Pag. 1 eidos consult Roma, 3 Novembre 2005 Associazione Italiana Information Systems Auditors...

pag. 1eidos consult

Roma, 3 Novembre 2005

Associazione Italiana Information Systems Auditors

Capitolo ISACA di Milano

QUATTRO PASSI …TRA LE FRODI

Ing. Flavio Riciniello, Eidos ConsultRisk, Security & Fraud Management

e-mail:flavio.riciniello@eidosconsult.commobile: 3356122292

pag. 2eidos consult

IN PUNTA DI PIEDI TRA GLI IA

FOCUS SUI PUNTI CHIAVE PER LA VERIFICA

NON CI SI SOFFERMA SUGLI STRUMENTI METODOLOGICI PER LA VERIFICA

E’ CONSIDERATO “OUT OF SCOPE” LA CONSIDERAZIONE IL FRAUD MANAGEMENT PER GRUPPI (NAZIONALI O MULTINAZIONALI) DI AZIENDE

NON SI CONSIDERA IL PROBLEMA CARDINE DELLA IDENTITÀ DEI SOGGETTI / ENTITÀ’

ADOTTIAMO IL METODO BOTTOM – UP

SI SUGGERISCONO I PUNTI PIÙ IMPORTANTI PER LA VERIFICA

pag. 3eidos consult

OBIETTIVI DEL FRAUD MANAGEMENT (1)

RIDURRE E TENERE SOTTO CONTROLLO IL NUMERO DI NUOVE ACQUISIZIONI CON FRODE ACCERTATA

RIDURRE E TENERE SOTTO CONTROLLO IL NUMERO ED IL VOLUME DELLE FRODI

RIDURRE IL NUMERO DELLE POSIZIONI ED IL VOLUME DEL CREDITO RELATIVI A FRODI

RIDURRE IL NUMERO DI RECLAMI PER TRANSAZIONI NON RICONOSCIUTE

pag. 4eidos consult

OBIETTIVI DEL FRAUD MANAGEMENT (2)

FARE CUSTOMER RETENTION E WINBACK

ANTICIPARE LA CONCORRENZA NEL CONTROLLARE LE FRODI MEGLIO E PIÙ VELOCEMENTE

FAR DIVENIRE IL FRAUD MANAGEMENT UN’OPPORTUNITA’ PER INCREMENTARE I RICAVI

“SPOSTARE” VERSO LA CONCORRENZA LE FRODI, IL NUMERO DELLE POSIZIONI ED IL VOLUME DEL CREDITO RELATIVI A FRODI

pag. 5eidos consult

PROCESSO DI FRAUD MANAGEMENT

PREVENZIONE (Processo, FMS, Servizi/Prodotti)

CONTROLLO FRODI

INTELLIGENCE

MONITORING (Processo, SLA, KPI, Performance)

VALUTAZIONI ECONOMICHE (Perdite, Costi, Danno evitato, Benefici)

pag. 6eidos consult

CARATTERISTICHE DEL PROCESSO

MISURABILITÀ E CONTROLLABILITÀ

TEMPESTIVITÀ

FLESSIBILITÀ E ADATTABILITÀ

EFFICACIA

EFFICIENZA

CONTINUITÀ

GRADO DI COPERTURA

pag. 7eidos consult

MISURABILITA’ TUTTE LE CARATTERISTICHE DEL PROCESSO (PERSONE, AZIONI, TEMPI, RISULTATI) DEBBONO POTER ESSERE QUANTIFICATE IN TEMPO (GIORNALMENTE)

CONTROLLABILITA’ IL PROCESS OWNER DEVE POTER METTERE IN ATTO TUTTE LE AZIONI DI CONTRASTO (REGOLE, MODIFICHE AL PROCESSO OPERATIVO DI ALTO LIVELLO) RAPIDAMENTE CON SOLE OPERAZIONI DI CONFIGURAZIONE.

MISURABILITÀ E CONTROLLABILITA’

pag. 8eidos consult

RITARDO ALLA GENERAZIONE ALLARMI

RITARDO ALLA GENERAZIONE DEI CASI

RITARDO ALLA PRESA IN CARICO DEI CASI

DURATA GLOBALE DI LAVORAZIONE DEI CASI

RITARDO ALLA EFFETTUAZIONE DELLE AZIONI DI CONTRASTO (BARRING)

RITARDO ALL’INCASSO ANTICIPATO

TEMPESTIVITA’ (1)

pag. 9eidos consult

ACQUISIZIONE DELLE VARIAZIONI

ATTUAZIONE DELLE AZIONI DI CONTRASTO

AGGIORNAMENTO DEI SISTEMI DI RETE

AGGIORNAMENTO DEI SISTEMI DI COMMERCIALIZZAZIONE

CONTINUITA’ DELLE ACQUISIZIONI DI DATI, DEGLI AGGIORNAMENTI E DELLE ELABORAZIONI

TEMPESTIVITA’ (2)

pag. 10eidos consult

MISURE: media, quantile 0,95

PERIODO DI CONTROLLO: ogni lunedì

GRANULARITA’: singola unità territoriale

CLIENTELA: ogni tipo di clientela

TEMPESTIVITA’ (3)

pag. 11eidos consult

MODIFICHE DEI TIPI DI REGOLE (ad esempio entro la mezzanotte)

VARIAZIONI ORGANIZZATIVE (a livello di responsabilità del caso per la lavorazione, assetto territoriale, ecc.)

STATISTICHE (assicurare sempre la disponibilità anche in corso di variazioni organizzative o modifiche a regole)

FLESSIBILITA’ E ADATTABILITA’

pag. 12eidos consult

MISURA DEI RISULTATI CONSEGUITI IN RELAZIONE AI TARGET E TEMPI FISSATI

MISURA DELLA EFFICACIA IN TERMINI DI DIMINUZIONE DEI VOLUMI DEI RECLAMI DA TRAFFICO, DIMINUZIONE DEI VOLUMI DI RICORSO AD ARBITRATO, DIMINUZIONE DI VOLUMI DI CREDITO IN SOFFERENZA E DEI PASSAGGI A PERDITA.

DIFFERENZIAZIONE NELLE MISURE PER TIPO DI CLIENTELA ED UNITA’ TERRITORIALE.

VP, VN, FP, FN ED INDICATORI CORRELATI ALLA EFFICACIA DEL PROCESSO DECISIONALE; STIMA DELLA LATENZA

EFFICACIA

pag. 13eidos consult

REGISTRARE IL NUMERO DI ADDETTI PRESENTI DISTINTI PER TIPO ATTIVITA’

CALCOLARE I VOLUMI LAVORATI PER OGNI SINGOLO TURNO, GIORNO, UNITA’ ORGANIZZATIVA

EFFICIENZA

pag. 14eidos consult

24 ORE/GIORNO; 7 GIORNI / SETTIMANA

MADT (INTRINSECO E OPERATIONAL) ANNUO

MASSIMA DURATA SINGOLA

TEMPI DI RIPRISTINO

LIMITI DI DURATA DEI DOWN DI PROCESSO PER TIPO (INTERNO/ESTERNO, HW/SW, PERSONALE)

CONTINUITÀ DI PROCESSO(1)

pag. 15eidos consult

SISTEMI

INTERAZIONE TRA SISTEMI

RETI

ALIMENTAZIONE DEI DATI

DISPONIBILITA’ DELLE RISORSE UMANE

FAULT TOLERANCE

CONTINUITA’ DI PROCESSO(2)

pag. 16eidos consult

NOMINALE: TUTTI I SERVIZI/ PRODOTTI

TUTTI I TIPI DI FRODE, FRODI INTERNE

EFFETTIVO: LATENZA

GRADO DI COPERTURA

pag. 17eidos consult

ESERCIBILITA’

COLLAUDO INTEGRATO

FAULT TOLERANCE

CONFIGURABILITA’ DI NUOVE REGOLE

CONFIGURABILITA’ DI NUOVE SORGENTI DI DATI

CRITERI DI VALUTAZIONE DELLA GRAVITA’ DI UN CASO

ALTRE CARATTERISTICHE DEL PROCESSO (1)

pag. 18eidos consult

CRITERI DI SORTING

FLESSIBILITA’ E CONFIGURABILITA’ DEL PROCESSO OPERATIVO

TRACKING DEL PROCESSO DECISIONALE

CONTROLLO GIORNALIERO / PERIODICO DELL’EFFICACIA, DELL’EFFICIENZA E DEI KPI

ALTRE CARATTERISTICHE DEL PROCESSO (2)

pag. 19eidos consult

CAPACITA’ DI MONITORARE I PROCESSI FONDAMENTALI (ACQUISIZIONE DATI, GENERAZIONE ALLARMI, GENERAZIONE PRATICHE, INTERAZIONI CON SISTEMI ESTERNI, ETC)

PREDISPOSIZIONE PER L’HELP DESK DI TUTTI GLI INDICATORI AL GIORNO X PARAGONATI CON IL CORRISPONDENTE AL GIORNO X-7

ESERCIBILITA’ (1)

pag. 20eidos consult

CAPACITÀ DI REGOLARE LE PRESTAZIONI NEL PERIODO SUCCESSIVO AD UN EVENTO GRAVE DI INDISPONIBILITA’ DI UNA O PIU’ FUNZIONI VITALI

DIAGNOSI DI PRIMO LIVELLO PER LE “DISFUNZIONI “ DI PROCESSO OPERATIVO

STATISTICA GIORNALIERA, SETTIMANALE MENSILE, ANNUA, PROGRESSIVA E DI PERIODO DEI TIPI DI FERMI E DURATE, PERCEPITE E MISURATE

ESERCIBILITA’ (2)

pag. 21eidos consult

POSSIBILITA’ DI EFFETTUARE UN COLLAUDO INTEGRATO CON TRANSAZIONI “LIVE” SU UN SISTEMA “DUALE” IDENTICO AL SISTEMA DI RIFERIMENTO SENZA IMPATTARE SUL PROCESSO DI FRAUD MANAGEMENT

COLLAUDO INTEGRATO

pag. 22eidos consult

PIANO DELLA DEPENDABILITY

PIANO DELLE RIDONDANZE

CAPACITA’ DI GESTIRE UNO O PIU’ PROCESSI SU HW DIVERSO A SEGUITO DI DOWN SENZA DISSERVIZIO AGGIUNTIVO

FAULT TOLERANCE

pag. 23eidos consult

CREAZIONE DI NUOVE REGOLE CON UN TOOL BOX A DISPOSIZIONE DEL PROCESS ADMINISTRATOR

RIMOZIONE DI REGOLE ESISTENTI A CURA DEL PROCESS ADMINISTRATOR

TOOL BOX CON OPERATORI BOOLEANI

ESEMPIO: IF RULE # 1 OR DURATA SINGLE INTN’L CALL THEN ISSUE AN ALARM OF GRAVITY X

CONFIGURABILITA’ DI NUOVE REGOLE (1)

pag. 24eidos consult

POSSIBILITA’ DI VALUTARE LE PERFORMANCE DELLE NUOVE REGOLE E LA LORO GESTIONE (CONFERMA, RIMOZIONE CON O SENZA RIPRISTINO DELLE VECCHIE)

POSSIBILITA’ DI INSERIRE NEL FLOW DEI CASI DA LAVORARE QUELLI CHE FOSSERO GENERATI DA NUOVE REGOLE SEPPURE NON ANCORA VALIDATE

VALIDAZIONE DI NUOVE REGOLE ESEGUITA TRAMITE IL SISTEMA “DUALE”

CONFIGURABILITA’ DI NUOVE REGOLE (2)

pag. 25eidos consult

MEDIATION INTEGRATO IN FMS IN MODO CHE L’AMMINISTRATORE DI SISTEMA POSSA CONFIGURARE LA NUOVA SORGENTE DI DATI

CREAZIONE E CONFIGURAZIONE ON LINE DELLE NUOVE REGOLE AD HOC PER I NUOVI SERVIZI E SET-UP DEI PARAMETRI

CONFIGURABILITA’ DI NUOVE SORGENTI DI DATI / SERVIZI

pag. 26eidos consult

CALCOLO DI PIU’ INDICI DI GRAVITA’ CHE VALUTANO IL PESO ECONOMICO DEL DANNO POTENZIALE SECONDO VARI CRITERI

LA VALUTAZIONE DEVE POTER ESSERE FATTA SECONDO VARI CRITERI (AD ESEMPIO EFFETTIVA O STANDARD ) E PER TUTTI I SERVIZI PRODOTTI O SOLO ALCUNI

