Для обеспечения операционной надежности в финансовых организациях требуется распределение ролей и обязанностей между участниками процессов: рисковиками, ИТ и ИБ, объяснил ведущий консультант по ИБ-компании AKTIV.CONSULTING Александр Моисеев.
По его словам, зачастую наблюдается перекладывание ответственности между указанными подразделениями друг на друга по разным причинам. Во-первых, рисковики не владеют стеком ИТ-технологий и понимания аспектов ИБ. Во-вторых, эксперты по ИБ не владеют методиками расчёта рисков. Также имеет значение то, что для ИТ не свойственно регламентировать и документировать аспекты надежности ИТ-инфраструктуры.
Эксперт считает, что служба управления операционным риском может быть организована в финансовых организациях по-разному и здесь возможны различные сценарии. Например, когда рисковики курируют ОН и ИУ, привлекая компетенции ИБ и ИТ. Или же, когда ИБ курирует ОН и ИУ, организовывая в своей структуре полноценную группу управления рисками. Также возможен сценарий, когда ИТ курирует ОН и ИУ, взаимодействуя с рисковиками и ИБ.
«Наиболее эффективной представляется структура, когда в финансовой организации выстраивается единая СУОР для всех видов операционных рисков, — говорит Моисеев. — При этом управление рисками ИБ как подпроцесс разделяется между центром экспертизы в виде департамента ИБ, ИТ, службой по управлению рисками и руководством».
По словам эксперта, реальные кейсы показывают, что такая структура существует меньше чем в половине финансовых организаций. Часто реализуемыми сценариями являются те, в которых СУОР (система управления операционными рисками) находится в ИТ или ИБ, потому что технический стек крупных финансовых организаций, обеспечивающих непрерывность бизнеса, сложен.
«Управление операционным риском, связанным с непрерывностью и обеспечением операционной надёжности, логично отдается в службы ИТ или ИБ, а рисковики оказывают методологическую помощь. Все сценарии имеют свои плюсы и минусы», — отмечает Моисеев.
