Шрифт:
Определенные риски так сильно связаны с ИТ, что новому CIO-лидеру совершенно естественно взять ответственность за них на себя, даже если их последствия выходят далеко за пределы ИС. Безопасность информации, приватность и риски, проистекающие от ИТ-процессов и продуктов – наглядные тому примеры. Даже когда лидерство в конкретной ситуации – не лучший выбор для CIO, участие ИТ очень важно для успеха.
Вы должны стать частью корпоративного совета по рискам, который управляется советом директоров, контролирующим, в конечном счете, все риски компании. Этот самый совет по рискам (он может называться иначе) должен включать в себя топ-менеджеров, отчитываться непосредственно перед СЕО и контролировать все риски по всем бизнес-подразделениям. Когда в каком-то из подразделений встречаются какие-то уникальные риски, подобные советы должны создаваться и там. В эти советы по рискам в бизнес-подразделениях должны входить CIO или один из руководителей ИС-системы для того, чтобы обеспечить участие ИТ в управлении рисками.
BanqueGenerale du Luxemburg: Managing Risk in a Basel II Era
Основанный в 1919 году Banque Generale du Luxemburg (BGL) – это один из крупнейших банков Великого герцогства Люксембург с активами в 39 млрд. евро. Банк активно работает на внутреннем и внешних рынках, играя активную роль в том, что Люксембург считается одним из финансовых центров.
Мишель Дофин (Michel Dauphin), CIO BGL, рассказывает о последних переменах в управлении рисками.
Один из наиболее важных моментов управления рисками сегодня в финансовых услугах – это новая международная директива о соответствии капиталов, известная, как Basel II. Прежде, единственными рисками, который контроллеры оценивали в качестве адекватности капиталов, был кредитный риск и рыночный риск. Basel II идет гораздо дальше и включает в рассмотрение операционные риски, а кредитные риски оценивает более сложными методами. Это позволяет банкам усиливать их процессы управление риском.
ИТ вносит в этот процесс заметный вклад, поскольку все данные, необходимые для Basel II, собираются и обрабатываются централизованно. Сейчас сфера ИТ активно развивается. Разработка систем для оценки потребления капитала для Basel II требует от 60 до 70 человеко-лет, которые были бы распределены на три года.
Использовались стандарты ISO 17799 (International Standards Organization regulation) на уровне ИТ. Это помогало определить операционные риски, связанные с ИТ-безопасностью, личной безопасностью, непрерывностью бизнеса и так далее. Стандарт ISO определяет структуру работы по настройке процессов для более эффективного управления риском. Мы используем этот момент, как основу для того, чтобы создать список бизнес-рисков, которые проистекают из ИТ, и понять, как мы можем снизить эти риски.
Чтобы контролировать не только технические риски, но также и бизнес-риски, проистекающие из зависимости бизнеса от ИТ, Дофин вместе со своей командой определили следующие ключевые риски, связанные с ИТ, для своего бизнеса:
• воздействие на эффективность бизнес-персонала, если системы не работают или не понятны пользователям;
• недостаток гибкости или способности быстро реагировать на новые рынки, возможно из-за косности системы;
• недостаточная интеграция данных, что может влиять на ведение бизнеса;
• мошенничество, если доступ пользователей недостаточно контролируется;
• недостаточный отчет о соблюдении требований закона и нормирующих органов, если ИС не обеспечивает достаточный уровень отчетности;
• напряженность среди сотрудников, если ИТ-системы работают недостаточно хорошо.
«Естественно, вы всегда должны найти баланс между управлением риском и другими целями», – говорит Дофин. «Для этого вы должны оценить потенциальное воздействие и цену снижения рисков, а также оценить, какие ресурсы надо для этого выделить».
Четыре основные стратегии для работы с риском
Есть четыре основных способа работы с риском: снижение, перенос, принятие и избежание.
Снижение: суть его состоит в уменьшении самого риска или его последствий. Чтобы этот способ работал, у компании должно быть достаточно возможностей для уменьшения или устранения вероятности или воздействия риска.
Перенос: перемещение риска за пределы компании. Чтобы этот способ работал, некто (например, страховой агент) должен быть готов взять на себя риск.
Принятие: осознанное и продуманное принятие компанией риска на себя (для некоторых типов риска это называется самостраховкой). Чтобы этот способ заработал, вероятность риска должна быть невелика, а последствия – достаточно легкими, чтобы компания могла их перенести безболезненно.
Избежание: устранение вероятности того, что риск реализуется. Для большинства компаний избежание означает выход из бизнеса, уход с рынка или отказ от продукта. Чтобы это произошло, компания должна иметь достаточную свободу для того, чтобы уйти и избежать возможностей, связанных с риском.
Снижение риска – это самая популярная стратегия при работе с большинством современных рисков. Далее мы поговорим о различных методах и подходах к тому, как вы и ваша компания можете снизить угрозу последствий рисков, наиболее опасных для вас.
Идентифицируйте риски, анализируйте их, классифицируйте и защищайтесь
Ни одна компания не может полностью оградить себя ото всех возможных рисков. Первый вопрос управления рисками такой: «Какие риски компания готова терпеть». Ответ на этот вопрос (вместе со своими коллегами по бизнесу) надо искать тремя последовательными шагами.
Прежде всего, определите мишени и угрозы. Чтобы понять риски, проанализируйте ситуацию для всей компании в целом. Вспомните свое познание бизнеса и разработку бизнес-максим. Какие стратегии важнее всего для вашего бизнеса? Что может помешать реализации этих стратегий? Как могут рынки, конкуренты, регулирующие органы и другие субъекты бизнеса реагировать на ваши бизнес-стратегии? Есть ли ключевые точки, которые могут привести к провалу. Где будут стратегии сосредотачивать данные, деньги, материалы или другие ценные корпоративные активы? Если вы не изучаете эти сценарии в вашем совете по анализу рисков, старайтесь проверять ваши идеи вместе с коллегами по бизнесу.
От этих сценариев переходите к бизнес-процессам, на которые они оказывают влияние, то есть – подвержены рискам. Старайтесь быть максимально внимательными к деталям, но не увязните в них. Попросите старших менеджеров ИС определить наиболее важные риски и потенциальные последствия, к которым они могут привести в связанных с ними бизнес-процессах. Убедитесь в том, что ваши менеджеры понимают свою ответственность за риски в сферах своей деятельности вне зависимости от того, осознали они их или нет.
Не все мишени одинаковы. Выявите и оцените все активы, находящиеся в зонах риска – бизнес-процессы, рынки и базы данных – в терминах таких понятий, как снижение доходов или доли рынка. Постарайтесь учесть то, что не поддается количественной оценке, например, потерю репутации, и понять, как это влияет на продажи и сохранение клиентов, штрафы или другие санкции. Еще один способ оценить стоимость активов – определить их потенциальную ценность для злоумышленников, то есть то, что побуждает злоумышленников идти на преступление. Для активов, потеря которых может затронуть интересы третьих лиц, вы должны оценить потенциальную угрозу от халатности. Постарайтесь проанализировать возможные сценарии для уязвимости ваших главных активов. Вот несколько уравнений для этой цели: