БАЗОВАЯ МОДЕЛЬ УПРАВЛЕНИЯ РИСКОМ
Структура риска
Установим количественные показатели для оценки влияния негативных факторов (НФ) и их взаимосвязь, т.е. модель для оценки природного, природно-техногенного и техногенного рисков по частным показателям. Будем рассматривать риск для некоторого объекта как сложное событие, происходящее при совместном наступлении ряда случайных событий (рис.3.38):
1) появления опасного фактора, способного потенциально привести к наступлению риска на некотором объекте, характеризуемого частотой l (t )или вероятностью появления фактора P факт (t );
2) возможность воздействия негативного фактора (НФ) на объект риска, характеризуемая вероятностью P возд (t ) (здесь также учитывается возможность попадания объекта в зону действия НФ опасного явления, для перемещающихся объектов необходимо учитывать временной фактор, в течение которого объект находится в зоне действия НФ, учитывается действие систем безопасности и т.д.);
3) причинения ущерба W в результате наступления риска на объекте.
Рис. 3.38. Структура риска
Размер ущерба зависит от многих факторов: числа объектов, попавших в зону действия негативных факторов опасного явления, возможности формирования в случае их разрушения вторичных негативных факторов для других объектов и людей и др.
Случайные события, перечисленные на рис. 3.38 представляют собой зависимые совместные события, поэтому вероятность реализации рисковой ситуации определяется следующим выражением:
P риск (t ) = P факт (t ) P возд (t ) (3.9.1)
Риск, соответственно, определяется как произведение вероятности наступления рисковой ситуации на ее последствия, т.е. ущерб. Первопричиной ЧС являются имеющиеся на рассматриваемой территории источники опасности, которые будут рассмотрены в последующих главах.
Как уже отмечалось ранее (см. гл.1), факторы риска появляются в результате воздействия среды (социальной, природной, техносферы, экономической и т.д.). Однако, частота (или вероятность) появления негативных факторов риска зависит не только от характеристик внешней среды, формирующей источники опасности для объектов, но и от действий систем управления риском, предупреждающих возникновение данных негативных факторов, либо вовремя их нейтрализующих в случае их появления. Именно этому аспекту и будут посвящены наши рассуждения в рамках данного раздела.
Математическая модель процесса управления риском
Как было отмечено ранее (см. п.п.1.1), в процессе исследования риска рассматриваются в общем виде три основных элемента: среда, формирующая негативные факторы воздействия, объекты риска, а также субъекты управления риском.
Подход к управлению и предупреждению наступления риска в рамках отношений данных элементов позволил разработать совокупность конструктивных методов и модели управления риском. Разработана структурная схема процесса управления (предупреждения) возникновения рисковых ситуаций (рис. 3.39).
Рис. 3.39. Структурная схема процесса управления риском
Система управления риском (СУР), предупреждающая возникновение рисков условно состоит из 2-х подсистем: информационной подсистемы (ИПС) и управляющей подсистемы (УПС). Задачей информационной подсистемы является проведение мониторинга, с целью определения и идентификации негативных факторов (НФ), воздействующих на объекты риска и способные привести к реализации риска. Задачей управляющей подсистемы является проведение профилактических мероприятий, направленных на нейтрализацию выявленных ИПС в ходе мониторинга факторов риска, различных нарушений и пр., с целью предупреждения возникновения риска на объекте риска.
Процесс управления риском представляется последовательным выполнением трех основных этапов.
Этап 1.Формируется случайный пуассоновский поток негативных факторов внешней среды, способных привести к наступлению рисковой ситуации на объекте, с интенсивностью λ (t ). В рамках данного раздела рассматриваются однородные факторы воздействия. Значения интенсивности λ (t ) чаще всего определяется на основе статистических данных.
