ניהול סיכונים חכם: מדוע גישת ה”מפעל” עלולה להפיל את העסק שלך

אם הארגון שלכם מתעסק עם תשלומים בכל צורה שהיא, ברור שבמקודם או במאוחר יהיה צורך בהקמת מחלקת ניהול סיכונים וזה בלתי נמנע. לעיתים קרובות הצורך הזה מתגלה בצורה הדרגתית, הנראית מתונה בהתחלה אבל גוררת בעקבותיה דינמיקה מורכבת ובעייתית. אוהד סמט שופך אור על תחום שעודנו צומח בתחום אבטחת המידע

אילוסטרציה (מקור: stock.xchng)

אם הארגון שלכם מתעסק עם תשלומים בכל צורה שהיא, ברור שבמקודם או במאוחר יהיה צורך בהקמת מחלקת ניהול סיכונים וזה בלתי נמנע. לעיתים קרובות הצורך הזה מתגלה בצורה הדרגתית, הנראית מתונה בהתחלה אבל גוררת בעקבותיה דינמיקה מורכבת ובעייתית: נפח העיסקאות גדל וקל לראות שהגיע הזמן שמישהו יתחיל לבחון עיסקאות כדי למצוא הזמנות חשודות. אם מדובר בעסק קטן רוב הסיכויים הם שהאדם הזה יהיה מנהל העסק עצמו, אבל הרבה חברות שוכרות אדם אחד או שניים למשימה הזו. הם סוקרים עיסקאות בעזרת הכלים הזמינים לך כדי לסקור עיסקאות – הרבה פעמים משהו שמחלקת שירות הלקוחות משתמשת בו – וממציאים את הטכניקות ואופן העבודה שלהם ככל שהזמן עובר.

לעיתים, כאשר מופיעים הרבה חיובים חוזרים, הארגון מבין שמעט האנליסטים המועסקים בו אינם מסוגלים לסקור את כל העיסקאות בצורה יעילה מספיק, ולכן בדרך כלל מוחלט לייצר כמה חוקים אוטומטים שיקבלו החלטות לסמן עיסקאות לסקירה על ידי אנליסטים, או לדחות אותן. כיוון שהאנליסטים אינם טכנים, מוחלט ליישם את החוקים בקוד ולא בשפה גמישה שהם יוכלו לשנות על בסיס קבוע. לצורך זה מתבססים על הגדרות של מנהל מוצר, שלומד ככל יכולתו מנסיונם של האנליסטים, שבתורם לומדים מהעיסקאות הרבות (או המועטות) שהם ראו עד לאותו היום.

לאחר תקופה, מתחילה לחלחל ההבנה שהאנליסטים נמצאים במשחק חתול ועכבר בו הם מנסים ליצור חוקים כדי לעצור את ההתקפה האחרונה שמצאה את דרכה לדו”ח העיסקאות החוזרות. כמובן שזה מפיל עומס רב על המתכנתים שמתחזקים את קובץ החוקים ההולך וגדל שלך; גם לאחר שנוצר ממשק כתיבת ועדכון חוקים פשוט, לשימושם, המצב לא משתפר כיוון שריבוי החוקים שנכתבו כבר מביא לתוצאות בלתי צפויות, במיוחד אם לחוקים ניתנה האפשרות להגביל עיסקאות ולקוחות בפועל ולא רק לסמן אותם לסקירה.

מתרחבים

כעת נראה שיש צורך בסטטיסטיקאי שיריץ מודל רגרסיה, אז אחד כזה מגוייס. אם מצב ארגון ושימור המידע העסקי טוב, אז קיימת כמות מספיקה של חומר על מנת לייצר מודל סביר, ולמצוא סטטיסטיקאי זה קל – זו טכניקה כל כך בסיסית וזמינה עד שאפשר ממש לגייס אנשים מ”הרחוב” ולהפיק מהם תועלת מרובה. הסטטיסטיקאי מתחיל לעבוד ובונה מודל שפועל במסגרת הסטנדרט בתעשייה, כלומר, בערך 80 אחוז מהעיסקאות שהוא דוחה הן עיסקאות לגיטימיות לכל דבר ועניין. נפח העיסקאות לסקירה עולה ככל שנפח העיסקאות הכללי גדל והארגון נאלץ לשכור אפילו יותר אנליסטים ואנשי שירות לקוחות כדי להתמודד עם ולטפל בתלונות של לקוחות לגיטימים שנדחו – הגיוני, כיוון ש-80 אחוזי טווח טעות משמעם הרבה לקוחות לא מרוצים שיתקשרו להתלונן. הנהלת הארגון מגלה שיעילות המודל נשחקת במהירות, כיוון שהבקשה היתה לחזות איזו עיסקה תהפוך לחיוב חוזר, וכיוון שיש סיבות רבות מדוע חיובים חוזרים (לא כולן קשורות להונאה), קשה מאוד לחזות דבר כזה. כדי לייצר מודל מעודכן חייבים לחכות למאסה קריטית של הזמנות חוזרות, כדי לייצר דגימה מועילה מספיק. משמעות הדבר היא שעל הארגון להמתין שלושה חודשים לפחות מזמן הפעלת המודל האחרון כדי להתחיל פרוייקט חדש. זה, כמובן, בהינתן שיש לארגון מהנדסים זמינים כדי ליישם אותו.

השלב הבא הוא רכישה כלים למניעת הונאה, אותם מספקות חברות רבות ומגוונות. כדי לחזק את יכולת הארגון לייצר מודלים יעילים; מתחילים לייצר “רשימות חשודים” של מספרי IP ושל כתובות דואר אלקטרוני כדי לסמן עיסקאות בעייתיות. התוספת הזו משפרת את העניינים מעט אך מובילה לדחיות נוספות של לקוחות לגיטימים כיוון שמשתמשים חולקים ביניהם מספרי כתובות לעיתים קרובות, וכתובות דואר אלקטרוני חדשות נוצרות כמעט עם כל הונאה. הארגון שוקל לקנות מערכת שלמה לניהול חוקים ומודלים אבל מחליט שהעלות מוגזמת ובאופן כללי, מתחיל להראות כאילו מחלקת ניהול הסיכונים משתלטת על כל משאבי הפיתוח. מתקבלןת ההחלטה לשכור עוד אנליסטים שיסקרו עיסקאות ידנית, ומנהל מוצר שייצר תוכנית עבודה לפיתוח חוקים ומודלים, ומנהל אופרציה לניהול סיכונים כדי לנהל את קבוצת האנליסטים הגדלה, ומנהלת מחלקת ניהול סיכונים. החוקים והמודלים שכבר רצים במערכת חוסמים כל כך הרבה עיסקאות שמתחילים לתהות האם הם לא מאטים את הגדילה של מחזור המכירות במקום לסייע בהגנה על העסק. “במקום לנהל סיכונים,” אתם עשויים למצוא את עצמכם אומרים, “הם מנהלים אותי ואת כל המשאבים שלי”.

בעייתיות מודל המפעל

קל לראות שקיימת בעיה מהותית עם המודל הזה. כמובן שחלק ממה שתארתי מעלה נכון מאוד לחברה שרק מתחילה את דרכה במסחר אלקטרוני, אבל פנייה למודל ה”מפעל” בהקמת מחלקת ניהול הסיכונים היא החלטה שתגרום לקשיים רבים בשלבים מאוחרים יותר. את הטעות הזו ניתן למנוע אם מבינים שניהול סיכונים בתשלומים הוא רק אחד מתוך סדרת בעיות מיון והסקת מסקנות שחברה צריכה להתעסק בהן, ושהבעיות האלה דורשות סוג שונה של השקעה תשתיתית כאשר בונים את הצוות שיפתור אותן.

אני זוכר שיחה אחת עם עמיתה לעבודה שעברה לעבוד בחברת תשלומים חדשה. היא התעקשה לקבל תחת אחריותה לא רק את מחלקת ניהול הסיכונים אלא גם את הבינה העיסקית. ההחלטה הזו שלה היתה מבוססת על אותה ההבנה: ארגונים מייצרים כמויות עצומות של מידע מתוקף פעילותם, וכל המאמצים לייצר תובנות מהמידע הזה צריכים לשבת תחת קורת גג אחת. זה לא משנה אם אתה מייצר לידים למאמצי מכירה, משפר יחס המרה של קונים באתר או נלחם בהונאה – אתה מתעסק במשתמשים והפעולות שלהם, וכיצד החלטות אוטומטיות משפיעות עליהם. זו המיומנות של מציאת דפוסים והגיון במידע, והיא חורגת מגבולות השימוש במידע הזה כדי לעצור גנבים או משתמשים בעייתיים. ברגע שאתה מבין את זה, אתה מתחיל לדרוש יותר מהאנליסטים שלך: שיהיו טכנולוגים, שידעו כיצד להכליל ולזהות דפוסים מעבר למה שנדרש כדי לכתוב חוקים בסיסיים, שיהפכו למקור המוסמך לזיהוי התנהגויות. אתה מבין שמוצרי מדף סטנדרטים לא יפתרו את הבעיה שלך ללא התאמות. ועם ההבנה החדשה הזו, אתה בונה צוות שיכול לפתור את בעיית ניהול הסיכונים שלך, והרבה יותר מזה: לפתח מקורות מידע, לזהות טרנדים במאגרי מידע ענקיים, וליצור תובנות שישנו את האופן שבו אתה עובד עם המשתמשים שלך, בין אם הם גנבים או לגיטימים.

אז מה חסר?

בראש ובראשונה צריכה להווצר מאסה קריטית של אנשים שמתעסקים במידע בצורה יותר מאינטואיטיבית, אך באותו הזמן שאינה מסבכת יתר על המידה (לא כל אנליזה דורשת שעות עבודה על R וכתיבה מחדש של Hadoop). לאנשים האלה לוקח זמן לפתח את המיומנויות האלו, והרבה פעמים הם “נשרפים” בתהליך המיגע הזה; בקבוצת האנליזה שלי היו פחות מ-20 אנשים ולרובם הספיקו חוויות ניהול הסיכונים למשך שארית הקריירה שלהם – ועוד לא דיברנו בכלל על הקמת חברה או בניית צוות חדש. אבל כשאתה מתחיל לבנות צוות נהיול סיכונים או בינה עיסקית, ודא שאתה בונה את הגרעין הנכון, או שאתה עלול למצוא שההתחלה הבעייתית עולה לך הרבה יותר כסף ומאמץ מכפי שתכננת.

אוהד סמט

בן 31, התחיל את עיסוקו בתחום מניעת הונאות וניהול הסיכונים בסטארטאפ פרודסאיינסס, שם ניהל את מחלקת אנליזת ההונאה. לאחר רכישת פרודסאיינסס על ידי פייפאל החזיק תפקידים שונים בחברה, ביניהם הקמת צוות ניהול הסיכונים בקבוצת החדשנות של פייפאל. כיום הוא מעביר את רוב זמנו בעמק הסיליקון כחלק מחברת analyzd לייעוץ במניעת הונאה ובפרוייקטים נוספים.

הגב

2 תגובות על "ניהול סיכונים חכם: מדוע גישת ה”מפעל” עלולה להפיל את העסק שלך"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Channie Mulla
Guest
אוהד שלום, ראשית, רוצה להחמיא לך על המאמר – אכן ממצה מאד. באופן עקרוני יש לי בעיה עם סטטיסטיקה – ניהול סיכונים ככלל לא צריך להיות מבוסס על סטטיסטיקה – בעיני מודלים איכותיים עדיפים על כמותיים ובד”כ קשה להסיק מהפרט אל הכלל. מערכות מידע, לדעתי, צריכות להיות תומכות קבלת החלטות על בסיס איכותי – מידע ככל שניתן לאגור על הפרט או הגופים העסקיים מולם עובדים, באמצעים שונים. BI – צריך להיות מחולק ל-2: עסקי למערכות התפעוליות של הארגון (ייצור, שיווק, מכירה ועוד) ניהול סיכונים – לצורך מידעים פיננסיים לשמם (ומערכת תומכת של מסמכים, אמצעי זיהוי והתראות). עלות ותועלת – לפי… Read more »
אוהד סמט
Guest

היי חני,

תודה רבה. נכון שקשה להסיק מהפרט אל הכלל אבל הכללות, אגרגציות והסתברות הן בסיס לאוטומציה של תהליכים ולייעול שלהם. כמו שאני לא תומך נלהב של הגישה הכמותנית בלבד אני גם לא תומך בקיצון השני; מנסיוני, אם מסתמכים על תהליכים איכותניים בלבד נתקלים בבעית בהעברת מידע והכשרה של אנשים חדשים, כי מסתמכים יותר מדי על תחושות בטן. כיוון שקשה עד בלתי אפשרי להיות בטוחים במאה אחוז בכל פעם, האופן בו מבטאים ביטחון חלקי בהנתן המידע הקיים הוא הסתברות. השאלה היא איך משלבים כלים איכותניים עם כלים כמותניים, וזה כבר נושא לסדרה שלמה של פוסטים.

אוהד

wpDiscuz

תגיות לכתבה: