Главная » Разное

Способы снижения информационного риска

Содержание
  1. Управление ИТ-рисками.
  2. Система управления рисками
  3. Ограничения управления рисками
  4. Система управления ИТ-рисками
  5. Способы снижения информационного риска

Управление ИТ-рисками.

Система управления рисками

Система управления рисками

Редактор, специалист в области PR. Работала менеджером по маркетингу и PR компании ALP Group. С 2003 по 2014 г. была выпускающим редактором журнала Intelligent Enterprise.

Система управления рисками

Современный подход к управлению рисками рассматривает эту деятельность как непрерывный процесс, в котором риски регулярно выявляют и анализируют, измеряют, ищут способы работы с ними и оценивают эффективность уже принятых мер. Сам процесс управления рисками несложен и сводится к следующему простому алгоритму:

  • идентификация рисков: анализ ситуации, выявление причин, построение карты рисков, их детальное описание;
  • анализ сценариев дальнейшего развития ситуации и определение уровней рисков;
  • проведение мероприятий по снижению уровней рисков.

Но одного процесса недостаточно; современный подход к управлению предполагает, что перед запуском процесса управления рисками необходимо определить принципы и сформировать концепцию, то есть определить рамки, в которых происходит управление рисками. Поэтому в общем виде система управления рисками состоит из трёх основных уровней (рис. 2).

Стратегический уровень — выработка принципов управления рисками. На этом уровне определяют рамки управления рисками, формируют культуру управления рисками и проактивной оценки рисков перед принятием решений, постоянно изучают и анализируют влияние рисков на текущее и будущее состояние организации, определяют приемлемые уровни рисков, а также принципы управления изменениями и противодействия рискам. Кроме того, на данном этапе определяется уровень рисков, которые организация готова принять, то есть толерантность к риску. Читайте также про схемы работы эквайринга.

Тактический уровень — система управления рисками. На этом уровне происходит общее руководство процессами управления рисками, их создание и постоянное совершенствование, а также выбор конкретных методов управления ИТ-рисками. Чтобы обеспечить эффективность управления рисками, топ-менеджмент организации должен:

  • определить и утвердить концепцию (политику) управления рисками;
  • определить показатели эффективности управления рисками, соответствующие показателям эффективности организации;
  • распределить ответственность и обязанности за процессы управления рисками на всех уровнях организации;
  • распределить ресурсы, необходимые для управления рисками;
  • сформировать культуру управления рисками в рамках всей организации.

На этом уровне принимаются концепция (или политика) и план управления рисками.

Концепция управления рисками — формализация решений высшего руководства предприятия об общих намерениях, основных принципах и направлениях деятельности в области управления рисками. Концепция управления рисками должна в полной мере отражать цели и приоритеты организации в области риск-менеджмента и фиксировать обязательства по постоянному управлению рисками и улучшению этой деятельности.
В общем случае концепция управления рисками должна:

  • описывать связи между целями организации и политиками, в том числе концепцией управления рисками;
  • описывать ответственность и обязанности по обработке рисков, а также правила оповещения и передачи на соответствующие уровни управления;
  • описывать то, каким образом риски будут уменьшаться, включая механизмы быстрого реагирования на изменение рисков;
  • описывать ключевые цели и показатели процессов управления рисками для их мониторинга, способы измерения эффективности управления рисками;
  • описывать правила разрешения конфликта интересов.

План управления рисками — краткое схематичное описание деятельности и мероприятий в области управления рисками, определение основных отвественных и ресурсов, применяемых для управления рисками.

Кроме того, необходимо продвигать культуру осведомленности о рисках и работы с ними, расширяя возможности предприятия по управлению рисками. Эта деятельность также относится к тактическому уровню.

Оперативный уровнь — процесс управления рисками. Здесь происходит основная работа с рисками: идентификация, анализ, определение степени влияния и выработки мер реагирования, а также мониторинг ключевых целей и показателей процессов управления рисками. Риски оценивают с двух точек зрения — вероятность возникновения и степень влияния. На протяжении всего процесса менеджеры коммуницируют с заинтересованными сторонами, анализируют риск и применяют инструменты управления, которые уменьшают вероятность и последствия риска. Кроме того, анализируют причины отклонений от целевых показателей, инициируют корректирующие меры по устранению этих причин и информируют руководство компании о рисках.

Cогласно стандарту FERMA 2002 система управления рисками строится несколько проще (рис. 3). В ней стратегический (выработка принципов управления рисками) и тактический (работа с системой управления рисками) уровни вынесены за рамки, но присутствуют все основные элементы процесса управления рисками.

Не так важно какого подхода вы будете придерживаться в реальной работе. Главное — системный подход к управлению рисками. Практика управления рисками в тех или иных областях может развиваться на предприятии в течение длительного времени, однако только постановка процессов управления рисками в рамках комплексной системы гарантирует системный эффект, чтобы все риски предприятия обрабатывались эффективно, рационально и последовательно.

Рис. 2. Схема управления рисками согласно стандарту ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство» 1 .

Рис. 3. Система управления рисками по стандарту FERMA 2002.

Ограничения управления рисками

Управление рисками возможно отнюдь не в любой ситуации. Исходя из определения риска, управлять им можно только в том случае, если в компании существует:

  • культура принятия неопределённости и готовность к частичному управлению ею;
  • прогнозируемость (пусть и неполная) внешних и внутренних событий, влияющих на деятельность, которая даёт возможность обоснованно оценить вероятность наступления рискового события;
  • прогнозируемость (пусть и частичная) внутренних условий деятельности организации (контекста риска), которая даёт возможность обоснованно оценить величину возможных негативных последствий;
  • возможность противодействия рисками, наличие времени и ресурсов, которые можно задействовать в управлении рисками.
Читайте также:  Как поднять ветки смородины способы

Такие условия складываются не всегда: не всегда можно более-менее обоснованно определить величину возможных негативных последствий и уж тем более совсем не всегда есть время и ресурсы для противодействия рискам. В этих случаях управление рисками теряет смысл и должно быть заменено другими подходами, например, управлением в кризисной ситуации.

Система управления ИТ-рисками

Подходы управления рисками можно применить к целой организации, к её площадкам и уровням, равно как и к определённым функциям, проектам и видам деятельности, включая ИТ-деятельность. Существуют нормативные акты, которые прямо предписывают компаниям управлять ИТ-рисками 2 . Аналогично определению риска можно сказать:

ИТ-риск — это вероятность возникновения события, связанного с применением информационных технологий, которое окажет отрицательное воздействие на достижение поставленных целей.

Для постановки системы управления ИТ-рисками целесообразно воспользоваться стандартом COBIT: инструкциями COBIT по аудиту ИТ-процесса «Оценка рисков», рекомендациями Risk Analysis Framework (COBIT) 3 . Для оценки ИТ-рисков, разработки мер реагирования на риски, расчёта приемлемого остаточного риска полезно опираться на подходящую методику управления ИТ-рисками. Существует несколько методологий управления ИТ-рисками, из которых следует упомянуть OCTAVE и CRAMM.

  1. Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) разработана в Институте программной инженерии при Университете Карнеги — Меллона. Её особенность — активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков. Методология OCTAVE гибкая, её можно адаптировать под потребности конкретного предприятия.
  2. Методология CRAMM (CCTA Risk Analysis and Management Method) разработана Central Computer and Telecommunications Agency (Великобритания). Её сильная сторона — идентификация элементов ИТ-риска: материальных и нематериальных активов, их ценности, угроз, мер безопасности, величины потенциального ущерба и вероятности реализации рискового события.

К сожалению, вопрос выбора методологии управления ИТ-рисками в каждом конкретном случае — дело сложное, его нельзя свести к кратким советам.

Ожидаемые результаты деятельности по управлению ИТ-рисками как составной части комплексной системы управления ИТ:

  • снижение числа инцидентов, связанных с ИТ;
  • рост доли ИТ-услуг, предоставляемых в соотвествии с чётко утверждёнными SLA;
  • повышение уровня непрерывности деятельности организации;
  • повышение удовлетворённости бизнеса работой ИТ-департамента.

В следующей части статьи мы перейдём к описанию опыта управления рисками в ходе ИТ-проекта внедрения комплексной системы управления.

Источник

Способы снижения информационного риска

На практике используют четыре основных способа уменьшения информационного риска. Эти способы имеют свои положительные и отрицательные стороны. Поэтому в каждом конкретном случае пользователь сам определяется, какому из них довериться.

Рассмотрим эти способы (беря во внимание, что в финансово-хозяйственной практике возможны и их комбинации).

1. Пользователь информации убирает риск самостоятельно. Например, он самостоятельно проверяет достоверность предоставленной ему бухгалтерской отчетности с выездом на место, с продолжительным исследованием первичных документов и системных бухгалтерских записей. Как правило, это стоит дорого, а потому непрактично, экономически неэффективно. Тем не менее, он широко применяется банками, страховыми компаниями и т.п. Государственная налоговая инспекция в настоящее время использует только этот способ при проверке правильности начисления и полноты и своевременности уплаты налогов.

2. Пользователь мирится с неизвестным ему уровнем риска с целью экономии своих текущих затрат. Некоторые пользователи бухгалтерской отчетности, определяя свои возможные затраты времени и средств на устранение информационного риска, придут к выводу, что проще и дешевле быть неосведомленными об уровне риска. Как правило, принятие такого решения более характерно для руководства небольших экономических субъектов, которые не имеют средств для проведения проверок.

3. Пользователь разделяет информационный риск с поставщиком информации (руководством экономического субъекта). Не аудиторы, а администрация несет ответственность за предоставление пользователям надежной, правдивой информации. Пользователь нередко считает, что представители администрации экономического субъекта как поставщики информации заинтересованные в предоставлении достоверной информации, так как предоставление сознательно неправильной бухгалтерской отчетности тянет за собою ответственность. (Обычно это бывает во взаимоотношениях со старыми партнерами, контрагентами и т.п.). Считая, что уровень информационного риска в представленной ему отчетности невысокий, и что в данном случае им можно просто пренебречь, пользователь не берет его во внимание, то есть разделяет его с поставщиком информации.

4. Пользователь доверяет той информации, которая подтверждена заключением аудитора. Это классический случай снижения уровня информационного риска в условиях рыночной экономики: надежность и достоверность информации в определенных документах в разных аспектах проверяют и подтверждают специалисты, которые выполняют функцию заверения (нотариусы, представители власти, банков, таможни, налоговых инспекций и др.). А по бухгалтерской отчетности в целом функцию заверения выполняют независимые аудиторы; затраты на их услуги несут поставщики информации, но необходимость таких затрат общественно и законодательно признана. И тогда разобщенные лица, которые принимают решение в разных секторах рынка, в большинстве полагаются на то, что информационный риск в результате подобных процедур существенно (к приемлемому уровню) снижен.

Мировая практика показывает, что обычный и сравнительно дешевый способ получения надежной информации — это проведение независимого аудита. Проверенная аудиторами информация, которая содержится в бухгалтерской отчетности экономических субъектов, а также аудиторские заключения, которые предоставляются по результатам проверки, используются потом при принятии решения. Такая информация считается достаточно полной, точной и непредубежденной.

Читайте также:  Какими способами можно найти площадь прямоугольного треугольника

Практика аудита в его современных формах на Западе, а теперь и в Украине всегда преследует две цели:

1) снижения информационного риска пользователей бухгалтерской отчетности;

2) снижения аудиторских рисков. Достижения этой цели является необходимым как для клиентов, так и для аудиторов;

3) снижения предпринимательского риска аудитора. Классификацию рисков в аудите показано на рис. 4.4.

Рис. 4.4. Классификация рисков в аудите

Стремления практикующих аудиторов одновременно достичь обеих целей понимается, поскольку только таким образом они могут выполнять свою функцию и выжить как предприниматели.

Международные национальные стандарты по аудиту предусматривают наличие аудиторского риска, который состоит в возможности составления положительного заключения относительно отчетности клиента в то время, когда эта отчетность содержит существенные ошибки.

Аудиторский риск (можно встретить названия: риск аудита или общий риск) — это риск того, что аудитор может высказать неадекватную мысль в тех случаях, когда в документах бухгалтерской отчетности существуют существенные искажения, иначе говоря, по неправильно подготовленной отчетности будет представлено аудиторское заключение без замечаний.

Вероятность того, что заключение об отсутствии ошибки в каждой статье отчетности будет правильным, зависит от трех факторов:

— бухгалтерского учета предприятия;

— надежности систем контроля;

В зависимости от этих факторов и природы хозяйственных операций и их отображения выделяют три вида аудиторского риска:

— риск, связанный с несоответствием функционирования внутреннего контроля;

— риск невыявления ошибок и искажений.

Свойственный риск — это способность остатка на определенном бухгалтерском счете или определенной категории операций к существенным искажениям, или способность к искажениям этих показателей в комплексе с искажениями по другим счетам или операциям, с предположением, что к ним не применялись мероприятия внутреннего контроля предприятия.

Во время разработки общего плана проверки аудитор оценивает свойственный риск на уровне финансовой отчетности. То есть аудитор сравнивает данную предыдущую оценку размера свойственного риска с наиболее существенными остатками на бухгалтерских счетах и определенных категориях операций. В случае ненадлежащего выполнения работниками предприятия этого анализа или их полного игнорирования, аудитор должен определить в общем плане проверки высокий размер свойственного риска.

Оценивая размер свойственного риска, аудитор изучает такие факторы:

а) на уровне финансовой отчетности:

— образование и опыт по специальности управления, а также изменения состава руководства;

— компетентность руководства за определенный период, потому что некомпетентность руководства может повлиять на правильность подготовки финансовых отчетов предприятия;

— неординарные обязанности руководства или значительное влияние на них определенных обстоятельств. Например, есть обстоятельства, которые подталкивают руководство на путь искажения финансовой отчетности. Такими обстоятельствами могут быть: значительный спад или неудачи в деятельности предприятия, дефицит собственных средств (капитала) для проведения постоянных операций, которые обеспечивают нормальную деятельность предприятия; характер деятельности предприятия, например, техническая отсталость его продукции или услуг, сложность структуры его капитала, влияние родственных сторон на его деятельность, количество и территориальное размещение производственного оборудования. Обстоятельства, которые имеют влияние на отрасль, в которой осуществляет деятельность предприятие, например, экономическое состояние предприятия и конкуренция, которые определяются аудитором путем изучения финансовых обзоров, прогнозов и показателей, изменения в технологии производства или услуг, потребительского спроса и учетной практики (с учетом отраслевой специфики).

б) на равные показателей финансовых отчетов и категорий операций:

— показатели финансовых отчетов, на которые могут повлиять искажения, например, счета, которые были раньше скорректированы или те остатки на счетах, получение результатов по которым связано с использованием точных учетных оценок;

— сложность основных операций и других операций, которые требуют привлечения посторонних специалистов (экспертов);

— тенденции к убыточной деятельности или незаконному присвоению активов;

— момент завершения неординарных и сложных операций;

операции, которые не могут быть осуществлены за обычным обстоятельствам.

Риск, связанный с несоответствием функционирования системы внутреннего контроля — это риск неэффективности внутреннего контроля. Он состоит в том, что системы бухгалтерского учета и внутреннего контроля не всегда могут функционировать настолько эффективно, чтобы ошибки, которые могут случаться в остатке по определенному бухгалтерскому счету или в определенной категории операций, могли быть своевременно предупреждены, разоблачены и своевременно исправлены персоналом предприятия. Такие ошибки могут быть существенными по каждому остатку или в общей совокупности с искажениями по другим остаткам или операциям.

Предыдущая оценка риска несоответствия внутреннего контроля — это оценка эффективности систем учета и внутреннего контроля предприятия, которая дает возможность работникам предприятия предотвратить, обнаружить и исправить существенные искажения и ошибки. Определенный риск несоответствия внутреннего контроля всегда будет существовать по причине ограничений, которые присущи каждой системе учета и внутреннего контроля и которых нельзя избежать.

Риск учета внутренне присущ любому предприятию. Он состоит в том, что деятельность разных служб может привести к ошибкам в бухгалтерской отчетности. На этот вид риска имеют влияние особенности деятельности предприятия, деловое окружение, стиль руководства и квалификация персонала, экономическая ситуация в области и в стране.

Читайте также:  Лучшие способы как избавиться от тараканов

Риски учета рассматриваются аудитором на стадии предыдущего планирования. Аудитору необходимо убедиться в честности руководства, понимании бухгалтерским персоналом правил ведения учета, в достаточной квалификации работников. Поскольку одним из главных признаков является принцип непрерывности деятельности предприятий, под которым понимается необходимость составления исторической, а не ликвидационной отчетности, то аудитор должен оценить возможность несоответствия отчетности предприятия принципу непрерывности.

Аудитор не может избежать или изменить внутренний риск учета, он может лишь оценить его размер соответственно каждому счету.

При формировании мысли о степени риска аудитор должен основываться на анализе следующих данных:

1. Результатов аудита прошлых периодов. С этой целью аудитор изучает все доступные рабочие документы аудита прошлых лет.

2. Результатов исследования в виде специальных вопросов, которые задаются аудитором работникам организации на этапе предыдущего планирования.

Перечень таких вопросов формируется аудитором, исходя из особенностей сферы бизнеса клиента, его специфики, размеров и т.п. Направление вопросов должно разрешить проведение предыдущего изучения ликвидности имущества организации, уровня прибыли и убытков, методов финансирования, финансовых трудностей, риска операций, уровня менеджмента и компетентности персонала.

Риск контроля — это степень доверия аудитора к внутреннему контролю организации по формированию экономических показателей.

Риск контроля состоит в невыявлении ошибок системой внутреннего контроля предприятия и полностью зависит от деятельности администрации. Риск контроля должен быть обратно-пропорциональным риску учета, ведь система контроля направленная на поиск ошибок, допущенных системой учета. Аудитор не может влиять на этот риск, как и на риск учета, он только оценивает его, изучая эффективность системы контроля. Формы и методы оценки риска внутреннего контроля определяются аудитором, исходя из размера предприятия, его деятельности, организационной структуры и т.д.

Конечная уверенность относительно величины риска внутреннего контроля достигается его тестированием, которое включает:

— проверку документов, которые подтверждают функционирования внутреннего контроля, например, проверку документов на наличие необходимых подписей;

— опрос и надзор за контрольными процедурами, которые не имеют письменного подтверждения, с целью определения их фактического существования и выявления лиц, которые их проводят;

— повторения процедур контроля, например, сравнение аудитором записей по банковскому счету с выписками банка.

Тестирование может не проводиться, если аудитор с самого начала предусматривает, что риск внутреннего контроля высокий вследствие неэффективности этой системы. Тогда для обеспечения приемлемого риска аудитор может предположить лишь повышенный уровень риска для аудиторских процедур. Если же риск контроля рассматривается аудитором как допустимый, то чем он выше, тем большее количество тестов контроля следует провести аудитору. Но, и при допустимом риске контроля аудитор имеет право отказаться от тестирования и вести проверку счетов таким же образом, как и при условиях неэффективного контроля. Такое решение может быть принято, если аудитор будет считать, что тестирование контроля будет осложнено и будет требовать от него больше времени, чем непосредственная проверка счетов. Этот подход довольно популярный в нашей стране, поскольку большинство предприятий не имеет инструктивно описанной системы контроля или не документирует его результаты.

Чем выше уровень надежности внутреннего контроля, тем ниже риск аудитора. В то же время аудитор никогда не должен полностью полагаться на систему внутреннего контроля клиента. Ошибки в бухгалтерском учете всегда возможны, поскольку ни одна система контроля не может быть эффективной на 100%.

Риск невыявления — это субъективная вероятность того, что процедуры, которые применяются аудитором в процессе проверки, не разрешат обнаружить существующие в организации существенные нарушения.

Значения риска невыявления или риска аудиторских процедур определяется величиной рисков учета и контроля. Для того, чтобы измерить вероятность невыявления ошибки, аудитор должен предварительно оценить вероятность того, что эта ошибка присутствующая в учете и не оказывается системой контроля предприятия. Рассчитанное вероятное значение используется аудитором для расчета количества доказательств, которые необходимо собрать. Это количество и составит аудиторскую выборку, объем которой будет прямо-пропорционален величине риска аудиторской процедуры. Если аудитор предполагает в своей работе большой риск невыявления, ему необходимо меньше доказательств, чем в том случае, когда для него приемлем только низкий риск.

Иначе говоря, риск невыявления — это та частица погрешности в проведении аудиторской проверки, которую аудитор может себе разрешить при существующих у клиента системах учета и внутреннего контроля, при соблюдении условия качества проведения работ и соответствия их установленным аудиторским нормативам.

Риск контроля и собственный риск не зависят от аудитора, и он не может на них влиять, они существуют независимо от аудиторской проверки финансовой отчетности и являются результатом деятельности клиента независимо от проведения аудита. В отличие от этих двух составных частей аудиторского риска риск невыявления явлется результатом проведения аудиторской проверки, следствием выполненной аудитором работы. За этот риск аудитор несет полную ответственность, то есть он определяет степень качества, уровня его деятельности.

Таким образом, правильная оценка риска невыявления являются показателем эффективности и качества работы аудитора. Характерные особенности рисков показанные в таблице 4.1.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.