Финансовый – ошибки в бухгалтерском учете, финансовая отчетность организации содержит ошибки, неточности либо не содержит важной информации для заинтересованных сторон.
Кредитный – невозврат кредита заемщиком.
Рыночный – цена инвестиционного инструмента упала ниже, чем ожидалось.
Операционный – отклонения, неэффективность в операционной деятельности организации. При этом, например, в категорию операционных рисков можно отнести внутреннее и/или внешнее мошенничество, риск подрядчика/контрактный/санкционный – подрядчик выполнил проект ниже качеством либо не выполнил вовсе, отказался от поддержки ИТ системы, отозвал лицензию и другие подобные варианты. Также очень часто к категории операционных рисков относят риск ИТ/ИБ – ключевая ИТ-система работает с ошибками, произошла утечка персональных данных и т. д. Как правило, риск ИТ – это подгруппа рисков бизнеса.
⠀
Взаимосвязь ИТ и бизнес-функций организации
Основная цель ИТ – помощь бизнесу в достижении миссии и целей организации. Каждое направление бизнеса создает ИТ-систему, поддерживающую его бизнес-функцию. Тем самым чем выше автоматизация процессов организации, тем выше вероятность того, что что-то пойдет не так в средствах автоматизации, то есть информационных технологиях.
⠀
1.2. ЧТО ТАКОЕ РИСК ИТ?
EBA – Европейский Банковский регулятор4 дает, на мой взгляд, наиболее точное определение:
Риск ИТ – это риск потерь организации, вызванный:
• нарушением конфиденциальности;
• сбоем целостности систем и данных;
• некорректной работой либо недоступностью систем и данных;
• невозможностью изменить ИТ-систему за разумное время и стоимость, в то время как среда функционирования и/или требования бизнеса меняются (то есть быстрота изменений).
Риск ИТ включает еще и риск безопасности (ИБ), проистекающий от:
• неадекватных либо некорректных внутренних процессов, организации, либо внешних событий, включая кибератаки, либо неадекватную систему физической безопасности.
Взаимосвязь риска ИТ и других категорий рисков
В случае реализации риска ИТ, рискового события, связанного с ИТ, потенциально, подобно карточному домику, такое событие запускает реализацию рисков из других категорий рисков бизнеса. Более наглядный пример приведен на изображении ниже.
О том, что можно сделать в каждом конкретном случае, мы более подробно поговорим и разберем в нескольких примерах, размещенных ниже, в Приложении 1.1. к первой главе.
Допустимая величина риска, риск-аппетит
и уровень терпимости к риску
Риск можно измерить, риском можно управлять. Для этого существуют различные инструменты. На мой взгляд, наиболее важные – это:
• допустимая величина риска (RISK CAPACITY), то есть целевая сумма потерь, которую организация может выдержать до того, как под угрозой окажется возможность ее дальнейшего успешного функционирования, с учетом допустимой величины риска владельцы или совет директоров организации устанавливают риск-аппетит (RISK APPETITE). Риск-аппетит определяется как величина риска, которую организация готова принять с целью достижения своей миссии;
• уровень терпимости к риску (RISK TOLERANCE), это отклонение от риск-аппетита, подобные отклонения не желательны, но известно, что они достаточно ниже допустимой величины риска.
Для наглядности приведу примеры:
• допустимая величина риска (RISK CAPACITY): вследствие сбоя ИТ-системы часть сервисов организации недоступна для клиентов. Организация сможет выдержать убытки, понесенные в результате данного сбоя ИТ-системы и недоступности ИТ-системы на протяжении семи дней при сумме финансовых потерь до 10 млн рублей в совокупности за одну неделю.
• риск-аппетит (RISK APPETITE):
допустимое количество времени простоя ИТ-системы в год – общее количество времени недоступности ИТ-системы не превышает 100 минут в год. ИТ-система доступна 99,99% времени в год, допустимая сумма денежных потерь от простоя/сбоя ИТ-системы в год – не более 0,00001% от генерируемого данной системой потока выручки, допустимое количество установленного типа сбоев/ошибок ИТ-системы в год – не более двух сбоев/ошибок в неделю при работе ИТ-системы/отчетов.
Риск ИТ можно измерить
Риск можно измерить как в количественном эквиваленте, так и в качественном. Для этого используют различные метрики. Приведу для примера несколько метрик, рекомендуемых организацией ISC5.
Exposure Factor (SF) – фактор воздействия – процент потерь, которые организация может понести, в случае если актив будет подвержен реализации риска.
Single Loss Expectancy (SLE) – единовременный ожидаемый убыток, стоимость, присущая единовременной реализации риска в отношении актива.
Asset Value (AV) – стоимость актива.
Annualized Rate of Occurrence (ARO) – частота реализации риска в год.
Annualized Loss Expectancy (ALE) – ожидаемые годовые убытки от реализации риска.
Количественная оценка
Используя метрики, приведенные выше, можно сделать количественную оценку потенциальных потерь в случае реализации риска, присущего ИТ. Например:
AV = $ 200 000
EF = 45%
ARO = 2 раза
SLE = AV × EF
ALE = SLE × ARO
Таким образом:
SLE = $ 200 000 × 45% = $ 90 000. В случае реализации риска ⠀в ⠀отношении ⠀актива ожидается потеря организацией $ 90 000.
ALE = $ 90 000 × 2 = $ 180 000. В случае реализации риска «2 раза» организация потеряет в два раза больше.
Ну и что это дает?
Зная о потенциальных потерях, даже приблизительно, менеджмент организации сможет более точно распределить расходы, сфокусировать необходимые ресурсы, экспертизу и усилия и принять более осознанные управленческие решения.
Качественная оценка
Качественная оценка – это более простой способ оценки вероятности возникновения, реализации риска. Однако требующий больше экспертизы с привлечением экспертов из различных областей, включая представителей бизнеса, ИТ, ИБ, внешних консультантов.
Качественная оценка, как правило, выполняется путем присвоения риску уровня его вероятности либо влияния на ту или иную цель организации, так называемый «Светофор»:
• Высокая/Higher (Красный).
• Средняя/Medium (Желтый).
• Низкая/Low (Зеленый).
Наиболее точная оценка риска достигается при использовании одновременно как количественной оценки риска, так и качественной.
1.3. ПРИМЕРЫ РИСКОВ ИТ