Этап 2. Информационная подсистема СУР, обладающая определенными средствами и организационно-техническими возможностями, выполняет функции по своевременной идентификации НФ с интенсивностью v 1 (t ). Значения интенсивности v 1 (t ) определяются организационно-техническими возможностями ИПС. Промежутки времени между моментами обнаружения НФ являются величинами случайными. Обнаруженные факторы во времени образуют поток, который весьма близок к пуассоновскому потоку.
Этап 3. Полученные данные информационной подсистемой об определенных и идентифицированных НФ поступают в управляющую подсистему (УПС) системы управления риском, которая в свою очередь формирует действия по их устранению нарушений и нейтрализации НФ. Действия УПС выполняются с интенсивностью v 2 (t ), значения которой зависят от организационно-технических возможностей УПС. Поток проведения данных мероприятий также является пуассоновским.
В работе рассматривается случай, когда время пребывания негативных факторов в области действия УПС весьма ограниченно и соизмеримо со временем, которое необходимо для их идентификации, а также обработки данных и принятия адекватных действий по нейтрализации этих факторов. Поэтому данную систему можно в первом приближении рассматривать как систему с отказами. Т.е. система управления риском проводит так называемое «обслуживание» появляющихся негативных факторов, которые могут привести к реализации риска.
Рассмотрим возможные состояния системы управления риском (СУР). Данные состояния определяются на каждый момент времени состояниями соответствующих подсистем:
S 00 – информационная подсистема (ИПС) системы управления риском и управляющая подсистема (УПС), устраняющая выявленные факторы свободны от обслуживания негативных факторов (никакие мероприятия по мониторингу и профилактике не проводятся);
S 10 – ИПС занята получением информации по об одном факторе, УПС свободна от «обслуживания» и не проводит никаких мероприятий;
S 01 – ИПС свободна и не проводит никаких мероприятий по мониторингу, а УПС занята обработкой информации о выявленном факторе и выработкой действий по нейтрализации данного фактора;
S 11 – обе подсистемы заняты (ИПС проводит мероприятие по мониторингу и получает информацию об одном негативном факторе, УПС проводит мероприятие по нейтрализации другого фактора).
Не нарушая общности рассуждений, будем рассматривать стационарные потоки негативных факторов λ (t ), а также стационарные потоки «обслуживания» v 1 (t ), v 2 (t ).
Используя подход, описанный в п.3.3 главы 3, можно составить систему дифференциальный уравнений, описывающую поведение данной системы, которая в дальнейшем позволит нам найти вероятности нахождения системы в каждом из состояний в любой момент времени. Для этого необходимо описать возможные переходы системы из одного состояния в другое.
Придадим малое приращение Dt (рис.3.40) и найдем вероятность того, что в момент t +Dt система будет находиться в состоянии S 00 .
Рис. 3.40
Состояние S 00 возможно в следующих несовместных случаях:
– в момент времени t ИПС и УПС были свободны (система уже находилась в состоянии S 00), за интервал времени Δt не появился ни один негативный фактор;
– в момент времени t СУР находилась в состоянии S 01 . За время Δt было закончено проведение мероприятия по нейтрализации фактора, и система перешла в состояние S 00).
Состояние S 10 возможно в следующих несовместных случаях:
– в момент времени t СУР находилась в состоянии S 00 , за интервал времени Δt появился негативный фактор, который может привести к наступлению рисковой ситуации, а ИПС соответственно проводит мероприятие по его идентификации;
– в момент времени t СУР находилась в состоянии S 10 , т.е. ИПС проводила мероприятия по идентификации, за время Δt НФ не был идентифицирован ИПС и соответствующие данные не были переданы в УПС;
– в момент времени t СУР находилась в состоянии S 11 , за время Δt УПС провела мероприятия по нейтрализации выявленного НФ.
Состояние S 01 возможно в следующих несовместных случаях:
– СУР в момент времени t находилась в состоянии S 01 , за интервал времени Δt в области действия СУР не проявился ни один новый фактор и не было осуществлено устранение уже выявленного негативного фактора УПС;
– в момент времени t СУР находилась в состоянии S 10 , за время Δt ИПС обнаружила и идентифицировала НФ, а также передала информацию об этом факторе в УПС;
– в момент времени t СУР находилась в состоянии S 11 , за время Δt ИПС обнаружила и идентифицировала новый НФ, а также передала информацию об этом факторе в УПС.
