Jak wdrożyć ramy zarządzania ryzykiem korporacyjnym

Zarządzanie indywidualnym ryzykiem biznesowym jest trudne, gdy istnieją silosy. Ramy zarządzania ryzykiem korporacyjnym (ERM) konsolidują strategię zarządzania ryzykiem w całej organizacji, umożliwiając lepszą widoczność, pomiar i zarządzanie celami biznesowymi.

Dzięki ujednoliconemu skoncentrowaniu się na przeciwdziałaniu ryzyku zespoły ds. zgodności mogą uniwersalnie usprawniać procesy zgodności z przepisami, ładu i zarządzania ryzykiem.

W tym artykule omówiono znaczenie ERM i sposób wdrożenia skutecznego frameworka ERM w organizacji.

Co to jest ERM?

Zarządzanie ryzykiem korporacyjnym (ERM) to strategia, która odnosi się do wszystkich ryzyk organizacji, rozbijając silosy w każdej jednostce biznesowej. To scentralizowane podejście usprawnia procesy podejmowania decyzji w przedsiębiorstwie w odniesieniu do ryzyka.

Do ryzyk tradycyjnie objętych ERM należą:

  • Ryzyko zgodności z przepisami i ryzyko regulacyjne
  • Ryzyko operacyjne
  • Ryzyko finansowe
  • Ryzyko strategiczne

Ponieważ transformacja cyfrowa napędza większość organizacji, wdrożenia IT, które obejmują ryzyko związane z cyberbezpieczeństwem, są obecnie powszechne w ramach ERM.

Dlaczego ERM jest ważny?

Organizacje często koncentrują się na pewnych zagrożeniach, a nie na innych. Na przykład ryzyko finansowe ma bardzo widoczny wpływ na wyniki biznesowe. Rada dyrektorów może łatwo interpretować budżety, wyniki sprzedaży i inne wartości pieniężne. Ryzyko związane z cyberbezpieczeństwem nie jest często tak przejrzyste. Dyrektorzy ds. bezpieczeństwa informacji stoją przed trudnym zadaniem przetłumaczenia skomplikowanego żargonu informatycznego na przystępne raporty dla kadry kierowniczej. Chociaż ryzyko cybernetyczne może nie być tak łatwe do przedstawienia, może wywołać efekt domina w przypadku innych rodzajów ryzyka, jeśli zostanie zrealizowane.

Poniżej znajduje się przykład tego, w jaki sposób ryzyko cyberbezpieczeństwa może zwiększyć inne rodzaje ryzyka biznesowego:

Instytucja finansowa obsługuje swoją usługę bankowości internetowej za pośrednictwem niezabezpieczonej sieci. Cyberprzestępca odkrywa i wykorzystuje tę lukę poprzez atak typu man-in-the-middle, uzyskując nieautoryzowany dostęp do systemów wewnętrznych. Haker eksfiltruje dane klientów w celu sprzedaży w ciemnej sieci, powodując następujące zdarzenia ryzyka:

  • Ryzyko operacyjne: Organizacja jest zmuszona do zaprzestania działalności, aby zapobiec dalszemu wykorzystywaniu i załatać lukę.
  • Ryzyko braku zgodności: Organizacja narusza wymogi regulacyjne, takie jak PCI DSS, ponieważ nie chroni danych klientów za pomocą odpowiednich środków bezpieczeństwa.
  • Ryzyko finansowe: Organizacja zostaje ukarana grzywną za naruszenie PCI DSS i ponosi znaczne straty finansowe podczas przestoju operacyjnego i wynikającego z tego uszczerbku na reputacji.
  • Ryzyko strategiczne: Organizacja zaniedbała zwiększenie budżetu IT w celu wzmocnienia cyberbezpieczeństwa, zamiast tego priorytetowo traktując inne możliwości biznesowe.

Dzięki skutecznym ramom ERM kluczowi interesariusze mogli przewidzieć szerszy wpływ zarządzania ryzykiem cybernetycznym na całą organizację.

