Rambler's Top100
Статьи ИКС № 05 2011
Дмитрий ШОПИН  05 мая 2011

Фрод-риски операторов связи

Границы влияния телеком-фрода на бизнес операторов связи постоянно и стремительно расширяются, охватывая все новые и новые технологии, услуги, сферы деятельности. Методы борьбы с мошенничеством ad hoc – от случая к случаю – больше не оправдывают себя. Все сильнее ощущается потребность в переходе от реагирования к управлению.

«Существуют известные известные. Это – вещи, о которых мы знаем,

что мы их знаем. Существуют известные неизвестные. Это – вещи, о которых

мы знаем, что мы их не знаем. Но также еще существуют неизвестные

неизвестные. Это – вещи, о которых мы не знаем, что мы их не знаем».

Министр обороны США Дональд Рамсфелд

(на пресс-конференции, посвященной ситуации

в оккупированном Афганистане 12 февраля 2002 г.)


Дмитрий ШОПИН, руководитель направления Fraud Management & Revenue Assurance компании «Инфосистемы Джет»Очевидно, что мошенничество – это риск для компании, т. е. событие неопределенное, как с точки зрения вероятности реализации, так и с точки зрения последствий. Однако это не значит, что мошенничество нельзя прогнозировать и им невозможно управлять. Искусство управления неопределенностями в бизнесе уже давно оформилось в полноценную научную дисциплину – Enterprise Risk Management.

Риск-менеджмент как системная дисциплина изначально возник и развивался в финансовой отрасли и основное внимание уделял специфическим финансовым рискам: кредитным, фондовым, процентным и т.п. Именно в этих направлениях были разработаны и детально исследованы различные качественные и количественные методики оценки рисков. При этом операционные риски, к которым относится и мошенничество, долгое время оставались (и остаются до сих пор) наименее формализованной областью риск-менеджмента. Причина этого в том, что именно на операционном риск-менеджменте сильнее всего отражаются как отраслевая специфика, так и особенности бизнес-процессов каждой конкретной организации. И как следствие, для операционных рисков труднее всего создать общие систематические методики прогнозирования и управления. Тем не менее в последние годы ситуация меняется и появляется все больше отраслевых стандартов управления операционными рисками (например, рисками информационной безопасности). Эта статья – попытка применить некоторые общие подходы риск-менеджмента к управлению рисками телекоммуникационного фрода.

Фрод-риски сквозь призму стандартов

В соответствии с рекомендациями международного стандарта ISO 31000:2009 Risk management – Principles and guidelines неотъемлемой составляющей общего процесса управления рисками организации является оценка рисков (риск-аудит) (рис. 1).

Без представления о том, какие риски существуют в организации, какова вероятность их возникновения и какими могут быть последствия их реализации, невозможно принимать обоснованные решения по созданию инструментов предотвращения, выявления и реагирования на возникающие угрозы. Поскольку любая организация «живет» в условиях постоянных изменений – технологических, рыночных, законодательных, то процесс риск-менеджмента должен быть итеративным – с установленной периодичностью должны проводиться переоценка ранее идентифицированных рисков, идентификация и оценка новых, проверка эффективности существующих систем контроля и т.д. Разумеется, эти требования относятся и к рискам телекоммуникационного фрода. Источник рисков фрода – человек. А значит, никакая угроза не сравнится с фрод-рисками по разнообразию, изобретательности и быстроте адаптации к любым предпринимаемым контрмерам.

Определение телеком-фрода

Первым этапом процесса риск-менеджмента является «создание контекста» (см. рис. 1), т. е. определение его целей и задач, границ, ответственных, критериев оценки эффективности и т.п. Применительно к телеком-фроду важный шаг на этом этапе – определение, что же такое риски телекоммуникационного фрода и каково их место в общей системе рисков предприятия связи.

Как уже говорилось, фрод – это риск операционный. Соглашение Basel II Базельского комитета по банковскому надзору определяет операционный риск как «риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками либо с внешними событиями». Там же была предложена и классификация событий, вызвавших убыток. На первом уровне этой классификации выделяются типы событий (в частности, внутреннее и внешнее мошенничество), на втором – события, относящиеся к каждому из типов (например, неразрешенная деятельность, воровство и мошенничество – для внутреннего мошенничества; нарушение безопасности систем и опять же воровство и мошенничество – для внешнего мошенничества), а на третьем уровне приводятся примеры видов деятельности для каждой из выделенных категорий (операции, намеренно не отраженные в отчетности; неразрешенные операции, повлекшие за собой денежные убытки; намеренно неправильная оценка позиции и т.д.).

Конечно, «Базель» разработан для институтов банковской отрасли, и классификация операционных рисков строилась исходя именно из финансовой отраслевой специфики. Тем не менее основные подходы данной классификации (деление фрода на внутренний и внешний, например) могут быть применены и в телекоммуникациях.

Другой не менее авторитетный источник – компания PricewaterhouseCoopers – в своем исследовании The Global Economic Crime Survey прибегает к более общей классификации фрода и выделяет следующие основные типы мошенничества: незаконное использование активов (материальных и нематериальных), манипуляции с финансовой отчетностью, взятки и коррупция, посягательство на интеллектуальную собственность, отмывание денег и т.д.

Очевидно, что телеком-фрод в общепринятом на данный момент смысле – это угроза, направленная на услугу связи, являющуюся нематериальным активом оператора. Объект атаки телеком-фродстеров – телекоммуникационная услуга как целое, включающее в себя весь комплекс ресурсов и процессов, которые обеспечивают полный цикл предоставления услуги – от момента ее потребления пользователем до оплаты им счета за нее.

Исходя из всего этого, определим риски телеком-фрода как риски потерь компании, связанные с преднамеренным незаконным использованием телекоммуникационных услуг, предоставляемых или получаемых компанией.

Идентификация рисков

Это творческий этап, ибо, как уже говорилось, специфичность набора операционных рисков для каждой отрасли исключительно высока. Именно поэтому стандарты и подходы к управлению этими рисками развивались до сих пор независимо друг от друга, что привело к возникновению отдельных отраслевых стандартов управления рисками (например, ISO 27000 как отраслевой стандарт управления рисками информационной безопасности). К сожалению, для телеком-фрода нормативных документов такого рода пока нет, поэтому каждый оператор сам определяет для себя перечень контролируемых фрод-рисков. В большинстве случаев основной способ идентификации телеком-рисков – это экспертные методы, основанные на уже имеющихся знаниях специалистов по фрод-менеджменту о возможных видах фрода. Их недостаток – неформализованность, неструктурированность и несистематичность. Кроме того, их эффективность зависит от знаний и опыта задействованных специалистов. Тем не менее эти недостатки зачастую перевешиваются достоинствами, а именно легкостью в применении и организации процесса аудита, высокой убедительностью идентифицированных рисков (поскольку, как уже говорилось, они основываются либо на собственном опыте компании, либо на информации из СМИ, отраслевой литературы и т.д.). Поэтому целый ряд таких техник включен в международный стандарт риск-аудита ISO 31010:2009. Вот некоторые из них.

Brainstorming. Хорошо всем известный «мозговой штурм». Часто так называют вообще любую групповую дискуссию, хотя «правильный» брейнсторминг подразумевает достаточно высокую формализацию и регламентированность процесса. Применительно к анализу телекоммуникационных фрод-рисков мозговой штурм должен проводиться с участием представителей всех подразделений компании, вовлеченных в процесс предоставления услуг. Результатом является сгенерированный «коллективным разумом» перечень возможных схем телекоммуникационного мошенничества, подлежащий дальнейшему, более детальному анализу.

Structured interview. По сути, «индивидуальный» вариант мозгового штурма, направленный на сбор в процессе интервьюирования сотрудников различных структурных подразделений оператора максимального объема информации о возможностях реализации фрод-рисков. Подразумевает заранее подготовленный перечень вопросов, однако не ограничивается только ответами на них.

Check-list. Представляет собой простую расстановку галочек «возможно/невозможно» в заранее составленном списке фрод-рисков. Источником для такого чек-листа могут являться данные о выявленных ранее фактах фрода в компании, экспертные знания специалистов операторов связи, информация из СМИ и т.п.

Наряду с вышеописанными подходами к идентификации рисков в риск-менеджменте широко используются более формализованные, систематические методы анализа. Они опираются на четкую классификацию возможных потерь, позволяя получить в упорядоченном виде набор гипотез о возможных фрод-рисках, являющийся базой для дальнейшего анализа и оценки. Безусловно, данные методы также требуют глубоких экспертных познаний специалистов, выполняющих фрод-риск-аудит. Ниже приведены два примера таких методик.

Анализ дерева отказов (Fault Tree Analysis, FTA). Методика была разработана для промышленности и сейчас широко используется для прогнозирования инцидентов и оценки отказоустойчивости инженерных систем. Однако в последнее время она все чаще применяется как эффективный инструмент идентификации и оценки любых рисков, в том числе связанных с нарушениями выполнения процессов, ошибок и преднамеренных действий человека и т.д.

В основе методики FTA лежит определение потенциального нежелательного события («топ-риска») и затем – пошаговая идентификация факторов, событий, которые могут привести к топ-риску, их последовательности и логических взаимосвязей между ними.

Исходя из ранее данного определения рисков телеком-фрода, можно выделить соответствующие топ-риски:

     • ненадлежащая оплата услуги;

     • оплата услуги третьей стороной;

     • завышение стоимости услуги (для компании);

     • нелегитимное использование услуги.

Далее необходимо проанализировать возможности возникновения каждого из «топовых» событий для каждой из услуг компании (на рис. 2 приведен пример такого анализа для услуги широкополосного доступа в Интернет).

Анализ характера и последствий отказов (Failure modes and effects analysis, FMEA). В отличие от FTA данный метод использует индуктивный подход к идентификации рисков, а именно предполагает движение в рассуждениях от возможных элементарных событий, возникающих в системе или при осуществлении процесса, к итоговому (обычно неблагоприятному) результату. Применительно к идентификации телекоммуникационных фрод-рисков метод FMEA подразумевает:

1. Детальное описание всего процесса предоставления услуги (описание всех участников и элементарных шагов процесса; задействованных информационных и технических ресурсов; входящих и исходящих данных для каждого процесса).

2. Обсуждение для каждого элементарного шага в процессе:

   • какие возможны непредусмотренные регламентом действия участников процесса;

   • какие непредусмотренные события могут возникнуть в системах вследствие действий участников;

   • к каким последствиям это может привести;

   • как могут быть обнаружены данные действия или их последствия.

3. Формирование отчета, включающего в себя перечень выявленных возможных фрод-рисков, описание их механизмов и эффекта от реализации каждого риска.

  

Описанные техники идентификации фрод-рисков – всего лишь несколько примеров из широкого спектра существующих методик. У каждой из них есть свои сильные стороны и недостатки, области наилучшей применимости. Поэтому выбор подходов к систематической идентификации фрод-рисков – задача, которую предстоит решать риск-менеджеру, исходя из конкретных условий, специфики компании, собственных экспертных знаний и поставленных задач.

Идентификация рисков – это только первый шаг к созданию полноценного процесса управления фрод-рисками. Еще предстоят анализ идентифицированных рисков, их оценка и разработка методов контроля. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!