Третья часть курса по управлению рисками - минимизация рисков, отчетность и мониторинг. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...PwC Russia
Согласно результатам глобального исследования PwC «Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильности», 73 % руководителей опрошенных компаний считают, что число рисков, с которыми сталкиваются их компании, растет. При этом результаты исследования также свидетельствуют о том, что в целом компании не управляют эффективно возросшими рисками. Только 12 % респондентов продемонстрировали качества, характерные для настоящих лидеров в области управления рисками.
Отчет составлен по результатам опроса более 1200 топ-менеджеров и членов советов директоров компаний. Согласно полученным данным, лидерами в области управления рисками являются компании, в которых используется комплексный подход к анализу рисков, а функция управления рисками взаимодействует с бизнес-подразделениями в процессе принятия стратегических решений. Финансовые показатели данных компаний дают основание утверждать, что управление рисками позволяет им повысить эффективность и обеспечить рост бизнеса.
9 октября 2012 г. на площадке Digital October в Москве при поддержке Агентства стратегических инициатив прошла четвертая Ежегодная конференция «Без бумаги к 2020 г. Электронные документы – эффективная экономика».
На этот раз мы решили показать общие принципы и особенности управления рисками в разных используемых подходах и методологиях:
PMBOK PMI - американская методология.
P2M - японская методология.
Agile - подход гибкой разработки программного обеспечения в ИТ- проектах.
MSF (Microsoft Solution Framework) - подход компании Microsoft по итерационной разработке программного обеспечения.
Avos - подход, часто при меняемый в российских компаниях. Его основной тезис выражается как poka grom ne gryanet. Сильно отличается от стратегии принятии рисков.
Вторая часть курса по управлению рисками для малого и среднего бизнеса - оценка рисков. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
The document discusses a survey of 225 global executives about their Sarbanes-Oxley (SOX) compliance functions. While most organizations treat SOX compliance as a necessary burden, some have evolved to view it as an opportunity for innovation, automation, and competitive advantage. These forward-thinking companies see correlations between SOX practices and adding value to the business. The document outlines four actions for empowering SOX functions: 1) automating controls, 2) offshoring lower-cost resources, 3) leveraging IT investments, and 4) innovating strategies.
Третья часть курса по управлению рисками - минимизация рисков, отчетность и мониторинг. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...PwC Russia
Согласно результатам глобального исследования PwC «Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильности», 73 % руководителей опрошенных компаний считают, что число рисков, с которыми сталкиваются их компании, растет. При этом результаты исследования также свидетельствуют о том, что в целом компании не управляют эффективно возросшими рисками. Только 12 % респондентов продемонстрировали качества, характерные для настоящих лидеров в области управления рисками.
Отчет составлен по результатам опроса более 1200 топ-менеджеров и членов советов директоров компаний. Согласно полученным данным, лидерами в области управления рисками являются компании, в которых используется комплексный подход к анализу рисков, а функция управления рисками взаимодействует с бизнес-подразделениями в процессе принятия стратегических решений. Финансовые показатели данных компаний дают основание утверждать, что управление рисками позволяет им повысить эффективность и обеспечить рост бизнеса.
9 октября 2012 г. на площадке Digital October в Москве при поддержке Агентства стратегических инициатив прошла четвертая Ежегодная конференция «Без бумаги к 2020 г. Электронные документы – эффективная экономика».
На этот раз мы решили показать общие принципы и особенности управления рисками в разных используемых подходах и методологиях:
PMBOK PMI - американская методология.
P2M - японская методология.
Agile - подход гибкой разработки программного обеспечения в ИТ- проектах.
MSF (Microsoft Solution Framework) - подход компании Microsoft по итерационной разработке программного обеспечения.
Avos - подход, часто при меняемый в российских компаниях. Его основной тезис выражается как poka grom ne gryanet. Сильно отличается от стратегии принятии рисков.