Состояние S 11 возможно в следующих несовместных случаях:
– в момент времени t СУР находилась в состоянии S 01 , за время Δt появился новый НФ, способный привести к реализации рискового случая;
– в момент времени t СУР была в состоянии S 11 , за интервал времени Δt не были окончены мероприятия, проводимые соответственно ИПС и УПС.
Таким образом, на основе данных рассуждений можно построить граф состояний системы управления риском (рис. 3.41)
Рис. 3.41. Граф состояний системы управления риском
Каждое из возможных состояний характеризуется в каждый момент времени соответствующей вероятностью. Общая система дифференциальных уравнений, описывающая вероятности каждого из возможных состояний СУР, представляется в следующем виде:
Р 00 (t) = – Р 00 (t)λ + Р 01 (t)n 2
Р 01 (t) = – Р 01 (t)(λ + n 2) + Р 11 (t)n 1 + Р 10 (t)n 1 (3.9.2)
Р 10 (t) = Р 00 (t)λ – Р 10 (t)n 1 + Р 11 (t)n 2
P 11 (t) = P 01 (t)λ – P 11 (t)(n 1 + n 2)
Данная система уравнений представляет собой математическую модель процесса управления риском.
Применяя теорему о предельных вероятностях (см. п.п.3.6), можем найти предельные вероятности P 00 , P 10 , P 01 , P 11 . Это позволяет сделать следующую запись свойств для вероятностей перехода:
t → ∞, Р (t ) →0, Р (t) =Р = const.Р 11 = Р 00 .
Подставим полученные выражения в нормировочное условие и получаем: Р 00 = 1.
После приведения выражения в скобке к общему знаменателю и приведения подобных слагаемых получаем:
Р 00 = 1. (3.9.4)
Р 00 = . (3.9.5)
Как было отмечено ранее (см. п.п.3.6) данные предельные вероятности (Р 00 , Р 01 , Р 10 , Р 11) показывают относительное время нахождения системы в каждом из состояний. Таким образом, вероятность Р 00 отражает вероятность отсутствия негативных факторов в каждый момент времени.
Тогда вероятность наличия негативных факторов, воздействующих на объект риска, и способных привести к реализации рисковой ситуации, дополняет до единицы вероятность Р 00 (т.к. данные события образуют полную группу событий)
P факт = 1 – Р 00 = 1 – . (3.9.6)
Учитывая выражение (3.9.1) можем определить вероятность реализации рисковой ситуации:
P риск (t ) = P возд (t ). (3.9.7)
Разработанный инструмент позволяет оценить эффективность проведения профилактических мероприятий, прогнозировать результаты деятельности СУР и выработать определенные требования ее деятельности для поддержания требуемого показателя эффективности, т.е. требуемой вероятности наступления рисковой ситуации.
Первый элемент оценки риска– выявление опасности, установление источников и факторов риска, а также объектов их потенциального воздействия, основные формы такого взаимодействия.
Второй элемент оценки риска – оценка подверженности, т.е. реального воздействия, фактора риска на человека и ОС.
Третий элемент оценки риска связан с анализом воздействия факторов риска на население и ОС, определение устойчивости человека и ЭС к воздействию определенного дестабилизирующего фактора.
Четвертый, заключительный элемент оценки риска – полная характеристика риска с использованием качественных и количественных параметров. Заключительная фаза модели оценки риска, характеристика риска одновременно является первым звеном процедуры управления им.
Основная цель управления риском состоит в определении путей уменьшения риска при заданных ограничениях на ресурсы и время.
8.4.3 Модель управления риском
Модель управления риском состоит также из четырех частей и этапов.
