Система управления ИТ-рисками
Раздел: ИТ-аудит
Автор: Эльдар Мусин, руководитель проектов по внутреннему аудиту ПАО «ФосАгро», член Некоммерческого партнерства «Институт внутренних аудиторов»
Статья была опубликована в журнале "Акционерное общество: вопросы корпоративного управления", № 08, 2018
Введение
Управление рисками – важная составляющая системы корпоративного управления. Риски должны рассматриваться при принятии решений на всех уровнях, начиная с выбора стратегии (риск несоответствия стратегии видению и миссии компании), на операционном уровне (риск потери новых клиентов из-за недоступности внутренних ИТ сервисов), вплоть до прикладных рисков на уровне приложений (риск ввода некорректных данных в поле). Информация о новых рисках и реализации существующих должна свободно перемещаться между подразделениями, эскалироваться до необходимого уровня (вплоть до акционеров и других заинтересованных сторон) и консолидироваться в службе риск-менеджмента. При этом система управления ИТ рисками не должна быть обособленной, а должна являться частью общей системы управления рисками и соответствовать ее политикам и методикам.
Формализованное управление рисками первоначально было реализовано в банковских организациях, где основной бизнес риск – кредитный (невозврат средств заемщиком). Банки достаточно хорошо научились управлять этим риском. Имея большой объем накопленных данных о возврате и невозврате кредита, соответствующих условиях, банки строят модели и определяют заемщиков, которые наиболее веротно не допустят дефолта по кредиту. В управлении рисками банкам также помогает Базельский комитет по банковскому надзору и Центральные банки.
Но что же происходит с ИТ-рисками? С каждым годом банковский бизнес все больше полагается на ИТ, банки начинают конкурировать с ИТ-компаниями. Если ранее в крупнейшем банке страны киберриски входили в состав операционных, то теперь они выведены на один уровень с операционным и кредитным. Получается, банки осознают важность ИТ- и киберрисков.
То же самое происходит и в других секторах. Например, даже в таком консервативном секторе как аграрный, все чаще применяются современные ИТ, в частности, дроны, искусственный интеллект («компьютерное зрение») и другие. Управление ИТ-рисками у них также выходит на первый план.
Ниже рассмотрим основные этапы системы управления рисками с учетом особенностей ИТ рисков.
Полный текст статьи в формате PDF.