Читаем CIO новый лидер. Постановка задач и достижение целей полностью

Четыре основные стратегии для работы с риском

Есть четыре основных способа работы с риском: снижение, перенос, принятие и избежание.

Снижение: суть его состоит в уменьшении самого риска или его последствий. Чтобы этот способ работал, у компании должно быть достаточно возможностей для уменьшения или устранения вероятности или воздействия риска.

Перенос: перемещение риска за пределы компании. Чтобы этот способ работал, некто (например, страховой агент) должен быть готов взять на себя риск.

Принятие: осознанное и продуманное принятие компанией риска на себя (для некоторых типов риска это называется самостраховкой). Чтобы этот способ заработал, вероятность риска должна быть невелика, а последствия – достаточно легкими, чтобы компания могла их перенести безболезненно.

Избежание: устранение вероятности того, что риск реализуется. Для большинства компаний избежание означает выход из бизнеса, уход с рынка или отказ от продукта. Чтобы это произошло, компания должна иметь достаточную свободу для того, чтобы уйти и избежать возможностей, связанных с риском.

Снижение риска – это самая популярная стратегия при работе с большинством современных рисков. Далее мы поговорим о различных методах и подходах к тому, как вы и ваша компания можете снизить угрозу последствий рисков, наиболее опасных для вас.

Идентифицируйте риски, анализируйте их, классифицируйте и защищайтесь

Ни одна компания не может полностью оградить себя ото всех возможных рисков. Первый вопрос управления рисками такой: «Какие риски компания готова терпеть». Ответ на этот вопрос (вместе со своими коллегами по бизнесу) надо искать тремя последовательными шагами.

Прежде всего, определите мишени и угрозы. Чтобы понять риски, проанализируйте ситуацию для всей компании в целом. Вспомните свое познание бизнеса и разработку бизнес-максим. Какие стратегии важнее всего для вашего бизнеса? Что может помешать реализации этих стратегий? Как могут рынки, конкуренты, регулирующие органы и другие субъекты бизнеса реагировать на ваши бизнес-стратегии? Есть ли ключевые точки, которые могут привести к провалу. Где будут стратегии сосредотачивать данные, деньги, материалы или другие ценные корпоративные активы? Если вы не изучаете эти сценарии в вашем совете по анализу рисков, старайтесь проверять ваши идеи вместе с коллегами по бизнесу.

От этих сценариев переходите к бизнес-процессам, на которые они оказывают влияние, то есть – подвержены рискам. Старайтесь быть максимально внимательными к деталям, но не увязните в них. Попросите старших менеджеров ИС определить наиболее важные риски и потенциальные последствия, к которым они могут привести в связанных с ними бизнес-процессах. Убедитесь в том, что ваши менеджеры понимают свою ответственность за риски в сферах своей деятельности вне зависимости от того, осознали они их или нет.

Не все мишени одинаковы. Выявите и оцените все активы, находящиеся в зонах риска – бизнес-процессы, рынки и базы данных – в терминах таких понятий, как снижение доходов или доли рынка. Постарайтесь учесть то, что не поддается количественной оценке, например, потерю репутации, и понять, как это влияет на продажи и сохранение клиентов, штрафы или другие санкции. Еще один способ оценить стоимость активов – определить их потенциальную ценность для злоумышленников, то есть то, что побуждает злоумышленников идти на преступление. Для активов, потеря которых может затронуть интересы третьих лиц, вы должны оценить потенциальную угрозу от халатности. Постарайтесь проанализировать возможные сценарии для уязвимости ваших главных активов. Вот несколько уравнений для этой цели:

Уязвимость = возможному числу успешных атак в год

или

Уязвимость = полному числу атак х процент успешных атак.

К концу этого этапа у вас будет список активов с оценкой уязвимости и стоимости потерь для каждого из них.

Во-вторых, надо вычислить ежегодный риск для каждого сценария атаки. Это проще сделать, если у вас есть достоверная информация об атаках на вашу компанию и о ваших реакциях на эти атаки. Вы должны вычислить риск потенциальных ежегодных потерь в каждом сценарии с использованием таких уравнений:

Потенциальные ежегодные потери = стоимости ущерба х уязвимость.

Затем расставьте приоритеты в своем списке на основе уровня риска. Результатом этого этапа должен стать список ваших рисков, расставленных в порядке приоритетов.

В-третьих, определите ваши потенциальные возможности защиты и сбалансируйте их против возможных рисков. После того, как вы создали список потенциальных защит, проанализируйте каждую по четырем параметрам:

1) стоимость;

2) вогласованность с целями компании;

3) влияние на бизнес-процессы и стоимость их изменения, то есть, понадобится ли перестройка процессов;

4) влияние на нынешние и будущие инициативы управления риском. Потребуется ли вам поддерживать дорогие, трудноприобретаемые умения и знания? Будет ли необходимая защита ограничивать гибкость компании или ее способность снижать другие риски? Будет ли эта защита долгосрочной или локальным латанием дыр?