Jak wybrać ramy ERM?

Dostępnych jest kilka frameworków ERM, a znalezienie odpowiedniego sprowadza się do kilku czynników, w tym wielkości organizacji i branży. Na przykład opieka zdrowotna i usługi finansowe mają ścisłe wymagania dotyczące zgodności z przepisami dotyczącymi bezpieczeństwa danych i powinny wdrażać ramy ERM, które priorytetowo traktują ograniczanie ryzyka cybernetycznego.

Inne czynniki, które mogą zadecydować o wyborze ramy, to:

  • Poziom apetytu na ryzyko
  • Poziom dojrzałości ryzyka
  • Poziom ekspozycji na ryzyko
  • Przepisy ustawowe i wykonawcze branżowe
  • Wewnętrzne wymagania dotyczące zgodności

Dowiedz się więcej o zarządzaniu ryzykiem stron trzecich >

Rodzaje struktur ERM

Poniżej znajdują się popularne przykłady ram ERM, które stanowią solidną podstawę do wdrożenia IT w tradycyjnym modelu zarządzania ryzykiem.

Ramy COBIT ERM

The Control Goals for Information and Related Technology (COBIT) to publikacja Instytutu Zarządzania IT oraz Stowarzyszenia Audytu i Kontroli Systemów Informatycznych (ISACA). COBIT 2019, najnowsza wersja frameworka, pomaga organizacjom tworzyć, monitorować i utrzymywać zarządzanie i praktyki IT.

COBIT idealnie nadaje się do wdrożeń IT, ponieważ promuje współpracę, zwinność i krótkie pętle informacji zwrotnych.

Dowiedz się więcej o COBIT 2019.

Płyn płynny NIST

Ramy bezpieczeństwa cybernetycznego (CSF) Narodowego Instytutu Standaryzacji i Technologii (NIST) to elastyczny zestaw podstawowych wytycznych mających na celu ograniczenie ryzyka organizacyjnego i wzmocnienie ogólnego bezpieczeństwa organizacji. NIST CSF opiera się na istniejących standardach, wytycznych i praktykach dla organizacji sektora prywatnego w Stanach Zjednoczonych w celu lepszego zarządzania ryzykiem cyberbezpieczeństwa i zmniejszania go.

Oprócz pomocy organizacjom w zapobieganiu, wykrywaniu i reagowaniu na cyberzagrożenia i cyberataki, został zaprojektowany w celu poprawy komunikacji w zakresie cyberbezpieczeństwa i zarządzania ryzykiem między wewnętrznymi i zewnętrznymi interesariuszami.

Dowiedz się więcej o NIST CSF.

COSO

Komitet Organizacji Sponsorujących Komisji Treadway (COSO) opublikował raport "Zarządzanie ryzykiem korporacyjnym — integracja ze strategią i wydajnością". COSO zaktualizował ramy w 2017 r., aby odzwierciedlić znaczenie ERM w skutecznym wyznaczaniu celów, ustalaniu strategii i wydajności w nowoczesnych modelach biznesowych.

Ramy COSO ERM są idealnym podejściem do zarządzania ryzykiem dla organizacji finansowych ze względu na włączenie do niej ustawy Sarbanesa-Oxleya (SOX).

Dowiedz się więcej o ramach COSO ERM.

Certyfikat ISO 31000:2018

Norma ISO 31000:2018 zawiera wytyczne dotyczące zarządzania ryzykiem, które organizacje ze wszystkich branż mogą dostosować do swoich konkretnych kontekstów. Organizacje mogą wdrażać te wytyczne w celu poprawy identyfikacji ryzyka, alokacji zasobów do leczenia ryzyka oraz jako branżowy punkt odniesienia dla procesów ERM.

Dowiedz się więcej o ISO 31000:2018.

Norma ISO/IEC 27001

>

ISO/IEC 27001 (zwana również ISO 27001) to globalny standard bezpieczeństwa regulujący bezpieczeństwo danych poprzez kodeks postępowania w zakresie zarządzania bezpieczeństwem informacji. Norma ISO/IEC 27001 zawiera zestaw norm obejmujących kilka aspektów bezpieczeństwa informacji, w tym systemy zarządzania bezpieczeństwem informacji (ISMS), technologię informacyjną, techniki bezpieczeństwa informacji i wymagania dotyczące bezpieczeństwa informacji. Organizacje mogą wykorzystać ISO/27001 do wdrożenia skutecznych kontroli ryzyka cybernetycznego w celu ograniczenia ryzyka.

Dowiedz się więcej o ISO 27001.

Przewodnik w 5 krokach: Wdrażanie ram ERM

Najlepszą praktyką jest przestrzeganie co najmniej jednego powszechnie przyjętego schematu, aby postępować zgodnie z branżowym punktem odniesienia i stworzyć solidne podstawy dla ERM w organizacji. W tym miejscu możesz dostosować wybraną strukturę, aby dostosować ją do celów biznesowych i napędzać podejmowanie strategicznych decyzji.

Poniżej znajduje się osiem kroków do opracowania i wdrożenia skutecznych ram ERM.

Krok 1. Wspieranie komunikacji z interesariuszami

Solidne ramy ERM opierają się na odgórnym podejściu do praktyk zarządzania ryzykiem, począwszy od akceptacji ze strony kadry kierowniczej wyższego szczebla. Komitet ERM powinien opierać się na wielofunkcyjnym zespole, angażującym kluczowych interesariuszy ze wszystkich jednostek biznesowych w proces planowania strategicznego.

Członkowie komitetu ERM są odpowiedzialni za szereg wyników w swojej dziedzinie wiedzy, w tym:

  • Definiowanie celów strategicznych
  • Opracowanie profilu ryzyka
  • Opracowanie oświadczenia o apetycie na ryzyko (RAS)
  • Opracowanie strategii ryzyka
  • Budowanie kultury ryzyka w całej organizacji

Na etapie 1 komitet ERM powinien osiągnąć następujące wyniki:

  • Określenie, którzy interesariusze będą odpowiedzialni za opracowanie struktury zarządzania ryzykiem;
  • Jasno określić role i obowiązki każdego członka komitetu;
  • Upewnij się, że ramy ERM mają zastosowanie do każdej konkretnej jednostki biznesowej;
  • Zidentyfikuj wszelkie części ram mające na celu zarządzanie ryzykiem w określonych jednostkach.

Krok 2: Zidentyfikuj ryzyko

Zespół ERM musi wskazać wszystkie wewnętrzne i zewnętrzne ryzyka, które mogą negatywnie wpłynąć na Twoją organizację. Twój profil ryzyka i RAS pomogą zidentyfikować ryzyka specyficzne dla Twojej strategii biznesowej.

Na etapie 2 komitet ERM powinien osiągnąć następujące wyniki:

  • Opracowanie jasnej metodologii identyfikacji ryzyka, która może być stosowana we wszystkich jednostkach biznesowych;
  • Zapewnienie, że zakres identyfikacji ryzyka obejmuje zarówno obecne, jak i przyszłe ryzyka (takie jak ryzyko regulacyjne);
  • Określ czynniki kalkulacji ryzyka, takie jak prawdopodobieństwo, wpływ operacyjny i wpływ finansowy;
  • Rejestruj raportowanie ryzyka w scentralizowanym rejestrze ryzyk.

Krok 3. Ocena ryzyka

Przeprowadzenie oceny ryzyka pozwala organizacji na obliczenie prawdopodobieństwa ryzyka i skuteczniejsze zarządzanie ryzykiem. Zespół ERM będzie musiał wybrać metodykę oceny ryzyka, kierując się wykorzystaniem narzędzia oceny ryzyka lub szablonu.

Dowiedz się, jak przeprowadzić ocenę ryzyka związanego z cyberbezpieczeństwem.

Dwa popularne przykłady narzędzi oceny ryzyka to samoocena kontroli ryzyka (RSCA) i matryca oceny ryzyka.

Samodzielna ocena kontroli ryzyka (RCSA)

Proces samooceny kontroli ryzyka (RCSA) obejmuje ocenę i badanie skuteczności obecnych kontroli ryzyka. RSCA są zwykle przeprowadzane w warunkach warsztatowych, co pozwala interesariuszom zidentyfikować i ocenić ryzyko i mechanizmy kontroli w ich obszarze specjalizacji. RCSA powinna zwiększać świadomość celów organizacyjnych i określać rolę, jaką w ich osiąganiu odgrywają kontrole wewnętrzne.

Głównym celem RSCA jest wykazanie, że cele biznesowe zostaną osiągnięte dzięki następującym zapewnieniom:

  • Zabezpieczenie aktywów
  • Efektywne gospodarowanie zasobami
  • Zgodność
  • Ustalone cele i zadania organizacyjne

Matryca oceny ryzyka

Macierze oceny ryzyka wizualizują prawdopodobieństwo wystąpienia ryzyka w stosunku do dotkliwości jego potencjalnego wpływu. Przypisując potencjalne zagrożenia do kwadrantu macierzy, można określić, które zagrożenia należy traktować priorytetowo.

Poniżej znajduje się przykład funkcji Vendor Risk Matrix firmy UpGuard, która mapuje oceny bezpieczeństwa dostawców (poziom ryzyka) w stosunku do ich poziomu (wpływ na działalność).

Dowiedz się więcej o funkcji Vendor Risk Matrix.

Na etapie 3 komitet ERM powinien osiągnąć następujące wyniki:

  • Określenie prawdopodobieństwa i wpływu na działalność biznesową wszystkich zidentyfikowanych ryzyk;
  • Zidentyfikowanie luk w istniejących zdolnościach ERM i nakreślenie kolejnych kroków;
  • Określ, czy identyfikacja ryzyka (krok 2) zmieniła sposób, w jaki różne rodzaje ryzyka były traktowane priorytetowo w ocenie ryzyka (krok 3).

Krok 4. Leczenie ryzyka

Etap leczenia ryzyka wprowadza w życie poprzednie 3 kroki. Zespół ERM musi opracować plan reagowania na incydenty, aby zdefiniować środowisko kontroli ryzyka i zapewnić strategie ograniczające ryzyko w przypadku wystąpienia zidentyfikowanego ryzyka.

Dowiedz się, jak utworzyć plan reagowania na incydenty.

Środowisko kontroli ryzyka będzie obejmowało obszary nakładania się poszczególnych jednostek biznesowych, a także unikalne mechanizmy kontroli ryzyka. Właściciele ryzyka powinni być przydzieleni do odpowiednich środków kontroli ryzyka i powinni mieć jasno przypisane role i obowiązki w zakresie reagowania na ryzyko.

Podejście do ryzyka powinno dostosować wewnętrzne i zewnętrzne kontrole do wymogów zgodności, przepisów ustawowych i wykonawczych, strategii zarządzania oraz procesów i celów biznesowych.

Ramy ERM zazwyczaj obejmują następujące cztery etapy reagowania na ryzyko:

1. Zaakceptuj: Zaakceptuj ryzyko, jeśli jego prawdopodobieństwo i dotkliwość są akceptowalne, a potencjalne konsekwencje przeważają nad kosztami finansowymi wymaganymi do ograniczenia ryzyka. Kontynuuj monitorowanie ryzyka.

2. Unikaj: Unikaj ryzyka, jeśli ma ono duży wpływ na biznes, tj. wysokie prawdopodobieństwo i dużą wagę.

3. Zmniejsz: Zmniejsz prawdopodobieństwo i dotkliwość zdarzenia związanego z ryzykiem, jeśli szansa na ryzyko przeważa nad stratą finansową i innymi konsekwencjami.

4. Podziel się: Podziel się ryzykiem, przenosząc je (zlecając) je stronie trzeciej lub wykupując ubezpieczenie od ryzyka. Należy pamiętać, że outsourcing wiąże się z innym rodzajem ryzyka - ryzykiem osób trzecich.

  • Dowiedz się, jak zarządzać ryzykiem związanym z osobami trzecimi.
  • Dowiedz się więcej o ubezpieczeniu cyberbezpieczeństwa.

Na etapie 4 komitet ERM powinien osiągnąć następujące wyniki:

  • Upewnij się, że wszystkie elementy planu reagowania na incydenty mają przypisanego właściciela ryzyka;
  • Tworzenie zasad i procedur przeglądu mechanizmów kontroli ryzyka i właścicieli ryzyka;
  • Ustalenie, jak często należy dokonywać przeglądu procesów kontroli ryzyka i właściciela ryzyka;
  • zapewnić, aby strategia reagowania obejmowała odpowiednią tolerancję ryzyka dla każdego ryzyka, w tym ryzyka rezydualnego;
  • Upewnij się, że partnerstwa stron trzecich są uwzględnione w środowisku kontroli.

Krok 5. Optymalizacja ryzyka

Ostatnim krokiem jest monitorowanie i przegląd programu ERM za pomocą analizy danych w celu stworzenia ciągłego cyklu informacji zwrotnych. Ręczne agregowanie i filtrowanie danych jest czasochłonnym i skomplikowanym procesem, w którym może dojść do błędu ludzkiego. Narzędzia do optymalizacji ryzyka mogą pomóc w dostarczaniu istotnych, dokładnych informacji w celu szybszego i bardziej świadomego podejmowania decyzji.

Przy wyborze narzędzia do optymalizacji ryzyka należy wziąć pod uwagę kilka czynników, w tym:

  • Alokacja zasobów, np. Jaki jest Twój budżet?
  • Cele programu zarządzania ryzykiem, np. Jakie są zagrożenia o wysokim priorytecie?
  • Twoje wymagania dotyczące analizy danych i raportowania, np. Jaki poziom szczegółowości jest wymagany?

Na przykład zmniejszenie ryzyka związanego z cyberbezpieczeństwem wymaga ciągłego monitorowania bezpieczeństwa w celu identyfikowania zagrożeń cybernetycznych i luk w zabezpieczeniach w miarę ich pojawiania się. To zadanie jest prawie niemożliwe bez użycia rozwiązania do monitorowania obszaru podatnego na ataki. Dzięki takiemu oprogramowaniu organizacje prawdopodobnie uzyskałyby zwrot z inwestycji wkrótce po zakupie. Szybsza identyfikacja zagrożeń umożliwia szybsze korygowanie, zmniejszając szanse cyberprzestępców na wykorzystanie wykrytych problemów z bezpieczeństwem.

Stosując podobne podejście do innych obszarów ryzyka, komitet ERM powinien być w stanie określić najbardziej opłacalne i niezbędne narzędzia w celu lepszego zrozumienia ryzyka we wszystkich jednostkach biznesowych. Specjalistyczne oprogramowanie ERM oferuje scentralizowany pulpit nawigacyjny oparty na chmurze do wprowadzania wszystkich kluczowych wskaźników ryzyka i śledzenia wskaźników KPI.

Na etapie 5 komitet ERM powinien osiągnąć następujące wyniki:

  • Wdrażanie dynamicznego raportowania monitorowania ryzyka, które dostosowuje się do środowiska ryzyka w czasie rzeczywistym;
  • Zapewnienie, aby strategie zarządzania i zgodności z przepisami w zakresie IT i cyberbezpieczeństwa były wdrażane w ramach, zgodnie ze współczesnymi wymogami bezpieczeństwa, np. chmura obliczeniowa;
  • Tam, gdzie to możliwe, wykorzystaj automatyzację, aby umożliwić ciągłą identyfikację, monitorowanie i raportowanie ryzyka;
  • Ustalenie odpowiedniego harmonogramu przeprowadzenia audytu wewnętrznego w ramach ERM;
  • Ocena skuteczności ram pod względem poprawy świadomości ryzyka i usunięcia silosów z ERM.

Powiązane artykuły