Rambler's Top100
Статьи
18 мая 2011

Фрод-риски операторов связи

Границы влияния телеком-фрода на бизнес операторов связи постоянно и стремительно расширяются, охватывая все новые и новые технологии, услуги, сферы деятельности. Методы борьбы с мошенничеством ad hoc - от случая к случаю - больше не оправдывают себя. Все сильнее ощущается потребность в переходе от реагирования к управлению.

«Существуют известные известные. Это - вещи, о которых мы знаем, что мы их знаем. Существуют известные неизвестные. Это - вещи, о которых мы знаем, что мы их не знаем. Но также еще существуют неизвестные неизвестные. Это - вещи, о которых мы не знаем, что мы их не знаем».

Министр обороны США Дональд Рамсфелд (на пресс-конференции, посвященной ситуации в оккупированном Афганистане 12 февраля 2002 г.)

 

Необходимость борьбы с телекоммуникационным фродом не вызывает уже никаких сомнений у большинства операторов связи. Это объясняется целым рядом причин:

  • существенное увеличение влияния фрода на финансовые показатели операторов в связи с переходом телеком-фрода из области мелкого индивидуального мошенничества в разряд полноценной криминальной индустрии с огромными финансовыми оборотами;
  • нарастающий поток сообщений о различных случаях телекоммуникационного мошенничества в средствах массовой информации и как следствие – увеличение репутационных рисков для компании;
  • повышенный интерес государства в лице регуляторов отрасли и правоохранительных органов к мошенничеству в области высоких технологий;
  • обращение акций большинства крупных российских телекоммуникационных компаний на международных фондовых площадках, что накладывает особенно жесткие требования к компании в вопросах эффективности контроля своих бизнес-процессов.

Очевидно, что мошенничество -- это риск для компании, т. е. событие неопределенное, как с точки зрения вероятности реализации, так и с точки зрения последствий. Однако это не значит, что мошенничество нельзя прогнозировать и им невозможно управлять. Искусство управления неопределенностями в бизнесе уже давно оформилось в полноценную научную дисциплину -- Enterprise RiskManagement.

Риск-менеджмент как системная дисциплина изначально возник и развивался в финансовой отрасли и основное внимание уделял специфическим финансовым рискам: кредитным, фондовым, процентным и т.п. Именно в этих направлениях были разработаны и детально исследованы различные качественные и количественные методики оценки рисков. При этом операционные риски, к которым относится и мошенничество, долгое время оставались (и остаются до сих пор) наименее формализованной областью риск-менеджмента. Причина этого в том, что именно на операционном риск-менеджменте сильнее всего отражаются как отраслевая специфика, так и особенности бизнес-процессов каждой конкретной организации. И как следствие, для операционных рисков труднее всего создать общие, систематические методики прогнозирования и управления. Тем не менее в последние годы ситуация меняется и появляется все больше отраслевых стандартов управления операционными рисками (например, рисками информационной безопасности). Эта статья -- попытка применить некоторые общие подходы риск-менеджмента к управлению рисками телекоммуникационного фрода.

Фрод-риски сквозь призму стандартов

В соответствии с рекомендациями международного стандарта ISO 31000:2009 Risk management -- Principles and guidelines неотъемлемой составляющей общего процесса управления рисками организации является оценка рисков (риск-аудит) (рис. 1).

Без представления о том, какие риски существуют в организации, какова вероятность их возникновения и последствия их реализации, невозможно принимать обоснованные решения по созданию инструментов предотвращения, выявления и реагирования на возникающие угрозы. Поскольку любая организация «живет» в условиях постоянных изменений --технологических, рыночных, законодательных, то процесс риск-менеджмента должен быть итеративным -- с установленной периодичностью должны проводиться переоценка ранее идентифицированных рисков, идентификация и оценка новых, проверка эффективности существующих систем контроля и т.д. Разумеется, эти требования относятся и к рискам телекоммуникационного фрода. Источник рисков фрода - человек. А значит, никакая угроза не сравнится с фрод-рисками по разнообразию, изобретательности и быстроте адаптации к любым предпринимаемым контрмерам.

