Управление риском ИТ. Основы

Торнов Максим

Финансовый – ошибки в бухгалтерском учете, финансовая отчетность организации содержит ошибки, неточности либо не содержит важной информации для заинтересованных сторон.

Кредитный – невозврат кредита заемщиком.

Рыночный – цена инвестиционного инструмента упала ниже, чем ожидалось.

Операционный – отклонения, неэффективность в операционной деятельности организации. При этом, например, в категорию операционных рисков можно отнести внутреннее и/или внешнее мошенничество, риск подрядчика/контрактный/санкционный – подрядчик выполнил проект ниже качеством либо не выполнил вовсе, отказался от поддержки ИТ системы, отозвал лицензию

и другие подобные варианты. Также очень часто к категории операционных рисков относят риск ИТ/ИБ – ключевая ИТ-система работает с ошибками, произошла утечка персональных данных и т. д. Как правило, риск ИТ – это подгруппа рисков бизнеса.

?

Взаимосвязь ИТ и бизнес-функций организации

Основная цель ИТ – помощь бизнесу в достижении миссии и целей организации. Каждое направление бизнеса создает ИТ-систему, поддерживающую его бизнес-функцию. Тем самым чем выше автоматизация процессов организации, тем выше вероятность того, что что-то пойдет не так в средствах автоматизации, то есть информационных технологиях.

?

1.2. ЧТО ТАКОЕ РИСК ИТ?

EBA – Европейский Банковский регулятор 4 дает, на мой взгляд, наиболее точное определение:

Риск ИТ – это риск потерь организации, вызванный:

• нарушением конфиденциальности;

• сбоем целостности систем и данных;

• некорректной работой либо недоступностью систем и данных;

• невозможностью изменить ИТ-систему за разумное время и стоимость, в то время как среда функционирования и/или требования бизнеса меняются (то есть быстрота изменений).

4

Europen Banking Authority.

Риск ИТ включает еще и риск безопасности (ИБ), проистекающий от:

• неадекватных либо некорректных внутренних процессов, организации, либо внешних событий, включая кибератаки, либо неадекватную систему физической безопасности.

Взаимосвязь риска ИТ и других категорий рисков

В случае реализации риска ИТ, рискового события, связанного с ИТ, потенциально, подобно карточному домику, такое событие запускает реализацию рисков из других категорий рисков бизнеса. Более наглядный пример приведен на изображении ниже.

О том, что можно сделать в каждом конкретном случае, мы более подробно поговорим и разберем в нескольких примерах, размещенных ниже, в Приложении 1.1. к первой главе.

Допустимая величина риска, риск-аппетит

и уровень терпимости к риску

Риск можно измерить, риском можно управлять. Для этого существуют различные инструменты. На мой взгляд, наиболее важные – это:

• допустимая величина риска (RISK CAPACITY),

то есть целевая сумма потерь, которую организация может выдержать до того, как под угрозой окажется возможность ее дальнейшего успешного функционирования, с учетом допустимой величины риска владельцы или совет директоров организации устанавливают риск-аппетит (RISK APPETITE). Риск-аппетит определяется как величина риска, которую организация готова принять с целью достижения своей миссии;

• уровень терпимости к риску (RISK TOLERANCE), это отклонение от риск-аппетита, подобные отклонения не желательны, но известно, что они достаточно ниже допустимой величины риска.

Для наглядности приведу примеры:

• допустимая величина риска (RISK CAPACITY): вследствие сбоя ИТ-системы часть сервисов организации недоступна для клиентов. Организация сможет выдержать убытки, понесенные в результате данного сбоя ИТ-системы и недоступности ИТ-системы на протяжении семи дней при сумме финансовых потерь до 10 млн рублей в совокупности за одну неделю.

• риск-аппетит (RISK APPETITE):

допустимое количество времени простоя ИТ-системы в год – общее количество времени недоступности ИТ-системы не превышает 100 минут в год. ИТ-система доступна 99,99% времени в год, допустимая сумма денежных потерь от простоя/сбоя ИТ-системы в год – не более 0,00001% от генерируемого данной системой потока выручки, допустимое количество установленного типа сбоев/ошибок ИТ-системы в год – не более двух сбоев/ошибок в неделю при работе ИТ-системы/отчетов.

Риск ИТ можно измерить

Риск можно измерить как в количественном эквиваленте, так и в качественном. Для этого используют различные метрики. Приведу для примера несколько метрик, рекомендуемых организацией ISC 5 .

Exposure Factor (SF) – фактор воздействия – процент потерь, которые организация может понести, в случае если актив будет подвержен реализации риска.

Single Loss Expectancy (SLE) – единовременный ожидаемый убыток, стоимость, присущая единовременной реализации риска в отношении актива.

5

ISC – Cybersecurity Certifications and Continuing Education.

Asset Value (AV) – стоимость актива.

Annualized Rate of Occurrence (ARO) – частота реализации риска в год.

Annualized Loss Expectancy (ALE) – ожидаемые годовые убытки от реализации риска.

Количественная оценка

Используя метрики, приведенные выше, можно сделать количественную оценку потенциальных потерь в случае реализации риска, присущего ИТ. Например:

AV = $ 200 000

EF = 45%

ARO = 2 раза

SLE = AV x EF

ALE = SLE x ARO

Таким образом:

SLE = $ 200 000 x 45% = $ 90 000. В случае реализации риска ?в ?отношении ?актива ожидается потеря организацией $ 90 000.

ALE = $ 90 000 x 2 = $ 180 000. В случае реализации риска «2 раза» организация потеряет в два раза больше.

Ну и что это дает?

Зная о потенциальных потерях, даже приблизительно, менеджмент организации сможет более точно распределить расходы, сфокусировать необходимые ресурсы, экспертизу и усилия и принять более осознанные управленческие решения.