Применение стандарта ISO 31000

Применение стандарта ISO 31000

Руслан Рахметов, Security Vision

Оглавление:

1. Серия стандартов ISO 31000

2. Термины и определения стандарта ISO 31000:2018

3. Свойства эффективного процесса риск-менеджмента

4. Этапы фреймворка управления рисками ISO 31000:2018

 

Обсуждая процессы управления рисками, мы зачастую делаем акцент на процессах, характерных именно для обеспечения информационной безопасности. Однако, риск-менеджмент применяется в организациях не только для управления киберрисками. В различных крупных компаниях, в первую очередь финансовых, применяются фреймворки управления бизнес-рисками для обработки финансовых, юридических, проектных, репутационных и иных рисков. В данной публикации мы рассмотрим стандарт ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска - Рекомендации»), который дает общие рекомендации и описывает фреймворк, принципы и сам процесс управления бизнес-рисками без привязки конкретно к рискам ИБ. Приступим!

В серию стандартов ISO 31XXX на текущий момент входят следующие документы:

  • ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска - Рекомендации»), который в отечественной версии имеет название ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».

  • ISO/TR 31004:2013 "Risk management - Guidance for the implementation of ISO 31000" («Менеджмент риска - Руководство по внедрению стандарта ISO 31000»).

  • IEC 31010:2019 ”Risk management - Risk assessment techniques” («Менеджмент риска - Методы оценки риска»). Данному стандарту соответствует отечественный ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска», пришедший на смену стандарту ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска».

  • ISO 31022:2020 "Risk management - Guidelines for the management of legal risk" («Менеджмент риска - Рекомендации по управлению юридическими рисками»).

  • IWA 31:2020 "Risk management - Guidelines on using ISO 31000 in management systems" («Менеджмент риска - Рекомендации по использованию стандарта ISO 31000 в системах управления»).

В данной публикации мы рассмотрим наиболее значимый заглавный стандарт ISO 31000:2018 (соответствует ГОСТ Р ИСО 31000-2019), который пришел на замену его устаревшей версии ISO 31000:2009 (соответствовал ГОСТ Р ИСО 31000-2010), внеся ряд важных изменений. Данный стандарт предназначен для тех, кто создает и сохраняет ценности, создаваемые компанией, путем управления рисками, принятия решений, выбора и достижения целей, а также с помощью улучшения эффективности процессов. Подчеркивается, что управление рисками - это итеративный процесс, направленный на выбор стратегии и принятие информированных управленческих решений при наличии внешних и внутренних факторов и воздействий, которые могут помешать достижению целей компанией. При этом указано, что управление рисками должно осуществляться на всех уровнях компании, включать взаимодействие со стейкхолдерами, а также учитывать внешние и внутренние факторы (т.н. «контекст»), включая социокультурные факторы. Рекомендации, которые приведены в стандарте, не являются специфичными для какой-либо отрасли и могут быть скорректированы в процессе применения на всех уровнях управления компанией на протяжении всего её жизненного цикла. Стандарт ИСО 31000 дает также достаточно простые определения ключевым терминам риск-менеджмента:

  • риск (англ. risk) - это воздействие неопределенности на достижение целей; при этом воздействием является позитивное и/или негативное отклонение от ожидаемого результата, приносящее возможности и угрозы;

  • риск-менеджмент (англ. risk management) - это скоординированные действия по управлению и контролю организации в области рисков;

  • источник риска (англ. risk source) - это элемент, который самостоятельно или в совокупности с другими факторами может увеличить риск;

  • событие (англ. event) - это возникновение или изменение определенного набора обстоятельств; при этом у события может быть одна или несколько причин и последствий, а само событие может быть источником риска;

  • последствие (англ. consequence) - это результат события, повлиявший на достижение целей; при этом последствия могут быть определенными и неопределенными, могут иметь положительное или отрицательное прямое или косвенное влияние на достижение целей, а также могут быть выражены качественно или количественно;

  • мера управления (англ. control) - мера, которая поддерживает и/или модифицирует риск; при этом меры управления могут включать в себя процессы, политики, устройства, практические действия.

В стандарте ISO 31000:2018 (ИСО 31000-2019) подчеркивается, что цель управления рисками - это создание и сохранение создаваемых компанией ценностей, для чего необходимо придерживаться нижеуказанных принципов управления рисками, помогающих организации управлять воздействием неопределенностей на достижение целей (т.е. на риски как таковые).

Итак, эффективный процесс риск-менеджмента должен обладать следующими свойствами (которые еще называются принципами ИСО 31000):

  • интегрированный, т.е. являющийся неотъемлемой частью любой деятельности компании;

  • структурированный и всеобъемлющий, т.е. приводящий к логически связанным и измеримым результатам;

  • гибкий, т.е. адаптируемый и соответствующий внешнему и внутреннему контексту организации и ее целям;

  • вовлекающий, т.е. обеспечивающий своевременное и корректное привлечение стейкхолдеров для учета их знаний, мнений и взглядов для повышения осведомленности и принятия более информированных решений при управлении риском;

  • динамичный, т.е. учитывающий изменение рисков при модификации контекста организации, вследствие чего риск-менеджмент ожидает, обнаруживает, признает и реагирует на такие изменения и события своевременно и должным образом.

  • основывающийся на наилучшей информации, т.е. учитывающий историческую и текущую информацию, прогнозы на будущее, любые ограничения и неопределенности данных сведений; при этом информация должна быть своевременной, точной и доступной релевантным стейкхолдерам;

  • учитывающий человеческие и культурные факторы, т.к. они оказывают существенное влияние на управление рисками на всех этапах и уровнях;

  • непрерывно улучшающийся, т.е. постоянно совершенствующийся на основе полученного опыта и знаний.

Определившись с терминами и свойствами риск-менеджмента, перейдем непосредственно к фреймворку управления рисками по ISO 31000:2018 (ИСО 31000-2019). Он состоит из следующих составляющих:

1. Поддержка со стороны руководства.

Задача топ-менеджмента состоит в обеспечении деятельности риск-менеджмента на высоком уровне: документальной поддержке в согласовании документов по управлению рисками, выделении ресурсов, назначении ответственных. Это помогает связать риск-менеджмент со стратегией, целями и культурой организации, учесть все обязательные и необязательные требования в области рисков, утвердить уровень риск-аппетита компании, скоммуницировать ценности риск-менеджмента между всеми стейкхолдерами, содействовать систематическому подходу в области мониторинга рисков, а также обеспечить актуальность фреймворка контексту организации. Если в организации есть внутренние надзорные органы, то они должны контролировать процессы управления рисками.

2. Интеграция.

Задачи риск-менеджмента должны решаться на всех уровнях компании соответствующими ответственными лицами, при этом все сотрудники компании должны понимать важность обработки рисков. Риск-менеджмент должен быть частью организационной культуры компании, её бизнес-процессов, стратегии, целей.

3. Создание фреймворка.

3.1. Для создания корректного фреймворка (в стандарте ГОСТ 31000 термин «фреймворк» переведен как «инфраструктура») ответственные лица должны понимать внешний и внутренний контекст компании. Внешний контекст состоит из оценки различных внешних факторов (социальных, политических, культурных, юридических, финансовых, технологических, экономических - как международных, так и локальных), ключевых драйверов и трендов, влияющих на цели компании, а также ожиданий и потребностей стейкхолдеров, контрактных обязательств и взаимоотношений, сложности и взаимозависимости сетей (технических, социальных, финансовых и т.д.). Внутренний контекст компании состоит из миссии и целей, управленческой структуры и ответственных лиц, стратегий, целей и политик, культуры компании, внутренних нормативных документов, возможностей (финансовых, человеческих, процессов, систем и технологий), данных, информационных систем и потоков, внутрикорпоративных взаимозависимостей и взаимосвязей.

3.2. Поддержка со стороны руководства должна выражаться в признании важности риск-менеджмента, внедрении механизмов управления рисками во все бизнес-процессы на всех уровнях компании, назначении ответственных лиц и выделении необходимых ресурсов, арбитраже конфликтных ситуаций, пересмотре и улучшении стратегий риск-менеджмента.

3.3. Назначение организационных ролей, ответственных, должностных обязанностей должно осуществляться руководством, при этом ему следует подчеркивать важность риск-менеджмента и назначать ответственных должностных лиц (владельцев риска).

3.4. Выделение ресурсов также осуществляется руководством, при этом ресурсы могут включать в себя сотрудников, компетенции, опыт, организационные процессы, методы и инструменты, документарное обеспечение деятельности, системы управления знаниями и информацией, обучающие курсы и профессиональное развитие.

3.5. Внедрение методов коммуникации и консультирования подразумевает обмен информацией с целевой аудиторией и получение обратной связи. Следует убедиться, что актуальная и точная информация корректно собирается и передается, а фидбек обрабатывается, что приводит к внедрению улучшений на основе полученной обратной связи.

4. Внедрение фреймворка.

Внедрение состоит из следующих этапов:

  • разработка плана с учетом временных и иных ресурсов;

  • определение того, где, кем, как и когда будут приниматься определенные управленческие решения;

  • изменение процессов принятия решений по мере необходимости;

  • проверка того, что внутренние договоренности об управлении рисками ясны и соблюдаются.

5. Оценка.

Для оценки эффективности работы фреймворка управления рисками компании следует периодически оценивать эффективность фреймворка в достижении целей, планов, индикаторов и ожидаемого поведения, а также определять, остается ли фреймворк пригодным для достижения целей компании.

6. Улучшение.

Организациям следует непрерывно отслеживать актуальность внедренного фреймворка и адаптировать его под изменившийся внутренний или внешний контекст. Все выявленные недостатки и/или пути оптимизации должны быть учтены и запланировано их устранение и/или внедрение с назначением ответственных.

Сам итеративный процесс риск-менеджмента состоит из следующих этапов:

1. Коммуникация и консультирование.

Информирование стейкхолдеров, консультирование и получение обратной связи сопровождают все этапы процесса управления рисками. Это требуется для понимания стейкхолдерами текущих рисков, принятия информированных риск-ориентированных бизнес-решений, сбора обратной связи от ответственных и сотрудников с целью улучшения процесса. Кроме того, достигаются цели обмена опытом и экспертизой на всех шагах процесса управления рисками, учета различных точек зрения при определении критериев риска и оценки рисков, предоставления достаточной информации для контроля над рисками и принятия решений, включения в процесс различных сторон для повышения чувства ответственности и сопричастности к процессу риск-менеджмента.

2. Оценка границ процесса управления рисками, контекста и критериев риска.

2.1. Компании следует определить границы действий в рамках процесса риск-менеджмента, который может быть применен на стратегическом, операционном, программном уровне, уровне конкретного проекта и т.д. При определении границ действий в рамках процесса важно учитывать цели и требуемые решения, ожидаемые результаты действий, время, местоположение и специфические факторы, подходящие инструменты и техники процесса, требуемые ресурсы, ответственность, отчетность, а также взаимосвязи с другими проектами и процессами.

2.2. Оценка контекста важна по причине зависимости процессов риск-менеджмента от внешних / внутренних факторов и среды, в которой работает компания, а также из-за того, что организационные факторы могут сами являться источником риска, а цели и рамки процесса риск-менеджмента могут быть взаимосвязаны с целями всей организации.

2.3. Определение критериев риска означает выбор количества и типа рисков, которые компания может или не может принять для достижения своих целей. Определение критериев риска также требуется для оценки важности риска и поддержки процесса принятия решений, с учетом ценностей, целей и ресурсов компании, а также обязательств компании и мнения стейкхолдеров. Несмотря на то, что выбор критериев риска следует осуществлять в начале процесса оценки рисков, они являются динамическими, непрерывно анализируемыми и дополняемыми, если это потребуется.

Для выбора и утверждения критериев риска следует учитывать тип и происхождение неопределенностей, которые могут повлиять на результаты и цели (материальные и нематериальные), критерии оценки и измерения вероятности и возможных последствий (позитивных и негативных), временные факторы, логическую связность измерений, способ определения уровня риска, возможное влияние комбинаций и последовательностей множественных рисков, а также возможности и ресурсы организации.

3. Оценка риска.

3.1. Идентификация рисков.

Цель данного шага - поиск, анализ и описание рисков, которые могут помочь или помешать компании в достижении целей. Следует учитывать материальные и нематериальные источники рисков, причины и события, угрозы и возможности, уязвимости и ресурсы, изменения внутреннего и внешнего контекста, показатели возрастающих рисков, природу и ценность активов и ресурсов, последствия и их влияние на цели, ограничения в знаниях и достоверности информации, временные ограничения, а также мнения, предположения и предубеждения вовлеченных сторон.

3.2. Анализ рисков.

Цель анализа рисков - понять природу рисков и их характеристики, в том числе их уровень. Анализ рисков включает в себя учет неопределенностей, источников рисков, последствий, вероятностей, событий, сценариев рисков, мер управления рисками и их эффективность. Анализ рисков может быть произведен с различным уровнем детальности и сложности, в зависимости от целей анализа, доступности и точности информации, имеющихся ресурсов. Техники анализа рисков могут быть качественными, количественными или представлять собой их комбинацию, в зависимости от условий и целей применения. Следует учитывать такие факторы, как вероятность событий и последствий, природа и сила последствий, сложность и взаимосвязанность, временные факторы и изменчивость, эффективность текущих мер управления рисками, уровни конфиденциальности и чувствительности информации. Результаты анализа рисков являются входными данными для следующего этапа оценки рисков, а также для последующего принятия решений об обработке рисков и выборе оптимальной стратегии и методов.

3.3. Оценка рисков.

Цель этапа оценки рисков - помочь в принятии решения о дальнейшей обработке рисков путем сравнения данных анализа рисков и критериев риска в целях определения, требуются ли какие-либо дополнительные действия. В результате данного этапа могут быть приняты решения о том, что дальнейших действий по обработке риска не требуется, либо следует переходить к выбору опций обработки риска, либо нужно вернуться на этап анализа риска для более точного его понимания, либо требуется обеспечить текущий уровень мер управления риском, либо следует провести повторный анализ целей компании. При этом при принятии решения следует учитывать возможные последствия для стейкхолдеров, а результаты самого процесса оценки рисков должны быть задокументированы, скоммуницированы и проверены на соответствующих уровнях компании.

4. Обработка рисков.

Этап обработки рисков служит для выбора и реализации вариантов обработки рисков и является итеративным процессом, включающим в себя формулирование и выбор опций обработки рисков, планирование и реализацию процесса обработки рисков, оценку эффективности произведенной обработки, оценку приемлемости остаточного риска, а в случае неприемлемости - осуществление дополнительной обработки.

Способами обработки рисков являются:

  • избежание рисков путем прекращения деятельности, которая приводит к росту/появлению риска;

  • принятие или увеличение риска в целях использования возможностей и достижения целей;

  • устранение источника риска;

  • изменение вероятности риска;

  • изменение возможных последствий от реализации риска;

  • разделение риска, например, путем страхования;

  • сохранение риска с принятием соответствующего информированного управленческого решения.

При этом указано, что выбранный способ обработки риска сам может являться причиной появления новых рисков, а в случае, когда имеющиеся способы обработки рисков недостаточны или вообще недоступны, риск следует задокументировать и периодически возвращаться к нему для поиска новых опций его обработки.

Далее следует разработать и реализовать план обработки рисков, который должен содержать последовательность и описание шагов по обработке рисков, а также быть интегрирован в бизнес-процессы компании и управленческие планы. В плане обработки рисков должно содержаться обоснование выбора вариантов обработки рисков, перечень ответственных за согласование и реализацию плана лиц, предлагаемые действия, требующиеся ресурсы, критерии эффективности, ограничения, требующаяся отчетность и контроль, а также критерии для завершения действий.

5. Мониторинг и пересмотр.

Цель данного этапа - проверить и/или улучшить качество и эффективность процессов разработки, реализации и результатов процесса риск-менеджмента. Мониторинг и пересмотр следует осуществлять на всех этапах процесса управления рисками, при этом следует его планировать, собирать и анализировать информацию, записывать результаты и давать обратную связь.

6. Документирование и отчетность.

Сам процесс риск-менеджмента и его результаты должны быть задокументированы и сообщены соответствующим лицам в целях принятия информированных решений, улучшения деятельности в области управления рисками, а также для взаимодействия между стейкхолдерами.

Интересные публикации