Определение телеком-фрода

Первым этапом процесса риск-менеджмента является «создание контекста» (см. рис. 1), т. е. определение его целей и задач, границ, ответственных, критериев оценки эффективности и т.п. Применительно к телеком-фроду важный шаг на этом этапе -- определение, что же такое риски телекоммуникационного фрода и каково их место в общей системе рисков предприятия связи.

Как уже говорилось, фрод -- это риск операционный. Соглашение Basel II Базельского комитета по банковскому надзору определяет операционный риск как «риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками либо с внешними событиями». Там же была предложена и классификация событий, вызвавших убыток (см. таблицу). На первом уровне этой классификации выделяются типы событий (в частности, внутреннее и внешнее мошенничество), на втором -- события, относящиеся к каждому из типов (например, неразрешенная деятельность, воровство и мошенничество - для внутреннего мошенничества; нарушение безопасности систем и опять же воровство и мошенничество -- для внешнего мошенничества), а на третьем уровне приводятся примеры видов деятельности для каждой из выделенных категорий (операции, намеренно не отраженные в отчетности; неразрешенные операции, повлекшие за собой денежные убытки; намеренно неправильная оценка позиции и т.д.).

Конечно, «Базель» разработан для институтов банковской отрасли, и классификация операционных рисков строилась, исходя именно из финансовой отраслевой специфики. Тем не менее основные подходы данной классификации (деление фрода на внутренний и внешний, например) могут быть применены и в телекоммуникациях.

Другой не менее авторитетный источник - компания PriceWaterhouseCoopers - в своем исследовании The Global Economic Crime Survey прибегает к более общей классификации фрода и выделяет следующие основные типы мошенничества: незаконное использование активов (материальных и нематериальных), манипуляции с финансовой отчетностью, взятки и коррупция, посягательство на интеллектуальную собственность, отмывание и денег и т.д.

Очевидно, что телеком-фрод в общепринятом на данный момент смысле - это угроза, направленная на услугу связи, являющуюся нематериальным активом оператора. Объект атаки телеком-фродстеров - телекоммуникационная услуга как целое, включающее в себя весь комплекс ресурсов и процессов, обеспечивающих полный цикл предоставления услуги - от момента ее потребления пользователем до оплаты им счета за нее.

Исходя из всего этого, определим риски телеком-фрода как риски потерь компании, связанные с преднамеренным незаконным использованием телекоммуникационных услуг, предоставляемых или получаемых компанией.

Идентификация рисков

Это творческий этап, ибо, как уже говорилось, специфичность набора операционных рисков для каждой отрасли исключительно высока. Именно поэтому стандарты и подходы к управлению этими рисками развивались до сих пор независимо друг от друга, что привело к возникновению отдельных отраслевых стандартов управления рисками (например, ISO 27000 как отраслевой стандарт управления рисками информационной безопасности). К сожалению, для телеком-фрода нормативных документов такого рода пока нет, поэтому каждый оператор сам определяет для себя перечень контролируемых фрод-рисков. В большинстве случаев основной способ идентификации телеком-рисков -- это экспертные методы, основанные на уже имеющихся знаниях специалистов по фрод-менеджменту о возможных видах фрода. Их недостаток -- неформализованность, неструктурированность и несистематичность. Кроме того, их эффективность зависит от знаний и опыта задействованных специалистов. Тем не менее эти недостатки зачастую перевешиваются достоинствами, а именно легкостью в применении и организации процесса аудита, высокой убедительностью идентифицированных рисков (поскольку, как уже говорилось, они основываются либо на собственном опыте компании, либо на информации из СМИ, отраслевой литературы и т.д.). Поэтому целый ряд таких техник включен в международный стандарт риск-аудита ISO 31010:2009. Вот некоторые из них.

  • Brainstorming. Хорошо всем известный «мозговой штурм». Часто так называют вообще любую групповую дискуссию, хотя «правильный» брейнсторминг подразумевает достаточно высокую формализацию и регламентированность процесса. Применительно к анализу телекоммуникационных фрод-рисков мозговой штурм должен проводиться с участием представителей всех подразделений компании, вовлеченных в процесс предоставления услуг. Результатом является сгенерированный «коллективным разумом» перечень возможных схем телекоммуникационного мошенничества, подлежащий дальнейшему, более детальному анализу.
  • Structured interview. По сути, «индивидуальный» вариант мозгового штурма, направленный на сбор в процессе интервьюирования сотрудников различных структурных подразделений оператора максимального объема информации о возможностях для реализации фрод-рисков. Подразумевает заранее подготовленный перечень вопросов, однако не ограничивается только ответами на них.
  • Check-list. Представляет собой простую расстановку галочек «возможно/невозможно» в заранее составленном списке фрод-рисков. Источником для такого чек-листа могут являться данные о выявленных ранее фактах фрода в компании, экспертные знания специалистов операторов связи, информация из СМИ и т.п.

Наряду с вышеописанными подходами к идентификации рисков в риск-менеджменте широко используются более формализованные, систематические методы анализа. Они опираются на четкую классификацию возможных потерь, позволяя получить в упорядоченном виде набор гипотез о возможных фрод-рисках, являющийся базой для дальнейшего анализа и оценки. Безусловно, данные методы также требуют глубоких экспертных познаний специалистов, выполняющих фрод-риск-аудит. Ниже приведены два примера таких методик.

Анализ дерева отказов (Fault Tree Analysis, FTA). Методика была разработана для промышленности и сейчас широко используется для прогнозирования инцидентов и оценки отказоустойчивости инженерных систем. Однако в последнее время она все чаще применяется как эффективный инструмент идентификации и оценки любых рисков, в том числе связанных с нарушениями выполнения процессов, ошибок и преднамеренных действий человека и т.д.

В основе методики FTA лежит определение потенциального нежелательного события («топ-риска») и затем -- пошаговая идентификация тех факторов, событий, которые могут привести к топ-риску, их последовательности и логических взаимосвязей между ними.

Исходя из ранее данного определения рисков телеком-фрода, можно выделить соответствующие топ-риски:

  • ненадлежащая оплата услуги;
  • оплата услуги третьей стороной;
  • завышение стоимости услуги (для компании);
  • нелегитимное использование услуги.

Далее необходимо проанализировать возможности возникновения каждого из «топовых» событий для каждой из услуг компании (на рис. 2 приведен пример такого анализа для услуги широкополосного доступа в Интернет).

Анализ характера и последствий отказов (Failure modes and effects analysis, FMEA). В отличие от FTA данный метод использует индуктивный подход к идентификации рисков, а именно предполагает движение в рассуждениях от возможных элементарных событий, возникающих в системе или при осуществлении процесса, к итоговому (обычно неблагоприятному) результату. Применительно к идентификации телекоммуникационных фрод-рисков, метод FMEA подразумевает:

Детальное описание всего процесса предоставления услуги (описание всех участников и элементарных шагов процесса; задействованных информационных и технических ресурсов, а также входящих и исходящих данных для каждого процесса).

Обсуждение для каждого элементарного шага в процессе:

  • какие возможны непредусмотренные регламентом действия участников процесса;
  • какие непредусмотренные события могут возникнуть в системах вследствие действий участников;
  • к каким последствиям это может привести;
  • как могут быть обнаружены данные действия или их последствия.

Формирование отчета, включающего в себя перечень выявленных возможных фрод-рисков, описание их механизмов и эффекта от реализации каждого риска.

* * *

Описанные техники идентификации фрод-рисков - всего лишь несколько примеров из широкого спектра существующих методик. У каждой из них есть свои сильные стороны и недостатки, области наилучшей применимости. Поэтому выбор подходов к систематической идентификации фрод-рисков - задача, которую предстоит решать риск-менеджеру, исходя из конкретных условий, специфики компании, собственных экспертных знаний и поставленных задач.

Идентификация рисков -- это только первый шаг к созданию полноценного процесса управления фрод-рисками. Еще предстоят анализ идентифицированных рисков, их оценка и разработка методов контроля.

 

Дмитрий ШОПИН,

руководитель направления Fraud Management & Revenue Assurance компании «Инфосистемы Джет»

 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!