Эллен Китцис - CIO новый лидер. Постановка задач и достижение целей
BanqueGenerale du Luxemburg: Managing Risk in a Basel II Era
Основанный в 1919 году Banque Generale du Luxemburg (BGL) – это один из крупнейших банков Великого герцогства Люксембург с активами в 39 млрд. евро. Банк активно работает на внутреннем и внешних рынках, играя активную роль в том, что Люксембург считается одним из финансовых центров.
Мишель Дофин (Michel Dauphin), CIO BGL, рассказывает о последних переменах в управлении рисками.
Один из наиболее важных моментов управления рисками сегодня в финансовых услугах – это новая международная директива о соответствии капиталов, известная, как Basel II. Прежде, единственными рисками, который контроллеры оценивали в качестве адекватности капиталов, был кредитный риск и рыночный риск. Basel II идет гораздо дальше и включает в рассмотрение операционные риски, а кредитные риски оценивает более сложными методами. Это позволяет банкам усиливать их процессы управление риском.
ИТ вносит в этот процесс заметный вклад, поскольку все данные, необходимые для Basel II, собираются и обрабатываются централизованно. Сейчас сфера ИТ активно развивается. Разработка систем для оценки потребления капитала для Basel II требует от 60 до 70 человеко-лет, которые были бы распределены на три года.
Использовались стандарты ISO 17799 (International Standards Organization regulation) на уровне ИТ. Это помогало определить операционные риски, связанные с ИТ-безопасностью, личной безопасностью, непрерывностью бизнеса и так далее. Стандарт ISO определяет структуру работы по настройке процессов для более эффективного управления риском. Мы используем этот момент, как основу для того, чтобы создать список бизнес-рисков, которые проистекают из ИТ, и понять, как мы можем снизить эти риски.
Чтобы контролировать не только технические риски, но также и бизнес-риски, проистекающие из зависимости бизнеса от ИТ, Дофин вместе со своей командой определили следующие ключевые риски, связанные с ИТ, для своего бизнеса:
• воздействие на эффективность бизнес-персонала, если системы не работают или не понятны пользователям;
• недостаток гибкости или способности быстро реагировать на новые рынки, возможно из-за косности системы;
• недостаточная интеграция данных, что может влиять на ведение бизнеса;
• мошенничество, если доступ пользователей недостаточно контролируется;
• недостаточный отчет о соблюдении требований закона и нормирующих органов, если ИС не обеспечивает достаточный уровень отчетности;
• напряженность среди сотрудников, если ИТ-системы работают недостаточно хорошо.
«Естественно, вы всегда должны найти баланс между управлением риском и другими целями», – говорит Дофин. «Для этого вы должны оценить потенциальное воздействие и цену снижения рисков, а также оценить, какие ресурсы надо для этого выделить».
Четыре основные стратегии для работы с риском
Есть четыре основных способа работы с риском: снижение, перенос, принятие и избежание.
Снижение: суть его состоит в уменьшении самого риска или его последствий. Чтобы этот способ работал, у компании должно быть достаточно возможностей для уменьшения или устранения вероятности или воздействия риска.
Перенос: перемещение риска за пределы компании. Чтобы этот способ работал, некто (например, страховой агент) должен быть готов взять на себя риск.
Принятие: осознанное и продуманное принятие компанией риска на себя (для некоторых типов риска это называется самостраховкой). Чтобы этот способ заработал, вероятность риска должна быть невелика, а последствия – достаточно легкими, чтобы компания могла их перенести безболезненно.
Избежание: устранение вероятности того, что риск реализуется. Для большинства компаний избежание означает выход из бизнеса, уход с рынка или отказ от продукта. Чтобы это произошло, компания должна иметь достаточную свободу для того, чтобы уйти и избежать возможностей, связанных с риском.
Снижение риска – это самая популярная стратегия при работе с большинством современных рисков. Далее мы поговорим о различных методах и подходах к тому, как вы и ваша компания можете снизить угрозу последствий рисков, наиболее опасных для вас.
Идентифицируйте риски, анализируйте их, классифицируйте и защищайтесь
Ни одна компания не может полностью оградить себя ото всех возможных рисков. Первый вопрос управления рисками такой: «Какие риски компания готова терпеть». Ответ на этот вопрос (вместе со своими коллегами по бизнесу) надо искать тремя последовательными шагами.
Прежде всего, определите мишени и угрозы. Чтобы понять риски, проанализируйте ситуацию для всей компании в целом. Вспомните свое познание бизнеса и разработку бизнес-максим. Какие стратегии важнее всего для вашего бизнеса? Что может помешать реализации этих стратегий? Как могут рынки, конкуренты, регулирующие органы и другие субъекты бизнеса реагировать на ваши бизнес-стратегии? Есть ли ключевые точки, которые могут привести к провалу. Где будут стратегии сосредотачивать данные, деньги, материалы или другие ценные корпоративные активы? Если вы не изучаете эти сценарии в вашем совете по анализу рисков, старайтесь проверять ваши идеи вместе с коллегами по бизнесу.
От этих сценариев переходите к бизнес-процессам, на которые они оказывают влияние, то есть – подвержены рискам. Старайтесь быть максимально внимательными к деталям, но не увязните в них. Попросите старших менеджеров ИС определить наиболее важные риски и потенциальные последствия, к которым они могут привести в связанных с ними бизнес-процессах. Убедитесь в том, что ваши менеджеры понимают свою ответственность за риски в сферах своей деятельности вне зависимости от того, осознали они их или нет.
Не все мишени одинаковы. Выявите и оцените все активы, находящиеся в зонах риска – бизнес-процессы, рынки и базы данных – в терминах таких понятий, как снижение доходов или доли рынка. Постарайтесь учесть то, что не поддается количественной оценке, например, потерю репутации, и понять, как это влияет на продажи и сохранение клиентов, штрафы или другие санкции. Еще один способ оценить стоимость активов – определить их потенциальную ценность для злоумышленников, то есть то, что побуждает злоумышленников идти на преступление. Для активов, потеря которых может затронуть интересы третьих лиц, вы должны оценить потенциальную угрозу от халатности. Постарайтесь проанализировать возможные сценарии для уязвимости ваших главных активов. Вот несколько уравнений для этой цели:
Уязвимость = возможному числу успешных атак в год
или
Уязвимость = полному числу атак х процент успешных атак.
К концу этого этапа у вас будет список активов с оценкой уязвимости и стоимости потерь для каждого из них.
Во-вторых, надо вычислить ежегодный риск для каждого сценария атаки. Это проще сделать, если у вас есть достоверная информация об атаках на вашу компанию и о ваших реакциях на эти атаки. Вы должны вычислить риск потенциальных ежегодных потерь в каждом сценарии с использованием таких уравнений:
Потенциальные ежегодные потери = стоимости ущерба х уязвимость.
Затем расставьте приоритеты в своем списке на основе уровня риска. Результатом этого этапа должен стать список ваших рисков, расставленных в порядке приоритетов.
В-третьих, определите ваши потенциальные возможности защиты и сбалансируйте их против возможных рисков. После того, как вы создали список потенциальных защит, проанализируйте каждую по четырем параметрам:
1) стоимость;
2) вогласованность с целями компании;
3) влияние на бизнес-процессы и стоимость их изменения, то есть, понадобится ли перестройка процессов;
4) влияние на нынешние и будущие инициативы управления риском. Потребуется ли вам поддерживать дорогие, трудноприобретаемые умения и знания? Будет ли необходимая защита ограничивать гибкость компании или ее способность снижать другие риски? Будет ли эта защита долгосрочной или локальным латанием дыр?
После того, как вы завершите этот процесс идентификации рисков, вам потребуется разделить их на категории, сравнить риски внутри категорий и между категориями и назначить ответственных за управление каждым конкретным риском. Кроме этого, вам нужны регулярные отчеты о положении дел с каждым конкретным риском и о мерах, принятых по управлению им. На каждом уровне компании управление должно фокусироваться на пяти-семи основных рисках в сферах своей компетенции и регулярно отчитываться (насколько часто – это зависит от уровня риска) менеджерам более высокого уровня. Даже если это не принято в вашей компании, вы должны установить самые высокие стандарты управления рисками. Это будет способствовать росту доверия к вам и к новой ИС организации.
Главный приоритет в управлении рисками у нового CIO-лидера: информационная безопасность
Новый CIO-лидер должен управлять всеми рисками в компании в любой ситуации, если ИТ замешаны в этот риск или могут помочь его снизить, но все же один из них – самый важный, это информационная безопасность. Именно в этой сфере существуют самые большие угрозы, связанные с ИТ. Поскольку именно здесь можно ожидать самых крупных неприятностей, информационная безопасность несомненно является областью ответственности CIO и ИТ. Давайте разберемся, как обеспечивается управление риском, связанным с управлением безопасностью на основе целей компании.