Отчет о Семнадцатой конференции «Корпоративные системы риск-менеджмента» (День 1)

Первая секция первого дня «Курс на импортозамещение: перестройка российского риск-менеджмента в условиях нестабильности» началась с выступления Михаила Рыжова, главного менеджера департамента внутреннего контроля, ПАО «ГМК «Норильский никель». Он рассказал про роботизацию системы внутреннего контроля и перечислил требования к бизнес-процессу, который нужно автоматизировать:

1. Процесс должен быть повторяющимся, с множеством рутинных задач.
2. Трудоемкость и частота выполнения процесса.
3. У процесса должны быть четкие правила и структурированные шаги

Затем эксперт поделился эффектом от роботизации СВК:

• Роботизированные проверки – проверка идет независимо от действий работника внутреннего контроля
• Отсутствие человеческого фактора
• Существенное ускорение ряда процессов внутреннего контроля
• Эффект более 13 FTE

Практикой создания, внедрения и развития информационной системы управления рисками поделился Александр Грисенко, руководитель направления цифровой трансформации, Спутниковая система «Гонец». Спикер рассмотрел цели и основные принципы целевой модели стратегии цифровой трансформации. Приоритетными задачами были: управление на основе данных и развитие человеческого капитала и компетенций. Затем Александр описал переход от процессного управления к цифровой трансформации и отметил шаги данной трансформации. Также он поделился ходом работ по созданию и внедрению платформы «Метаграф».

В конце секции прошел КРУГЛЫЙ СТОЛ «Переход с зарубежных ИТ-систем на отечественные аналоги: на что обратить внимание при выборе решений и основные этапы внедрения». Среди спикеров: Ольга Костина, начальник отдела управления рисками, Международный аэропорт Внуково (модератор); Михаил Рыжов, главный менеджер департамента внутреннего контроля, ПАО «ГМК «Норильский никель»; Анастасия Гусева, главный эксперт департамента внутреннего контроля и управления рисками, Интер РАО; Мурат Сергеев, риск-менеджер, Лента; Валерий Павлов, директор по рискам и внутреннему контролю, Ростех; Николай Николаенко, начальник отдела управления рисками, Росатом. Они обсудили следующие темы:

Докладчики второй секции поделились опытом автоматизации системы управления рисками в компании.

Николай Николаенко, начальник отдела управления рисками, Росатом, представил кейс «Риск-менеджмент Росатома: от централизации функции до создания

собственной ИТ-системы». Он рассказал, как понять, что функция риск-менеджмента внедрена и работает:

Далее Николай представил выстроенный механизм эскалации рисков и систему раннего реагирования Росатома, а также описал интеграцию функции риск-менеджмента в процессы планирования и принятий решений компании. Кроме того, спикер рассказал про развитие ИТ-системы Росатома в условиях цифровой трансформации и поделился, как реагировал Росатом на вызовы мировой экономики.

Мария Зубова, старший менеджер направления Presale, VK Tech, и Михаил Толчельников, руководитель группы управления рисками ИБ, VK, выступили с докладом «VK GRC – надежная система внутреннего контроля и управления рисками». Они рассказали об актуальных задачах по управлению рисками и новом продукте для решения данных задач – VK GRC. Вот какие сложности бизнеса выделили спикеры:

Затем спикеры рассказали, как VK GRC помогает решить эти сложности. А также рассмотрели финансовую суть процесса риск-ориентированной стратегии при управлении рисками информационной безопасности и дали рекомендации, как перестать сравнивать «красное» с «рублями» по киберрискам.

Опытом разработки и внедрения корпоративного ИТ-решения по управлению рисками в периметре компании поделился Сергей Романов, руководитель проекта по риск-менеджменту, Газпром нефть шельф. Он рассмотрел предпосылки проекта и готовность компании к ИТ-решению и рассказал про основной функционал и необходимость разработки новой ролевой модели по управлению рисками в системе. Также Сергей поделился итогами внедрения системы (СУОР) и потенциалом ее развития. «Повышение уровня прозрачности управления рисками позволило выявить проблемные моменты для дальнейшего развития. Возможности СУОР по консолидации обширной информации позволяют системе являться источником данных для смежных информационных систем. Модуль отчетности позволяет выносить аналитические срезы на совещания разного уровня», – отметил спикер.

Анастасия Гусева, главный эксперт департамента внутреннего контроля и управления рисками, Интер РАО, рассказала, как управлять непрерывностью бизнеса с позиции зависимости бизнес-процессов от критичных ИТ-систем. Спикер объяснила, от чего сегодня зависит непрерывное функционирование бизнес-процессов, а также отметила, как импортозамещение сказывается на непрерывности деятельности. Кроме того, Анастасия рассказала, как ранжировать ИТ-системы с точки зрения важности для бизнеса: критерии должны быть подобраны исходя из специфики организации, а также особенностей используемых ИТ-систем. А среди критериев может быть, например, масштаб использования, тип доступа к системе, количество обеспечиваемых бизнес-процессов, импортонезависимость, время жизнеспособности процесса в отсутствии ИТ-системы, и это далеко не всё.

Денис Скороходов, заместитель генерального директора по развитию систем управления, ИНК-Капитал, представил кейс «Автоматизированная система управления рисками. Опыт разработки и внедрения». Эксперт перечислил золотые правила эффективной системы управления рисками:

Денис отметил, что на рынке отсутствует комплексное ИТ-решение, адаптированное под специфику бизнеса заказчика, и в большинстве своем представлены ИТ-решения для риск-менеджеров, а не для бизнеса. Поэтому в их компании было принято решение о разработке собственной системы, которая поддерживает управление рисками на каждом этапе.

Первым в третьей секции «Информационные риски: как обеспечить ИТ-безопасность компании» выступил Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, ЕВРАЗ. Он рассказал, как минимизировать ИТ-риски и предотвращать кибератаки. Эксперт представил комплекс мероприятий по обеспечению безопасности и рассказал про непрерывность данного процесса и специфику оценки рисков. «Для начала нужно оценить риски и понять для себя, какие события для бизнеса не должны возникнуть. Например, нарушение\остановка производства, отгрузки, продаж, платежного процесса, утечка конфиденциальной информации, санкции и т.д. В этих процессах участвуют различные информационные системы. Надо понять, какие из них более критичны. Защита должна быть эшелонированной, а события ИБ следует мониторить», – поделился советами спикер.

Как выявлять и устранять скрытые риски в облаках? На этот вопрос ответил Андрей Минаев, руководитель направления информационной безопасности, FUELUP. Спикер перечислил основные риски, связанные с облачным провайдером:

Как снижать эти риски? Проверять наличие сертификатов безопасности у облачного провайдера, проверять в целом развитие направления кибербезопасности у провайдера, закреплять обязательства по кибербезопасности в договорах с ним. Также Андрей перечислил типичные ошибки при конфигурации облака и трудности с обеспечением и контролем безопасности в облаке.