Открытая дискуссия с абсолютно не типичной для формата PHDays темой в расписании первого дня мероприятия сразу привлекла внимание - "Управление безопасностью - управление рисками". Модератор также подогрел интерес, расписав в блоге вопросы, которые планируется обсудить. Попробую ретранслировать информацию от приглашенных экспертов по наиболее волнующим меня в данной теме вопросов: место ИБ рисков среди всех оперативных рисков, как оценивают и считают в других крупных организациях, как демонстрируют результат "лицам, принимающим решения".
Место ИБ рисков на общей карте операционных рисков
Вопрос в том - это место как то обособлено или СУИР может быть интегрирована с другими системами менеджмента рисков. И если да, то как к этому прийти. Если нет - то опять же - почему нет? Ибо если нет, получается весьма неприятная ситуация. Да, среди рисков ИБ мы выбрали приоритетные направления, создали план мероприятий... но у других департаментов тоже свои проблемы... И когда руководству нужно принимать решение на какой риск идти - на уровень 38 попугаев рисков ИБ или на 2 удава рисков юридических, или на 8 мартышек рисков налоговых.
Самое удивительное, что для двух участников круглого стола началось все именно с СУИР, а затем уже их зона ответственности расширилась и до анализа других групп рисков. Получается, что единые шкалы оценки таки можно создать... вот только вопрос как они должны выглядеть остался за кадром (вернее, было высказано мнение, что для каждой организации, даже в одном сегменте, это какие-то свои шкалы).
Как оценивать и считать риски?
"Ключ к успеху" опять же лежит в доступных и понятных шкалах оценки, напротив значений которых владельцы активов должны поставить крестик. Все таки спорить с тем, что 2 составляющих риска - вероятность и ущерб (хотя речь еще зашла об эффективности контролей, но это как раз та штука, которая снижает или вероятность или ущерб) - никто не стал. Так что какое-то согласие в этом вопросе наблюдается.
Инструментом подсчета уровня рисков, который используют все участники, являются не специализированный софт, а старый добрый Excel. Что же касается формулы... да, нужно до минимума сократить количество переменных и максимально сократить формулу (хотя наша формула, например, выглядит дико жутко в силу специфики используемых шкал и учете одной важной метрики... но об этом как-нибудь потом). Если формула понятна, то у руководства будет меньше сомнений в "спекуляции на рисках". С другой стороны, въедливый руководитель в любой формуле может сказать - "а вы тут этого не учли" и направить вас и вашу формулу в далекий путь исправлений.
Демонстрация рисков
Вот тот вопрос, который лично меня больше всего напрягает... я не придумал как из реестра рисков сформировать понятную картину, которую можно закинуть на 1 слайд презентации. Прозвучала идея про квадрат разбитый на 4 части (знакомо?:)) по "виду" последствий и в каждом квадрате обозначать риски в виде кружочков различных размеров... Но как-то слабо представляю картину. Еще один совет - не "выкатывать" список из более 20 рисков (групп рисков).
В общем и целом Михаил Емельянников весьма точно описал сложившуюся ситуацию:
"Управление рисками - это шаманство, но высота костра и размер бубна уже нормализованы". Но не стоит забывать, сколь полезным порой оказывается шаманство - в конце-концов когда-то эти ребята погоду предсказывали и даже возможно, не с таким высоким процентом "попаданий" как современный и научный прогноз погоды, но всегда ли нужен нам такой высокий процент?
Комментариев нет:
Отправить комментарий