Останнім часом пильна увага у вітчизняних компаніях (банках) приділяється вивченню міжнародних стандартів, методів і засобів щодо управління ризиками та безпекою діяльності. Незважаючи на відсутність міжнародних стандартів ISO, безпосередньо присвячених питанням забезпечення безпеки корпоративних підприємств, можна деякі із цих стандартів (щодо інформаційної безпеки суб’єктів господарювання та управління ризиками) застосувати в процесі втілення на практиці комплексної системи забезпечення безпеки компаній (банків) з розробленням Корпоративного стандарту безпеки.
Так, на основі міжнародних стандартів ISO/IES 27001:2022, ISO/IES 27002:2022 та ISO/IEC 27003:2017 компанія (банк) може розробити Корпоративний стандарт безпеки й згодом впровадити комплексну систему управління безпекою, що забезпечує сталу підтримку рівнів ризиків безпеки для активів компанії (банку) у встановлених допустимих межах. Крім того, у стандарті ISO/IEC 27001:2017 описується порядок оцінювання ризиків суб’єкта господарювання. До речі, на сьогодні міжнародний стандарт ISO/IEC 27003:2017 уже активно застосовується в Україні банківськими установами.
Поряд з цим, у зазначених стандартах конкретизуються питання щодо забезпечення ефективного управління активами суб’єкта господарювання та безперервності бізнес-процесів, у тому числі управління кризовими станами, розроблення внутрішньої організаційно-розпорядчої документації (див. підрозділ 3.4 посібника), яка описує функціонування системи управління безпекою підприємства/організації та визначає засоби безпеки, що забезпечують зниження ризиків у сфері діяльності підприємства/організації, розроблення заходів з контролю й моніторингу функціонування системи управління безпекою підприємства/організації.
З метою розроблення Корпоративного стандарту безпеки також доречно використовувати раніше згаданий у посібнику міжнародний стандарт ISO 31000:2018 «Ризик-менеджмент. Принципи та настанови» (Risk management – Guidelines), у якому наданий аналіз ризиків діяльності підприємства/організації та дії з управління ними.
Метою функціонування ризик-менеджменту в компанії (банку) є інтеграція процесу керування ризиками в загальну систему управління компанією (банком), планування діяльності, стратегію розвитку, управління безпекою тощо.
Інформація, зібрана в процесі здійснення ризик-менеджменту, має виступити основою прийняття управлінських рішень щодо управління безпекою на всіх організаційних рівнях компанії (банку).
При цьому початковою стадією побудови концепції ризик-менеджменту має бути встановлення так званого «контексту» підприємства. Встановлення контексту компанії – це визначення зовнішніх і внутрішніх параметрів і критеріїв ризику, які впливають на управління компанією задля окреслення загальної політики ризик-менеджменту.
Зовнішній контекст компанії (банку), як правило, включає економічну, правову, природну, політичну, фінансову, технологічну, соціальну та інші складові зовнішнього оточення, а також рушійні сили національного й міжнародного масштабу, які здатні вплинути на цілі функціонування компанії (банку). Зовнішній контекст охоплює співпрацю з усіма зацікавленими сторонами на макро- та мікрорівнях взаємодії.
Внутрішній контекст, у якому компанія планує досягти поставлені цілі, складається із системи управління компанією, організаційної структури, стратегії розвитку, технології виробництва, фінансових і часових ресурсів, інформаційних систем і потоків, відносин із внутрішніми зацікавленими сторонами тощо.
Якщо компанія не мала побудованої системи ризик-менеджменту або періодично здійснювала заходи щодо управління ризиками на несистематичній основі та лише в окремих випадках, то доцільно розробити й запровадити в компанії систему ризик-менеджменту.
Побудова системи ризик-менеджменту потребує чіткого розуміння з боку керівництва компанії необхідності розроблення, впровадження та окреслення політики ризик-менеджменту. Власники й керівний склад компанії визначають політику і стратегію ризик-менеджменту; показники результативності проведення заходів ризик-менеджменту відповідно до показників ефективності компанії; обов’язки та відповідальність на всіх рівнях управління; гарантують наявність необхідних для ризик-менеджменту ресурсів.
Алгоритм роботи системи ризик-менеджменту компанії включає ідентифікацію ризику, окреслення критеріїв ризику, аналіз з визначення ступеня ризику та наслідків, оцінювання ймовірності ризику із зазначенням його рівня, обробку й ранжування ризику, прорахунок передумов повторення кризових ситуацій, моніторинг і контроль ризиків, а також оцінювання економічної ефективності управління ризиками в компанії.
Ризик-менеджмент можливо застосовувати як до компанії (банку) загалом, так і до окремих проєктів чи видів діяльності. Компанія Сідкон пропонує комплексний підхід до оцінки та забезпечення безпеки, адаптований до потреб кожної конкретної компанії.