Вторая часть курса по управлению рисками для малого и среднего бизнеса - оценка рисков. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
The document discusses a survey of 225 global executives about their Sarbanes-Oxley (SOX) compliance functions. While most organizations treat SOX compliance as a necessary burden, some have evolved to view it as an opportunity for innovation, automation, and competitive advantage. These forward-thinking companies see correlations between SOX practices and adding value to the business. The document outlines four actions for empowering SOX functions: 1) automating controls, 2) offshoring lower-cost resources, 3) leveraging IT investments, and 4) innovating strategies.
This document discusses opportunities to transform a company's Sarbanes-Oxley (SOX) compliance function for competitive advantage. It identifies four actions: 1) automating manual controls to significantly reduce SOX costs and resource burden, 2) offshoring SOX functions for lower costs, 3) leveraging existing IT investments to improve SOX processes, and 4) innovating SOX execution strategically to enhance competitive positioning. A survey found that while most firms treat SOX as a compliance exercise, some have transformed their functions to drive value through automation, cost efficiencies, and strategic innovation around SOX practices.
This document discusses current trends in business continuity management. It notes that effective BCM is rising in importance for corporations due to increased complexity, tighter margins for error, and higher expectations for resilience and recovery times after disruptions. Leading trends that companies are adopting to improve their ability to manage emergencies and minimize impacts include implementing an enterprise-wide BCM framework and governance model, integrating business impact analysis and risk assessments, leveraging technologies like cloud computing and virtualization, and fully understanding application interdependencies for recovery.
The document discusses the evolving IT risk landscape for businesses as new technologies like mobile computing, cloud services, and social media break down barriers between work and personal life. This has increased risks around data leakage, third party dependencies, and regulatory compliance. Effective IT risk management is important for businesses to address these challenges and support overall enterprise risk management and business objectives. The document outlines an "IT Risk Universe" framework that identifies 11 key risk categories including security, resilience, data, and strategy alignment that companies can use to assess their IT risk exposure. How much a company relies on defensive IT versus offensive IT impacts the priorities for managing these IT risks.
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
Increased government reporting requirements have forced those responsible for internal controls to do more. The global recession has required them to do more with less. While regulators press for accountability, investors press for performance. Now, those responsible for internal controls must now take charge by assessing their processes and tools, and execute on efforts to make them as efficient – and effective – as possible. Those able to optimize their controls will be more able to move past compliance toward improved performance and competitive advantage.
This document discusses advanced persistent threats (APTs) and provides recommendations for countering them. It notes that APTs target specific organizations over long periods to steal large amounts of sensitive information undetected. Traditional security methods are ineffective against APTs, which require new detection and response approaches using multiple layers of defense. The document recommends assuming infrastructure infiltration and granting response teams autonomy to investigate incidents. It also stresses hardening web browsers, mobile devices, and cloud applications against emerging attack vectors.
Organizations face increasing privacy challenges in 2011 due to factors such as:
1) Stricter privacy regulations and enforcement globally, with regulators planning expanded reach and tougher penalties.
2) Additional data breach notification requirements being adopted worldwide, requiring organizations to adapt processes.
3) Growing emphasis on governance, risk and compliance initiatives to better integrate privacy monitoring and reduce redundancies.
4) Issues around use of cloud computing and mobile devices, requiring organizations to implement controls over personal data use by third parties.
Overall organizations need robust strategies to proactively address evolving privacy requirements across diverse jurisdictions.
This document discusses the results of Ernst & Young's 2010 Global Information Security Survey. Some key findings include:
- 60% of respondents perceived an increase in risk due to new technologies like social media, cloud computing, and mobile devices.
- 46% planned to increase spending on information security.
- Increased workforce mobility and data leakage were significant challenges for many organizations.
- Many organizations are taking steps to address mobile security risks through policies, encryption, and identity management controls.
2. Что такое управление рисками
Риск - произведение вероятности возникновения неблагоприятного события на
величину потерь, полученных в результате наступления такого события
Управление рисками - процесс принятия и выполнения управленческих решений,
направленных на снижение вероятности возникновения неблагоприятного результата
и минимизацию возможных потерь, вызванных его реализацией
Страница 2
3. Что дает управление рисками?
Оберегает нас от проблем Делает наш бизнес лучше
Растущее количество Координация Улучшение
нормативных нарушений и действий по бизнес-
нарушений безопасности Цели управлению процессов
рисками
Огромные
штрафы Жесткие Оптимизация Эффективное
санкции контролей использование
технологий
Улучшение
Катастрофические Уголовно- процесса
последствия для правовые отчетности и
репутации последствия Сокращение
раскрытия
затрат
информации по
рискам
Все слишком утрировано и усложнено… Пока у Должно…
нас не начались проблемы Но как мы можем это сделать?
Страница 3
4. EY RiskUniverse®
Учет
и отчетность Ликвидность Рынок
Динамика
рынка Структура
капитала
Основные
инициативы
Кредитный
Слияние,
поглощение и ФИНАНСОВЫЕ
отчуждение Разработка
активов продуктов
СТРАТЕГИЧЕСКИЕ
Планирование и
Распределение
ресурсов E&Y RISKUNIVERSEä Продажи и
маркетинг
Коммуникации и ОПЕРАЦИОННЫЕ
Поставки
связи с
инвесторами СООТВЕТСТВИЯ
Управление Люди
Нормы
поведения Информационные
технологии
Правовой Регуляторный Налоги Основные Прерывание
фонды деятельности
Страница 4
5. Модель управления рисками Ernst &
Young
Цели бизнеса, требования
регулирующих органов и указания
управляющего совета , которые Корпоративная модель управления рисками,
определяют требования к управлению стратегия, толерантность к риску,
рисками Бизнес метод управления и ожидания от управления
факторы рисками
Стратегия управления Владение, ответственность,
Определение рисков, сферы рисками контроль выполнения программ и
рисков, ключевые индикаторы управление требованиями к оценке,
рисков, библиотека рисков и улучшению и мониторингу рисков
контролей, сценарии рисковых Управление,
событий и критерии к политики и стандарты
определению рейтинга рисков Определение и категоризация рисков
Инструменты для облегчения
Процессы, процедуры и методы Процессы и процесса управления рисками
Инструменты и Управление
управления рисками операционные технологии персоналом и
практики организацией
Организационная структура, роли и
обязанности, программа обучения и
Соответствие, мониторинг и отчетность персонал для управления рисками
Матрица рисков: непрерывное
наблюдение и отчетность об
эффективности управления рисками
Страница 5
6. Бизнес факторы
Бизнес-факторы - это условия, которые помогают определить, почему
наличие программы управления информационными рисками необходимо с
точки зрения бизнеса.
Они отражают цели, миссию и видение программы с точки зрения бизнес-
целей, регуляторных требований и директив высшего руководства.
Страница 6
7. Стратегия управления рисками
Стратегия управления рисками – это кратким, высокоуровневый план
план, который формулирует видение и направление для управления
рисками в организации.
План должен содержать:
► Руководство по принятию рисков
► Описание процесса управления рисками
► Ожидания для функции управления рисками
► Описание интеграции процессов управления рисками и операционных
процессов
Страница 7
8. Управление, политики и стандарты
Управление – владение, ответственность и контроль являются
краеугольным камнем эффективной программы управления рисками.
Управление рисками включает в себя организационный подход и
операционную модель обширной программы, поддерживающей процессы
управления рисками.
Структура позволяет организациям принимать соответствующие решения
рисков и поддерживает возможность осуществлять руководство над всеми
рисками.
Ключевым элементом управления являются эффективные политики и
стандарты.
Политики и стандарты - программа управления рисками должна
определить политики, стандарты и процедуры с участием бизнес-функций и
информационных технологий.
Процесс принятия решений должен быть справедливым для всех
заинтересованных сторон. Также он должен обеспечивать эффективное
исполнение политик и процедур.
Политики и процедуры отражают риск-аппетит организации
.
Страница 8
9. Риск-аппетит
► Риск нельзя свести к абсолютному минимуму
► Невозможно выявить все источники рисков
► Уменьшение некоторых рисков требует чрезмерных затрат
► Принятие некоторых рисков позволяет увеличить доходность
► Установление предельного значения риска позволяет определить, до
какой степени данный риск следует минимизировать, а до какой –
принять
Затраты
Суммарные затраты
Затраты на контроли
Ожидаемые потери
Оптимальные затраты Риски
Страница 9
10. Определение и категоризация рисков
Организации должны определить целостный процесс для идентификации и
классификации рисков.
Он должен включать таксономию рисков и внутренних контролей,
ранжирование и приоритезацию рисков, определение периодичности оценки
рисков и контролей.
Ранжирование и приоритезация рисков критичны для эффективного
распределения ресурсов для управления рисками в масштабах
предприятия.
Идентифицированные риски профилируются, а затем приоритезируются.
После приоритезации рисков, руководство использует категории или
профили для группировки рисков по системам и процессам.
Страница 10
11. Процессы и операционные практики
Процессы и операционные процедуры - это сердце исполнительной части
программы. Они должны быть напрямую связаны с соответствующими
стандартами по управлению рисками. Основные процессы управления
рисками должны включать следующие элементы:
► Измерение риска и метрики
► Оценка рисков, оценка контроля риска, самооценка контроля риска
► Детальный анализ рисков, включая сценарный анализ или оценку
угроз и уязвимостей
► Отчетность
► Принятие решения
► Определение потерь
► Планирование снижения рисков
► Принятие риска и исключения
Процесс управления рисками должен соответствовать юридическим и
регуляторным требованиям должен быть включен или связан с
соответствующими процессами (защита персональных данных,
информационная безопасность, обеспечение непрерывности бизнеса и т.д.)
В больших организациях для внедрения целостного процесса управления
рисками необходимо обеспечить надежную коммуникацию,
сфокусированную на вопросы управления изменениями, методологических
принципах процесса, обеспечить необходимые тренинги
Страница 11
12. Выбор методики управления рисками
► Существует множество специализированных методик по оценке информационных рисков,
которые раскрывают процесс управления информационными рисками с разной степенью
детализации
► Критерии для выбора методики управления рисками (список не исчерпывающий):
► Тип организации (государственная ,большая, средняя, маленькая, коммерческая,
некоммерческая)
► Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.)
► Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.)
► Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная
для членов ассоциации и т.д.)
► Уровень знаний специалистов, необходимый для использования методик (высокий,
средний, базовый)
► Наличие инструментария для автоматизации и его стоимость (есть / нет, платный /
бесплатный)
► Регуляторные требования
Страница 12
13. Инструменты и технологии
Инструменты и технологии, используемые при управлении рисками
существенно различаются по зрелости в возможностям.
Многие большие организации стремятся либо создать собственные системы
управления рисками либо используют доступные на рынке коммерческие
решение
Такие системы агрегируют информацию по рискам, подготавливают
отчетность и т.д.
Организации должны переоценивать используемый инструментарий на
предмет того, что он соответствует текущим требованиям (возможности
мониторинга, наличие необходимых метрик, возможности отчетности и т.д.)
Страница 13
14. Управление персоналом и организацией
Соответствующие структуры управления на функциональном и линейном
уровнях дают возможность организации, перейти от инициатив по
управлению рисками к полноценной программе управления рисками в
масштабах всего предприятия
Большинство компаний недооценивают временные рамки для «созревания»
процесса.
В большинстве случаев, это занимает два – три года от начала проекта до
полного внедрения процесса, полностью интегрированного во всей
организации.
Следовательно, очень важно понимать целевую среду управления рисками,
конечное состояние и промежуточные решения.
Страница 14
15. Соответствие, мониторинг и отчетность
Соответствие, мониторинг и отчетность – критичные компоненты для
эффективного управления рисками
Организации используют данные процессы для оценки соответствия
выполнения процесса управления рисками
Мониторинг и отчетность внедряются для предоставления руководству
организации общей картины и трендов по рискам, контролям и уязвимостям.
При разработке метрик для мониторинга и отчетности, многие организации
начинают с конечного продукта (панели управления рисками), чтобы
гарантировать, что показатели будут соответствовать с требованиями и
видением высшего руководства.
Определение ключевых индикаторов и отчетность на их основании имеют
решающее значение для организации для демонстрации пользы программы
и позволяют убедиться, что процесс управления рисками реализован
надлежащим образом.
Правильное определение, внедрение и замеры ключевых индикаторов
может быть сложным и длительным процессом.
Страница 15
16. Управление рисками – циклический,
постоянно совершенствующийся процесс
Политика и
стратегия
управления
рисками
Систематизация
Соответствие рисков
Key risks
Action Plan Progress
IT co st s/ co r e co st s Sta ff c os t s/c or e co s ts
Head c ou n t
70% 2 50
Embe dded - Th e cu lture of the
2 30
organ isation shou ld reflect the risk
60%
R is k base d - The comp any’s risk conscio usness of the Board. This
requi res a sui ta ble orga nisation al 2 10
ma nage ment system sh ould ha ve a full Comm unicate contro l
u nderstand ing of stakeh olde r req uireme nts Allocate structure, poli cies and proce dures,
Целостность Оценка риска
e x ectations
p 50%
a s i ts core and be focused on sustain ing the
own ership and app ropria te staff tra inin g i n risk 1 90
cre ati on of sh arehol der value . manag ement w hich ena bles risk to be
Embed culture an d manag ed at al l l evels of the bu siness. 1 70
Agree ap propr ia te c pability
a 40%
contr ol strateg y
Monitor opera tio n/ Early
N ot y et comm enced Work in progress Delay ed C om ple ted 1 50
d
Em warning system s
30%
se
be Risks by Process 1 30
Ba
Iden tify & evalua te
key risks dd
k
ed 20% 1 10
Ris
Imp le ment cor rective
Strateg ic actions
Tech People P 90
rocess E ternal
x
Ob jectives 10%
Sta ke hold er Redefine sys m
te Global FX 70
Co mmu nication where necessary
B Define a s ance fun c s
sur tion
M &R
M epo
R e oa r
d
ro le s & re sponsibilities 0% 50
re
vie d
P1 P2 P3 P4 P5 P6 P7 P8 P9 P10 P11
su
Ca E
sh quities
As
Specifica nnual
effectiveness r evie w w
Agre e risk based
assuran c plan
e
D atives
eriv
R eviewed - The Boa rd re view th e
e ffectivene ss of the system o f risk
Regular monitor in g of the Supported and assured - The syste m Fix Inc
ed ome
ma nageme nt on a regu lar basis in the lig ht shoul d p rovide man agemen t with th e
system o f interna l c ntrol
o
o f curren t busin ess p erfo rma nce and future Board review assurance i t need s that risks are b eing Global Credit Products
e xpectati on. This rigo ro us top do wn assuran c outputs
e manag ed appro priately. Thi s
a pproa ch sh ould consi der its on goin g Regular monitoring
of r isk pr ofile assurance sho uld go be yo nd th e Global Corporate Fina e
nc
co ntri bution to th e e ffective and effi cient embed ded monitori ng proced ures
o peration of th e busine ss. which are a lso requi red to be in p lace. Global Tra ction B nk
nsa a
Отчетность Снижение риска
Обучение
персонала
Страница 16
17. Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILF
Услуги в области информационных технологий и ИТ рисков
+38 (067) 536-0-536
Volodymyr.Matviychuk@ua.ey.com
Страница 17