Roma 3 Novembre 2005 Associazione Italiana Information Systems
Roma, 3 Novembre 2005 Associazione Italiana Information Systems Auditors Capitolo ISACA di Milano QUATTRO PASSI …TRA LE FRODI Ing. Flavio Riciniello, Eidos Consult Risk, Security & Fraud Management e-mail: flavio. riciniello@eidosconsult. com mobile: 3356122292 eidos consult pag. 1
IN PUNTA DI PIEDI TRA GLI IA u FOCUS SUI PUNTI CHIAVE PER LA VERIFICA u NON CI SI SOFFERMA SUGLI STRUMENTI METODOLOGICI PER LA VERIFICA u E’ CONSIDERATO “OUT OF SCOPE” LA CONSIDERAZIONE IL FRAUD MANAGEMENT PER GRUPPI (NAZIONALI O MULTINAZIONALI) DI AZIENDE u NON SI CONSIDERA IL PROBLEMA CARDINE DELLA IDENTITÀ DEI SOGGETTI / ENTITÀ’ u ADOTTIAMO IL METODO BOTTOM – UP u SI SUGGERISCONO I PUNTI PIÙ IMPORTANTI PER LA VERIFICA eidos consult pag. 2
OBIETTIVI DEL FRAUD MANAGEMENT (1) u RIDURRE E TENERE SOTTO CONTROLLO IL NUMERO DI NUOVE ACQUISIZIONI CON FRODE ACCERTATA u RIDURRE E TENERE SOTTO CONTROLLO IL NUMERO ED IL VOLUME DELLE FRODI u RIDURRE IL NUMERO DELLE POSIZIONI ED IL VOLUME DEL CREDITO RELATIVI A FRODI u RIDURRE IL NUMERO DI RECLAMI PER TRANSAZIONI NON RICONOSCIUTE eidos consult pag. 3
OBIETTIVI DEL FRAUD MANAGEMENT (2) u FARE CUSTOMER RETENTION E WINBACK u ANTICIPARE LA CONCORRENZA NEL CONTROLLARE LE FRODI MEGLIO E PIÙ VELOCEMENTE u FAR DIVENIRE IL FRAUD MANAGEMENT UN’OPPORTUNITA’ PER INCREMENTARE I RICAVI u “SPOSTARE” VERSO LA CONCORRENZA LE FRODI, IL NUMERO DELLE POSIZIONI ED IL VOLUME DEL CREDITO RELATIVI A FRODI eidos consult pag. 4
PROCESSO DI FRAUD MANAGEMENT u PREVENZIONE (Processo, FMS, Servizi/Prodotti) u CONTROLLO FRODI u INTELLIGENCE u MONITORING (Processo, SLA, KPI, Performance) u VALUTAZIONI ECONOMICHE (Perdite, Costi, Danno evitato, Benefici) eidos consult pag. 5
CARATTERISTICHE DEL PROCESSO u. MISURABILITÀ E CONTROLLABILITÀ u. TEMPESTIVITÀ u. FLESSIBILITÀ E ADATTABILITÀ u. EFFICACIA u. EFFICIENZA u. CONTINUITÀ u. GRADO DI COPERTURA eidos consult pag. 6
MISURABILITÀ E CONTROLLABILITA’ u. MISURABILITA’ TUTTE LE CARATTERISTICHE DEL PROCESSO (PERSONE, AZIONI, TEMPI, RISULTATI) DEBBONO POTER ESSERE QUANTIFICATE IN TEMPO (GIORNALMENTE) u. CONTROLLABILITA’ IL PROCESS OWNER DEVE POTER METTERE IN ATTO TUTTE LE AZIONI DI CONTRASTO (REGOLE, MODIFICHE AL PROCESSO OPERATIVO DI ALTO LIVELLO) RAPIDAMENTE CON SOLE OPERAZIONI DI CONFIGURAZIONE. eidos consult pag. 7
TEMPESTIVITA’ (1) u. RITARDO ALLA GENERAZIONE ALLARMI u. RITARDO ALLA GENERAZIONE DEI CASI u. RITARDO ALLA PRESA IN CARICO DEI CASI u. DURATA GLOBALE DI LAVORAZIONE DEI CASI u. RITARDO ALLA EFFETTUAZIONE DELLE AZIONI DI CONTRASTO (BARRING) u. RITARDO ALL’INCASSO ANTICIPATO eidos consult pag. 8
TEMPESTIVITA’ (2) u. ACQUISIZIONE DELLE VARIAZIONI u. ATTUAZIONE DELLE AZIONI DI CONTRASTO u. AGGIORNAMENTO DEI SISTEMI DI RETE u. AGGIORNAMENTO DEI SISTEMI DI COMMERCIALIZZAZIONE u. CONTINUITA’ DELLE ACQUISIZIONI DI DATI, DEGLI AGGIORNAMENTI E DELLE ELABORAZIONI eidos consult pag. 9
TEMPESTIVITA’ (3) u. MISURE: media, quantile 0, 95 u. PERIODO DI CONTROLLO: ogni lunedì u. GRANULARITA’: singola unità territoriale u. CLIENTELA: ogni tipo di clientela eidos consult pag. 10
FLESSIBILITA’ E ADATTABILITA’ u. MODIFICHE DEI TIPI DI REGOLE (ad esempio entro la mezzanotte) u. VARIAZIONI ORGANIZZATIVE (a livello di responsabilità del caso per la lavorazione, assetto territoriale, ecc. ) u. STATISTICHE (assicurare sempre la disponibilità anche in corso di variazioni organizzative o modifiche a regole) eidos consult pag. 11
EFFICACIA u. MISURA DEI RISULTATI CONSEGUITI IN RELAZIONE AI TARGET E TEMPI FISSATI u. MISURA DELLA EFFICACIA IN TERMINI DI DIMINUZIONE DEI VOLUMI DEI RECLAMI DA TRAFFICO, DIMINUZIONE DEI VOLUMI DI RICORSO AD ARBITRATO, DIMINUZIONE DI VOLUMI DI CREDITO IN SOFFERENZA E DEI PASSAGGI A PERDITA. u. DIFFERENZIAZIONE NELLE MISURE PER TIPO DI CLIENTELA ED UNITA’ TERRITORIALE. u. VP, VN, FP, FN ED INDICATORI CORRELATI ALLA EFFICACIA DEL PROCESSO DECISIONALE; STIMA DELLA LATENZA eidos consult pag. 12
EFFICIENZA u. REGISTRARE IL NUMERO DI ADDETTI PRESENTI DISTINTI PER TIPO ATTIVITA’ u. CALCOLARE I VOLUMI LAVORATI PER OGNI SINGOLO TURNO, GIORNO, UNITA’ ORGANIZZATIVA eidos consult pag. 13
CONTINUITÀ DI PROCESSO(1) u 24 ORE/GIORNO; 7 GIORNI / SETTIMANA u MADT (INTRINSECO E OPERATIONAL) ANNUO u MASSIMA DURATA SINGOLA u TEMPI DI RIPRISTINO u LIMITI DI DURATA DEI DOWN DI PROCESSO PER TIPO (INTERNO/ESTERNO, HW/SW, PERSONALE) eidos consult pag. 14
CONTINUITA’ DI PROCESSO(2) u. SISTEMI u. INTERAZIONE TRA SISTEMI u. RETI u. ALIMENTAZIONE DEI DATI u. DISPONIBILITA’ DELLE RISORSE UMANE u. FAULT TOLERANCE eidos consult pag. 15
GRADO DI COPERTURA u NOMINALE: TUTTI I SERVIZI/ PRODOTTI TUTTI I TIPI DI FRODE, FRODI INTERNE u EFFETTIVO: LATENZA eidos consult pag. 16
ALTRE CARATTERISTICHE DEL PROCESSO (1) u. ESERCIBILITA’ u. COLLAUDO INTEGRATO u. FAULT TOLERANCE u. CONFIGURABILITA’ DI NUOVE REGOLE u. CONFIGURABILITA’ DI NUOVE SORGENTI DI DATI u. CRITERI DI VALUTAZIONE DELLA GRAVITA’ DI UN CASO eidos consult pag. 17
