Шрифт:
1.1. РИСК – ЧТО МОЖЕТ ПОЙТИ НЕ ТАК?
Определение риска
У риска есть множество определений, на мой взгляд, наиболее точное определение риска – это «Risk is defined by COSO as the possibility that events will occur and affect the achievement of strategy and business objectives». Это определение дано Комитетом организаций-спонсоров Комиссии Тредвея 3 . Для себя я сформулировал такое: «По причине действия/бездействия результат не будет соответствовать ожиданиям или планам». Ниже мы более детально разберем виды рисков/рисковых событий.
3
The Committee of Sponsoring Organizations of the Treadway Commission, COSO.
Риск можно рассматривать с качественной и/или количественной точек зрения, при этом определение риска может различаться в зависимости от используемого источника информации. Однако фундаментальная суть риска состоит в том, что риск определяет вероятность или возможность того, что некое событие произойдет и какие в этом будут последствия для организации.
Категории рисков
Существует множество категорий и типов рисков. Для наглядности следует отметить наиболее, на мой взгляд, важные и привести примеры того, что может пойти не так.
Финансовый – ошибки в бухгалтерском учете, финансовая отчетность организации содержит ошибки, неточности либо не содержит важной информации для заинтересованных сторон.
Кредитный – невозврат кредита заемщиком.
Рыночный – цена инвестиционного инструмента упала ниже, чем ожидалось.
Операционный – отклонения, неэффективность в операционной деятельности организации. При этом, например, в категорию операционных рисков можно отнести внутреннее и/или внешнее мошенничество, риск подрядчика/контрактный/санкционный – подрядчик выполнил проект ниже качеством либо не выполнил вовсе, отказался от поддержки ИТ системы, отозвал лицензию и другие подобные варианты. Также очень часто к категории операционных рисков относят риск ИТ/ИБ – ключевая ИТ-система работает с ошибками, произошла утечка персональных данных и т. д. Как правило, риск ИТ – это подгруппа рисков бизнеса.
?
Взаимосвязь ИТ и бизнес-функций организации
Основная цель ИТ – помощь бизнесу в достижении миссии и целей организации. Каждое направление бизнеса создает ИТ-систему, поддерживающую его бизнес-функцию. Тем самым чем выше автоматизация процессов организации, тем выше вероятность того, что что-то пойдет не так в средствах автоматизации, то есть информационных технологиях.
?
1.2. ЧТО ТАКОЕ РИСК ИТ?
EBA – Европейский Банковский регулятор 4 дает, на мой взгляд, наиболее точное определение:
Риск ИТ – это риск потерь организации, вызванный:
• нарушением конфиденциальности;
• сбоем целостности систем и данных;
• некорректной работой либо недоступностью систем и данных;
• невозможностью изменить ИТ-систему за разумное время и стоимость, в то время как среда функционирования и/или требования бизнеса меняются (то есть быстрота изменений).
4
Europen Banking Authority.
Риск ИТ включает еще и риск безопасности (ИБ), проистекающий от:
• неадекватных либо некорректных внутренних процессов, организации, либо внешних событий, включая кибератаки, либо неадекватную систему физической безопасности.
Взаимосвязь риска ИТ и других категорий рисков
В случае реализации риска ИТ, рискового события, связанного с ИТ, потенциально, подобно карточному домику, такое событие запускает реализацию рисков из других категорий рисков бизнеса. Более наглядный пример приведен на изображении ниже.
О том, что можно сделать в каждом конкретном случае, мы более подробно поговорим и разберем в нескольких примерах, размещенных ниже, в Приложении 1.1. к первой главе.
Допустимая величина риска, риск-аппетит
и уровень терпимости к риску
Риск можно измерить, риском можно управлять. Для этого существуют различные инструменты. На мой взгляд, наиболее важные – это:
• допустимая величина риска (RISK CAPACITY), то есть целевая сумма потерь, которую организация может выдержать до того, как под угрозой окажется возможность ее дальнейшего успешного функционирования, с учетом допустимой величины риска владельцы или совет директоров организации устанавливают риск-аппетит (RISK APPETITE). Риск-аппетит определяется как величина риска, которую организация готова принять с целью достижения своей миссии;
• уровень терпимости к риску (RISK TOLERANCE), это отклонение от риск-аппетита, подобные отклонения не желательны, но известно, что они достаточно ниже допустимой величины риска.