Управление ИБ как часть интегрированного управления компанией, ее рисками и соблюдением правовых норм

 В российских компаниях наблюдаются те же тенденции. В то же время проблемы развития ИТ-инфраструктуры усугубляются вопросами обеспечения ее информационной безопасности. В последние годы по мере роста отечественных компаний и их продвижения на новые рынки эффективное управление ИБ приобретает все большее значение. Для клиентов в этом вопросе важна уверенность в сохранности и конфиденциальности личных данных, для инвесторов и партнеров – знание, что бизнес компании будет функционировать стабильно и без сбоев, а также в соответствии с законодательством.

Самый важный тренд в сфере ИБ на сегодняшний день – это усложнение системы нормативного регулирования различных сфер бизнеса, особенно финансовой. Компании вынуждены становиться более прозрачными с точки зрения корпоративного управления, риск-менеджмента, в том числе уделять больше внимания информационной безопасности. А продолжающееся усложнение бизнес-процессов и все возрастающие объемы информации требуют не только централизованного управления информационными рисками, но и воплощения интегрированного подхода к управлению всеми рисками и исполнением законодательно-нормативных требований в рамках корпоративного управления всей компанией.

Важность интегрированного подхода

Только осознавая все существующие ИТ-риски, их влияние и последствия реализации как на весь бизнес целиком, так и на его отдельные части, можно максимизировать отдачу от инвестиций в информационные технологии. Без централизованного решения по управлению ИТ-рисками компании будут продолжать работать буквально под дамокловым мечом потенциальных значительных потерь.

В полной мере осознавая это, компании на мировом уровне демонстрируют тенденцию перехода от простого исполнения законодательно-нормативных требований для обеспечения ИБ к комплексному управлению рисками и реализации концепции GRC (Governance, Risk and Compliance).

Рынок автоматизированных GRC-систем развивается быстрыми темпами. Так, по данным исследования Forrester, мировой рынок GRC вырос с $635 млн в 2009 году до почти $749 млн в 2010. До 2015 г. Forrester предсказывает рост рынка в среднем на 14%. На рис. 1 видно, что развивающиеся компании уделяют на 35% больше внимания управлению рисками, чем организации на зрелых рынках. Таким образом, управление рисками – один из важнейших поддерживающих процессов развития компании.

Но нередко внимание, уделяемое вопросам ИБ, является недостаточным вследствие невысокого приоритета, выставляемого таким задачам, а следовательно, и ограниченного бюджета. Выборочная же реализация средств безопасности на практике не обеспечивает должный уровень информационной защиты компании. Организациям необходимо вести единый процесс управления ИБ – и физическими, и информационными активами, а также обеспечивать соответствие различным стандартам и требованиям. Но это ещё не всё.

Потери данных о клиентах вследствие нарушений систем безопасности и убытки на миллиарды долларов в результате несанкционированных действий трейдеров – лишь единичные примеры громких событий, подчеркнувших чрезвычайную значимость совместного управления рисками и соответствия требованиям для экономической устойчивости компании. Кроме того, последствия кредитного кризиса стали убедительным подтверждением взаимосвязанности различных корпоративных рисков: они должны управляться интегрированно, а не по отдельности, как это было принято прежде. Интегрированный риск-менеджмент – это подход, который дает понимание реальных последствий того или иного риска в рамках всей организации. Он позволяет получить обобщенный взгляд на управление рисками в компании.
Несвязанное же управление рисками и исполнением законодательно-нормативных требований является делом трудоемким и затратным. Для каждого нового регулирующего акта или категории рисков в таких случаях нередко развертывается новое технологическое решение, которое, по сути, является точечным. Такой фрагментированный подход ограничивает способность рационализировать процессы управления, а также возможности сокращения затрат на них.