ALTRE CARATTERISTICHE DEL PROCESSO (2) u. CRITERI DI SORTING u. FLESSIBILITA’ E CONFIGURABILITA’ DEL PROCESSO OPERATIVO u. TRACKING DEL PROCESSO DECISIONALE u. CONTROLLO GIORNALIERO / PERIODICO DELL’EFFICACIA, DELL’EFFICIENZA E DEI KPI eidos consult pag. 18
ESERCIBILITA’ (1) u. CAPACITA’ DI MONITORARE I PROCESSI FONDAMENTALI (ACQUISIZIONE DATI, GENERAZIONE ALLARMI, GENERAZIONE PRATICHE, INTERAZIONI CON SISTEMI ESTERNI, ETC) u. PREDISPOSIZIONE PER L’HELP DESK DI TUTTI GLI INDICATORI AL GIORNO X PARAGONATI CON IL CORRISPONDENTE AL GIORNO X-7 eidos consult pag. 19
ESERCIBILITA’ (2) u. CAPACITÀ DI REGOLARE LE PRESTAZIONI NEL PERIODO SUCCESSIVO AD UN EVENTO GRAVE DI INDISPONIBILITA’ DI UNA O PIU’ FUNZIONI VITALI u. DIAGNOSI DI PRIMO LIVELLO PER LE “DISFUNZIONI “ DI PROCESSO OPERATIVO u. STATISTICA GIORNALIERA, SETTIMANALE MENSILE, ANNUA, PROGRESSIVA E DI PERIODO DEI TIPI DI FERMI E DURATE, PERCEPITE E MISURATE eidos consult pag. 20
COLLAUDO INTEGRATO u. POSSIBILITA’ DI EFFETTUARE UN COLLAUDO INTEGRATO CON TRANSAZIONI “LIVE” SU UN SISTEMA “DUALE” IDENTICO AL SISTEMA DI RIFERIMENTO SENZA IMPATTARE SUL PROCESSO DI FRAUD MANAGEMENT eidos consult pag. 21
FAULT TOLERANCE u. PIANO DELLA DEPENDABILITY u. PIANO DELLE RIDONDANZE u. CAPACITA’ DI GESTIRE UNO O PIU’ PROCESSI SU HW DIVERSO A SEGUITO DI DOWN SENZA DISSERVIZIO AGGIUNTIVO eidos consult pag. 22
CONFIGURABILITA’ DI NUOVE REGOLE (1) u. CREAZIONE DI NUOVE REGOLE CON UN TOOL BOX A DISPOSIZIONE DEL PROCESS ADMINISTRATOR u. RIMOZIONE DI REGOLE ESISTENTI A CURA DEL PROCESS ADMINISTRATOR u. TOOL BOX CON OPERATORI BOOLEANI u. ESEMPIO: IF RULE # 1 OR DURATA SINGLE INTN’L CALL THEN ISSUE AN ALARM OF GRAVITY X eidos consult pag. 23
CONFIGURABILITA’ DI NUOVE REGOLE (2) u. POSSIBILITA’ DI VALUTARE LE PERFORMANCE DELLE NUOVE REGOLE E LA LORO GESTIONE (CONFERMA, RIMOZIONE CON O SENZA RIPRISTINO DELLE VECCHIE) u. POSSIBILITA’ DI INSERIRE NEL FLOW DEI CASI DA LAVORARE QUELLI CHE FOSSERO GENERATI DA NUOVE REGOLE SEPPURE NON ANCORA VALIDATE u. VALIDAZIONE DI NUOVE REGOLE ESEGUITA TRAMITE IL SISTEMA “DUALE” eidos consult pag. 24
CONFIGURABILITA’ DI NUOVE SORGENTI DI DATI / SERVIZI u MEDIATION INTEGRATO IN FMS IN MODO CHE L’AMMINISTRATORE DI SISTEMA POSSA CONFIGURARE LA NUOVA SORGENTE DI DATI u CREAZIONE E CONFIGURAZIONE ON LINE DELLE NUOVE REGOLE AD HOC PER I NUOVI SERVIZI E SET-UP DEI PARAMETRI eidos consult pag. 25