Первый этап связан с характеристикой риска. На начальном этапе приводится сравнительная характеристика рисков с целью установления приоритетов.
На завершающей фазе оценки риска устанавливается степень опасности (вредности).
Второй этап заключается в определении приемлемости риска. Риск сопоставляется с рядом социально-экономических факторов:
− выгоды от того или иного вида хозяйственной деятельности;
− потери, обусловленные использованием вида деятельности;
− наличие и возможности регулирующих мер с целью уменьшения негативного влияния на ОС и здоровье человека.
Процесс сравнения опирается на метод «затраты – выгоды».
В сопоставлении «нерисковых» факторов с «рисковыми» проявляется суть процесса управления риском.
Возможны три варианта принимаемых решений: - риск приемлем полностью; - риск приемлем частично; - риск неприемлем полностью.
В настоящее время уровень пренебрежимого предела риска обычно устанавливают как 1% от максимально допустимого значения риска.
В двух последних случаях необходимо установить
пропорции контроля, что входит в задачу третьего этапа процедуры управления риском.
Третий этап состоит в определении пропорций контроля и заключается в выборе одной из «типовых» мер, способствующей уменьшению (в первом и во втором случае) или устранению (в третьем случае) риска.
Поскольку процессы управления рисками являются составной частью общей системы управления организации, для их описания используется та же процессная модель, что и в других стандартах систем управления. Эта модель определяет четыре группы процессов: Планирование – Реализация – Проверка – Действие (ПРПД) , что отражает стандартный цикл управления, впервые описанный в работах Деминга. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в стандартах BS 7799-3 и ISO 27005 содержится его проекция на процессы управления рисками.
Модель Деминга применительно к процессам управления рисками
Рассмотрим проекцию процессов управления рисками на процессную модель ПРПД более подробно по каждой группе процессов.
Планирование
На этапе планирования определяются политика, контекст и методология управления рисками, инвентаризуются (идентифицируются) активы и определяется их ценность, формулируются профили угроз и уязвимостей, оценивается эффективность контрмер и производится обработка рисков. Руководство организации принимает соответствующие решения и утверждает план обработки рисков.
Согласно ISO 27001, оценка рисков информационной безопасности необходима для понимания требований информационной безопасности и рисков для бизнес-активов организации.
Она включает в себя следующие мероприятия:
идентификация активов;
идентификация требований законодательства и бизнеса, применимых к идентифицированным активам;
оценивание активов с учетом идентифицированных требований законодательства и бизнеса, а также последствий нарушения конфиденциальности, целостности и доступности;
идентификация значимых угроз и уязвимостей для активов;
оценка вероятности возникновения угроз и величины уязвимостей;
вычисление рисков;
оценивание рисков по заранее определенной шкале риска.
Следующим шагом в процессе управления рисками является идентификация подходящих мер по обработке рисков для каждого из рисков, идентифицированных в ходе оценки рисков. Управлять рисками можно путем комбинирования превентивных и детектирующих механизмов контроля, тактики избежания, страхования и/или простого принятия (сохранения) риска. После того как риск был оценен, должно быть принято бизнес-решение насчет принятия необходимых мер. Во всех случаях это решение должно быть экономически обоснованным и понятным для руководителей и владельцев бизнеса, в чью компетенцию входят принятие либо оспаривание данного решения.
На следующем рисунке изображен цикл управления рисками и показаны взаимосвязи процессов в рамках этого цикла. Процесс управления рисками информационной безопасности включает определение контекста, оценку рисков, обработку рисков, принятие рисков, коммуникацию рисков, а также мониторинг и пересмотр рисков.
Взаимосвязь процессов управления рисками
Как показано на вышеприведенном рисунке, этот процесс может носить цикличный характер для деятельности по оценке и/или обработке рисков. Цикличный подход к проведению оценки рисков позволяет сделать оценку более глубокой и детализированной при каждой последующей итерации. При этом должен обеспечиваться баланс между минимизацией времени и усилий, затрачиваемых при определении механизмов контроля, и обеспечением надлежащей оценки высоких рисков.
