Платежные карты: Бизнес-энциклопедия
Шрифт:
Применение численных методов для оценки риска при мониторинге
Мониторинг, несомненно, является весьма эффективным способом контроля мошенничества и снижения потенциальных убытков банков. Согласно требованиям международных платежных систем (МПС) эмитенты и эквайеры обязаны ежедневно генерировать и периодически анализировать данные по мониторингу.
В частности, Visa CEMEA предписывает эмитентам генерировать 16 запросов только по авторизациям и 23 запроса — эквайерам по авторизациям (9) и транзакциям (14).
Если строго формально и непредвзято исполнять требования МПС, то даже при относительно небольшом количестве карт (ТСП) количество запросов и отчетов будет составлять несколько десятков в день, что неизбежно приведет к чудовищному росту ненужных бумаг и персонала.
Практически
В данном разделе предлагается ознакомиться с оригинальным методом использования балльных оценок (скоринга) для одновременного успешного решения нескольких задач:
1) формального удовлетворения требований МПС;
2) минимизации трудозатрат и документооборота;
3) построения системы мониторинга и отчетности, которая действительно работает и позволяет своевременно выявлять подозрительные операции.
Поскольку в современном мире подавляющее большинство операций по картам совершается в режиме реального времени (выполняются авторизации), исключительно для целей усвоения основной идеи численного метода оценки предлагается сосредоточиться на мониторинге именно авторизаций, что, впрочем, ничуть не уменьшает обязательства банков в отношении мониторинга транзакций. Соответственно, хотя далее будут приводиться примеры из мониторинга авторизаций банка-эмитента, описываемые численные методы абсолютно аналогично могут быть реализованы и для эквайринга, за единственным исключением: если в эмиссии практически везде используются абсолютные значения, то в эквайринге МПС предписывают использовать в некоторых случаях отношения абсолютных величин к средним за период не менее 90 календарных дней. С точки зрения вычислений расчет средних за период не составляет никакого труда, поэтому численные методы оценки легко могут быть реализованы как по эмиссии, так и по эквайрингу — для анализа авторизаций и для транзакций.
Итак, в чем же проблема? Согласно требованиям МПС банкам, работающим с картами, необходимо ежедневно генерировать и анализировать несколько десятков отчетов, что является само по себе непростой задачей, особенно в части анализа. Представьте себе, даже при небольшом портфеле (2–3 тысячи активных карт), какой хорошей памятью нужно обладать сотруднику, анализирующему отчеты, чтобы заметить, что карта с одним и тем же номером попала, предположим, в отчеты под номерами 1, 5 и 12? А если активных карт сотни тысяч? Как быть?
Решение — довольно простое, но работающее, проверенное и доказавшее свою эффективность и удобство.
Напомним, что эмитенты должны «пропускать» каждую карту через 16 запросов — общая сумма операций, общее число операций, анализ response code (ISO) [210] , МСС [211] , рисковых стран, количество отказов, операций в одном ТСП, анализ POS Entry Mode (PEM) [212] , cross-border [213] и проч.
210
Response Code (ISO) — код ответа на запрос: 00 — транзакция разрешена, 04 — изъять карту, 05 — отказ в обслуживании и проч. (всего порядка 80 кодов).
211
MCC (Merchant Category Code) — 4-значное число, характеризующее тип продаваемых товаров (услуг).
212
PEM (POS Entry Mode) — режим ввода номера карты в терминал (считана ли полностью дорожка с магнитной полосы, или же номера карты введен вручную)
213
Cross-border fraud — ситуация, когда в течение короткого промежутка времени запросы по карте приходят из разных стран.
Давайте попробуем по результатам прохождения карты
Основная идея: чем больше операций — тем больше баллов. Чем больше сумма операции — тем больше баллов. Чем больше отказов — тем больше баллов. Зависимость вовсе не должна быть линейной, но обязана быть прямой (с ростом числа (сумм) авторизационных запросов (отказов) растет сумма баллов, набираемых картой).
214
Здесь и далее везде под термином «операция» подразумевается авторизационный запрос, успешный или нет.
По эквайрингу — полная аналогия, но только вместо номеров карт будут выступать номера терминальных устройств (банкоматов, электронных терминалов, импринтеров).
Таким образом, если мы пропустим карты через все 16 обязательных запросов и присвоим каждой карте по результатам работы каждого запроса некоторое количество баллов, исходя из принципа «чем хуже, тем больше баллов», а потом просуммируем все 16 полученных значений для каждой карты, наибольшие суммы наберут карты, наиболее «неблагоприятные», требующие внимания и анализа.
Представим, что в нашем портфеле целых 5 карт, и вчера по ним были следующие авторизации (неважно, успешные или нет) (табл. 1).
Можно просто вычислять сумму баллов для такого запроса как некий процент от авторизованной суммы, а можно создать таблицу весов, в которой задавать пары минимальных и максимальных значений и соответствующие им веса, например:
Если сумма (эквивалент в долларах) авторизационного запроса по карте приходится между минимумом и максимумом какой-то строки, такой операции присваивается вес, находящийся в этой же строчке таблицы!
Тогда, если построить запрос на выборку с учетом данных из табл. 1 и 2, на выходе получим запрос 1 (табл. 3).
Обратите внимание на то, что при работе с переменными типа real (к каковым относятся суммы операций), необходимо учитывать, что в таблицах весов одни и те же наперед заданные значения будут находиться в разных столбцах (минимум и максимум) последовательных записей; поэтому при построении запросов на вычисление веса нужно использовать строгое равенство с одной стороны и нестрогое с другой.
Например, в табл. 2 число 200 находится в 3 строке (максимум) и в 4 (минимум).
В зависимости от выбранной модели присваивания веса, карта наберет либо
10 баллов, либо 15 (как в нашем примере).
Другой пример — теперь уже из области целых чисел. Будем анализировать количество авторизационных запросов по картам за период времени.
Предположим, с нашими картами вчера происходили следующие события (табл. 4).
Мы умышленно опускаем тему вычисления количества операций (авторизационных запросов) по карте за период времени как очевидно легкая и не представляющую интереса (владеющие даже азами работы с базами данных и SQL искренне рассмеются, прочитав этот абзац). Придумаем табличку весов, в которой постараемся осознанно назначить число баллов количеству авторизационных запросов, — например, следующий вариант (табл. 5).