Для получения комплексной картины рисков компании и, соответственно, минимизации расходов необходимы возможность легко встраивать управление рисками в повседневные бизнес-процессы, а также конфигурируемая технологическая платформа, способная адаптироваться к уникальным методам управления рисками, которые могут отличаться от компании к компании. То есть удовлетворение растущих потребностей в GRC в крупной организации требует эффективной технологической поддержки для тщательного и систематичного управления корпоративными рисками в масштабе всего бизнеса. При этом технологии могут оказать значительное влияние на успешность разработки и развертывания в организации интегрированной структуры GRC, однако они должны использоваться как вспомогательный инструмент, а не как предписанный процесс и методология. GRC в будущем будет рассматриваться не как технология сама по себе, а как важная часть совокупности всех технологий и процессов. Это позволит организациям управлять своим бизнесом более эффективно.

Отметим, что сегодняшняя экономическая ситуация способствует резкому повышению интереса компаний к интегрированному подходу для реализации концепции GRC. В ближайшие месяцы и годы все больше и больше внутренних функций GRC будут работать вместе на комплексной основе.

Рис. 1. Риск-менеджмент как важнейший поддерживающий процесс развития бизнеса в финансовых организациях, Business Analytics for Banking Survey, 2010

Решение есть

Одно из наиболее распространенных в мире ПО для реализации интегрированного подхода к управлению рисками и соблюдением правовых норм – решение IBM OpenPages GRC Platform. C 2010 г. это один из ключевых продуктов в портфеле бизнес-аналитики IBM для решения задач управления операционными рисками и ИБ, соответствия ИТ-стандартам, автоматизации работы служб внутреннего контроля и аудита и др.

Пять стандартных модулей платформы включают:

1. управление операционными рисками (Operational Risk Managenent – ORM);
2. управление финансовым контролем (Financial Controls Management – FCM);
3. управление ИТ-стандартами (IT Governance – ITG);
4. управление внутренним аудитом (Internal Audit Management – IAM);
5. управление политиками и соответствием требованиям регуляторов (Policy and Compliance Management – PCM).

На рис. 2 схематично представлена структура решения и входящие в него модули.

Рис. 2. Структура решения IBM OpenPages

Для кого, для чего

Управление рисками – это задача, характерная для бизнеса любой отрасли. Независимо от сектора рынка, к которому принадлежит компания, ей необходимо обеспечивать безопасность выполнения и обслуживания проектов, операционной и коммерческой деятельности. Поэтому организации, внедряющие IBM OpenPages, относятся к самым разным сферам: банковской, страховой, топливно-энергетической, производственной, телекоммуникационной и др. У каждой компании есть свой, выработанный путь управления рисками, который она смогла совместить с новой системой. Дело в том, что IBM OpenPages отличается большой гибкостью и конфигурируемостью, способностью адаптироваться под любую методологию, что снижает совокупную стоимость владения и поддержки решения.

Программная платформа высоко оценивается как заказчиками, так и аналитическими компаниями, такими как Gartner (см. рис. 3) и Forrester (см. рис. 4). IBM OpenPages используется ведущими организациями по всему миру и нередко замещает не только 2–3, но и до нескольких десятков точечных решений, которые они применяли до этого.

Несмотря на возможность решения задач компаний во множестве отраслей, платформа IBM наиболее популярна и востребована в финансовой сфере, особенно в банках. Финансовые организации, по данным на конец 2011 года, составляют 60% от числа всех компаний, внедривших у себя систему.

Рис. 3. Магический квадрант Gartner, GRC

Рис. 4. Результаты исследования Forrester: Enterprise Governance, Risk, and Compliance Platforms, Q4 2011

Эта тенденция существует как на мировом уровне, так и в России. Российский кризис 2008–2009 годов, стоивший инвесторам не менее 150 млрд рублей, потерянных на дефолтах облигаций, и свыше 300 млрд рублей государству в виде расходов на санацию проблемных банков, привел к серьезному снижению доверия к финансовым институтам. Некачественные системы управления рисками в ряде компаний и банков привели к потерям клиентов – как институциональных инвесторов и крупных корпораций, так и частных лиц. В результате кризиса наши банки осознали необходимость развития методологии управления рисками и более широкого ее применения в масштабах всей организации, агрегации данных о рисках, а также применения рекомендаций регуляторов Basel II/III и Solvency II.

