Embed Size (px)
DESCRIPTION
Citation preview
Эффективное управление информационными рискамиСобрание Ukrainian Information Security Group IV
Владимир Матвийчук, CISA, CISM, ITILF
Страница 2
Что такое управление рисками
Риск - произведение вероятности возникновения неблагоприятного события на величину потерь, полученных в результате наступления такого события
Управление рисками - процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией
Страница 3
Все слишком утрировано и усложнено… Пока у нас не начались проблемы
Должно… Но как мы можем это сделать?
Оберегает нас от проблем Делает наш бизнес лучше
Растущее количество нормативных нарушений и нарушений безопасности
Жесткие санкции
Катастрофические последствия для
репутации
Огромные штрафы
Уголовно-правовые последствия
Эффективное использование технологий
Координация действий по управлению рисками
Улучшение бизнес-процессов
Сокращение затрат
Оптимизация контролей
Улучшение процесса
отчетности и раскрытия
информации по рискам
Цели
Что дает управление рисками?
Страница 4
EY RiskUniverse®
E&Y RISKUNIVERSE
Правовой Регуляторный
Слияние,поглощение иотчуждение активов
Коммуникации исвязи с
инвесторами
Кредитный
Основныефонды
Информационныетехнологии
Продажи и маркетинг
Люди
Поставки
Прерываниедеятельности
СООТВЕТСТВИЯ
СТРАТЕГИЧЕСКИЕ
ФИНАНСОВЫЕ
ОПЕРАЦИОННЫЕ
Планирование и Распределение
ресурсов
Основные инициативы
Динамикарынка
Управление
Нормы поведения
Учети отчетность Ликвидность Рынок
Структуракапитала
Разработкапродуктов
Налоги
Страница 5
Соответствие,мониторинг и отчетность
Процессы и операционные
практики
Инструменты и технологии
Управление персоналом и организацией
Определение и категоризация рисков
Управление,политики и стандарты
Стратегия управления рисками
Бизнес факторы
Корпоративная модель управления рисками,стратегия, толерантность к риску,метод управления и ожидания от управления рисками
Цели бизнеса, требования регулирующих органов и указанияуправляющего совета , которые определяют требования к управлениюрисками
Владение, ответственность, контроль выполнения программ и управление требованиями к оценке, улучшению и мониторингу рисков
Матрица рисков: непрерывноенаблюдение и отчетность об эффективности управления рисками
Определение рисков, сферы рисков, ключевые индикаторырисков, библиотека рисков и контролей, сценарии рисковых событий и критерии к определению рейтинга рисков
Процессы, процедуры и методы управления рисками
Инструменты для облегченияпроцесса управления рисками
Организационнаяструктура, роли и обязанности, программа обучения и персонал для управления рисками
Модель управления рисками Ernst & Young
Страница 6
Бизнес факторы
Бизнес-факторы - это условия, которые помогают определить, почему наличие программы управления информационными рисками необходимо с точки зрения бизнеса.Они отражают цели, миссию и видение программы с точки зрения бизнес-целей, регуляторных требований и директив высшего руководства.
Страница 7
Стратегия управления рисками
Стратегия управления рисками – это кратким, высокоуровневый планплан, который формулирует видение и направление для управления рисками в организации.
План должен содержать:► Руководство по принятию рисков► Описание процесса управления рисками► Ожидания для функции управления рисками► Описание интеграции процессов управления рисками и операционных
процессов
Страница 8
Управление, политики и стандарты
Управление – владение, ответственность и контроль являются краеугольным камнем эффективной программы управления рисками.Управление рисками включает в себя организационный подход и операционную модель обширной программы, поддерживающей процессы управления рисками.Структура позволяет организациям принимать соответствующие решения рисков и поддерживает возможность осуществлять руководство над всеми рисками.Ключевым элементом управления являются эффективные политики и стандарты.Политики и стандарты - программа управления рисками должна определить политики, стандарты и процедуры с участием бизнес-функций и информационных технологий.Процесс принятия решений должен быть справедливым для всех заинтересованных сторон. Также он должен обеспечивать эффективное исполнение политик и процедур. Политики и процедуры отражают риск-аппетит организации.