CRITERI DI VALUTAZIONE DELLA GRAVITA’ DI UN CASO u CALCOLO DI PIU’ INDICI DI GRAVITA’ CHE VALUTANO IL PESO ECONOMICO DEL DANNO POTENZIALE SECONDO VARI CRITERI u LA VALUTAZIONE DEVE POTER ESSERE FATTA SECONDO VARI CRITERI (AD ESEMPIO EFFETTIVA O STANDARD ) E PER TUTTI I SERVIZI PRODOTTI O SOLO ALCUNI eidos consult pag. 26
CRITERI DI SORTING u SORTING IN FASE DI SOLA VISUALIZZAZIONE u SORTING IN FASE DI LAVORAZIONE u SORTING A LIBERA SCELTA DELL’ADDETTO A SECONDA DEL TIPO DI CLIENTE ( AD ESEMPIO CONSUMER, BUSINESS, LARGE BUSINESS) eidos consult pag. 27
FLESSIBILITA’ E CONFIGURABILITA’ DEL PROCESSO OPERATIVO u CONFIGURABILITA’ DEL PROCESSO DI ALTO LIVELLO (CHI FA CHE COSA E QUANDO) IN OCCASIONE DI CAMBI DI STRUTTURA ORGANIZZATIVA O DI SITUAZIONI DI EMERGENZA u POSSIBILITA’ DI ASSEGNARE A GRUPPI PREASSEGNATI, O DA DEFINIRE, I CASI DI VARI TIPI DI CLIENTELA, IN BASE ALLO SKILL, ALLE NECESSITA’ CONTINGENTI O ALLE RESPONSABILITA’ ORGANIZZATIVE eidos consult pag. 28
TRACKING DEL PROCESSO DECISIONALE (1) u. MISURE: FALSI POSITIVI, FALSI NEGATIVI, SPECIFICITA’, PREVALENZA, SENSIBILITA’, INDIFFERENZA, SUSCETTIBILITA’, EFFICIENZA, PREDICIBILITA’ DEI VERI POSITIVI E DEI VERI NEGATIVI u. PERIODO DI CONTROLLO: GIORNALIERA, SETTIMANALE, MENSILE, ANNUA u. GRANULARITA’: UNITA TERRITORIALE ORGANIZZATIVA O OPERATIVA eidos consult pag. 29
TRACKING DEL PROCESSO DECISIONALE (2) u. CLIENTELA: PER OGNI TIPO DI CLIENTELA u. FASI DI CONTROLLO: NEI PASSAGGI DI RESPONSABILITA’ E IN OCCASIONE DI EVENTI RILEVANTI QUALI DECISIONI FORMALI O OCCRRENZA D EVENTI QUALI IL PAGAMENTO / NON PAGAMENTO DI FATTURA , DI FATTURA ANTICIPATA, ETC. eidos consult pag. 30
CONTROLLO DI EFFICACIA, EFFICIENZA E KPI (1) u. STRUMENTI: CARTE DI CONTROLLO, STATISTICHE u. FREQUENZA : GIORNALIERA, SETTIMANALE, MENSILE, ANNUA u. GRANDEZZE CONTROLLATE: KPI, OBIETTIVI PERSONALI E DI GRUPPO, EFFICACIA DEL PROCESSO DECISIONALE, EFFICACIA DELLE AZIONI MESSE IN ATTO eidos consult pag. 31
CONTROLLO DI EFFICACIA, EFFICIENZA E KPI (2) u. CALCOLO PRODUTTIVITA’: PER OGNI UNITA’ ORGANIZZATIVA MISURARE GIORNALMENTE PER CIASCUN TURNO GIORNO, SETTIMANA, MESE, ANNO, I VOLUMI, LE PERFORMANCE u. RITARDO ALLE AZIONI CORRETTIVE : • 24 ORE MAX PER GLI INTERVENTI DI PRODUTTIVITA’ O SCARSE PRESTAZIONI/EFFICACIA • 7 GIORNI MAX : PER GLI INTERVENTI DI ALTRA NATURA GIORNALIERA, SETTIMANALE, MENSILE, ANNUA eidos consult pag. 32
GRAZIE PER L’ATTENZIONE eidos consult pag. 33
- Slides: 33