Сначала определяется контекст. Затем проводится оценка рисков. Если в результате этого получено достаточно информации для эффективного определения мер, которые необходимо принять для уменьшения рисков до приемлемого уровня, то задача выполнена, и можно переходить к обработке рисков. Если информации недостаточно, проводится очередной цикл оценки рисков в пересмотренном контексте (например, критерии оценивания рисков, критерии принятия рисков или критерии оценки воздействия (ущерба)), возможно, для отдельных частей области оценки (см. на рисунке – «Точка принятия решения по рискам 1»).
Эффективность обработки рисков зависит от результатов их оценки. Возможно, обработка рисков не приведет сразу же к приемлемому уровню остаточного риска. В этом случае может потребоваться очередной цикл оценки рисков, после чего проводится дополнительная обработка рисков (см. на рисунке – «Точка принятия решения по рискам 2»).
Деятельность в сфере принятия рисков должна обеспечивать явное принятие рисков руководством организации. Это особенно важно в ситуации, когда внедрение механизмов контроля не осуществляется или откладывается, например, из-за их высокой стоимости.
В ходе всего процесса управления рисками информационной безопасности важно, чтобы информация о рисках и их обработке доводилась до сведения соответствующих руководителей и персонала. Даже до начала обработки рисков информация о выявленных рисках может оказаться очень полезной для управления инцидентами и может помочь уменьшить потенциальный ущерб. Осведомленность менеджеров и персонала о рисках, характере имеющихся механизмов контроля, направленных на их уменьшение, а также о вопросах, вызывающих обеспокоенность организации, помогает урегулировать инциденты и непредвиденные события наиболее эффективным образом. Результаты по каждому действию в процессе управления рисками информационной безопасности и точкам принятия решений должны подробно документироваться.
Реализация
На этапе реализации производится внедрение необходимых механизмов безопасности и другие действия по реализации плана обработки рисков, которые могут включать в себя, например, заключение договоров страхования, соглашений об уровне сервиса и даже корректировку планов развития бизнеса в целях избежания определенных рисков.
Проверка
После принятия решений по обработке рисков и внедрения выбранных механизмов контроля должны начинаться непрерывные действия по управлению рисками. Эти действия включают в себя процесс мониторинга рисков и эффективности СУИБ, позволяющий гарантировать, что внедренные механизмы контроля функционируют надлежащим образом.
На этапе проверки отслеживается функционирование реализованных механизмов безопасности, контролируется изменение факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.
Действие
На этапе действия осуществляется совершенствование процессов управления рисками по результатам мониторинга и аудита, в случае необходимости пересматриваются определенные риски, используемые подходы и методы их оценки, вносятся изменения в нормативную и операционную документацию организации, уточняется контекст управления рисками. Постоянное совершенствование является существенной частью непрерывных действий по управлению рисками, предпринимаемых с целью повышения эффективности внедренных механизмов контроля для достижения целей, которые были установлены для СУИБ.
Далее описанный цикл управления рисками переходит на новый виток, вновь проходя стадии Планирования , Реализации , Мониторинга и Совершенствования . Процесс функционирования, развития и совершенствования СУИР реализуется по спирали. В конечном итоге все четыре группы процессов выполняются параллельно и непрерывно. Выходные данные одних процессов поступают на вход других.
- Для комментирования войдите или зарегистрируйтесь
Исследование, проведенное компанией Deloitte за прошлое десятилетие (Deloitte, Disarming the Value Killers, 2005), показало, что неэффективный риск-менеджмент может быть чреват крупными неприятностями: «Почти половина компаний Fortune 1000 потеряли более 20% своей стоимости за месяц. Кроме того, у 50% этих фирм больше года ушло на то, чтобы восстановить свою стоимость, а 22% из них не могут это сделать по настоящее время».
Плохое понимание рисков может обернуться серьезными потерями. Ограниченное или неэффективное прогнозирование рисков является причиной возникновения непредвиденных инцидентов и, как следствие, убытков. Часто многие несущественные риски связаны между собой, и даже незначительные инциденты могут вызвать цепь событий, которые приведут к большим потерям.
Исследование, проведенное Aberdeen Group в августе 2011 года в компаниях, уделяющих внимание управлению рисками, выявило тенденции последних двух лет, которые отражены на рис.1.
Таким образом, рисками можно и нужно управлять, так же как внутренними бизнес-процессами компании.
Отметим, что 87% рисков не относятся к финансовым.
Для многих компаний основой риск-менеджмента является финансовый контроль. Однако недавнее исследование показало, что 87% идентифицированных рисков были нематериальными (IBM Global Business Services, CFO 2008). Нематериальные источники рисков, способные весьма серьезно воздействовать на компанию, включают эксплуатационные, правовые, стратегические, политические, геополитические риски, а также риски, связанные с безопасностью производства и влиянием на окружающую среду.
В структуре нематериальных источников риска 13 % составляют операционные риски (см. рис. 2). К ним относятся природные катастрофы, потеря данных, срыв поставок, аварии на производстве, сбой в работе ERP, остановка производства. На долю правовых и нормативных рисков приходится всего 8%, сюда входят мошенничество, претензии по продукции, изменения в законодательстве, хищения, безопасность продукции. Самой большой группой в структуре нематериальных рисков являются стратегические риски - 32%, к ним относятся промышленная глобализация, ошибки при обновлении ПО, изменение спроса на продукцию, отмена крупных контрактов, соответствие стандартам качества. Второе место после стратегических рисков делят группы политических/географических рисков (смена правительства, изменение субсидий и бюджетов, кадровые изменения, нормы корпоративной ответственности, терроризм) и риски, относящиеся к охране здоровья и защите окружающей среды (болезни и эпидемии, безопасность, соответствие стандартам защиты окружающей среды, санитарные требования к продуктам питания, климатические изменения, загрязнения окружающей среды), составляя по 17%. На долю же финансовых рисков приходится 13%, включая изменения курсовых валют, изменения процентных ставок, достоверность финансовой отчетности, доступность денежных средств, непрозрачность рыночных тенденций, экономический спад, стоимость сырья и энергоресурсов.
.jpg) |
Все источники риска связаны между собой и могут накладываться друг на друга. Например, предпосылками возникновения несчастного случая или даже чрезвычайного происшествия в виде промышленной аварии является комплекс причин - от организационных просчетов до слабой исполнительской дисциплины в компании. Следствиями аварии могут быть причинение вреда людям и окружающей среде, простои производства, значительные финансовые потери и ухудшение деловой репутации компании. В большинстве случаев аварии или несчастные случаи происходят неожиданно, но закономерно. Причины заключаются в нарушении правил и нормативов безопасности, установленных законодательством и внутренними регламентирующими документами компании. Большинство из таких инцидентов можно заблаговременно обнаружить и отреагировать таким образом, чтобы избежать серьезных последствий.
В зависимости от сферы деятельности, экономической среды, планов развития, компании могут сталкиваться с разными видами рисков, но в целом эффективное управление рисками придерживается общих целей: повышение устойчивости бизнеса, снижение убытков и максимальное увеличение прибыли.
Управление рисками в компаниях начинается с выявления и оценки всех потенциально возможных угроз.
Для этого, прежде всего, необходимо детально проанализировать существующие бизнес-процессы компании. Полученные данные дадут полную картину всех возможных рисков, угрожающих предприятию.
Оценив вероятность возникновения тех или иных рисков, их степень влияния на компанию и рассчитав возможный ущерб, можно разрабатывать реакции на выявленные риски. Это подразумевает поиск менее рискованных вариантов осуществления деятельности, то есть поиск альтернатив с возможностью получения тех же доходов. При этом необходимо сопоставлять затраты на реализацию менее рискованной сделки и размеры риска, который удастся снизить. Другими словами, не должно получиться так, что компания избежала риска потерять 10 тысяч, потратив на это 20 тысяч.
Эффективный риск-менеджмент предполагает непрерывный мониторинг всех существующих рисков, чтобы своевременно реагировать на возникающие опасности.
Применение стратегии управления рисками - это не только выработка действий в ответ на возникающие инциденты, но и изменение системы принятия управленческих решений в организации.
После оценки и анализа всех рисков руководство компании решает, принимать риски или избегать их. Принятие рисков означает, что компания полностью берет на себя ответственность за предотвращение или ликвидацию последствий от этих рисков. Решение об уклонении от рисков подразумевает избегание видов деятельности, связанных с рисками, или их страхование. В любом случае все риски должны быть известны и не быть неожиданными для руководства, нужно, чтобы решения принимались с их учетом, а не в условиях неопределенности.
Наиболее эффективный способ уменьшить все виды рисков - создать действенную систему управления рисками в компании. Она должна обеспечивать своевременное выявление и оценку рисков путем разработки внутренних положений, общих принципов и методики управления рисками. Система должна поддерживать единую среду внутреннего и внешнего контроля, процедуры контроля для всех бизнес-процессов и мониторинг совершаемых операций на уровне всех подразделений, соответствие имеющимся требованиям и положениям, процедурам проверок и сверок. Система управления рисками компании должна обеспечивать доступ и быструю передачу достоверной, точной, своевременной, доступной и полноценной информации для принятия решений и оценки текущей деятельности между ответственными лицами, а также непрерывный мониторинг текущей деятельности, который подразумевает постоянный контроль за наиболее важными рисками.
Векторы управления рисками (GRC):
Governance - управление на основании таких инструментов, как политики, процедуры, контроль, иерархия принятия решений и т. д., применяемых для управления бизнесом;
Risk - определение, управление и уменьшение неблагоприятных событий, которые потенциально могут повлиять на компанию;
Compliance - соответствие требованиям (законодательным, отраслевым и внутренним нормативам и регламентам).
Информационные технологии в управлении рисками
Существует много методов и способов идентификации и управления рисками - от современных ГОСТов в области управления рисками до стандартов системы менеджмента качества. Однако выполнить весь объем требований и процедур без применения информационных технологий - задача достаточно трудоемкая из-за большого количества и сложности этих процедур.
Решения, предназначенные для управления рисками, их оценки и выполнения нормативных требований, обеспечивают стабильность бизнеса благодаря повышению эффективности стратегии, выявлению новых возможностей и сокращению убытков в непредвиденных ситуациях.
Некоторые из них позволяют даже связать между собой информацию из разных систем, отделов и регионов, обеспечивая тем самым более высокую производительность труда.
Кроме общих, многофункциональных решений существуют также более узкие приложения, которые можно использовать как в комплексе с другими решениями, так и самостоятельно.
Все операции (процессы, планы расширения, активы и возможности компании), риски, ответные реакции и контрольные процедуры компании должны выполняться на основе различных моделей управления рисками (ISO 31000, ASNZ 4360, COSO). Желательно, чтобы они осуществлялись в единой информационной среде, это обеспечит наиболее эффективный контроль всех процессов. Решение предоставляет доступ к хранящимся в системе матрице рисков и контролей, информации по тестированию контрольных процедур, необходимой документации и данным по покрытию рисков контрольными процедурами.
Встроенные автоматические процедуры контроля (число этих процедур может доходить до нескольких сотен) значительно снижают трудозатраты на их выполнение, уменьшают число ошибок, связанных с человеческим фактором. Благодаря автоматизации контрольных процедур и быстрому предоставлению отчетности решение позволяет снизить затраты на соблюдение требований финансовой отчетности, таких как РСБУ, МСФО и закона Сарбейнса-Оксли.
