Введение
В настоящее время вопросам совершенствования управления информационными технологиями в компаниях уделяется все больше внимания. Причина этого явления вполне понятна и объяснима – информационные технологии становятся неотъемлемой частью любого современного бизнеса, и очень часто основой, обеспечивающей конкурентные преимущества этого бизнеса. Однако оборотной стороной такого влияния информационных технологий на бизнес является растущая зависимость надежности бизнес-процессов, и бизнеса в целом, от надежности информационных систем и процессов самого ИТ-подразделения.
Финансовые скандалы, растущая угроза терроризма, факты недобросовестного использования персональных данных вызвали на Западе принятие ряда законов, выполнение требований которых является обязательным для компаний, желающих остаться на рынке.
Как снизить риски при работе с контрагентами
Чтобы снизить риски, необходимо детально проверить контрагента до того, как начнутся переговоры. Также в договор нужно включить условия, позволяющие снизить или частично компенсировать возможные убытки. Также в соответствии со ст. 54.1 НК РФ и Письмом ФНС РФ от 31.10.2017 № ЕД-4-9/22123@ «О рекомендациях по применению положений статьи 54.1 НК РФ» следует учитывать требования ФНС о проявлении должной осмотрительности.
Перед заключением контракта рекомендуется выполнить определённые действия.
- Проверить полномочий лиц, действующих от лица контрагента. Для этого нужно запросить выписку из ЕГРЮЛ и устав компании, после чего детально изучить её корпоративную структуру и полномочия директора. Нередко возникают ситуации, когда в компании два директора, каждый из которых вправе заключать лишь определённые виды сделок.
Если лицо действует от имени контрагента по доверенности, запросите её заверенную копию. Проверьте, являлся ли человек, выдавший доверенность, директором компании на дату подписания документа. Посмотрите, когда была выдана доверенность и когда закончится срок её действия. Если в доверенности не указана дата выдачи, документ недействителен (ст. 186 ГК РФ).
- Получите лицензии и разрешения, необходимые контрагенту для осуществления деятельности в соответствии с законом.
- Изучите деловую репутацию будущего партнёра. Для этого необходимо выяснить, привлекался ли участник сделки или директор компании к уголовной ответственности по делам о мошенничестве. Затем нужно промониторить СМИ, а также изучить другую информацию, которая может указывать на неблагонадёжность контрагента.
- Оцените платёжеспособность: запросите сведения об исполнительных производствах, которые не исполняются из-за отсутствия денежных средств.
- Проверьте достаточность производственных и трудовых ресурсов для исполнения обязательств. Необходимо запросить сведения о наличии оборудования и численности работников.
- Проверьте опыт выполнения аналогичных работ или оказания подобных услуг. Для этого нужно убедиться, что контрагент не проигрывал судебные споры в связи с оказанием услуг ненадлежащего качества.
- Проверьте, не ведётся ли в отношении контрагента процедура банкротства.
- Проверьте учредителя, руководителя, участника сделки и юридический адрес компании на массовость.
Чтобы выполнить все эти действия, нужно обратиться к открытым источникам информации. Например, на сайте ФНС можно получить выписки из ЕГРЮЛ или ЕГРИП. Проверить контрагента на участие в судебных спорах можно, обратившись к картотеке арбитражных дел. Также провести комплексную проверку контрагента можно в сервисе Контур.Фокус.
Торгуйте в меру
Количество сделок не гарантирует их качества. Можно совершить одну, но очень выгодную сделку, а можно открыть 10 и получить по ним небольшие убытки, суммарно перекрывающие полученную ранее прибыль. Трейдеру следует быть очень разборчивым в сделках — лучше пропустить 5 посредственных сигналов торговой системы, но дождаться одного по-настоящему сильного и надежного, чтобы по нему войти в рынок. Сохраняйте терпение и не позволяйте стремлению всегда быть в рынке руководить вами. Тщательно отбирайте сделки и помните, что сокращение их количества уменьшит и сопутствующие расходы, такие как спред, проскальзывания, отрицательные свопы и комиссии.
Вести мониторинг внешних процессов
Одна из важных функций, которая возлагается на профильное ESG-подразделение в компании — мониторинг активностей по факторам устойчивого развития на международном, государственном и отраслевом уровне.
Правила в области ESG-регулирования и стандартов пока не устоялись даже на международном уровне, а в России они и вовсе только формируются. Очевидно, что отечественным компаниям для экономии средств и времени необходимо будет в ближайшие годы перенимать лучшие практики управления в области устойчивого развития у американских и европейских коллег.
Значит — внимательно следить за всеми тенденциями в этой области, изучать опыт, знакомиться с аналитическими исследованиями и реагировать на законодательные и другие государственные инициативы, которые появляются едва ли не каждый месяц.
Он устанавливает понятие целевого показателя сокращения выбросов парниковых газов, вводит углеродные единицы и предполагает создание реестра выбросов парниковых газов для их государственного учета по единой системе. Причем крупнейшие производители обязаны отчитываться по углеродным выбросам уже с 1 января 2023 года.
Выдачей зеленых сертификатов и ведением их реестра займется ООО «Оператор энергосертификации», а основными потребителями станут в основном российские экспортеры, которые захотят снизить вводимые в ЕС углеродные пошлины. На очереди стоит вопрос признания российских зеленых сертификатов европейскими партнерами и прочие, не менее насущные проблемы регулирования в этой области.
Сегодня мы становимся свидетелями и участниками того, как в моменте развивается захватывающая интрига перехода от бесконечных дискуссий на межправительственном уровне и PR-акций различного масштаба к новой парадигме существования цивилизации.
Суть этой интриги в том, что устойчивое развитие и следование ESG-принципам нельзя сделать обязательными, как вакцинацию. Его можно достичь только осознанными действиями и общими усилиями государства, бизнеса и каждого из нас.
Помните о мерах защиты при торговле
Прежде чем заключать сделку, подсчитайте, сколько можно позволить себе в ней потерять, и затем сравните с потенциальной прибылью, которую вы планируете по ней получить
Акцентируйте внимание не на размере прибыли или убытка, а на их соотношении. Необходимо достичь полного внутреннего согласия с размером возможного убытка — всегда помните, что в любой момент цена может пойти против вашей позиции
На каждую открываемую сделку необходим план ее сопровождения и варианты условий для закрытия — только таким образом вы сможете гарантированно защитить собственный капитал от превратностей рынка.
Обоснование операционного риска
До реформ Базель II банковского надзора операционный риск представлял собой остаточную категорию, предназначенную для рисков и неопределенностей, которые трудно было определить количественно и управлять традиционными способами — корзиной «других рисков».
Такие правила определяли операционный риск как категорию нормативного и управленческого внимания и связывали процесс управления операционными рисками с хорошим корпоративным управлением.
Конечно, предприятия в целом и другие учреждения, такие как военные, на протяжении многих лет знают о рисках, связанных с операционными факторами, внутренними или внешними. Главная цель военных — быстро и решительно сражаться и побеждать в войнах с минимальными потерями. Оперативное управление рисками как для военных, так и для бизнеса — это эффективный процесс сохранения ресурсов.
Два десятилетия глобализации (с 1980 года по начало 2000-х годов) и дерегулирования (например, Big Bang (финансовые рынки)) в сочетании с повышенной сложностью финансовых услуг во всем мире создали дополнительные сложности в деятельность банков, страховщиков и прочих компаний и привели к усложнению их профилей риска.
С середины 1990-х годов темы рыночного риска и кредитного риска были предметом многих дискуссий и исследований, в результате чего финансовые учреждения добились значительного прогресса в выявлении, измерении и управлении этими формами риска.
Тем не менее, практически крах финансовой системы США в сентябре 2008 года свидетельствует о том, что наша способность измерять рыночный и кредитный риск далека от совершенства и в конечном итоге привела к внедрению новых нормативных требований во всем мире, включая правила Базеля III для банков и правила Solvency II для страховщиков.
Такие события, как террористические атаки 11 сентября, потери от мошеннических операций в Société Générale, Barings, AIB, UBS и National Australia Bank, подчеркивают тот факт, что объем управления рисками выходит за рамки рыночного и кредитного риска.
Эти причины подчеркивают растущее внимание банков и руководителей к выявлению и измерению операционного риска
Перечень рисков (и, что более важно, масштаб этих рисков), с которыми сталкиваются сегодня банки, включает в себя мошенничество, системные сбои, терроризм и убытки от некомпетентных действий персонала. Эти типы рисков обычно классифицируются под термином «операционный риск»
Эти типы рисков обычно классифицируются под термином «операционный риск»
Перечень рисков (и, что более важно, масштаб этих рисков), с которыми сталкиваются сегодня банки, включает в себя мошенничество, системные сбои, терроризм и убытки от некомпетентных действий персонала. Эти типы рисков обычно классифицируются под термином «операционный риск»
Идентификация и измерение операционного риска является реальной и актуальной проблемой для современных банков, в частности, в следствие решения Базельского комитета по банковскому надзору (BCBS) ввести плату за этот риск в качестве основы для новой структуры достаточности капитала (Базель II).
Алгоритм проведения оценки профессиональных рисков
Все мероприятия по управлению профессиональными рисками можно разделить на 4 этапа.
Этап 1. Подготовительный
- Подготовить и издать приказ по организации (скачайте образец приказа).
В приказе определяются ответственные за проведение процедуры и устанавливаются сроки её проведения. Комиссия по организации проведения ОПР должна состоять как минимум из 3 человек.
Составить, согласовать и утвердить график проведения работ по идентификации опасностей и оценке рисков (скачайте образец графика).
Проинформировать работников о начале работы.
Подготовить контрольные листы (чек-листы), анкеты, опросные листы.
Подготовить совещания со специалистами, имеющими знания в анализируемой деятельности.
Этап 2. Выявление профессиональных опасностей рабочего места
2012: АП КИТ и McKinsey разработали Стратегию развития ИТ-отрасли России
Ассоциация предприятий компьютерных и информационных технологий (АП КИТ) вместе с McKinsey закончили осенью 2012 года разработку стратегических приоритетов развития российской ИТ-индустрии. В документе помимо текущего состояния отрасли даются возможные сценарии ее развития и определяется, какую господдержку участники рынка хотели бы получить. Собственно, такое консолидированное мнение рынка и формулировалось для общения с правительством.
Со стороны российской ассоциации в рабочую группу проекта входят:
- глава Verysell Михаил Краснов,
- генеральный директор «Крок» Борис Бобровников и
- исполнительный директор АП КИТ Николай Комлев.
Членами управляющего комитета проекта также являются и руководители других компаний-членов ассоциации:
- Алексей Ананьин («Борлас»),
- Георгий Генс (ЛАНИТ),
- Олег Гизатуллин («Открытые технологии»),
- Кирилл Корнильев (IBM),
- Валентин Макаров («Руссофт»),
- Дмитрий Москалев (Mont),
- Борис Нуралиев («1С»),
- Николай Прянишников (Microsoft Rus) и
- Шамиль Шакиров («Ай-Теко»).
Анализ рисков проекта
Анализ рисков заключается в определении причин их возникновения. Главное, выявить первостепенную, главную проблему, понять, почему она появилась. Пример: компания закупила новое оборудование из Германии, возникли простои поскольку потребовалось значительное время для отладки оборудования и запуска в работу. Причины – никто не понял, как оно работает, потому что никто не прочитал инструкцию из-за незнания немецкого языка. А изначальная проблема – не было перевода инструкции по наладке оборудования, поскольку главный технолог не запросил ее при заключении договора на поставку, понадеявшись на схожие технологии и собственные силы.
Все риски подлежат документированию. Так, необходимо создать реестр для их сбора – со временем проект усложняется, увеличивается их длительность. Без постоянного и оперативного мониторинга есть опасность что-то упустить или забыть. Риски возможно группировать по этапам реализации проекта. Так в значительной мере будет легче использовать в дальнейшем накопленный опыт управления рисками проекта и систематизировать их.
Структура ИТ-стратегии
Описание ИТ-стратегии целесообразно формировать в виде документа, ориентированного, прежде всего, на бизнес-пользователей. Использование технических терминов и аббревиатур должно быть сведено до минимума, насколько это возможно.
Основными разделами (главами) ИТ-стратегии должны быть:
- Описание текущей ситуации «как есть» (AS-IS).
- Варианты целевого состояния ИТ (варианты TO-BE). Известный историк Бэзил Лиддел Гарт, написавший знаковую книгу «Стратегия непрямых действий», утверждал, что нельзя идти напролом, необходимо найти и использовать обходные пути достижения цели, они всегда есть. По его словам, план без вариантов подобен дереву без ветвей и, соответственно, ни к чему хорошему не приведёт. Любая стратегия при разработке должна учитывать наличие вариантов развития каждого из указанных направлений.
- Лучший вариант, целевое состояние ИТ (TO-BE). Он выявляется путём анализа применимости всех вариантов, и на нём строится основная ИТ-стратегия. Остальные варианты сохраняются для объяснения причин выбора текущего пути, а также на случай, если что-то пойдёт не так, как предполагалось, и потребуется корректировка пути развития. Эти варианты надо хранить и периодически их пересматривать.
- План инициатив (проектов), показывающий пути движения от AS-IS — к TO-BE. Часто именно его называют ИТ-стратегией, но очевидно, что это слишком упрощённый подход.
- Набор KPI — индикаторов движения к цели и достижения результата; показатели того, насколько мы продвинулись от AS-IS к TO-BE.
По мнению авторов Учебника, ИТ-стратегия, претендующая на комплексность и полноту, — в первом и в третьем (также, возможно, во втором) из вышеуказанных разделов — должна быть описана по пяти нижеследующим уровням (Рис. 4):
- информация и информационные потоки;
- приложения;
- инфраструктура;
- ИТ-процессы;
- сотрудники и оргструктура.
Рис. 4. Пять уровней и пять разрезов ИТ-стратегии.
Заметим, что в отличие от указанного выше подхода, Gartner рекомендует проанализировать деятельность в области ИТ по четырём областям. Эти области охватывают отношения бизнеса и ИТ, технологии, а также организационные вопросы.
Определение рисков в процессах
На этом этапе, необходимо определить, насколько существующие процессы рискованны с точки зрения выполнения требований регулирующих законов
Так, например, для выполнения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также мошенничеству
К основным группам рисков в ИТ — процессах относятся неавторизованный физический и логический доступ к ИТ — инфраструктуре (корпоративная сеть, базы данных, приложения), внесение неавторизованных или не одобренных должным образом изменений в ИТ -инфраструктуру, системное или прикладное программное обеспечение и т.д.
Определение рисков проводится на основании анализа детального описания процессов. Целью данной операции является получение ответа на вопрос – что может случиться в данной операции с точки зрения вышеперечисленных категорий рисков. В результате – формируется перечень рисков, привязанных к соответствующим процессам и операциям, где они были обнаружены. Экспертная процедура формирования рисков без анализа процессов, как правило, не позволяет достичь полноты и при внешнем аудите обнаруживается множество неучтенных рисков.
Когда проводится оценка?
В соответствии с требованиями п.5.1 ГОСТ 12.0.230.5-2018 оценка профессиональных рисков должна проводиться организацией:
а) в случаях, если ранее такая оценка не проводилась;
б) при любых изменениях.
Согласно тому же стандарту, процедура может проводиться организацией во внеплановом порядке и периодически в плановом. Это значит, что организация может самостоятельно установить для себя периодичность проведения ОПР, если считает, что такой контроль необходим. Обязательно процедура проводится при значительных изменениях условий труда, поэтому прежде чем внедрить изменения либо вскоре после их внедрения необходимо подумать, как снизить уровень появившихся рисков.
Измерение операционного риска
Ключевым компонентом управления рисками является измерение размера и объема рисков компании. Однако на текущий момент нет четко определенного единого способа измерения операционного риска на уровне фирмы. Поэтому были разработаны несколько ключевых подходов. Примером может служить «матричный» подход, при котором потери классифицируются в зависимости от типа события и бизнес-линии, в которой произошло событие. Таким образом, банк может определить, какие события оказывают наибольшее влияние на всю организацию, а также какие бизнес-процессы наиболее подвержены операционному риску.
Как только будут определены потенциальные и фактические потери, банк сможет проанализировать, также, возможно, и смоделировать их появление. Для этого требуется создание баз данных для мониторинга таких потерь и создание индикаторов риска, которые суммируют эти данные. Примерами таких показателей являются количество неудачных транзакций за определенный период времени и уровень текучести кадров в рамках подразделения.
Потенциальные потери можно классифицировать в широком смысле как события «с высокой частотой, низким воздействием» (high frequency, low impact — HFLI), такими как незначительные ошибки бухгалтерского учета или ошибки банковского кассира, а также события «с низкой частотой, высоким воздействием» (low frequency, high impact — LFHI), такие как террористические атаки или крупное мошенничество. Данные о потерях, связанных с событиями HFLI, обычно доступны из внутренних систем аудита банка. Следовательно, моделирование и бюджетирование этих ожидаемых будущих потерь в следствие операционного риска потенциально может быть выполнено довольно точно. В тоже время, события LFHI являются необычными (редкими, нетипичными) и, таким образом, ограничивают отдельную организацию в получении достаточных данных для целей моделирования. Для таких событий банку, возможно, потребуется дополнить свои данные данными от других организаций. В настоящее время уже создано несколько частных инициатив, таких как Глобальная база данных об операционных потерях, управляемая Британской ассоциацией банкиров.
Хотя количественный анализ операционного риска является важным вкладом в системе управления банковскими рисками, эти риски не могут быть сведены к чистому статистическому анализу. Следовательно, качественные оценки, такие как анализ сценариев, станут неотъемлемой частью измерения операционных рисков банка.
Закон Sarbanes-Oxley (SOx) статьи 302,404
Согласно ст. «302 — Корпоративная ответственность за финансовые отчеты» закона Sarbanes-Oxley руководители предприятий несут личную ответственность, вплоть до уголовной, за достоверность информации в создаваемых финансовых документах, а также за эффективность системы внутреннего контроля по формированию финансовой отчетности. В ст. «404 — Управление и оценка финансового контроля» определены требования к этой системе и процедурам ее оценки. Руководители компаний обязаны документально оценивать систему внутреннего контроля, отразив в отчете все ее существенные недостатки и предполагаемые меры по их устранению. Оценка, утвержденная генеральным и финансовым директорами, должна пройти проверку у внешних аудиторов, обязанных сформировать отдельное заключение, которое будет опубликовано вместе с годовой финансовой отчетностью компании. Таковы основные требования рассматриваемого закона.
В настоящее время во многих странах работают над созданием аналогичных законов, что свидетельствует об актуальности задач по построению системы внутреннего контроля
Однако важно также отметить, что данная система, созданная по требованиям закона Sarbanes-Oxley, является лишь одним из элементов общей системы управления соответствиями. Такая система позволяет идентифицировать основные требования к деятельности компании и обеспечить соответствие им
К подобным требованиям могут относиться законодательные нормативные акты (такие, как закон Sarbanes-Oxley), требования по качеству продуктов/услуг и процессов их создания, отраслевые стандарты, частные требования, выставляемые акционерами и руководством компании. Следовательно, задача построения системы внутреннего контроля важна не только с точки зрения присутствия на американской или какой-либо другой фондовой бирже, но и с позиции минимизации рисков и снижения степени несоответствия различным стандартам.
Аудит соответствия требованиям Sox
Прежде чем компания приступит к аудиту соответствия SOX, она должна нанять независимого аудитора перед началом аудита. Это гарантирует, что проверка будет полностью объективной.
Сразу после привлечения независимого аудитора обычно сразу же происходит встреча руководства с аудиторской фирмой. Детали аудита, например, когда он будет проводиться, что руководство хочет увидеть в результате и что будет проверяться, должны быть обсуждены.
Несмотря на структуру соответствия SOX, которая предназначена исключительно для рассмотрения скандалов с участием государственных фирм, частная компания, тем не менее, может потребовать проведения аудита SOX по целому ряду причин или исключений, таких как:
- Перед подписанием контракта третья сторона может запросить независимый аудит у частной компании.
- Некоторые органы государственной безопасности могут распространить правила Sox на частные предприятия.
Я полагаю, что это демистифицирует важность аудита соблюдения требований Sox именно в том виде, в котором вы ищете
Этапы работы по разработке и внедрению системы внутреннего контроля Sarbanes-Oxley (SOx)
Проект по разработке и внедрению эффективной системы внутреннего контроля предусматривает следующие этапы работ:
- оценка объема проекта и планирование работ;
- определение существенных счетов компании (материальных и нематериальных);
- установление бизнес-процессов компании, важных с точки зрения существенных счетов;
- описание структуры выделенных процессов;
- определение рисков и их предварительное ранжирование; проведение оценки наиболее существенных рисков и их ранжирование;
- описание/разработка системы внутреннего контроля;
- проведение первичной оценки эффективности систем внутреннего контроля;
- настройка системы тестов и процедур для проведения периодического тестирования системы внутреннего контроля и формирования рекомендаций по их улучшению.
Рассмотрим более подробно каждый из указанных этапов. На первом этапе необходимо четко определить границы выстраиваемой системы внутреннего контроля в соответствии с их предполагаемым объемом и степенью надежности.
Под объемом понимается количество существующих в компании направлений деятельности и, следовательно, подразделений и финансовых документов, которые подпадут под действие системы. Степень надежности определяется через индикаторы существенности, задающие уровень финансовых рисков, которые должны стать предметом контроля. Исходя из этих двух измерений устанавливаются предполагаемый объем работ, состав проектной группы, график выполнения проекта.
Методы оценки рисков и инструменты управления рисками
Теоретические аспекты управления риском говорят, что методов оценки множество и каждый из них работает с использованием своих инструментов. Такими инструментами могут быть организационные, технические и другие действия, позволяющие обеспечить безопасность и безошибочность проекта. Количество инструментов никак не регулируется, их можно быть крайне много.
Классификация ведется по разным признакам: управленческим методам, сферам деятельности, выгодам, производственным фазам и т.д.
В соответствии с другой классификацией воздействие на риски состоит из нескольких этапов:
- Снижение уровня риска. На этом этапе прорабатываются варианты сокращения ущерба или масштабов возникновения неблагоприятных событий. Обычно это достигается с помощью различных организационных мероприятий. В области строительства это укрепление зданий, установка систем оповещения, пожарных сигнализаций, обучение сотрудников действиям в чрезвычайных условиях.
- Исключение риска. Этот этап подразумевает отказ от проекта, если он связан с опасностью. Или производится сильное изменение деятельности, в результате которого возникновение риска становится невозможным.
