Ключевые индикаторы риска (КИР), безусловно, важны для процесса управления, поскольку многие риски можно нивелировать. Для начала необходимо их корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы. Разберемся, в чем польза КИР и как не допускать ошибок при их определении.

Автор: Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group

КИР для финсектора. Что в них особенного?

В первую очередь стоит обратить внимание на схожесть КИР с ключевыми показателями эффективности (известными также как KPI), которые устанавливаются для каждого процесса. Оба показателя направлены на генерацию прибыли компаний от бизнес-процессов. Учитывая базовые закономерности ведения бизнеса, напрашивается вывод, что прибыль без риска невозможна, следовательно, группы показателей KPI недостаточно. Необходимо определить не только доходную часть, но и рисковую. И тут как раз на помощь приходят показатели риска.

Их можно разделить на формализованные КПУР (контрольные показатели уровня риска) и неформализованные КИР.

Причем показатели КИР должны способствовать тому, чтобы фактические КПУР соответствовали целевым и не превышали эти значения.

Для финансового сектора данное требование отражено как в положении Банка России 716-П, так и в стандартах ГОСТ Р 57580.3–2022 и ГОСТ Р 57580.4– 2022. Кредитные организации ежеквартально отчитываются по КПУР, установленным для операционных рисков, в том числе для рисков информационной безопасности, в соответствии с формой отчетности 0409106 в разрезе бизнес-процессов, указывая фактические и установленные контрольные и сигнальные значения.

Перечень КПУР и требования по их расчету, установлению, мониторингу и реагированию на превышения определен. В отношении же КИР нет четких инструкций, не считая рекомендаций Р 50.1.090–2014. Регулятор финсектора говорит, что они должны быть в наличии и служить тому, чтобы фактические КПУР соответствовали целевым значениям. Таким образом, КИР помогают управлять рисками, но они не идентичны КПУР.

По сути, КИР для любого бизнеса – достаточно узкий показатель уровня риска каждого процесса, который можно измерить в любых удобных единицах (деньги, часы, штуки, тонны), причем не только количественно, но и качественно. Важно, чтобы выбранные показатели были логичны, измеримы и применимы.

Благодаря схожести КИР с KPI они должны быть абсолютно понятны руководству бизнеса и процессов. Причем реальный опыт показывает, что чаще всего обе группы показателей устанавливаются одновременно, что позволяет оценивать эффективность процесса со сторон как дохода, так и риска. Однако нередко некоторые структуры устанавливают КИР некорректно, тем самым не облегчая, а затрудняя работу для руководства и бизнес-юнитов.

Как правильно определять КИР

Начнем с того, что, определяя КИР, точно не стоит брать за основу КПУР и просто переписывать их другими словами. КИР как раз должны быть такими, чтобы их соблюдение или несоблюдение влияло на уровень КПУР. Не стоит еще забывать, что КПУР устанавливаются и попадают под обязательный мониторинг как совета директоров, так и Банка России через 106-ю форму.

Таким образом, возможно установить КИР для расчета, следуя последовательной регламентации расчетов и валидации с КПУР.

В данной последовательности установление КИР позволит определить КПУР логично построенным. Источником информации здесь служит база событий операционного риска, позволяющая полно и достаточно рассчитать как плановые, так и фактические значения.

Примеры определения КИР: от врага к союзнику

Для наглядности возьмем КПУР ИБ № 1: «Общая сумма чистых прямых потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года». Необходимо для него установить КИР.

Чтобы рассчитать КПУР ИБ № 1, нам нужно определить составляющие элементы показателя чистых прямых потерь. В их числе организация установила, например, чистые потери от следующих рисков ИБ:

хищение информации внешним нарушителем за счет физического доступа к техническим средствам или линиям связи;
уничтожение/потеря доступа к информации/нарушение работоспособности информационной системы вследствие физического доступа внешнего нарушителя к техническим средствам обработки; 
нарушение целостности информации в результате действий персонала сторонних организаций.

Установление и расчет соответствующих КИР может определить как количественные, так и качественные параметры, однако предпочтительнее установить количественные измеримые значения. Ниже приведем вариант КИР по рискам ИБ.

Например, возьмем условные значения в тысячах рублей и получим следующие значения по одному бизнес-процессу:

Следовательно, используя данные по сумме прямых потерь от направлений угроз ИБ по КИР, получилось определить конкретный КПУР по конкретному бизнес-процессу.

Таким образом, было выведено контрольное значение, при котором устанавливается ежедневный мониторинг и применение управленческих мер по его снижению при необходимости. Сигнальное значение будет на 15% больше и составит 210. Как только оно будет достигнуто, произойдет информирование совета директоров и реагирование на риск.

Исходя из весомости факторов для расчета данного КПУР, организации следует обратить внимание на уровень прямых потерь от этого бизнес-процесса и в его рамках особое внимание обратить на пункт «Хищение информации внешним нарушителем за счет физического доступа к техническим средствам или линиям связи», так как он имеет существенное значение.

Определив данные КИР для фактора КПУР, который основывается на размере прямых потерь от рисков ИБ, связанных с хищением информации, можно выяснить, как управлять данным операционным риском и что на него влияет. Иными словами, реально выделить причины возникновения самих рисков (штрафов, например) и устранить или снизить влияние этого фактора.

Если выяснится, что хищение информации происходит внешним нарушителем, следовательно, кредитной организации надо выявить, какие угрозы и векторы атак использовались, исходя из этого определить, какие изменения (организационные и технические) надо произвести в процессе, чтобы предотвратить последующее увеличение фактического значения КИР и соответствующих КПУР.

Следует отметить, что один и тот же КИР может влиять на уровень не только одного КПУР, но и нескольких сразу. Применение универсальных КИР, влияющих на несколько КПУР, позволит снизить организационную нагрузку на центры компетенций и службы управления операционными рисками.

Можно заметить, что разные вариации КИР позволяют понять логику их установления и ответить на вопрос, зачем они нужны. С помощью них сотрудники, ответственные за процесс, нагляднее могут определять, на что и как они могут повлиять для предотвращения риска.

Рекомендации

Исходя из положительного опыта определения КИР, предлагаю небольшой пул советов и рекомендаций.

КИР желательно (но необязательно) должны влиять на КПУР.
КИР должен быть понятен для расчета. Откуда взять исходную информацию? Из базы событий операционного риска.
КИР может измеряться как в количественном выражении, так и в качественном.
Необходимо регулярно и своевременно производить расчет фактических и плановых значений.
При определении пороговых значений КИР не следует указывать слишком низкие значения («околонулевые») и слишком высокие.
Установить КИР при отсутствии статистических данных возможно с использованием экспертного мнения как самих сотрудников, так и внешних консультантов. п 7. Конкретный КИР влияет на значение одного или нескольких КПУР.
КИР необходимо постоянно актуализировать в зависимости от условий реализации процессов и стратегии.
Важно определить подразделения, ответственные за КИР.
Необходимо установить порядок реагирования в случае превышения пороговых значений.

ITSec_articles

Read More

Ваша реакция?
+1
0
+1
0
+1
1
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x