Соотношение западной теории и российской практики внедрения GRC

До российского рынка технология GRC дошла с опозданием, и несмотря на растущий интерес, тематика GRC еще недостаточно популярна в нашей стране. Этот класс продуктов по-прежнему является новым и не до конца изученным. Многие уже знакомы с аббревиатурой GRC, однако еще не у всех ИТ-руководителей есть четкое понимание её определения, не говоря уже о знании ключевых игроков и разработчиков решений для этого направления.

Развитие направления GRC на Западе в первую очередь обусловлено законодательными требованиями, в частности, требованиями к подготовке финансовой отчетности (SOX), к банковским капиталам (Базель II), к хранению медицинских данных граждан (HIPAA).

В то же время, в западных организациях принято комплексно управлять рисками с целью контроля работы процессов и возможности оперативного выбора подходящей стратегии реагирования на негативные риски.

Говоря о текущих тенденциях развития GRC на Западе, в качестве ключевых областей, представляющих интерес для бизнеса, можно выделить следующие:

1. Киберуязвимость. Хотя ИТ-подразделения играют в компаниях ведущую роль в борьбе с угрозами, связанными с хакерством и другими проблемами в области информационных технологий, подразделения, занимающиеся управлением рисками и соответствием нормативным требованиям, играют не менее важную роль. Они помогают идентифицировать актуальные киберугрозы, выявлять инциденты и формировать эффективную политику в области ИТ и ИБ.

В современных реалиях сотрудники ИТ-подразделений должны не только уметь настраивать и администрировать программные продукты, но и понимать ценность используемого ПО для бизнеса. В частности, при работе с GRC важно понимать, как решение используется в рамках внутреннего контроля и аудита организации, а также как оно работает в связке с другими бизнес-приложениями, которые применяются для обеспечения соответствия внутренним и внешним требованиям, стандартам и процессам.

2. Персональная ответственность. Финансовое руководство компаний стало сильнее озадачиваться рисками, связанными с несоблюдением контрактных либо регуляторных обязательств, поскольку большая часть юридических споров и конфликтов проходит через судебную систему. Западные организации законодательно обязаны сообщать о случившихся инцидентах в соответствующие органы власти. Такие инциденты становятся публичными и напрямую влияют на репутацию, поэтому компании внимательно следят за подобными случаями и стараются своевременно предпринимать необходимые меры.

3. Глобальные стандарты. Компании мирового рынка имеют множество отраслевых правил и стандартов, которыми они должны соответствовать. Как следствие, использование правильно выбранного решения GRC для обеспечения соответствия и управления рисками является более важным, чем для кого-либо, поскольку это позволяет существенно сократить трудозатраты внутренних контрольно-надзорных подразделений и учесть требования стандартов и законодательства всех стран, где представлена и работает компания.

В российской действительности регуляторы менее требовательны к наличию в организации четких правил и процедур управления рисками. Для всех организаций в РФ на данный момент обязательны только требования, накладываемые ФЗ-152 «О персональных данных». Требования ФСТЭК и ФСБ обязывают все организации, осуществляющие обработку персональных данных, разрабатывать модели угроз и обеспечивать защиту информации. Тем не менее, модели угроз не описывают все риски, а пересмотр моделей угроз не является регулярной практикой. Остальные стандарты имеют статус необязательных или редко контролируются и применяются.

Однако, можно отметить возрастающую потребность банковской отрасли в средствах GRC для минимизации рисков, связанных с информационной безопасностью (ИБ). В кредитных организациях наличие централизованной системы управления рисками является обязательным (Положения Банка России 242-П, 346-П). Регулярно происходят изменения нормативно-правовых актов (НПА) и стандартов в сфере ИБ, по многим из которых Компаниям необходимо подтверждать перед контролирующими органами соответствие требованиям законодательства, например:

  • приказ ФСТЭК России № 21 в области защиты персональных данных;
  • требования к организации и функционированию платежных систем (ФЗ-161);
  • положения Банка России;
  • стандарт Банка России СТО БР ИББС;
  • стандарт безопасности данных индустрии платежных карт PCI DSS;
  • стандарт по информационной безопасности ISO/IEC 27001.

Очевидно, что GRC сегодня — это не просто модный термин, и в российской действительности является вполне реальной необходимостью.

Факторы и драйверы для внедрения решения GRC

Существует целый ряд предпосылок, вызывающих обоснованную необходимость во внедрении GRC-решений в компаниях на территории нашей страны. В крупных организациях множество департаментов занимается обработкой подведомственных им инцидентов, угроз и рисков, среди которых можно выделить финансовые, юридические, репутационные, регуляторные, коммерческие, организационные и прочие.

Зачастую эта работа не автоматизирована, неконтролируема и выполняется по остаточному принципу. Во многих компаниях отсутствует единая автоматизированная платформа отчетности по управлению рисками.

С точки зрения корпоративных рисков, процессы управления инцидентами и угрозами характеризуются низкой эффективностью, высокими издержками и значительными убытками. Из-за недостатка достоверной информации о рисках это приводит к сложностям в принятии управленческих решений, несоблюдению контрактных обязательств, срывам сроков по проектам и штрафным санкциям.

С точки зрения контроля за соблюдением законодательства, усиливается давление со стороны регулирующих органов, наблюдается высокая динамика в изменении нормативных актов.

С точки зрения рисков ИТ/ИБ, усложняются технологические процессы. Например, в системах класса АСУТП. Сбой в работе таких процессов и систем может оказать крайне негативное влияние на бизнес и репутацию компании.

Таким образом, основными драйверами покупки GRC-решения являются:

  • нарушения бизнес-процессов внутри компании, а также неправомерные и мошеннические действия как внешних, так и внутренних злоумышленников, направленных на хищение информации, денежных средств и нанесения урона репутации компании;
  • штрафные санкции со стороны регуляторов, претензии, судебные иски;
  • сложные технологические процессы и связки бизнес-приложений, а также технологические сбои, которые происходят в результате ИТ и ИБ-инцидентов и участившихся кибератак.

Кому нужны GRC

Из наиболее вероятных клиентов GRC-решений можно выделить крупные организации, как частные, так и государственные, относящиеся к различным отраслям (финансовые институты, телекоммуникации, розничная торговля, тяжелая промышленность, нефть и газ, и т.д.).

Заказчиком внутри компании может выступать финансовое руководство, службы нефинансовых/операционных рисков, внутреннего контроля или аудита, а также подразделения корпоративной и информационной безопасности. Наиболее заинтересованным лицом в защите активов является акционер компании.

В компании должно быть как минимум несколько заинтересованных во внедрении GRC-подразделений, поскольку велика вероятность сопротивления со стороны представителей других подразделений по различным причинам. Например, в спорных ситуациях по вопросам распределения функций и обязанностей между службами ИТ и ИБ.

Опыт внедрения

Компания «Информзащита» сделала несколько проектов по внедрению GRC-решений. Но в этой статье мы расскажем про работу над проектом внедрения системы GRC в московском банке, являющимся расчетным центром ведущего платёжного сервиса, принадлежащего к числу крупнейших в РФ. В рамках проекта реализуются задачи по автоматизации процессов внутреннего контроля для SOX, управления рисками, оценки рисков, а также управления контрольными процедурами. Это позволило полностью автоматизировать деятельность внутренних аудиторов, экономить временя, получать достоверную и актуальную аналитику и отчетность.

На примере данного проекта можно выделить следующие успешно реализованные задачи в рамках совершенствования системы управления корпоративными рисками и соблюдения требований SOX:

  • реализация единого реестра всех рисков и контрольных процедур, а также результатов их тестирования и оценки, с разграниченным доступом для более чем 300 пользователей;
  • автоматизация существующего процесса управления рисками (ERM) в части регистрации рисков, их оценки; с возможностью отслеживать процесс выполнения оценки каждым пользователем, а также выработки и согласования планов действий;
  • автоматизация процесса расчета KPI;
  • автоматизация процесса регистрации и утверждения контрольных процедур, проведения аудита в соответствие со стандартом SOX путем автоматического формирования периметра аудита по каждому бизнес-процессу, с возможностью контролировать ход выполнения проверки каждым аудитором;
  • автоматизация формирования актуальных финансово-аналитических отчетов и даш-бордов в рамках процессов ERM и SOX.

Таким образом, у организации появилась возможность контролировать весь процесс управления рисками компании через единый интерфейс, при этом каждый участник процесса работает строго в рамках своих бизнес-задач. А благодаря возможности получать оперативные оповещения о любых изменениях на почту или мобильный телефон существенно сократилось время реагирования на изменения по каждому из процессов управления. Также сократилось время, необходимое на разработку и согласование новых периодических мероприятий, таких как оценка риска, проведение аудита и регистрация его результатов, заполнение листа самооценок путем автоматического формирования в системе шаблонов, позволяющих за пару кликов мышкой отправить экспертам актуальные данные в разрезе необходимых бизнес-процессов.

Среди уникальных задач проекта можно отметить успешную реализацию автоматического расчета параметра ожидаемого годового ущерба (Annual Loss Expectancy, ALE) методом Монте-Карло (численный метод статистического моделирования) в разрезе оценки вероятности реализации угрозы (Annual Rate of Occurrence, ARO) и оценки ожидаемого возможного ущерба (Single Loss Exposure, SLE).

Заключение

Бизнес требует грамотного и открытого подхода к управлению рисками. Важно перестать избегать поводов о них говорить. С рисками необходимо правильно работать, тогда это позволит свести их к минимуму.

Основным залогом успешного внедрения GRC-системы является четкое понимание цели внутри компании-заказчика и готовности руководства компании внедрять и настраивать такие решения в соответствии с требованиями бизнеса. Еще до начала проекта следует предварительно определиться, для каких целей будет использоваться система (управление рисками, соответствием или совершенствование системы внутреннего контроля), какие процессы будут в ней реализованы, кто будет ответственным за процесс и по каким протоколам все подразделения компании будут реагировать на выявленные инциденты и риски.

Конечно, нельзя решить все задачи только техническими средствами. Необходима оптимальная организационная структура, соответствующая текущему уровню развития компании, а также формализованные политики и процедуры, отражающие философию акционеров в отношении рисков и контроля.

С точки зрения интеграции, внедрение GRC является еще более эффективным при наличии единой информационной системы (например, системы управления ресурсами предприятия, ERP). В таком случае, в рамках автоматизируемых в GRC-системе процессов используется единый источник информации, что позволяет достичь высокой консистентности данных и согласованности действий.

Среди недостатков, существующих на рынке на рынке GRC решений, можно выделить их направленность на зарубежные требования законодательства и стандарты, что требует существенных доработок и настроек систем для адаптации к требованиям российской действительности.

СПЕЦПРОЕКТ КОМПАНИИ «ИНФОРМЗАЩИТА»