Какие бы области рисков ни были значимыми для компании, целью является их интеграция в единую структуру, обеспечивающую получение общего взгляда на всю эту совокупность. Однако многие технологические решения ориентированы лишь на одну область, например, на эксплуатационные риски или риски нарушения одной группы регулятивных норм. Такие платформы могут поддерживать фрагментированный подход, но, как правило, лишены значимых возможностей, необходимых для конвергенции рисков. Также нужно подчеркнуть, что уровни детализации процессов GRC, таких как оценка риска и его измерение, будут различными для разных областей рисков. Например, стратегический риск, как правило, рассматривается на относительно высоком уровне, а для требований Sarbanes-Oxley Act характерен значительно больший уровень детализации, в особенности в отношении процессов, рисков и средств контроля. Поэтому технологическое решение должно быть достаточно гибким, чтобы поддерживать требуемый уровень детализации для различных областей рисков.

Надежная GRC-платформа позволит организации:

• объединить различные элементы данных и осуществлять поддержку взаимосвязей между ними (оценки RCSA (Risk and Control Self-Assessment), события наступления убытка, показатели KRI, управление проблемами, политиками и т.д.);
• определить общую классификацию и библиотеку для политик, процессов, рисков, средств контроля, требований регулирующих органов и других ключевых элементов данных;
• интегрировать множество областей рисков (операционный, стратегический риск, риск несоответствия нормативным требованиям и т.д.) для агрегированного анализа и формирования полных отчетов о рисках в масштабе всей организации;
• предоставить поддержку принятия решений в реальном времени, включая возможность обнаруживать тенденции, исключения, необычную активность и т.д. и рассылать уведомления;
• распределять и поддерживать ответственность, а также обеспечивать согласованное использование методов управления рисками всеми функциональными группами и бизнес-подразделениями;
• получить возможности для эффективного управления информацией о рисках, автоматизации коммуникаций и процессов решения проблем в масштабе всей организации;
• локализовать представления для различных функций/ролей и синхронизировать действия различных подразделений.

Помимо перечисленного выше, IBM OpenPages состоит из свободно интегрируемых компонент для поддержки ключевых операций управления рисками и исполнения нормативных требований, а также предоставляет возможность обмениваться данными о рисках, возникающих во всех видах деятельности компании, и методах их контроля. Кроме того, GRC-платформа включает средства формирования отчетов и организации документооборота (т.е. схем проверок и согласования всех собираемых данных), необходимого для поддержки всех процессов риск-менеджмента и Compliance.

Управление ИБ с помощью IBM OpenPages

Один из модулей, составляющих IBM OpenPages, – это решение ITG, поддерживающее процесс управления ИТ-стандартами и информационной безопасностью в организации. Модуль обеспечивает согласованность ИТ-политик, операционного управления и риск-менеджмента с бизнес-инициативами, стратегией и требуемыми стандартами. ITG помогает поддерживать согласованность по множеству норм и правил, одновременно учитывая внутренние ИТ-контроли и риски. В итоге решение повышает наглядность бизнес-процессов по управлению ИБ, помогает принимать оптимальные решения, способствует увеличению производительности бизнеса.

Компании, внедрившие IBM OpenPages ITG для управления ИБ, приобретают такие выгоды, как лучшая наглядность, более тесная связь между информационными технологиями и бизнес-процессами, снижение ИТ-рисков, повышение надежности и безопасности работы за счет гармонизации и упорядочения требований регуляторов.
ITG – программное решение, обеспечивающее эффективное функционирование информационных технологий управления за счет совмещения внутренних и внешних политик в области ИТ, управления рисками и операциями с корпоративными бизнес-инициативами, стратегиями и операционными стандартами. Модуль централизует все управление ИТ-данными, связанной технологической документацией, KPI, рисками и их ключевыми индикаторами в единую консоль, которая интегрирована на базе IBM OpenPages GRC. Как и каждый модуль платформы, ITG может взаимодействовать со всеми остальными модулями. Общие возможности платформы IBM усиливают функциональность ITG, обеспечивая такие аспекты решения, как действенная бизнес-аналитика и отчетность, интегрированный технологический процесс, управление документами, а также конфигурация и администрирование системы безопасности. Это делает управление ИТ значительно проще и позволяет компаниям поддерживать связи между несколькими внешними ИТ-стандартами (например, COSO, COBIT, ITIL, ISO и др.) и внутренними правилами управления рисками и ИТ.

Основные преимущества от использования ITG:

1. Всеобъемлющий взгляд: решение может объединить несколько разрозненных сфер управления ИТ в организации. Объединение в конечном итоге приводит к повышению эффективности бизнеса.
2. Карты ИТ-ресурсов: модуль помогает создать карту связей существующих информационно-технологических ресурсов с несколькими ИТ-стандартами для каждого бизнес-процесса. Это обеспечивает базовую основу для управления ИТ и позволяет делать это централизованно, используя подход «сверху вниз» (от бизнес-процессов к ИТ-активам).
3. Сокращение ИТ-рисков: ITG обеспечивает глубокий контроль рисков всей ИТ-инфраструктуры благодаря централизованному управлению общим репозиторием, что позволяет сократить их. За счет такой централизации и обеспечения динамического уведомления о любых изменениях модуль повышает производительность и обеспечивает целостный и более эффективный подход к рискам.
4. Повышение эффективности ИТ-управления путем сопоставления с несколькими лучшими практиками. ITG может управлять нормативными требованиями по нескольким стандартам, в том числе COBIT, ITIL и ISO.
5. Бизнес-аналитика и отчетность: модуль обеспечивает полностью настраиваемую отчетность о соответствии ИТ-стандартам и ИБ во всех функциональных областях с помощью интерактивных динамических панелей и аналитики. Гибкость формирования отчетности позволяет удовлетворить любым видам организационных требований, благодаря чему компании лучше понимают все ключевые вопросы, стоящие перед ними с точки зрения ИТ.
6. Снижение расходов на управление ИТ: ITG настраивается для использования в любых типах ИТ-сред. Модуль обеспечивает максимальную гибкость организационных процессов.
7. Часть комплексного управления рисками и соблюдением нормативных требований: модуль полностью интегрирован с GRC-системой IBM OpenPages. Платформа поставляется как сервис-ориентированная архитектура (SOA), что позволяет организациям получать доступ и работать c ней, затрачивая при этом минимальные усилия.

Растущая сложность окружающего мира, выражающаяся в увеличении объемов информации и ее разнообразии, приводит к повышению уровня рисков во всех видах деятельности. Управление ИБ – это больше не красивая теория, а реальная необходимость бизнеса. Причем оно всё больше связано с управлением другими видами рисков. Таким образом, тенденция управления ИТ-рисками – это переход к интегрированному подходу риск-менеджмента и исполнения законодательно-нормативных требований. Такой подход делает управление ИБ гораздо эффективнее и позволяет добиться требуемого уровня безопасности с точки зрения как регуляторов, так и инвесторов, что непосредственно отражается на уровне их доверия к компании и ее капитализации.

Внедрение GRC-платформы IBM в компании SunTrust Banks, Inc. Одним из ярких примеров внедрения платформы является проект в компании SunTrust Banks, Inc. Это один из лидеров американского рынка банковских холдинговых компаний – акционерных обществ, владеющих пакетами акций юридически самостоятельных банков и небанковских организаций с целью осуществления по отношению к ним управленческих, финансово-кредитных и контрольных функций. Компания занимается предоставлением услуг по депозитам, кредитованию, а также инвестиционными и доверительными услугами для широкой сети клиентов. На момент внедрения IBM OpenPages SunTrust Banks, Inc. владел активами более чем на $180 млрд, более чем $124 млрд лежали на депозитах.

 

Как и множество других организаций, компания долго шла к пониманию того, что управление политиками, соответствиями, рисками является неотъемлемым фактором успеха. Децентрализованный (в силу структуры компании) менеджмент и меняющаяся регуляторная среда уже не позволяли SunTrust Banks, Inc. эффективно контролировать риски. Стратегической целью компании являлась адаптация к возросшему темпу изменений в регуляторной сфере и сфере соответствия требованиям на современном рынке.

 

Цель внедрения IBM OpenPages GRC

Компания планировала с помощью решения IBM осуществить переход к интегрированному риск-менеджменту и повысить эффективность операционной деятельности.

В частности, SunTrust Banks, Inc. ставила перед собой следующие задачи: снизить количество контрольных процедур в рамках организации с 12 000 до менее чем 1000; автоматизировать процессы хранения, управления, безопасного и выборочного распределения, а также отслеживания оставшихся контрольных процедур.

Внедрение решения

SunTrust имела многочисленные, прочно вписавшиеся в бизнес-процессы компании приложения, которые не могли обеспечить обобщенный взгляд на риск-менеджмент в рамках всей организации. Компания нуждалась в системе интегрированного риск-менеджмента для того, чтобы получить комплексную картину реальной ситуации. SunTrust Banks, Inc. также хотела обеспечить гибкость процессов исполнения многочисленных законодательно-нормативных требований, меняющихся возрастающими темпами, а также масштабируемость системы для возможности отвечать новым требованиям бизнеса в будущем.

К моменту выбора компанией GRC-решения, реализующего интегрированный риск-менеджмент и Compliance, различные платформы для решения этих задач уже были внедрены другими крупными финансовыми организациями. В SunTrust понимали необходимость не уступать в этом конкурентам. В 2010 году SunTrust приобрела решение для реализации подхода GRC – программный продукт другого вендора. Тем не менее, как только в конце 2010 года программная платформа OpenPages GRC вошла в состав портфеля бизнес-аналитики IBM, SunTrust пересмотрела свое решение. Платформа была высоко оценена сотрудниками SunTrust и открыла для компании новые возможности, связанные не только с выгодами от интегрированного подхода к риск-менеджменту и Compliance, но и с более эффективным использованием таких ранее приобретенных программных продуктов IBM, как Cognos и WebSphere.

Перед тем как оценить предлагаемое IBM решение, SunTrust открыла внутренний проект по интегрированному риск-менеджменту для того, чтобы разработать целостные, масштабируемые модели оценки и категоризации операционных рисков и рисков несоответствия требованиям, формализовать все не противоречащие друг другу и эффективные бизнес-процессы по всем видам деятельности компании и, наконец, внедрить гибкое приложение, которое поддерживало бы усовершенствованные бизнес-процессы и предоставляло всеобъемлющую и целостную информацию для руководства.

Команда специалистов IBM продемонстрировала GRC-решение в действии и примеры его успешного внедрения в других крупных финансовых институтах. Будущие пользователи узнали, как технологии IBM OpenPages помогают использовать возможности других решений IBM. Это помогло SunTrust начать более эффективно применять и другие существующие у него ресурсы вендора.

В SunTrust оценили, как IBM OpenPages GRC обеспечивает интегрированный подход к управлению рисками и бизнес-процессами, а также контролю остатков, тестированию контрольных процедур, управлению проблемами и корректирующими действиями, мониторингу и отчетности. Этот подход позволил заказчику значительно улучшить производительность операционной среды, включая снижение сложности ее организации, обеспечение целостности управления рисками и контролями в рамках всей компании, автоматизацию рабочих процессов, ускорение и упрощение отчетности, регулярность актуализации положений BASEL II и общую прозрачность внутренней деятельности.

Выбрав платформу IBM OpenPages GRC, компания SunTrust отказалась от ранее приобретенного GRC-решения. Решение IBM позволило эффективно организовать управление финансовыми контролями (включая SOX) и операционными рисками (включая BASEL II), а также объединить в себе возможности множества других приложений для исполнения законодательно-нормативных требований.

Результат

В компании SunTrust возросла эффективность деятельности и снизились риски.

Была создана единая платформа для исполнения законодательно-нормативных требований, которая также помогла решить задачи, связанные с обеспечением непрерывности бизнеса и повышением его эффективности.

Был разработан единый репозиторий данных о рисках и контрольных процедурах, который, в числе прочего, позволил хранить информацию о самих контрольных процедурах, результаты их тестирования, а также всю сопроводительную документацию с детальными данными о том, как и где каждая из них обеспечивает выполнение тех или иных бизнес-процессов. На основе этих данных было обеспечено своевременное и регулярное формирование отчетности обо всех контрольных процедурах.