Створення системи корпоративної безпеки включає:
Загалом, компанія Сідкон пропонує комплексні рішення для забезпечення ефективної системи корпоративної безпеки, адаптовані під потреби кожної конкретної компанії.
Так, на основі міжнародних стандартів ISO/IES 27001:2022, ISO/IES 27002:2022 та ISO/IEC 27003:2017 компанія (банк) може розробити Корпоративний стандарт безпеки й згодом впровадити комплексну систему управління безпекою, що забезпечує сталу підтримку рівнів ризиків безпеки для активів компанії (банку) у встановлених допустимих межах. Крім того, у стандарті ISO/IEC 27001:2017 описується порядок оцінювання ризиків суб’єкта господарювання. До речі, на сьогодні міжнародний стандарт ISO/IEC 27003:2017 уже активно застосовується в Україні банківськими установами.
Поряд з цим, у зазначених стандартах конкретизуються питання щодо забезпечення ефективного управління активами суб’єкта господарювання та безперервності бізнес-процесів, у тому числі управління кризовими станами, розроблення внутрішньої організаційно-розпорядчої документації (див. підрозділ 3.4 посібника), яка описує функціонування системи управління безпекою підприємства/організації та визначає засоби безпеки, що забезпечують зниження ризиків у сфері діяльності підприємства/організації, розроблення заходів з контролю й моніторингу функціонування системи управління безпекою підприємства/організації.
З метою розроблення Корпоративного стандарту безпеки також доречно використовувати раніше згаданий у посібнику міжнародний стандарт ISO 31000:2018 «Ризик-менеджмент. Принципи та настанови» (Risk management – Guidelines), у якому наданий аналіз ризиків діяльності підприємства/організації та дії з управління ними.
Метою функціонування ризик-менеджменту в компанії (банку) є інтеграція процесу керування ризиками в загальну систему управління компанією (банком), планування діяльності, стратегію розвитку, управління безпекою тощо.
Інформація, зібрана в процесі здійснення ризик-менеджменту, має виступити основою прийняття управлінських рішень щодо управління безпекою на всіх організаційних рівнях компанії (банку).
При цьому початковою стадією побудови концепції ризик-менеджменту має бути встановлення так званого «контексту» підприємства. Встановлення контексту компанії – це визначення зовнішніх і внутрішніх параметрів і критеріїв ризику, які впливають на управління компанією задля окреслення загальної політики ризик-менеджменту.
Зовнішній контекст компанії (банку), як правило, включає економічну, правову, природну, політичну, фінансову, технологічну, соціальну та інші складові зовнішнього оточення, а також рушійні сили національного й міжнародного масштабу, які здатні вплинути на цілі функціонування компанії (банку). Зовнішній контекст охоплює співпрацю з усіма зацікавленими сторонами на макро- та мікрорівнях взаємодії.
Внутрішній контекст, у якому компанія планує досягти поставлені цілі, складається із системи управління компанією, організаційної структури, стратегії розвитку, технології виробництва, фінансових і часових ресурсів, інформаційних систем і потоків, відносин із внутрішніми зацікавленими сторонами тощо.
Якщо компанія не мала побудованої системи ризик-менеджменту або періодично здійснювала заходи щодо управління ризиками на несистематичній основі та лише в окремих випадках, то доцільно розробити й запровадити в компанії систему ризик-менеджменту.
Побудова системи ризик-менеджменту потребує чіткого розуміння з боку керівництва компанії необхідності розроблення, впровадження та окреслення політики ризик-менеджменту. Власники й керівний склад компанії визначають політику і стратегію ризик-менеджменту; показники результативності проведення заходів ризик-менеджменту відповідно до показників ефективності компанії; обов’язки та відповідальність на всіх рівнях управління; гарантують наявність необхідних для ризик-менеджменту ресурсів.
Алгоритм роботи системи ризик-менеджменту компанії включає ідентифікацію ризику, окреслення критеріїв ризику, аналіз з визначення ступеня ризику та наслідків, оцінювання ймовірності ризику із зазначенням його рівня, обробку й ранжування ризику, прорахунок передумов повторення кризових ситуацій, моніторинг і контроль ризиків, а також оцінювання економічної ефективності управління ризиками в компанії.
Ризик-менеджмент можливо застосовувати як до компанії (банку) загалом, так і до окремих проєктів чи видів діяльності. Компанія Сідкон пропонує комплексний підхід до оцінки та забезпечення безпеки, адаптований до потреб кожної конкретної компанії.
Створення системи корпоративної безпеки включає:
- Ідентифікацію та аналіз загроз безпеці компанії (банку);
- Аудит існуючої системи безпеки
- Оцінку ризиків безпеки компанії;
- Оцінку контролю та захисних заходів.
Загалом, компанія Сідкон пропонує комплексні рішення для забезпечення ефективної системи корпоративної безпеки, адаптовані під потреби кожної конкретної компанії.