Оглавление
Ключевые индикаторы риска (КИР), безусловно, важны для процесса управления, поскольку многие риски можно нивелировать. Для начала необходимо их корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы. Разберемся, в чем польза КИР и как не допускать ошибок при их определении.
Автор: Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
КИР для финсектора. Что в них особенного?
В первую очередь стоит обратить внимание на схожесть КИР с ключевыми показателями эффективности (известными также как KPI), которые устанавливаются для каждого процесса. Оба показателя направлены на генерацию прибыли компаний от бизнес-процессов. Учитывая базовые закономерности ведения бизнеса, напрашивается вывод, что прибыль без риска невозможна, следовательно, группы показателей KPI недостаточно. Необходимо определить не только доходную часть, но и рисковую. И тут как раз на помощь приходят показатели риска.
Их можно разделить на формализованные КПУР (контрольные показатели уровня риска) и неформализованные КИР.
Причем показатели КИР должны способствовать тому, чтобы фактические КПУР соответствовали целевым и не превышали эти значения.
Для финансового сектора данное требование отражено как в положении Банка России 716-П, так и в стандартах ГОСТ Р 57580.3–2022 и ГОСТ Р 57580.4– 2022. Кредитные организации ежеквартально отчитываются по КПУР, установленным для операционных рисков, в том числе для рисков информационной безопасности, в соответствии с формой отчетности 0409106 в разрезе бизнес-процессов, указывая фактические и установленные контрольные и сигнальные значения.
Перечень КПУР и требования по их расчету, установлению, мониторингу и реагированию на превышения определен. В отношении же КИР нет четких инструкций, не считая рекомендаций Р 50.1.090–2014. Регулятор финсектора говорит, что они должны быть в наличии и служить тому, чтобы фактические КПУР соответствовали целевым значениям. Таким образом, КИР помогают управлять рисками, но они не идентичны КПУР.
По сути, КИР для любого бизнеса – достаточно узкий показатель уровня риска каждого процесса, который можно измерить в любых удобных единицах (деньги, часы, штуки, тонны), причем не только количественно, но и качественно. Важно, чтобы выбранные показатели были логичны, измеримы и применимы.
Благодаря схожести КИР с KPI они должны быть абсолютно понятны руководству бизнеса и процессов. Причем реальный опыт показывает, что чаще всего обе группы показателей устанавливаются одновременно, что позволяет оценивать эффективность процесса со сторон как дохода, так и риска. Однако нередко некоторые структуры устанавливают КИР некорректно, тем самым не облегчая, а затрудняя работу для руководства и бизнес-юнитов.
Как правильно определять КИР
Начнем с того, что, определяя КИР, точно не стоит брать за основу КПУР и просто переписывать их другими словами. КИР как раз должны быть такими, чтобы их соблюдение или несоблюдение влияло на уровень КПУР. Не стоит еще забывать, что КПУР устанавливаются и попадают под обязательный мониторинг как совета директоров, так и Банка России через 106-ю форму.
Таким образом, возможно установить КИР для расчета, следуя последовательной регламентации расчетов и валидации с КПУР.
В данной последовательности установление КИР позволит определить КПУР логично построенным. Источником информации здесь служит база событий операционного риска, позволяющая полно и достаточно рассчитать как плановые, так и фактические значения.
Примеры определения КИР: от врага к союзнику
Для наглядности возьмем КПУР ИБ № 1: “Общая сумма чистых прямых потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года”. Необходимо для него установить КИР.
Чтобы рассчитать КПУР ИБ № 1, нам нужно определить составляющие элементы показателя чистых прямых потерь. В их числе организация установила, например, чистые потери от следующих рисков ИБ:
хищение информации внешним нарушителем за счет физического доступа к техническим средствам или линиям связи;
уничтожение/потеря доступа к информации/нарушение работоспособности информационной системы вследствие физического доступа внешнего нарушителя к техническим средствам обработки;
нарушение целостности информации в результате действий персонала сторонних организаций.
Установление и расчет соответствующих КИР может определить как количественные, так и качественные параметры, однако предпочтительнее установить количественные измеримые значения. Ниже приведем вариант КИР по рискам ИБ.
Например, возьмем условные значения в тысячах рублей и получим следующие значения по одному бизнес-процессу:
Следовательно, используя данные по сумме прямых потерь от направлений угроз ИБ по КИР, получилось определить конкретный КПУР по конкретному бизнес-процессу.
Таким образом, было выведено контрольное значение, при котором устанавливается ежедневный мониторинг и применение управленческих мер по его снижению при необходимости. Сигнальное значение будет на 15% больше и составит 210. Как только оно будет достигнуто, произойдет информирование совета директоров и реагирование на риск.
Исходя из весомости факторов для расчета данного КПУР, организации следует обратить внимание на уровень прямых потерь от этого бизнес-процесса и в его рамках особое внимание обратить на пункт “Хищение информации внешним нарушителем за счет физического доступа к техническим средствам или линиям связи”, так как он имеет существенное значение.
Определив данные КИР для фактора КПУР, который основывается на размере прямых потерь от рисков ИБ, связанных с хищением информации, можно выяснить, как управлять данным операционным риском и что на него влияет. Иными словами, реально выделить причины возникновения самих рисков (штрафов, например) и устранить или снизить влияние этого фактора.
Если выяснится, что хищение информации происходит внешним нарушителем, следовательно, кредитной организации надо выявить, какие угрозы и векторы атак использовались, исходя из этого определить, какие изменения (организационные и технические) надо произвести в процессе, чтобы предотвратить последующее увеличение фактического значения КИР и соответствующих КПУР.
Следует отметить, что один и тот же КИР может влиять на уровень не только одного КПУР, но и нескольких сразу. Применение универсальных КИР, влияющих на несколько КПУР, позволит снизить организационную нагрузку на центры компетенций и службы управления операционными рисками.
Можно заметить, что разные вариации КИР позволяют понять логику их установления и ответить на вопрос, зачем они нужны. С помощью них сотрудники, ответственные за процесс, нагляднее могут определять, на что и как они могут повлиять для предотвращения риска.
Рекомендации
Исходя из положительного опыта определения КИР, предлагаю небольшой пул советов и рекомендаций.
КИР желательно (но необязательно) должны влиять на КПУР.
КИР должен быть понятен для расчета. Откуда взять исходную информацию? Из базы событий операционного риска.
КИР может измеряться как в количественном выражении, так и в качественном.
Необходимо регулярно и своевременно производить расчет фактических и плановых значений.
При определении пороговых значений КИР не следует указывать слишком низкие значения (“околонулевые”) и слишком высокие.
Установить КИР при отсутствии статистических данных возможно с использованием экспертного мнения как самих сотрудников, так и внешних консультантов. п 7. Конкретный КИР влияет на значение одного или нескольких КПУР.
КИР необходимо постоянно актуализировать в зависимости от условий реализации процессов и стратегии.
Важно определить подразделения, ответственные за КИР.
Необходимо установить порядок реагирования в случае превышения пороговых значений.
ITSec_articles