа, был великим мошенником. Благодаря своей хитрости он собрал несметные сокровища.

Социальные сети на службе у мошенников

Банки фиксируют всплеск активности мошенников, использующих методы социальной инженерии для обмана клиентов банков.

Личные кабинеты уже не личные? О предотвращении угона данных, баллов и денег

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники.

Не тушите пожар пирогами

За последние 10 лет произошли существенные изменения в технологиях защиты банковских счетов и карт наших сограждан

Уже скоро во всех банках страны – новые рекомендации по кибербезопасности

В скором времени ЦБ РФ обяжет отечественные банки усилить контроль над дропами (конечными получателями несанкционированных денежных переводов, совершенных без согласия граждан и компаний — законных владельцев денежных средств).

Мошенники не пройдут, или Выявление мошенничества с помощью RSA Transaction Monitoring

Мир интернет-мошенничества непрерывно меняется. Новейшие угрозы, такие как атака "человек посередине" (Man-in-the-Middle, или MITM) и троянские программы класса"человек в браузере" (Man-in-the-Browser), быстро развиваются и становятся все более широко распространёнными.

Раскрываем карты: всё о The Standoff и будущем киберполигона

Как появилась идея The Standoff? Что под капотом киберполигона: реальный софт или «синтетика»? На чем основан выбор объектов для инфраструктуры цифрового города?

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня