Roma, 3 Novembre 2005
Associazione Italiana Information Systems
Auditors
Capitolo ISACA di Milano
QUATTRO PASSI …TRA LE FRODI
Ing. Flavio Riciniello, Eidos Consult
Risk, Security & Fraud Management
e-mail:[email protected]
mobile: 3356122292
eidos consult
pag. 1
IN PUNTA DI PIEDI TRA GLI IA
 FOCUS SUI PUNTI CHIAVE PER LA VERIFICA
 NON CI SI SOFFERMA SUGLI STRUMENTI METODOLOGICI PER
LA VERIFICA
 E’ CONSIDERATO “OUT OF SCOPE” LA CONSIDERAZIONE IL
FRAUD MANAGEMENT PER GRUPPI (NAZIONALI O
MULTINAZIONALI) DI AZIENDE
 NON SI CONSIDERA IL PROBLEMA CARDINE DELLA IDENTITÀ
DEI SOGGETTI / ENTITÀ’
 ADOTTIAMO IL METODO BOTTOM – UP
 SI SUGGERISCONO I PUNTI PIÙ IMPORTANTI PER LA
VERIFICA
eidos consult
pag. 2
OBIETTIVI DEL FRAUD MANAGEMENT (1)
 RIDURRE E TENERE SOTTO CONTROLLO IL
NUMERO DI NUOVE ACQUISIZIONI CON
FRODE ACCERTATA
 RIDURRE E TENERE SOTTO CONTROLLO IL
NUMERO ED IL VOLUME DELLE FRODI
 RIDURRE IL NUMERO DELLE POSIZIONI ED
IL VOLUME DEL CREDITO RELATIVI A FRODI
 RIDURRE IL NUMERO DI RECLAMI PER
TRANSAZIONI NON RICONOSCIUTE
eidos consult
pag. 3
OBIETTIVI DEL FRAUD MANAGEMENT (2)
 FARE CUSTOMER RETENTION E WINBACK
 ANTICIPARE LA CONCORRENZA NEL CONTROLLARE
LE FRODI MEGLIO E PIÙ VELOCEMENTE
 FAR DIVENIRE IL FRAUD MANAGEMENT
UN’OPPORTUNITA’ PER INCREMENTARE I RICAVI
 “SPOSTARE” VERSO LA CONCORRENZA LE FRODI, IL
NUMERO DELLE POSIZIONI ED IL VOLUME DEL
CREDITO RELATIVI A FRODI
eidos consult
pag. 4
PROCESSO DI FRAUD MANAGEMENT
 PREVENZIONE (Processo, FMS, Servizi/Prodotti)
 CONTROLLO FRODI
 INTELLIGENCE
 MONITORING (Processo, SLA, KPI, Performance)
 VALUTAZIONI ECONOMICHE (Perdite, Costi, Danno
evitato, Benefici)
eidos consult
pag. 5
CARATTERISTICHE DEL PROCESSO
MISURABILITÀ E CONTROLLABILITÀ
TEMPESTIVITÀ
FLESSIBILITÀ E ADATTABILITÀ
EFFICACIA
EFFICIENZA
CONTINUITÀ
GRADO DI COPERTURA
eidos consult
pag. 6
MISURABILITÀ E CONTROLLABILITA’
MISURABILITA’ TUTTE LE CARATTERISTICHE
DEL PROCESSO (PERSONE, AZIONI, TEMPI,
RISULTATI) DEBBONO POTER ESSERE
QUANTIFICATE IN TEMPO (GIORNALMENTE)
CONTROLLABILITA’ IL PROCESS OWNER
DEVE POTER METTERE IN ATTO TUTTE LE
AZIONI DI CONTRASTO (REGOLE,
MODIFICHE AL PROCESSO OPERATIVO DI
ALTO LIVELLO) RAPIDAMENTE CON SOLE
OPERAZIONI DI CONFIGURAZIONE.