- Сокращение интенсивности рисков. Благодаря этому каждый участник проекта может контролировать риски и их предотвращать. В силах специалистов организовать свою деятельность так, чтобы проблем на этапе ведения проекта не возникло. У них есть пул действий, которые позволяют либо полностью исключать возможные риски, либо снижать их интенсивность. Если же риски все-таки возникают, сотрудники вправе принимать меры, которые снижают потери и другие последствия их появления.
- Сохранение риска. Это не всегда связано с отказом от решительных мер. Иногда при допущении вероятных проблем специалисты специально не принимают мер, так как в компании есть резервные фонды, направленные на самострахования. С их помощью покрывается ущерб от неблагоприятных событий. Одним из видов страхования является взаимное страхование. В таком случае каждый страхователь входит в клуб страховщиков. Обычно участники взаимосвязанные структуры, работающие в рамках одной сферы. Страховка может покрывать как общие, так и частные риски.
Что такое риски в проекте и что значит «управление рисками»
Есть много определений риска, но мы дадим очень простое. Риск — это негативное событие, которое может произойти, а может и не произойти. Риски нужно отличать от проблем: риск станет проблемой, только если негативное событие произойдёт.
Проблемы мешают выполнению задач проекта. Если вы руководите проектом, вы должны помнить, что несёте ответственность за риски.
Вот несколько примеров рисков и проблем, к которым они привели.
- Целью проекта было опубликовать исследование, но ведущий аналитик уволился, когда была готова только половина. Дедлайн сорвали, и задачу в срок не выполнили.
- Спрос на товар резко вырос, и поставщик не смог поставить требуемое количество. Полки магазина опустели.
- Компания продавала в офисы растения, которые почти не требуют ухода. Однако у поставщиков закончились специфические растения, в которых нуждалась компания, — папоротники и кактусы.
Фото: VILTVART / Shutterstock
Когда вы понимаете, какие риски есть в проекте, вы можете принять меры предосторожности — например, обратиться за консультацией. Если что-то пойдёт не так, у вас будет план, как решить проблему.. Управление рисками в проекте — это процесс поиска, оценки и предотвращения потенциальных проблем
Этот процесс регулярный, превентивных действий на старте проекта недостаточно.
Управление рисками в проекте — это процесс поиска, оценки и предотвращения потенциальных проблем. Этот процесс регулярный, превентивных действий на старте проекта недостаточно.
Предотвращение рисков
Лучшее страхование рисков – это профилактика. Предотвращение возникновения многих рисков в вашем бизнесе лучше всего достигается за счет обучения сотрудников, проверки биографических данных, проверок безопасности, технического обслуживания оборудования и технического обслуживания физических помещений. Для выполнения обязанностей по управлению рисками следует назначить одного подотчетного сотрудника с управленческими полномочиями. Комитет по управлению рисками также может быть сформирован с членами, которым поручены конкретные задачи с требованием отчитываться перед менеджером по рискам.
Менеджер по рискам совместно с комитетом должен разработать планы на случай чрезвычайных ситуаций, такие как:
Описание процессов « как есть»
На данной стадии проводится описание существующих процессов ИТ — подразделения для понимания и фиксации имеющихся в компании основных направлений деятельности ИТ. Для решения данной задачи целесообразно за основу взять процессы верхнего уровня, перечисленные в двух стандартах COBIT и ISO 20 000. Фактически, на этой стадии, формируется целевые процессы, которые должны существовать в ИТ- подразделении в соответствии с требованиями стандартов.
Далее необходимо проанализировать насколько существующие процессы соответствуют целевой модели процессов ИТ, при этом очень часто многих из них вообще нет в ИТ- подразделении, и это повод задуматься о необходимости их организации. Далее существующие процессы описываются и детализируются до уровня рабочих мест, с четким описанием действий каждого участника, а также входящей и исходящей информации. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур.