Исследование, проведенное компанией Deloitte за прошлое десятилетие (Deloitte, Disarming the Value Killers, 2005), показало, что неэффективный риск-менеджмент может быть чреват крупными неприятностями: «Почти половина компаний Fortune 1000 потеряли более 20% своей стоимости за месяц. Кроме того, у 50% этих фирм больше года ушло на то, чтобы восстановить свою стоимость, а 22% из них не могут это сделать по настоящее время».

Плохое понимание рисков может обернуться серьезными потерями. Ограниченное или неэффективное прогнозирование рисков является причиной возникновения непредвиденных инцидентов и, как следствие, убытков. Часто многие несущественные риски связаны между собой, и даже незначительные инциденты могут вызвать цепь событий, которые приведут к большим потерям.

Исследование, проведенное Aberdeen Group в августе 2011 года в компаниях, уделяющих внимание управлению рисками, выявило тенденции последних двух лет, которые отражены на рис.1.

Таким образом, рисками можно и нужно управлять, так же как внутренними бизнес-процессами компании.

Отметим, что 87% рисков не относятся к финансовым.

Для многих компаний основой риск-менеджмента является финансовый контроль. Однако недавнее исследование показало, что 87% идентифицированных рисков были нематериальными (IBM Global Business Services, CFO 2008). Нематериальные источники рисков, способные весьма серьезно воздействовать на компанию, включают эксплуатационные, правовые, стратегические, политические, геополитические риски, а также риски, связанные с безопасностью производства и влиянием на окружающую среду.

В структуре нематериальных источников риска 13 % составляют операционные риски (см. рис. 2). К ним относятся природные катастрофы, потеря данных, срыв поставок, аварии на производстве, сбой в работе ERP, остановка производства. На долю правовых и нормативных рисков приходится всего 8%, сюда входят мошенничество, претензии по продукции, изменения в законодательстве, хищения, безопасность продукции. Самой большой группой в структуре нематериальных рисков являются стратегические риски - 32%, к ним относятся промышленная глобализация, ошибки при обновлении ПО, изменение спроса на продукцию, отмена крупных контрактов, соответствие стандартам качества. Второе место после стратегических рисков делят группы политических/географических рисков (смена правительства, изменение субсидий и бюджетов, кадровые изменения, нормы корпоративной ответственности, терроризм) и риски, относящиеся к охране здоровья и защите окружающей среды (болезни и эпидемии, безопасность, соответствие стандартам защиты окружающей среды, санитарные требования к продуктам питания, климатические изменения, загрязнения окружающей среды), составляя по 17%. На долю же финансовых рисков приходится 13%, включая изменения курсовых валют, изменения процентных ставок, достоверность финансовой отчетности, доступность денежных средств, непрозрачность рыночных тенденций, экономический спад, стоимость сырья и энергоресурсов.

Все источники риска связаны между собой и могут накладываться друг на друга. Например, предпосылками возникновения несчастного случая или даже чрезвычайного происшествия в виде промышленной аварии является комплекс причин - от организационных просчетов до слабой исполнительской дисциплины в компании. Следствиями аварии могут быть причинение вреда людям и окружающей среде, простои производства, значительные финансовые потери и ухудшение деловой репутации компании. В большинстве случаев аварии или несчастные случаи происходят неожиданно, но закономерно. Причины заключаются в нарушении правил и нормативов безопасности, установленных законодательством и внутренними регламентирующими документами компании. Большинство из таких инцидентов можно заблаговременно обнаружить и отреагировать таким образом, чтобы избежать серьезных последствий.

В зависимости от сферы деятельности, экономической среды, планов развития, компании могут сталкиваться с разными видами рисков, но в целом эффективное управление рисками придерживается общих целей: повышение устойчивости бизнеса, снижение убытков и максимальное увеличение прибыли.

Управление рисками в компаниях начинается с выявления и оценки всех потенциально возможных угроз.

Для этого, прежде всего, необходимо детально проанализировать существующие бизнес-процессы компании. Полученные данные дадут полную картину всех возможных рисков, угрожающих предприятию.

Оценив вероятность возникновения тех или иных рисков, их степень влияния на компанию и рассчитав возможный ущерб, можно разрабатывать реакции на выявленные риски. Это подразумевает поиск менее рискованных вариантов осуществления деятельности, то есть поиск альтернатив с возможностью получения тех же доходов. При этом необходимо сопоставлять затраты на реализацию менее рискованной сделки и размеры риска, который удастся снизить. Другими словами, не должно получиться так, что компания избежала риска потерять 10 тысяч, потратив на это 20 тысяч.

Эффективный риск-менеджмент предполагает непрерывный мониторинг всех существующих рисков, чтобы своевременно реагировать на возникающие опасности.

Применение стратегии управления рисками - это не только выработка действий в ответ на возникающие инциденты, но и изменение системы принятия управленческих решений в организации.

После оценки и анализа всех рисков руководство компании решает, принимать риски или избегать их. Принятие рисков означает, что компания полностью берет на себя ответственность за предотвращение или ликвидацию последствий от этих рисков. Решение об уклонении от рисков подразумевает избегание видов деятельности, связанных с рисками, или их страхование. В любом случае все риски должны быть известны и не быть неожиданными для руководства, нужно, чтобы решения принимались с их учетом, а не в условиях неопределенности.

Наиболее эффективный способ уменьшить все виды рисков - создать действенную систему управления рисками в компании. Она должна обеспечивать своевременное выявление и оценку рисков путем разработки внутренних положений, общих принципов и методики управления рисками. Система должна поддерживать единую среду внутреннего и внешнего контроля, процедуры контроля для всех бизнес-процессов и мониторинг совершаемых операций на уровне всех подразделений, соответствие имеющимся требованиям и положениям, процедурам проверок и сверок. Система управления рисками компании должна обеспечивать доступ и быструю передачу достоверной, точной, своевременной, доступной и полноценной информации для принятия решений и оценки текущей деятельности между ответственными лицами, а также непрерывный мониторинг текущей деятельности, который подразумевает постоянный контроль за наиболее важными рисками.

Векторы управления рисками (GRC):
Governance - управление на основании таких инструментов, как политики, процедуры, контроль, иерархия принятия решений и т. д., применяемых для управления бизнесом;
Risk - определение, управление и уменьшение неблагоприятных событий, которые потенциально могут повлиять на компанию;
Compliance - соответствие требованиям (законодательным, отраслевым и внутренним нормативам и регламентам).

Информационные технологии в управлении рисками

Существует много методов и способов идентификации и управления рисками - от современных ГОСТов в области управления рисками до стандартов системы менеджмента качества. Однако выполнить весь объем требований и процедур без применения информационных технологий - задача достаточно трудоемкая из-за большого количества и сложности этих процедур.

Решения, предназначенные для управления рисками, их оценки и выполнения нормативных требований, обеспечивают стабильность бизнеса благодаря повышению эффективности стратегии, выявлению новых возможностей и сокращению убытков в непредвиденных ситуациях.

Некоторые из них позволяют даже связать между собой информацию из разных систем, отделов и регионов, обеспечивая тем самым более высокую производительность труда.

Кроме общих, многофункциональных решений существуют также более узкие приложения, которые можно использовать как в комплексе с другими решениями, так и самостоятельно.

Все операции (процессы, планы расширения, активы и возможности компании), риски, ответные реакции и контрольные процедуры компании должны выполняться на основе различных моделей управления рисками (ISO 31000, ASNZ 4360, COSO). Желательно, чтобы они осуществлялись в единой информационной среде, это обеспечит наиболее эффективный контроль всех процессов. Решение предоставляет доступ к хранящимся в системе матрице рисков и контролей, информации по тестированию контрольных процедур, необходимой документации и данным по покрытию рисков контрольными процедурами.

Встроенные автоматические процедуры контроля (число этих процедур может доходить до нескольких сотен) значительно снижают трудозатраты на их выполнение, уменьшают число ошибок, связанных с человеческим фактором. Благодаря автоматизации контрольных процедур и быстрому предоставлению отчетности решение позволяет снизить затраты на соблюдение требований финансовой отчетности, таких как РСБУ, МСФО и закона Сарбейнса-Оксли.

Некоторые приложения позволяют быстро проводить опросы по эффективности и самооценке контрольных процедур, выполнять тестирование контрольных процедур. Например, чтобы провести опрос по самооценке процедур контроля, внутреннему аудитору необходимо: 1) создать опрос; 2) выявить ответственных пользователей; 3) разослать всем опрос; 4) собрать от каждого информацию; 5) обработать эту информацию; 6) проанализировать информацию. При помощи данного решения внутреннему аудитору достаточно один раз создать опрос, выбрать необходимый отдел предприятия, и система автоматически разошлет опросы ответственным за контрольные процедуры и обработает информацию. Аудитор сразу же сможет просмотреть отчет по самооценке. Таким образом, значительно снижается время на проведение опросов и тестирование контрольных процедур, а также на формирование отчетов по эффективности контрольных процедур, процессы становятся более прозрачными для внешних аудиторов и руководства компании. Приложение снижает затраты на аудит и позволяет руководству компании получать больше информации, касающейся соблюдения требований внутри бизнес-процессов.

Решения для управления рисками оптимизируют процедуры коллективного управления рисками, позволяя профессиональным риск-менеджерам и руководству компании быстро реагировать на финансовые, операционные и правовые риски и планировать наиболее эффективные пути развития.

Решение содержит контрольные индикаторы рисков, которые отслеживают пороговые значения рисков в информационных системах, тем самым позволяя риск-менеджерам моментально узнавать о возникающих инцидентах и отслеживать те, что уже выявлены. Руководство компании в любой момент может просмотреть отчет по существующим рискам, отследить затраты на ликвидацию рисков и с их учетом спланировать бюджет. Решение содержит средства моделирования сценариев событий, связанных с несколькими рисками, и сценарии по методу Монте-Карло.

Вовлекая в процесс управления рисками максимально необходимое количество сотрудников, информационное решение предоставляет риск-менеджерам наиболее полную информацию по рискам внутри компании, автоматизирует и ускоряет процессы передачи информации по рискам между ответственными за процессы, риск-менеджерами и руководством компании. Таким образом, минимизируется время от выявления риска до принятия решения, так как выявленный риск сразу же отображается в системе. Менеджеру по рискам автоматически приходит уведомление о выявлении риска, после чего риск-менеджер утверждает риск, проводит качественный и количественный анализ данного риска, создает реакцию по снижению, либо избеганию данного риска, может сразу же указать стоимость и назначить ответственного за выполнение действий, затем данные автоматически приходят на утверждение руководителю компании. Далее риск-менеджер в любой момент времени может оценить эффективность выполняемых действий. Данный процесс проходит в единой среде, что значительно ускоряет его и снижает вероятность ошибок.

Примером информационной системы, сочетающей в себе все перечисленные выше требования, является решение SAP GRC, которое включает большое количество методов и инструментов, позволяющих решить весь объем задач для управления рисками.

Решением SAP GRC пользуется одна из крупнейших телекоммуникационных компаний Казахстана. Интегрированная автоматизированная система была приобретена компанией, для того чтобы обеспечить информационную и инструментальную поддержку процессов управления рисками. С помощью SAP GRC компания автоматизировала основные стадии процесса управления рисками и получила такие преимущества, как контроль выполнения процедур по уменьшению риска, согласованность с корпоративными требованиями, формирование сообщений управления рисками.

Итак, для того чтобы управлять рисками эффективно, необходимо делать это на каждом этапе - от идентификации до ответных реакций; в реализацию целей GRC надо вовлекать как можно большее число сотрудников; целесообразно внедрить систему управления рисками, чтобы поддерживать прозрачность стратегических, финансовых и эксплуатационных планов развития.

Возможность активно воздействовать на возникающие риски дает компаниям неоспоримые преимущества и укрепляет конкурентные позиции.

Алексей Якушев, руководитель направления SAP BI компании «ЭВОЛА»; [email protected]
Александр Кузьминский, консультант SAP GRC компании «ЭВОЛА»; [email protected]

Первый элемент оценки риска– выявление опасности, установление источников и факторов риска, а также объектов их потенциального воздействия, основные формы такого взаимодействия.

Второй элемент оценки риска – оценка подверженности, т.е. реального воздействия, фактора риска на человека и ОС.

Третий элемент оценки риска связан с анализом воздействия факторов риска на население и ОС, определение устойчивости человека и ЭС к воздействию определенного дестабилизирующего фактора.

Четвертый, заключительный элемент оценки риска – полная характеристика риска с использованием качественных и количественных параметров. Заключительная фаза модели оценки риска, характеристика риска одновременно является первым звеном процедуры управления им.

Основная цель управления риском состоит в определении путей уменьшения риска при заданных ограничениях на ресурсы и время.

8.4.3 Модель управления риском

Модель управления риском состоит также из четырех частей и этапов.

Первый этап связан с характеристикой риска. На начальном этапе приводится сравнительная характеристика рисков с целью установления приоритетов.

На завершающей фазе оценки риска устанавливается степень опасности (вредности).

Второй этап заключается в определении приемлемости риска. Риск сопоставляется с рядом социально-экономических факторов:

− выгоды от того или иного вида хозяйственной деятельности;

− потери, обусловленные использованием вида деятельности;

− наличие и возможности регулирующих мер с целью уменьшения негативного влияния на ОС и здоровье человека.

Процесс сравнения опирается на метод «затраты – выгоды».

В сопоставлении «нерисковых» факторов с «рисковыми» проявляется суть процесса управления риском.

Возможны три варианта принимаемых решений: - риск приемлем полностью; - риск приемлем частично; - риск неприемлем полностью.

В настоящее время уровень пренебрежимого предела риска обычно устанавливают как 1% от максимально допустимого значения риска.

В двух последних случаях необходимо установить

пропорции контроля, что входит в задачу третьего этапа процедуры управления риском.

Третий этап состоит в определении пропорций контроля и заключается в выборе одной из «типовых» мер, способствующей уменьшению (в первом и во втором случае) или устранению (в третьем случае) риска.

Поскольку процессы управления рисками являются составной частью общей системы управления организации, для их описания используется та же процессная модель, что и в других стандартах систем управления. Эта модель определяет четыре группы процессов: Планирование – Реализация – Проверка – Действие (ПРПД) , что отражает стандартный цикл управления, впервые описанный в работах Деминга. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в стандартах BS 7799-3 и ISO 27005 содержится его проекция на процессы управления рисками.

Модель Деминга применительно к процессам управления рисками

Рассмотрим проекцию процессов управления рисками на процессную модель ПРПД более подробно по каждой группе процессов.

Планирование

На этапе планирования определяются политика, контекст и методология управления рисками, инвентаризуются (идентифицируются) активы и определяется их ценность, формулируются профили угроз и уязвимостей, оценивается эффективность контрмер и производится обработка рисков. Руководство организации принимает соответствующие решения и утверждает план обработки рисков.

Согласно ISO 27001, оценка рисков информационной безопасности необходима для понимания требований информационной безопасности и рисков для бизнес-активов организации.

Она включает в себя следующие мероприятия:

идентификация активов;

идентификация требований законодательства и бизнеса, применимых к идентифицированным активам;

оценивание активов с учетом идентифицированных требований законодательства и бизнеса, а также последствий нарушения конфиденциальности, целостности и доступности;

идентификация значимых угроз и уязвимостей для активов;

оценка вероятности возникновения угроз и величины уязвимостей;

вычисление рисков;

оценивание рисков по заранее определенной шкале риска.

Следующим шагом в процессе управления рисками является идентификация подходящих мер по обработке рисков для каждого из рисков, идентифицированных в ходе оценки рисков. Управлять рисками можно путем комбинирования превентивных и детектирующих механизмов контроля, тактики избежания, страхования и/или простого принятия (сохранения) риска. После того как риск был оценен, должно быть принято бизнес-решение насчет принятия необходимых мер. Во всех случаях это решение должно быть экономически обоснованным и понятным для руководителей и владельцев бизнеса, в чью компетенцию входят принятие либо оспаривание данного решения.

На следующем рисунке изображен цикл управления рисками и показаны взаимосвязи процессов в рамках этого цикла. Процесс управления рисками информационной безопасности включает определение контекста, оценку рисков, обработку рисков, принятие рисков, коммуникацию рисков, а также мониторинг и пересмотр рисков.

Взаимосвязь процессов управления рисками

Как показано на вышеприведенном рисунке, этот процесс может носить цикличный характер для деятельности по оценке и/или обработке рисков. Цикличный подход к проведению оценки рисков позволяет сделать оценку более глубокой и детализированной при каждой последующей итерации. При этом должен обеспечиваться баланс между минимизацией времени и усилий, затрачиваемых при определении механизмов контроля, и обеспечением надлежащей оценки высоких рисков.

Сначала определяется контекст. Затем проводится оценка рисков. Если в результате этого получено достаточно информации для эффективного определения мер, которые необходимо принять для уменьшения рисков до приемлемого уровня, то задача выполнена, и можно переходить к обработке рисков. Если информации недостаточно, проводится очередной цикл оценки рисков в пересмотренном контексте (например, критерии оценивания рисков, критерии принятия рисков или критерии оценки воздействия (ущерба)), возможно, для отдельных частей области оценки (см. на рисунке – «Точка принятия решения по рискам 1»).

Эффективность обработки рисков зависит от результатов их оценки. Возможно, обработка рисков не приведет сразу же к приемлемому уровню остаточного риска. В этом случае может потребоваться очередной цикл оценки рисков, после чего проводится дополнительная обработка рисков (см. на рисунке – «Точка принятия решения по рискам 2»).

Деятельность в сфере принятия рисков должна обеспечивать явное принятие рисков руководством организации. Это особенно важно в ситуации, когда внедрение механизмов контроля не осуществляется или откладывается, например, из-за их высокой стоимости.

В ходе всего процесса управления рисками информационной безопасности важно, чтобы информация о рисках и их обработке доводилась до сведения соответствующих руководителей и персонала. Даже до начала обработки рисков информация о выявленных рисках может оказаться очень полезной для управления инцидентами и может помочь уменьшить потенциальный ущерб. Осведомленность менеджеров и персонала о рисках, характере имеющихся механизмов контроля, направленных на их уменьшение, а также о вопросах, вызывающих обеспокоенность организации, помогает урегулировать инциденты и непредвиденные события наиболее эффективным образом. Результаты по каждому действию в процессе управления рисками информационной безопасности и точкам принятия решений должны подробно документироваться.

Реализация

На этапе реализации производится внедрение необходимых механизмов безопасности и другие действия по реализации плана обработки рисков, которые могут включать в себя, например, заключение договоров страхования, соглашений об уровне сервиса и даже корректировку планов развития бизнеса в целях избежания определенных рисков.

Проверка

После принятия решений по обработке рисков и внедрения выбранных механизмов контроля должны начинаться непрерывные действия по управлению рисками. Эти действия включают в себя процесс мониторинга рисков и эффективности СУИБ, позволяющий гарантировать, что внедренные механизмы контроля функционируют надлежащим образом.

На этапе проверки отслеживается функционирование реализованных механизмов безопасности, контролируется изменение факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

Действие

На этапе действия осуществляется совершенствование процессов управления рисками по результатам мониторинга и аудита, в случае необходимости пересматриваются определенные риски, используемые подходы и методы их оценки, вносятся изменения в нормативную и операционную документацию организации, уточняется контекст управления рисками. Постоянное совершенствование является существенной частью непрерывных действий по управлению рисками, предпринимаемых с целью повышения эффективности внедренных механизмов контроля для достижения целей, которые были установлены для СУИБ.

Далее описанный цикл управления рисками переходит на новый виток, вновь проходя стадии Планирования , Реализации , Мониторинга и Совершенствования . Процесс функционирования, развития и совершенствования СУИР реализуется по спирали. В конечном итоге все четыре группы процессов выполняются параллельно и непрерывно. Выходные данные одних процессов поступают на вход других.