Когда дело доходит до технологических рисков и киберрисков, финансовые учреждения все чаще переходят к риск-ориентированному подходу при определении своих приоритетов в области контроля. Эти средства контроля должны основываться на их текущих возможностях обеспечения безопасности, вероятности угроз и последствиях любого потенциального кибератаки. Однако остается вопрос: могут ли организации действительно принимать стратегические, объективные решения о том, какие средства контроля им следует внедрять, а какие нет, учитывая их склонность к технологическим рискам и киберрискам? https://www.mckinsey.com/business
Управление, основанное на рисках, измеряет риск в сравнении с склонностью организации к риску, чтобы определить, где необходимы дополнительные технологии и киберконтроль. Цель состоит в том, чтобы снизить оставшиеся технологические и киберриски до уровня, приемлемого для бизнеса. Чтобы добиться успеха, у нее должны быть четкие, поддающиеся измерению заявления о ее технологическом риске и склонности к киберрискам, определенные в терминах бизнеса, с четким правом собственности.
Кроме того, регулирующие органы в настоящее время оказывают давление на организации, чтобы они лучше формулировали свою склонность к риску. Четкое заявление о склонности к риску является краеугольным камнем успешного риск-ориентированного управления. Основные регулирующие органы — например, Управление валютного контролера — недавно опубликовали выводы для крупных банков США о том, как определить и структурировать свои аппетиты к технологическим рискам и киберрискам. Считается, что эта тенденция будет наблюдаться и в Европе, поскольку Европейское банковское управление уже разработало руководящие принципы управления киберрисками и продолжает рассматривать их как растущую проблему. Однако, хотя регулирующие органы описали характеристики оптимальной структуры аппетита к киберрискам, нет последовательной картины того, каким на самом деле должен быть аппетит к риску или как его реализовать в масштабах всей организации.
Из-за этого отсутствия руководства финансовые учреждения часто с трудом понимают, как им следует выстраивать структуру склонности к риску, которая соответствовала бы ожиданиям регулирующих органов и обеспечивала реальную ценность в качестве основы для принятия решений.
Уточнение структуры склонности к риску
Многие организации обнаруживают, что у них уже есть компоненты структуры оптимальной склонности к риску (например, пороговые значения для ключевых показателей риска) или всеобъемлющие общеорганизационные заявления, которые представляют общую склонность к риску как высокую, среднюю или низкую. Однако этим организациям трудно измерить свою склонность к риску в сравнении с реальными деловыми событиями и согласовать пороговые значения показателей, основанные на склонности к риску.
Например, организациям легко сказать, что у них низкий аппетит к киберрискам. Но дебаты начинаются, когда они спрашивают, что представляет собой такой низкий аппетит с точки зрения осуществления контроля, и когда первая и вторая линии защиты спрашивают, попадает ли остаточный риск в рамки этого общего аппетита или за его пределы. Чтобы эффективно управлять технологическими рисками и киберрисками, организации должны разработать объективную структуру аппетита к риску, которая поддерживает бизнес-решения в отношении рисков и использует объективные показатели и отчетность для достижения соответствия аппетиту к риску.
Финансовым организациям нужна систематическая, ориентированная на воздействие структура, которая информирует об их аппетитах к технологическим рискам и киберрискам, начиная с уровня правления и заканчивая целями контроля и пороговыми показателями. Определение склонности к риску должно быть командной деятельностью, учитывающей потребности различных заинтересованных сторон, включая правление, бизнес, технологическую функцию и вторую линию.
Структура аппетита к технологическим рискам и киберрискам
Рамки аппетита к риску, структурированные с учетом таксономий технологических рисков и киберрисков, должны переходить от таксономии рисков к целям контроля и поддерживать пороговые значения показателей.
Таксономия технологических рисков и киберрисков должна охватывать все текущие и возникающие технологические риски и киберриски. Организации обычно структурируют таксономии в соответствии с возможностью реализации различных воздействий технологического риска или киберриска. Например, техническая и кибернетическая таксономия может быть структурирована по потере доступности систем, нарушению конфиденциальности, нарушению целостности данных, рискам управления проектами или любой комбинации этих возможностей.
Как только ключевые риски будут поняты, организации должны определить свой аппетит к ним. Такое заявление о риск-аппетите предприятия должно быть не только ориентированным на бизнес и количественным, но и соответствовать таксономии технологических рисков и киберрисков. Кроме того, эти количественные показатели должны быть стратифицированы по важности для бизнеса. Например, заявления о склонности предприятия к риску в отношении недоступности систем могут быть “не более X минут незапланированного простоя для систем, связанных с критическими бизнес-службами” и “не более Y минут незапланированного простоя для систем, связанных с некритическими бизнес-службами”.
Затем организация должна разработать стандарты контроля и схемы контроля на основе этих заявлений о склонности к риску. Цели контроля должны охватывать все виды технологий и киберконтроля (которые в идеале должны соответствовать отраслевым стандартам) и должны быть ранжированы по важности для бизнеса. Они также должны поддаваться измерению, чтобы организации могли отслеживать соблюдение своих целей контроля с помощью метрик (см. врезку ”Конкретный пример»).