Страница 9
Риск-аппетит
► Риск нельзя свести к абсолютному минимуму► Невозможно выявить все источники рисков
► Уменьшение некоторых рисков требует чрезмерных затрат
► Принятие некоторых рисков позволяет увеличить доходность
► Установление предельного значения риска позволяет определить, до какой степени данный риск следует минимизировать, а до какой –принять
Затраты
Риски
Ожидаемые потери
Затраты на контроли
Суммарные затраты
Оптимальные затраты
Страница 10
Определение и категоризация рисков
Организации должны определить целостный процесс для идентификации и классификации рисков. Он должен включать таксономию рисков и внутренних контролей, ранжирование и приоритезацию рисков, определение периодичности оценки рисков и контролей. Ранжирование и приоритезация рисков критичны для эффективного распределения ресурсов для управления рисками в масштабах предприятия. Идентифицированные риски профилируются, а затем приоритезируются. После приоритезации рисков, руководство использует категории или профили для группировки рисков по системам и процессам.
Страница 11
Процессы и операционные практики
Процессы и операционные процедуры - это сердце исполнительной части программы. Они должны быть напрямую связаны с соответствующими стандартами по управлению рисками. Основные процессы управления рисками должны включать следующие элементы:
► Измерение риска и метрики► Оценка рисков, оценка контроля риска, самооценка контроля риска► Детальный анализ рисков, включая сценарный анализ или оценку
угроз и уязвимостей► Отчетность► Принятие решения► Определение потерь► Планирование снижения рисков► Принятие риска и исключения
Процесс управления рисками должен соответствовать юридическим и регуляторным требованиям должен быть включен или связан с соответствующими процессами (защита персональных данных, информационная безопасность, обеспечение непрерывности бизнеса и т.д.)В больших организациях для внедрения целостного процесса управления рисками необходимо обеспечить надежную коммуникацию, сфокусированную на вопросы управления изменениями, методологических принципах процесса, обеспечить необходимые тренинги
Страница 12
Выбор методики управления рисками
► Существует множество специализированных методик по оценке информационных рисков, которые раскрывают процесс управления информационными рисками с разной степенью детализации
► Критерии для выбора методики управления рисками (список не исчерпывающий):► Тип организации (государственная ,большая, средняя, маленькая, коммерческая,
некоммерческая)► Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.)► Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.)► Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная
для членов ассоциации и т.д.)► Уровень знаний специалистов, необходимый для использования методик (высокий,
средний, базовый)► Наличие инструментария для автоматизации и его стоимость (есть / нет, платный /
бесплатный)► Регуляторные требования
Страница 13
Инструменты и технологии
Инструменты и технологии, используемые при управлении рисками существенно различаются по зрелости в возможностям.Многие большие организации стремятся либо создать собственные системы управления рисками либо используют доступные на рынке коммерческие решениеТакие системы агрегируют информацию по рискам, подготавливают отчетность и т.д.Организации должны переоценивать используемый инструментарий на предмет того, что он соответствует текущим требованиям (возможности мониторинга, наличие необходимых метрик, возможности отчетности и т.д.)
Страница 14
Управление персоналом и организацией
Соответствующие структуры управления на функциональном и линейном уровнях дают возможность организации, перейти от инициатив по управлению рисками к полноценной программе управления рисками в масштабах всего предприятияБольшинство компаний недооценивают временные рамки для «созревания» процесса.В большинстве случаев, это занимает два – три года от начала проекта до полного внедрения процесса, полностью интегрированного во всей организации.Следовательно, очень важно понимать целевую среду управления рисками, конечное состояние и промежуточные решения.
Страница 15
Соответствие, мониторинг и отчетность
Соответствие, мониторинг и отчетность – критичные компоненты для эффективного управления рискамиОрганизации используют данные процессы для оценки соответствия выполнения процесса управления рисками Мониторинг и отчетность внедряются для предоставления руководству организации общей картины и трендов по рискам, контролям и уязвимостям.При разработке метрик для мониторинга и отчетности, многие организации начинают с конечного продукта (панели управления рисками), чтобы гарантировать, что показатели будут соответствовать с требованиями и видением высшего руководства.Определение ключевых индикаторов и отчетность на их основании имеют решающее значение для организации для демонстрации пользы программы и позволяют убедиться, что процесс управления рисками реализован надлежащим образом.Правильное определение, внедрение и замеры ключевых индикаторов может быть сложным и длительным процессом.
Страница 16
Управление рисками – циклический, постоянно совершенствующийся процесс
Политика и стратегия управления рисками
Систематизация рисков
Оценка риска
Снижение риска
Обучение персонала
Отчетность
Целостность
СоответствиеKey risks
Action Plan Progress
N ot y et comm enced Work in progress Delay ed C om pleted
0%
10%
20%
30%
40%
50%
60%
70%
P1 P2 P3 P4 P5 P6 P7 P8 P9 P10 P115 0
7 0
9 0
1 10
1 30
1 50
1 70
1 90
2 10
2 30
2 50
IT cost s/ core cost s Sta ff c os t s/c ore cos tsHeadc ount
Risks by Process
Tech People Process External
Global FXMM & RepoCash EquitiesDerivativesFixed IncomeGlobal Credit ProductsGlobal Corporate FinanceGlobal Transaction Bank
Strateg icOb jectives
Iden tify & evalua te key risks
Agree ap propr ia te contr ol strateg y
Allocate own ership
Comm unicate contro l e xp ectations
Embed culture an d ca pability
Monitor opera tio n/ Early warning system s
Imp le ment cor rective actions
Agre e risk based assuran ce plan
Define a ssur ance fun ction s ro le s & re sponsibilities
Board review assuran ce outputs
Regular monitor in g of the system o f interna l co ntrol
Regular monitoring of r isk pr ofile
Specific a nnual effectiveness r evie w
Board Review Assu
r ed
Risk Base
d Embedded
Sta ke hold erCo mmu nication Redefine syste m
where necessary
Embedded - The cu lture of the organisation should reflect the risk consciousness of the Board. This requi res a sui table organisational structure, policies and procedures, and appropria te staff tra ining in risk management which enables risk to be managed at al l levels of the business.
Supported and assured - The system should provide management with the assurance i t needs that risks are being managed appropriately. This assurance should go beyond the embedded monitoring procedures which are a lso requi red to be in p lace.
Reviewed - The Board review the effectiveness of the system of risk management on a regular basis in the light o f current business performance and future expectation. This rigorous top down approach should consider its ongoing contribution to the effective and efficient operation of the business.
Risk based - The company’s risk management system should have a full understanding of stakeholder requirements as i ts core and be focused on sustain ing the creation of shareholder value.
Strateg icOb jectives
Iden tify & evalua te key risks
Agree ap propr ia te contr ol strateg y
Allocate own ership
Comm unicate contro l e xp ectations
Embed culture an d ca pability
Monitor opera tio n/ Early warning system s
Imp le ment cor rective actions
Agre e risk based assuran ce plan
Define a ssur ance fun ction s ro le s & re sponsibilities
Board review assuran ce outputs
Regular monitor in g of the system o f interna l co ntrol
Regular monitoring of r isk pr ofile
Specific a nnual effectiveness r evie w
Board Review Assu
r ed
Risk Base
d Embedded
Sta ke hold erCo mmu nication Redefine syste m
where necessary
Embedded - The cu lture of the organisation should reflect the risk consciousness of the Board. This requi res a sui table organisational structure, policies and procedures, and appropria te staff tra ining in risk management which enables risk to be managed at al l levels of the business.
Supported and assured - The system should provide management with the assurance i t needs that risks are being managed appropriately. This assurance should go beyond the embedded monitoring procedures which are a lso requi red to be in p lace.
Reviewed - The Board review the effectiveness of the system of risk management on a regular basis in the light o f current business performance and future expectation. This rigorous top down approach should consider its ongoing contribution to the effective and efficient operation of the business.
Risk based - The company’s risk management system should have a full understanding of stakeholder requirements as i ts core and be focused on sustain ing the creation of shareholder value.
Страница 17
Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILFУслуги в области информационных технологий и ИТ рисков+38 (067) [email protected]
