1. Эффективное управление
информационными рисками
Собрание Ukrainian Information Security Group IV
Владимир Матвийчук, CISA, CISM, ITILF

2. Что такое управление рисками
Риск - произведение вероятности возникновения неблагоприятного события на
величину потерь, полученных в результате наступления такого события
Управление рисками - процесс принятия и выполнения управленческих решений,
направленных на снижение вероятности возникновения неблагоприятного результата
и минимизацию возможных потерь, вызванных его реализацией
Страница 2

3. Что дает управление рисками?
Оберегает нас от проблем Делает наш бизнес лучше
Растущее количество Координация Улучшение
нормативных нарушений и действий по бизнес-
нарушений безопасности Цели управлению процессов
рисками
Огромные
штрафы Жесткие Оптимизация Эффективное
санкции контролей использование
технологий
Улучшение
Катастрофические Уголовно- процесса
последствия для правовые отчетности и
репутации последствия Сокращение
раскрытия
затрат
информации по
рискам
Все слишком утрировано и усложнено… Пока у Должно…
нас не начались проблемы Но как мы можем это сделать?
Страница 3

4. EY RiskUniverse®
Учет
и отчетность Ликвидность Рынок
Динамика
рынка Структура
капитала
Основные
инициативы
Кредитный
Слияние,
поглощение и ФИНАНСОВЫЕ
отчуждение Разработка
активов продуктов
СТРАТЕГИЧЕСКИЕ
Планирование и
Распределение
ресурсов E&Y RISKUNIVERSEä Продажи и
маркетинг
Коммуникации и ОПЕРАЦИОННЫЕ
Поставки
связи с
инвесторами СООТВЕТСТВИЯ
Управление Люди
Нормы
поведения Информационные
технологии
Правовой Регуляторный Налоги Основные Прерывание
фонды деятельности
Страница 4

5. Модель управления рисками Ernst &
Young
Цели бизнеса, требования
регулирующих органов и указания
управляющего совета , которые Корпоративная модель управления рисками,
определяют требования к управлению стратегия, толерантность к риску,
рисками Бизнес метод управления и ожидания от управления
факторы рисками
Стратегия управления Владение, ответственность,
Определение рисков, сферы рисками контроль выполнения программ и
рисков, ключевые индикаторы управление требованиями к оценке,
рисков, библиотека рисков и улучшению и мониторингу рисков
контролей, сценарии рисковых Управление,
событий и критерии к политики и стандарты
определению рейтинга рисков Определение и категоризация рисков
Инструменты для облегчения
Процессы, процедуры и методы Процессы и процесса управления рисками
Инструменты и Управление
управления рисками операционные технологии персоналом и
практики организацией
Организационная структура, роли и
обязанности, программа обучения и
Соответствие, мониторинг и отчетность персонал для управления рисками
Матрица рисков: непрерывное
наблюдение и отчетность об
эффективности управления рисками
Страница 5

6. Бизнес факторы
Бизнес-факторы - это условия, которые помогают определить, почему
наличие программы управления информационными рисками необходимо с
точки зрения бизнеса.
Они отражают цели, миссию и видение программы с точки зрения бизнес-
целей, регуляторных требований и директив высшего руководства.
Страница 6

7. Стратегия управления рисками
Стратегия управления рисками – это кратким, высокоуровневый план
план, который формулирует видение и направление для управления
рисками в организации.
План должен содержать:
► Руководство по принятию рисков
► Описание процесса управления рисками
► Ожидания для функции управления рисками
► Описание интеграции процессов управления рисками и операционных
процессов
Страница 7

8. Управление, политики и стандарты
Управление – владение, ответственность и контроль являются
краеугольным камнем эффективной программы управления рисками.
Управление рисками включает в себя организационный подход и
операционную модель обширной программы, поддерживающей процессы
управления рисками.
Структура позволяет организациям принимать соответствующие решения
рисков и поддерживает возможность осуществлять руководство над всеми
рисками.
Ключевым элементом управления являются эффективные политики и
стандарты.
Политики и стандарты - программа управления рисками должна
определить политики, стандарты и процедуры с участием бизнес-функций и
информационных технологий.
Процесс принятия решений должен быть справедливым для всех
заинтересованных сторон. Также он должен обеспечивать эффективное
исполнение политик и процедур.
Политики и процедуры отражают риск-аппетит организации
.
Страница 8

9. Риск-аппетит
► Риск нельзя свести к абсолютному минимуму
► Невозможно выявить все источники рисков
► Уменьшение некоторых рисков требует чрезмерных затрат
► Принятие некоторых рисков позволяет увеличить доходность
► Установление предельного значения риска позволяет определить, до
какой степени данный риск следует минимизировать, а до какой –
принять
Затраты
Суммарные затраты
Затраты на контроли
Ожидаемые потери
Оптимальные затраты Риски
Страница 9

10. Определение и категоризация рисков
Организации должны определить целостный процесс для идентификации и
классификации рисков.
Он должен включать таксономию рисков и внутренних контролей,
ранжирование и приоритезацию рисков, определение периодичности оценки
рисков и контролей.
Ранжирование и приоритезация рисков критичны для эффективного
распределения ресурсов для управления рисками в масштабах
предприятия.
Идентифицированные риски профилируются, а затем приоритезируются.
После приоритезации рисков, руководство использует категории или
профили для группировки рисков по системам и процессам.
Страница 10

11. Процессы и операционные практики
Процессы и операционные процедуры - это сердце исполнительной части
программы. Они должны быть напрямую связаны с соответствующими
стандартами по управлению рисками. Основные процессы управления
рисками должны включать следующие элементы:
► Измерение риска и метрики
► Оценка рисков, оценка контроля риска, самооценка контроля риска
► Детальный анализ рисков, включая сценарный анализ или оценку
угроз и уязвимостей
► Отчетность
► Принятие решения
► Определение потерь
► Планирование снижения рисков
► Принятие риска и исключения
Процесс управления рисками должен соответствовать юридическим и
регуляторным требованиям должен быть включен или связан с
соответствующими процессами (защита персональных данных,
информационная безопасность, обеспечение непрерывности бизнеса и т.д.)
В больших организациях для внедрения целостного процесса управления
рисками необходимо обеспечить надежную коммуникацию,
сфокусированную на вопросы управления изменениями, методологических
принципах процесса, обеспечить необходимые тренинги
Страница 11

12. Выбор методики управления рисками
► Существует множество специализированных методик по оценке информационных рисков,
которые раскрывают процесс управления информационными рисками с разной степенью
детализации
► Критерии для выбора методики управления рисками (список не исчерпывающий):
► Тип организации (государственная ,большая, средняя, маленькая, коммерческая,
некоммерческая)
► Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.)
► Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.)
► Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная
для членов ассоциации и т.д.)
► Уровень знаний специалистов, необходимый для использования методик (высокий,
средний, базовый)
► Наличие инструментария для автоматизации и его стоимость (есть / нет, платный /
бесплатный)
► Регуляторные требования
Страница 12

13. Инструменты и технологии
Инструменты и технологии, используемые при управлении рисками
существенно различаются по зрелости в возможностям.
Многие большие организации стремятся либо создать собственные системы
управления рисками либо используют доступные на рынке коммерческие
решение
Такие системы агрегируют информацию по рискам, подготавливают
отчетность и т.д.
Организации должны переоценивать используемый инструментарий на
предмет того, что он соответствует текущим требованиям (возможности
мониторинга, наличие необходимых метрик, возможности отчетности и т.д.)
Страница 13

14. Управление персоналом и организацией
Соответствующие структуры управления на функциональном и линейном
уровнях дают возможность организации, перейти от инициатив по
управлению рисками к полноценной программе управления рисками в
масштабах всего предприятия
Большинство компаний недооценивают временные рамки для «созревания»
процесса.
В большинстве случаев, это занимает два – три года от начала проекта до
полного внедрения процесса, полностью интегрированного во всей
организации.
Следовательно, очень важно понимать целевую среду управления рисками,
конечное состояние и промежуточные решения.
Страница 14

15. Соответствие, мониторинг и отчетность
Соответствие, мониторинг и отчетность – критичные компоненты для
эффективного управления рисками
Организации используют данные процессы для оценки соответствия
выполнения процесса управления рисками
Мониторинг и отчетность внедряются для предоставления руководству
организации общей картины и трендов по рискам, контролям и уязвимостям.
При разработке метрик для мониторинга и отчетности, многие организации
начинают с конечного продукта (панели управления рисками), чтобы
гарантировать, что показатели будут соответствовать с требованиями и
видением высшего руководства.
Определение ключевых индикаторов и отчетность на их основании имеют
решающее значение для организации для демонстрации пользы программы
и позволяют убедиться, что процесс управления рисками реализован
надлежащим образом.
Правильное определение, внедрение и замеры ключевых индикаторов
может быть сложным и длительным процессом.
Страница 15

16. Управление рисками – циклический,
постоянно совершенствующийся процесс
Политика и
стратегия
управления
рисками
Систематизация
Соответствие рисков
Key risks
Action Plan Progress
IT co st s/ co r e co st s Sta ff c os t s/c or e co s ts
Head c ou n t
70% 2 50
Embe dded - Th e cu lture of the
2 30
organ isation shou ld reflect the risk
60%
R is k base d - The comp any’s risk conscio usness of the Board. This
requi res a sui ta ble orga nisation al 2 10
ma nage ment system sh ould ha ve a full Comm unicate contro l
u nderstand ing of stakeh olde r req uireme nts Allocate structure, poli cies and proce dures,
Целостность Оценка риска
e x ectations
p 50%
a s i ts core and be focused on sustain ing the
own ership and app ropria te staff tra inin g i n risk 1 90
cre ati on of sh arehol der value . manag ement w hich ena bles risk to be
Embed culture an d manag ed at al l l evels of the bu siness. 1 70
Agree ap propr ia te c pability
a 40%
contr ol strateg y
Monitor opera tio n/ Early
N ot y et comm enced Work in progress Delay ed C om ple ted 1 50
d
Em warning system s
30%
se
be Risks by Process 1 30
Ba
Iden tify & evalua te
key risks dd
k
ed 20% 1 10
Ris
Imp le ment cor rective
Strateg ic actions
Tech People P 90
rocess E ternal
x
Ob jectives 10%
Sta ke hold er Redefine sys m
te Global FX 70
Co mmu nication where necessary
B Define a s ance fun c s
sur tion
M &R
M epo
R e oa r
d
ro le s & re sponsibilities 0% 50
re
vie d
P1 P2 P3 P4 P5 P6 P7 P8 P9 P10 P11
su
Ca E
sh quities
As
Specifica nnual
effectiveness r evie w w
Agre e risk based
assuran c plan
e
D atives
eriv
R eviewed - The Boa rd re view th e
e ffectivene ss of the system o f risk
Regular monitor in g of the Supported and assured - The syste m Fix Inc
ed ome
ma nageme nt on a regu lar basis in the lig ht shoul d p rovide man agemen t with th e
system o f interna l c ntrol
o
o f curren t busin ess p erfo rma nce and future Board review assurance i t need s that risks are b eing Global Credit Products
e xpectati on. This rigo ro us top do wn assuran c outputs
e manag ed appro priately. Thi s
a pproa ch sh ould consi der its on goin g Regular monitoring
of r isk pr ofile assurance sho uld go be yo nd th e Global Corporate Fina e
nc
co ntri bution to th e e ffective and effi cient embed ded monitori ng proced ures
o peration of th e busine ss. which are a lso requi red to be in p lace. Global Tra ction B nk
nsa a
Отчетность Снижение риска
Обучение
персонала
Страница 16

17. Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILF
Услуги в области информационных технологий и ИТ рисков
+38 (067) 536-0-536
Volodymyr.Matviychuk@ua.ey.com
Страница 17