четверг, 9 февраля 2012 г.

О Корпоративном управлении рисками или зачем нанимают Big4

Big4, конечно, обычно для штампа "Big4" нанимают, но есть области, в которых данные парни априори могут дать фору другим консалтерам*.
Из вопросов смежных с ИБ это в первую очередь управление рисками и внутренний контроль, как области тесно связанные с финансами (Big4 все таки в первую очередь бухгалтерские конторы).
Внутренний контроль ужасно надоел, поэтому поговорим сейчас о том что такое корпоративное управление рисками (в т.ч. с т.з. данных ребят).
Корпоративное управление рисками оказалось не просто зарабатыванием денег, а таки управлением рисками:) Однако, учитывая то, что рисков в больших компаниях много, возникла надобность их классифицировать и разделять таким образом, что бы была возможность принимать решения по управлению рисками.
Конечно, управлять несколькими сотнями рисков малореально, поэтому корпоративное управление рисками подразумевает несколько уровней рисков.
Это корпоративные риски, специфические риски уровня подразделений (например, юридические) и риски связанные с конкретной деятельностью подразделений - для ИТ это риски связанные с ИТ-системами, ИТ-бюджетом и внутренним контролем в ИТ-системах и подразделениях. Для ИБ это, например, репутационный риск.
Низкоуровневые риски, например, риск утечки информации конкурентам, сливаются в "среднеуровневые" и наконец риски организации (корпоративные риски). Такое разделение помогает держать под контролем риски компании и риски тех или иных сфер деятельности компании и вместе с тем, не грузить топ-менеджмент многостраничными отчетами по оценке рисков.
Конечно, погрешность в оценке низкоуровневых рисков может привести к накоплению погрешности в высокоуровневом корпоративном риске..но даже высокоуровневый риск с накопленной погрешностью много лучше чем вообще не управлять рисками организации.
Система конечно не идеальна, но это лучше чем ничего. Более детально про это все да еще доступным нашему брату языком можно почитать в NIST 800-39.






*относительно малоизвестные McKinsey, BCG и B&C в силу их элитарности и бешеной дороговизны не рассматриваем.

Комментариев нет:

Отправить комментарий