Наконец, организации должны установить пороговые значения для ключевых показателей риска (KRI), чтобы определить, находится ли риск в пределах допустимого, а также ключевые контрольные показатели (KCI) для сравнения эффективности средств контроля с целями контроля. Например, KCI для управления многофакторной аутентификацией может представлять собой процент приложений, обрабатывающих критически важные для бизнеса данные с помощью многофакторной аутентификации. KRI может представлять собой количество случаев несанкционированного доступа к критически важным для бизнеса данным в результате нарушения контроля доступа.
Заявления о склонности к риску на уровне бизнес-подразделения должны отражать риски и ключевые факторы, относящиеся к конкретным подразделениям. Такие заявления, как правило, должны исходить из заявлений о склонности к риску на уровне предприятия, но бизнес-единицы с уникальными потребностями и ценностными предложениями могут иметь независимые заявления.
Зачем разрабатывать систему оценки склонности к риску?
Управление, основанное на риске, является успешным только в том случае, если оно соотносится с бизнес-ориентированным аппетитом к риску. Внедрение структурированного, всеобъемлющего заявления о склонности к риску, согласованного с бизнесом, технологической функцией и второй линией, имеет множество преимуществ, в том числе следующие:
- поддержка прозрачной коммуникации с правлением по уровню технологических рисков и киберрисков, чтобы обеспечить бизнес-ориентированное обсуждение инвестиций и приоритетов
- создание объективной платформы для обсуждения между первой и второй линиями защиты уровня остаточного риска
- помогая как первой, так и второй линии предоставлять регулирующим органам объективные доказательства того, что организация эффективно управляет технологическими рисками и киберрисками вопреки аппетиту к риску.
Разработка и внедрение системы оценки склонности к риску
Существует три ключевых соображения при разработке и внедрении системы оценки склонности к риску: понимание того, что существует в настоящее время, согласование с бизнесом и использование автоматизации там, где это возможно.
Поймите, что в настоящее время существует. Многие организации уже имеют компоненты системы оценки склонности к риску, но им не хватает сквозной структуры, полностью связанной с целями контроля. Чтобы определить, как продвигаться дальше, они должны понимать, какими возможностями они уже обладают.
Организация должна определять склонность к риску вместе с технологическими командами, основываясь на том, какое влияние технологии и данных они готовы принять для достижения бизнес-целей.
Согласуйтесь с бизнесом. Склонность организации к риску должна поддаваться измерению и соответствовать бизнес-целям. Бизнес должен определять склонность к риску вместе с технологическими командами, основываясь на том, какое влияние технологии и данных они готовы принять для достижения бизнес-целей. Эти технологические команды должны задавать бизнесу вопросы, например, сколько минут незапланированного простоя он готов принять для конкретной бизнес-услуги, сколько конфиденциальных данных он готов потерять для достижения своих целей и какое сочетание киберинвестиций, киберконтроля и поддержки бизнеса ему необходимо для управления киберрисками во время повседневных операций. Эти аналитические данные должны определять склонность организации к риску и связанные с этим цели контроля.
Используйте автоматизацию там, где это возможно. Достижения в области технологий упрощают автоматическое обеспечение соблюдения и применение средств контроля для различных систем — например, с помощью политики в виде кода 1 - на основе уровней остаточного риска. Выявление возможностей использования автоматизации для применения средств контроля в соответствии с склонностью к риску и для измерения степени общего соответствия с ней обеспечит более устойчивую среду для управления рисками.
Разработка, понимание, обеспечение соблюдения и внедрение системы управления технологическими рисками и киберрисками - это сложная задача, требующая надежных данных, тщательного мониторинга и координации между бизнесом, технологической функцией и второй линией. Предстоит проделать много сложной предварительной работы, чтобы правильно оценить технологические риски и склонность к киберрискам, но организации получат значительные дивиденды от достижения своих бизнес-целей, зная и понимая, в чем заключаются их технологические и кибернетические преимущества.
Нормативные требования в строго регулируемых отраслях, таких как финансовые услуги, часто вынуждают создавать строгие рамки склонности к риску. Однако установление устойчивого аппетита к технологическим рискам и киберрискам имеет преимущества не только для регулируемых отраслей, но и для организаций во всех отраслях, которые выиграют от управления технологическими рисками и киберрисками в противовес аппетиту к риску, ориентированному на воздействие на бизнес.
Об авторе:
Джеймс Каплан является партнером в нью-йоркском офисе McKinsey, где Дэниел Уолланс является ассоциированным партнером; Чарли Льюис является ассоциированным партнером в офисе в Стэмфорде, штат Коннектикут; Люси Шентон является ассоциированным партнером в берлинском офисе; и Зои Цвибельманн является консультантом в гамбургском офисе.