Некоторые приложения позволяют быстро проводить опросы по эффективности и самооценке контрольных процедур, выполнять тестирование контрольных процедур. Например, чтобы провести опрос по самооценке процедур контроля, внутреннему аудитору необходимо: 1) создать опрос; 2) выявить ответственных пользователей; 3) разослать всем опрос; 4) собрать от каждого информацию; 5) обработать эту информацию; 6) проанализировать информацию. При помощи данного решения внутреннему аудитору достаточно один раз создать опрос, выбрать необходимый отдел предприятия, и система автоматически разошлет опросы ответственным за контрольные процедуры и обработает информацию. Аудитор сразу же сможет просмотреть отчет по самооценке. Таким образом, значительно снижается время на проведение опросов и тестирование контрольных процедур, а также на формирование отчетов по эффективности контрольных процедур, процессы становятся более прозрачными для внешних аудиторов и руководства компании. Приложение снижает затраты на аудит и позволяет руководству компании получать больше информации, касающейся соблюдения требований внутри бизнес-процессов.
Решения для управления рисками оптимизируют процедуры коллективного управления рисками, позволяя профессиональным риск-менеджерам и руководству компании быстро реагировать на финансовые, операционные и правовые риски и планировать наиболее эффективные пути развития.
Решение содержит контрольные индикаторы рисков, которые отслеживают пороговые значения рисков в информационных системах, тем самым позволяя риск-менеджерам моментально узнавать о возникающих инцидентах и отслеживать те, что уже выявлены. Руководство компании в любой момент может просмотреть отчет по существующим рискам, отследить затраты на ликвидацию рисков и с их учетом спланировать бюджет. Решение содержит средства моделирования сценариев событий, связанных с несколькими рисками, и сценарии по методу Монте-Карло.
Вовлекая в процесс управления рисками максимально необходимое количество сотрудников, информационное решение предоставляет риск-менеджерам наиболее полную информацию по рискам внутри компании, автоматизирует и ускоряет процессы передачи информации по рискам между ответственными за процессы, риск-менеджерами и руководством компании. Таким образом, минимизируется время от выявления риска до принятия решения, так как выявленный риск сразу же отображается в системе. Менеджеру по рискам автоматически приходит уведомление о выявлении риска, после чего риск-менеджер утверждает риск, проводит качественный и количественный анализ данного риска, создает реакцию по снижению, либо избеганию данного риска, может сразу же указать стоимость и назначить ответственного за выполнение действий, затем данные автоматически приходят на утверждение руководителю компании. Далее риск-менеджер в любой момент времени может оценить эффективность выполняемых действий. Данный процесс проходит в единой среде, что значительно ускоряет его и снижает вероятность ошибок.
Примером информационной системы, сочетающей в себе все перечисленные выше требования, является решение SAP GRC, которое включает большое количество методов и инструментов, позволяющих решить весь объем задач для управления рисками.
Решением SAP GRC пользуется одна из крупнейших телекоммуникационных компаний Казахстана. Интегрированная автоматизированная система была приобретена компанией, для того чтобы обеспечить информационную и инструментальную поддержку процессов управления рисками. С помощью SAP GRC компания автоматизировала основные стадии процесса управления рисками и получила такие преимущества, как контроль выполнения процедур по уменьшению риска, согласованность с корпоративными требованиями, формирование сообщений управления рисками.
Итак, для того чтобы управлять рисками эффективно, необходимо делать это на каждом этапе - от идентификации до ответных реакций; в реализацию целей GRC надо вовлекать как можно большее число сотрудников; целесообразно внедрить систему управления рисками, чтобы поддерживать прозрачность стратегических, финансовых и эксплуатационных планов развития.
Возможность активно воздействовать на возникающие риски дает компаниям неоспоримые преимущества и укрепляет конкурентные позиции.
Алексей Якушев, руководитель направления SAP BI компании «ЭВОЛА»; [email protected]
Александр Кузьминский, консультант SAP GRC компании «ЭВОЛА»; [email protected]