CRITERI DI VALUTAZIONE DELLA GRAVITA’ DI UN CASO

pag. 27eidos consult

CRITERI DI SORTING

SORTING IN FASE DI SOLA VISUALIZZAZIONE

SORTING IN FASE DI LAVORAZIONE

SORTING A LIBERA SCELTA DELL’ADDETTO A SECONDA DEL TIPO DI CLIENTE ( AD ESEMPIO CONSUMER, BUSINESS, LARGE BUSINESS)

pag. 28eidos consult

FLESSIBILITA’ E CONFIGURABILITA’ DEL PROCESSO OPERATIVO

CONFIGURABILITA’ DEL PROCESSO DI ALTO LIVELLO (CHI FA CHE COSA E QUANDO) IN OCCASIONE DI CAMBI DI STRUTTURA ORGANIZZATIVA O DI SITUAZIONI DI EMERGENZA

POSSIBILITA’ DI ASSEGNARE A GRUPPI PREASSEGNATI, O DA DEFINIRE, I CASI DI VARI TIPI DI CLIENTELA, IN BASE ALLO

SKILL, ALLE NECESSITA’ CONTINGENTI O ALLE RESPONSABILITA’ ORGANIZZATIVE

pag. 29eidos consult

MISURE: FALSI POSITIVI, FALSI NEGATIVI, SPECIFICITA’, PREVALENZA, SENSIBILITA’, INDIFFERENZA, SUSCETTIBILITA’, EFFICIENZA, PREDICIBILITA’ DEI VERI POSITIVI E DEI VERI NEGATIVI

PERIODO DI CONTROLLO: GIORNALIERA, SETTIMANALE, MENSILE, ANNUA

GRANULARITA’: UNITA TERRITORIALE ORGANIZZATIVA O OPERATIVA

TRACKING DEL PROCESSO DECISIONALE (1)

pag. 30eidos consult

CLIENTELA: PER OGNI TIPO DI CLIENTELA

FASI DI CONTROLLO: NEI PASSAGGI DI RESPONSABILITA’ E IN OCCASIONE DI EVENTI RILEVANTI QUALI DECISIONI FORMALI O OCCRRENZA D EVENTI QUALI IL PAGAMENTO / NON PAGAMENTO DI FATTURA , DI FATTURA ANTICIPATA, ETC.

TRACKING DEL PROCESSO DECISIONALE (2)

pag. 31eidos consult

STRUMENTI: CARTE DI CONTROLLO, STATISTICHE

FREQUENZA : GIORNALIERA, SETTIMANALE, MENSILE, ANNUA

GRANDEZZE CONTROLLATE: KPI, OBIETTIVI PERSONALI E DI GRUPPO, EFFICACIA DEL PROCESSO DECISIONALE, EFFICACIA DELLE AZIONI MESSE IN ATTO

CONTROLLO DI EFFICACIA, EFFICIENZA E KPI (1)

pag. 32eidos consult

CALCOLO PRODUTTIVITA’: PER OGNI UNITA’ ORGANIZZATIVA MISURARE GIORNALMENTE PER CIASCUN TURNO GIORNO, SETTIMANA, MESE, ANNO, I VOLUMI, LE PERFORMANCE

RITARDO ALLE AZIONI CORRETTIVE :

•24 ORE MAX PER GLI INTERVENTI DI PRODUTTIVITA’ O SCARSE PRESTAZIONI/EFFICACIA

• 7 GIORNI MAX : PER GLI INTERVENTI DI ALTRA NATURA GIORNALIERA, SETTIMANALE, MENSILE, ANNUA

CONTROLLO DI EFFICACIA, EFFICIENZA E KPI (2)

pag. 33eidos consult

GRAZIE

PER

L’ATTENZIONE