eidos consult
pag. 7
TEMPESTIVITA’ (1)
RITARDO ALLA GENERAZIONE ALLARMI
RITARDO ALLA GENERAZIONE DEI CASI
RITARDO ALLA PRESA IN CARICO DEI CASI
DURATA GLOBALE DI LAVORAZIONE DEI
CASI
RITARDO ALLA EFFETTUAZIONE DELLE
AZIONI DI CONTRASTO (BARRING)
RITARDO ALL’INCASSO ANTICIPATO
eidos consult
pag. 8
TEMPESTIVITA’ (2)
ACQUISIZIONE DELLE VARIAZIONI
ATTUAZIONE DELLE AZIONI DI CONTRASTO
AGGIORNAMENTO DEI SISTEMI DI RETE
AGGIORNAMENTO DEI SISTEMI DI
COMMERCIALIZZAZIONE
CONTINUITA’ DELLE ACQUISIZIONI DI
DATI, DEGLI AGGIORNAMENTI E DELLE
ELABORAZIONI
eidos consult
pag. 9
TEMPESTIVITA’ (3)
MISURE: media, quantile 0,95
PERIODO DI CONTROLLO: ogni lunedì
GRANULARITA’: singola unità territoriale
CLIENTELA: ogni tipo di clientela
eidos consult
pag. 10
FLESSIBILITA’ E ADATTABILITA’
MODIFICHE DEI TIPI DI REGOLE (ad
esempio entro la mezzanotte)
VARIAZIONI ORGANIZZATIVE (a livello di
responsabilità del caso per la lavorazione,
assetto territoriale, ecc.)
STATISTICHE (assicurare sempre la
disponibilità anche in corso di variazioni
organizzative o modifiche a regole)
eidos consult
pag. 11
EFFICACIA
MISURA DEI RISULTATI CONSEGUITI IN RELAZIONE AI
TARGET E TEMPI FISSATI
MISURA DELLA EFFICACIA IN TERMINI DI
DIMINUZIONE DEI VOLUMI DEI RECLAMI DA
TRAFFICO, DIMINUZIONE DEI VOLUMI DI RICORSO AD
ARBITRATO, DIMINUZIONE DI VOLUMI DI CREDITO IN
SOFFERENZA E DEI PASSAGGI A PERDITA.
DIFFERENZIAZIONE NELLE MISURE PER TIPO DI
CLIENTELA ED UNITA’ TERRITORIALE.
VP, VN, FP, FN ED INDICATORI CORRELATI ALLA
EFFICACIA DEL PROCESSO DECISIONALE; STIMA DELLA
LATENZA
eidos consult
pag. 12
EFFICIENZA
REGISTRARE IL NUMERO DI ADDETTI
PRESENTI DISTINTI PER TIPO ATTIVITA’
CALCOLARE I VOLUMI LAVORATI PER
OGNI SINGOLO TURNO, GIORNO, UNITA’
ORGANIZZATIVA
eidos consult
pag. 13
CONTINUITÀ DI PROCESSO(1)
 24 ORE/GIORNO; 7 GIORNI / SETTIMANA
 MADT (INTRINSECO E OPERATIONAL) ANNUO
 MASSIMA DURATA SINGOLA
 TEMPI DI RIPRISTINO
 LIMITI DI DURATA DEI DOWN DI PROCESSO PER
TIPO (INTERNO/ESTERNO, HW/SW, PERSONALE)
eidos consult
pag. 14
CONTINUITA’ DI PROCESSO(2)
SISTEMI
INTERAZIONE TRA SISTEMI
RETI
ALIMENTAZIONE DEI DATI
DISPONIBILITA’ DELLE RISORSE UMANE
FAULT TOLERANCE
eidos consult
pag. 15
GRADO DI COPERTURA
 NOMINALE: TUTTI I SERVIZI/ PRODOTTI
TUTTI I TIPI DI FRODE,
FRODI INTERNE
 EFFETTIVO: LATENZA
eidos consult
pag. 16
ALTRE CARATTERISTICHE DEL PROCESSO (1)
ESERCIBILITA’
COLLAUDO INTEGRATO
FAULT TOLERANCE
CONFIGURABILITA’ DI NUOVE REGOLE
CONFIGURABILITA’ DI NUOVE SORGENTI DI
DATI
CRITERI DI VALUTAZIONE DELLA GRAVITA’
DI UN CASO
eidos consult
pag. 17
ALTRE CARATTERISTICHE DEL PROCESSO (2)
CRITERI DI SORTING
FLESSIBILITA’ E CONFIGURABILITA’ DEL
PROCESSO OPERATIVO
TRACKING DEL PROCESSO DECISIONALE
CONTROLLO GIORNALIERO / PERIODICO
DELL’EFFICACIA, DELL’EFFICIENZA E DEI KPI
eidos consult
pag. 18
ESERCIBILITA’ (1)
CAPACITA’ DI MONITORARE I PROCESSI
FONDAMENTALI (ACQUISIZIONE DATI,
GENERAZIONE ALLARMI, GENERAZIONE
PRATICHE, INTERAZIONI CON SISTEMI
ESTERNI, ETC)
PREDISPOSIZIONE PER L’HELP DESK DI
TUTTI GLI INDICATORI AL GIORNO X
PARAGONATI CON IL CORRISPONDENTE AL
GIORNO X-7
eidos consult
pag. 19
ESERCIBILITA’ (2)
CAPACITÀ DI REGOLARE LE PRESTAZIONI
NEL PERIODO SUCCESSIVO AD UN EVENTO
GRAVE DI INDISPONIBILITA’ DI UNA O PIU’
FUNZIONI VITALI
DIAGNOSI DI PRIMO LIVELLO PER LE
“DISFUNZIONI “ DI PROCESSO OPERATIVO
STATISTICA GIORNALIERA, SETTIMANALE
MENSILE, ANNUA, PROGRESSIVA E DI
PERIODO DEI TIPI DI FERMI E DURATE,
PERCEPITE E MISURATE
eidos consult
pag. 20
COLLAUDO INTEGRATO
POSSIBILITA’ DI EFFETTUARE UN
COLLAUDO INTEGRATO CON
TRANSAZIONI “LIVE” SU UN SISTEMA
“DUALE” IDENTICO AL SISTEMA DI
RIFERIMENTO SENZA IMPATTARE SUL
PROCESSO DI FRAUD MANAGEMENT
eidos consult
pag. 21
FAULT TOLERANCE
PIANO DELLA DEPENDABILITY
PIANO DELLE RIDONDANZE
CAPACITA’ DI GESTIRE UNO O PIU’
PROCESSI SU HW DIVERSO A SEGUITO DI
DOWN SENZA DISSERVIZIO AGGIUNTIVO
eidos consult
pag. 22
CONFIGURABILITA’ DI NUOVE REGOLE (1)
CREAZIONE DI NUOVE REGOLE CON UN
TOOL BOX A DISPOSIZIONE DEL PROCESS
ADMINISTRATOR
RIMOZIONE DI REGOLE ESISTENTI A CURA
DEL PROCESS ADMINISTRATOR
TOOL BOX CON OPERATORI BOOLEANI
ESEMPIO: IF RULE # 1 OR DURATA SINGLE
INTN’L CALL THEN ISSUE AN ALARM OF
GRAVITY X
eidos consult
pag. 23
CONFIGURABILITA’ DI NUOVE REGOLE (2)
POSSIBILITA’ DI VALUTARE LE
PERFORMANCE DELLE NUOVE REGOLE E LA
LORO GESTIONE (CONFERMA, RIMOZIONE
CON O SENZA RIPRISTINO DELLE VECCHIE)
POSSIBILITA’ DI INSERIRE NEL FLOW DEI
CASI DA LAVORARE QUELLI CHE FOSSERO
GENERATI DA NUOVE REGOLE SEPPURE
NON ANCORA VALIDATE
VALIDAZIONE DI NUOVE REGOLE
ESEGUITA TRAMITE IL SISTEMA “DUALE”
eidos consult
pag. 24
CONFIGURABILITA’ DI NUOVE SORGENTI
DI DATI / SERVIZI
 MEDIATION INTEGRATO IN FMS IN MODO
CHE L’AMMINISTRATORE DI SISTEMA
POSSA CONFIGURARE LA NUOVA
SORGENTE DI DATI
 CREAZIONE E CONFIGURAZIONE ON LINE
DELLE NUOVE REGOLE AD HOC PER I
NUOVI SERVIZI E SET-UP DEI PARAMETRI
