Эффективное управлениеинформационными рискамиСобрание Ukrainian Information Security Group IVВладимир Матвийчук, CISA, CIS...
Что такое управление рискамиРиск - произведение вероятности возникновения неблагоприятного события навеличину потерь, полу...
Что дает управление рисками?     Оберегает нас от проблем                       Делает наш бизнес лучше     Растущее колич...
EY RiskUniverse®                                                         Учет                                             ...
Модель управления рисками Ernst &YoungЦели бизнеса, требованиярегулирующих органов и указанияуправляющего совета , которые...
Бизнес факторы             Бизнес-факторы - это условия, которые помогают определить, почему             наличие программы...
Стратегия управления рисками             Стратегия управления рисками – это кратким, высокоуровневый план             план...
Управление, политики и стандарты             Управление – владение, ответственность и контроль являются             краеуг...
Риск-аппетит►   Риск нельзя свести к абсолютному минимуму    ►    Невозможно выявить все источники рисков    ►    Уменьшен...
Определение и категоризация рисков              Организации должны определить целостный процесс для идентификации и       ...
Процессы и операционные практики              Процессы и операционные процедуры - это сердце исполнительной части         ...
Выбор методики управления рисками►   Существует множество специализированных методик по оценке информационных рисков,    к...
Инструменты и технологии              Инструменты и технологии, используемые при управлении рисками              существен...
Управление персоналом и организацией              Соответствующие структуры управления на функциональном и линейном       ...
Соответствие, мониторинг и отчетность              Соответствие, мониторинг и отчетность – критичные компоненты для       ...
Управление рисками – циклический,постоянно совершенствующийся процесс                                                     ...
Вопросы?       Спасибо за внимание!    Владимир Матвийчук, CISA, CISM, ITILF    Услуги в области информационных технологий...
Upcoming SlideShare
Loading in …5
×

Effective risk management

1,610 views

Published on

1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
1,610
On SlideShare
0
From Embeds
0
Number of Embeds
243
Actions
Shares
0
Downloads
61
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Effective risk management

  1. 1. Эффективное управлениеинформационными рискамиСобрание Ukrainian Information Security Group IVВладимир Матвийчук, CISA, CISM, ITILF
  2. 2. Что такое управление рискамиРиск - произведение вероятности возникновения неблагоприятного события навеличину потерь, полученных в результате наступления такого событияУправление рисками - процесс принятия и выполнения управленческих решений,направленных на снижение вероятности возникновения неблагоприятного результатаи минимизацию возможных потерь, вызванных его реализациейСтраница 2
  3. 3. Что дает управление рисками? Оберегает нас от проблем Делает наш бизнес лучше Растущее количество Координация Улучшение нормативных нарушений и действий по бизнес- нарушений безопасности Цели управлению процессов рисками Огромные штрафы Жесткие Оптимизация Эффективное санкции контролей использование технологий УлучшениеКатастрофические Уголовно- процесса последствия для правовые отчетности и репутации последствия Сокращение раскрытия затрат информации по рискамВсе слишком утрировано и усложнено… Пока у Должно… нас не начались проблемы Но как мы можем это сделать?Страница 3
  4. 4. EY RiskUniverse® Учет и отчетность Ликвидность Рынок Динамика рынка Структура капитала Основные инициативы Кредитный Слияние, поглощение и ФИНАНСОВЫЕ отчуждение Разработка активов продуктов СТРАТЕГИЧЕСКИЕПланирование иРаспределение ресурсов E&Y RISKUNIVERSEä Продажи и маркетинг Коммуникации и ОПЕРАЦИОННЫЕ Поставки связи с инвесторами СООТВЕТСТВИЯ Управление Люди Нормы поведения Информационные технологии Правовой Регуляторный Налоги Основные Прерывание фонды деятельностиСтраница 4
  5. 5. Модель управления рисками Ernst &YoungЦели бизнеса, требованиярегулирующих органов и указанияуправляющего совета , которые Корпоративная модель управления рисками,определяют требования к управлению стратегия, толерантность к риску,рисками Бизнес метод управления и ожидания от управления факторы рисками Стратегия управления Владение, ответственность,Определение рисков, сферы рисками контроль выполнения программ ирисков, ключевые индикаторы управление требованиями к оценке,рисков, библиотека рисков и улучшению и мониторингу рисковконтролей, сценарии рисковых Управление,событий и критерии к политики и стандартыопределению рейтинга рисков Определение и категоризация рисков Инструменты для облегченияПроцессы, процедуры и методы Процессы и процесса управления рисками Инструменты и Управлениеуправления рисками операционные технологии персоналом и практики организацией Организационная структура, роли и обязанности, программа обучения и Соответствие, мониторинг и отчетность персонал для управления рискамиМатрица рисков: непрерывноенаблюдение и отчетность обэффективности управления рискамиСтраница 5
  6. 6. Бизнес факторы Бизнес-факторы - это условия, которые помогают определить, почему наличие программы управления информационными рисками необходимо с точки зрения бизнеса. Они отражают цели, миссию и видение программы с точки зрения бизнес- целей, регуляторных требований и директив высшего руководства.Страница 6
  7. 7. Стратегия управления рисками Стратегия управления рисками – это кратким, высокоуровневый план план, который формулирует видение и направление для управления рисками в организации. План должен содержать: ► Руководство по принятию рисков ► Описание процесса управления рисками ► Ожидания для функции управления рисками ► Описание интеграции процессов управления рисками и операционных процессовСтраница 7
  8. 8. Управление, политики и стандарты Управление – владение, ответственность и контроль являются краеугольным камнем эффективной программы управления рисками. Управление рисками включает в себя организационный подход и операционную модель обширной программы, поддерживающей процессы управления рисками. Структура позволяет организациям принимать соответствующие решения рисков и поддерживает возможность осуществлять руководство над всеми рисками. Ключевым элементом управления являются эффективные политики и стандарты. Политики и стандарты - программа управления рисками должна определить политики, стандарты и процедуры с участием бизнес-функций и информационных технологий. Процесс принятия решений должен быть справедливым для всех заинтересованных сторон. Также он должен обеспечивать эффективное исполнение политик и процедур. Политики и процедуры отражают риск-аппетит организации .Страница 8
  9. 9. Риск-аппетит► Риск нельзя свести к абсолютному минимуму ► Невозможно выявить все источники рисков ► Уменьшение некоторых рисков требует чрезмерных затрат ► Принятие некоторых рисков позволяет увеличить доходность► Установление предельного значения риска позволяет определить, до какой степени данный риск следует минимизировать, а до какой – принять Затраты Суммарные затраты Затраты на контроли Ожидаемые потери Оптимальные затраты РискиСтраница 9
  10. 10. Определение и категоризация рисков Организации должны определить целостный процесс для идентификации и классификации рисков. Он должен включать таксономию рисков и внутренних контролей, ранжирование и приоритезацию рисков, определение периодичности оценки рисков и контролей. Ранжирование и приоритезация рисков критичны для эффективного распределения ресурсов для управления рисками в масштабах предприятия. Идентифицированные риски профилируются, а затем приоритезируются. После приоритезации рисков, руководство использует категории или профили для группировки рисков по системам и процессам.Страница 10
  11. 11. Процессы и операционные практики Процессы и операционные процедуры - это сердце исполнительной части программы. Они должны быть напрямую связаны с соответствующими стандартами по управлению рисками. Основные процессы управления рисками должны включать следующие элементы: ► Измерение риска и метрики ► Оценка рисков, оценка контроля риска, самооценка контроля риска ► Детальный анализ рисков, включая сценарный анализ или оценку угроз и уязвимостей ► Отчетность ► Принятие решения ► Определение потерь ► Планирование снижения рисков ► Принятие риска и исключения Процесс управления рисками должен соответствовать юридическим и регуляторным требованиям должен быть включен или связан с соответствующими процессами (защита персональных данных, информационная безопасность, обеспечение непрерывности бизнеса и т.д.) В больших организациях для внедрения целостного процесса управления рисками необходимо обеспечить надежную коммуникацию, сфокусированную на вопросы управления изменениями, методологических принципах процесса, обеспечить необходимые тренингиСтраница 11
  12. 12. Выбор методики управления рисками► Существует множество специализированных методик по оценке информационных рисков, которые раскрывают процесс управления информационными рисками с разной степенью детализации► Критерии для выбора методики управления рисками (список не исчерпывающий): ► Тип организации (государственная ,большая, средняя, маленькая, коммерческая, некоммерческая) ► Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.) ► Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.) ► Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная для членов ассоциации и т.д.) ► Уровень знаний специалистов, необходимый для использования методик (высокий, средний, базовый) ► Наличие инструментария для автоматизации и его стоимость (есть / нет, платный / бесплатный) ► Регуляторные требованияСтраница 12
  13. 13. Инструменты и технологии Инструменты и технологии, используемые при управлении рисками существенно различаются по зрелости в возможностям. Многие большие организации стремятся либо создать собственные системы управления рисками либо используют доступные на рынке коммерческие решение Такие системы агрегируют информацию по рискам, подготавливают отчетность и т.д. Организации должны переоценивать используемый инструментарий на предмет того, что он соответствует текущим требованиям (возможности мониторинга, наличие необходимых метрик, возможности отчетности и т.д.)Страница 13
  14. 14. Управление персоналом и организацией Соответствующие структуры управления на функциональном и линейном уровнях дают возможность организации, перейти от инициатив по управлению рисками к полноценной программе управления рисками в масштабах всего предприятия Большинство компаний недооценивают временные рамки для «созревания» процесса. В большинстве случаев, это занимает два – три года от начала проекта до полного внедрения процесса, полностью интегрированного во всей организации. Следовательно, очень важно понимать целевую среду управления рисками, конечное состояние и промежуточные решения.Страница 14
  15. 15. Соответствие, мониторинг и отчетность Соответствие, мониторинг и отчетность – критичные компоненты для эффективного управления рисками Организации используют данные процессы для оценки соответствия выполнения процесса управления рисками Мониторинг и отчетность внедряются для предоставления руководству организации общей картины и трендов по рискам, контролям и уязвимостям. При разработке метрик для мониторинга и отчетности, многие организации начинают с конечного продукта (панели управления рисками), чтобы гарантировать, что показатели будут соответствовать с требованиями и видением высшего руководства. Определение ключевых индикаторов и отчетность на их основании имеют решающее значение для организации для демонстрации пользы программы и позволяют убедиться, что процесс управления рисками реализован надлежащим образом. Правильное определение, внедрение и замеры ключевых индикаторов может быть сложным и длительным процессом.Страница 15
  16. 16. Управление рисками – циклический,постоянно совершенствующийся процесс Политика и стратегия управления рисками Систематизация Соответствие рисков Key risks Action Plan Progress IT co st s/ co r e co st s Sta ff c os t s/c or e co s ts Head c ou n t 70% 2 50 Embe dded - Th e cu lture of the 2 30 organ isation shou ld reflect the risk 60% R is k base d - The comp any’s risk conscio usness of the Board. This requi res a sui ta ble orga nisation al 2 10 ma nage ment system sh ould ha ve a full Comm unicate contro l u nderstand ing of stakeh olde r req uireme nts Allocate structure, poli cies and proce dures, Целостность Оценка риска e x ectations p 50% a s i ts core and be focused on sustain ing the own ership and app ropria te staff tra inin g i n risk 1 90 cre ati on of sh arehol der value . manag ement w hich ena bles risk to be Embed culture an d manag ed at al l l evels of the bu siness. 1 70 Agree ap propr ia te c pability a 40% contr ol strateg y Monitor opera tio n/ Early N ot y et comm enced Work in progress Delay ed C om ple ted 1 50 d Em warning system s 30% se be Risks by Process 1 30 Ba Iden tify & evalua te key risks dd k ed 20% 1 10 Ris Imp le ment cor rective Strateg ic actions Tech People P 90 rocess E ternal x Ob jectives 10% Sta ke hold er Redefine sys m te Global FX 70 Co mmu nication where necessary B Define a s ance fun c s sur tion M &R M epo R e oa r d ro le s & re sponsibilities 0% 50 re vie d P1 P2 P3 P4 P5 P6 P7 P8 P9 P10 P11 su Ca E sh quities As Specifica nnual effectiveness r evie w w Agre e risk based assuran c plan e D atives eriv R eviewed - The Boa rd re view th e e ffectivene ss of the system o f risk Regular monitor in g of the Supported and assured - The syste m Fix Inc ed ome ma nageme nt on a regu lar basis in the lig ht shoul d p rovide man agemen t with th e system o f interna l c ntrol o o f curren t busin ess p erfo rma nce and future Board review assurance i t need s that risks are b eing Global Credit Products e xpectati on. This rigo ro us top do wn assuran c outputs e manag ed appro priately. Thi s a pproa ch sh ould consi der its on goin g Regular monitoring of r isk pr ofile assurance sho uld go be yo nd th e Global Corporate Fina e nc co ntri bution to th e e ffective and effi cient embed ded monitori ng proced ures o peration of th e busine ss. which are a lso requi red to be in p lace. Global Tra ction B nk nsa a Отчетность Снижение риска Обучение персоналаСтраница 16
  17. 17. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.comСтраница 17

×