eidos consult
pag. 25
CRITERI DI VALUTAZIONE DELLA
GRAVITA’ DI UN CASO
 CALCOLO DI PIU’ INDICI DI GRAVITA’ CHE
VALUTANO IL PESO ECONOMICO DEL
DANNO POTENZIALE SECONDO VARI
CRITERI
 LA VALUTAZIONE DEVE POTER ESSERE
FATTA SECONDO VARI CRITERI (AD
ESEMPIO EFFETTIVA O STANDARD ) E PER
TUTTI I SERVIZI PRODOTTI O SOLO
ALCUNI
eidos consult
pag. 26
CRITERI DI SORTING
 SORTING IN FASE DI SOLA
VISUALIZZAZIONE
 SORTING IN FASE DI LAVORAZIONE
 SORTING A LIBERA SCELTA DELL’ADDETTO
A SECONDA DEL TIPO DI CLIENTE ( AD
ESEMPIO CONSUMER, BUSINESS, LARGE
BUSINESS)
eidos consult
pag. 27
FLESSIBILITA’ E CONFIGURABILITA’
DEL PROCESSO OPERATIVO
 CONFIGURABILITA’ DEL PROCESSO DI ALTO
LIVELLO (CHI FA CHE COSA E QUANDO) IN
OCCASIONE DI CAMBI DI STRUTTURA
ORGANIZZATIVA O DI SITUAZIONI DI
EMERGENZA
 POSSIBILITA’ DI ASSEGNARE A GRUPPI
PREASSEGNATI, O DA DEFINIRE, I CASI DI
VARI TIPI DI CLIENTELA, IN BASE ALLO SKILL,
ALLE NECESSITA’ CONTINGENTI O ALLE
RESPONSABILITA’ ORGANIZZATIVE
eidos consult
pag. 28
TRACKING DEL PROCESSO DECISIONALE (1)
MISURE: FALSI POSITIVI, FALSI NEGATIVI,
SPECIFICITA’, PREVALENZA, SENSIBILITA’,
INDIFFERENZA, SUSCETTIBILITA’,
EFFICIENZA, PREDICIBILITA’ DEI VERI
POSITIVI E DEI VERI NEGATIVI
PERIODO DI CONTROLLO: GIORNALIERA,
SETTIMANALE, MENSILE, ANNUA
GRANULARITA’: UNITA TERRITORIALE
ORGANIZZATIVA O OPERATIVA
eidos consult
pag. 29
TRACKING DEL PROCESSO DECISIONALE (2)
CLIENTELA: PER OGNI TIPO DI CLIENTELA
FASI DI CONTROLLO: NEI PASSAGGI DI
RESPONSABILITA’ E IN OCCASIONE DI
EVENTI RILEVANTI QUALI DECISIONI
FORMALI O OCCRRENZA D EVENTI QUALI IL
PAGAMENTO / NON PAGAMENTO DI
FATTURA , DI FATTURA ANTICIPATA, ETC.
eidos consult
pag. 30
CONTROLLO DI EFFICACIA, EFFICIENZA E KPI (1)
STRUMENTI: CARTE DI CONTROLLO,
STATISTICHE
FREQUENZA : GIORNALIERA, SETTIMANALE,
MENSILE, ANNUA
GRANDEZZE CONTROLLATE: KPI, OBIETTIVI
PERSONALI E DI GRUPPO, EFFICACIA DEL
PROCESSO DECISIONALE, EFFICACIA DELLE
AZIONI MESSE IN ATTO
eidos consult
pag. 31
CONTROLLO DI EFFICACIA, EFFICIENZA E KPI (2)
CALCOLO PRODUTTIVITA’: PER OGNI UNITA’
ORGANIZZATIVA MISURARE GIORNALMENTE PER
CIASCUN TURNO GIORNO, SETTIMANA, MESE,
ANNO, I VOLUMI, LE PERFORMANCE
RITARDO ALLE AZIONI CORRETTIVE :
• 24 ORE MAX PER GLI INTERVENTI DI
PRODUTTIVITA’ O SCARSE
PRESTAZIONI/EFFICACIA
• 7 GIORNI MAX : PER GLI INTERVENTI DI ALTRA
NATURA GIORNALIERA, SETTIMANALE, MENSILE,
ANNUA
eidos consult
pag. 32
GRAZIE
PER
L’ATTENZIONE
eidos consult
pag. 33