Управление рисками использования облачных сервисов – модель COSO

Управление рисками
Источник: GAAP.RU
Опубликовано: 2 Августа 2021


По материалам: COSO

Облачные вычисления представляют собой продолжающую набирать популярность модель доступа по требованию к информационным ресурсам, не находящимся под непосредственным контролем пользователя, за вознаграждение. Такой подход позволяет значительно сэкономить на организации информационной инфраструктуры отдельно взятой организации, что может быть особенно актуально для молодых развивающихся компаний. По данным аналитическо-исследовательской компании Gartner, в апреле 2019 (еще до пандемии) этот рынок оценивался в $214 млрд., с ожиданиями роста в 16,5% к 2020 году и 15,6% к 2021 году. Пандемия расставила все по своим местам, но не замедлив, как можно было бы предположить, а наоборот - ускорив развитие рынка из-за массового ухода мировых организаций на удаленную работу. И вот в ноябре прошлого года Gartner фиксирует общемировой доход отрасли в $243 млрд., тогда как на текущий 2021 год прогнозы уже составляют 18%, а в абсолютных значениях переваливают за $300 млрд. (ср. $289 млрд. до пандемии).

Действительно, с приходом пандемии использование облачных сервисов стало уже больше чем стратегическим преимуществом - это стало едва ли не залогом выживания. Это не только удобно и выгодно в плане экономии, но и традиционно довольно просто в плане реализации. Подобрать под особенности конкретного бизнеса устраивающие всем сервисы несложно, учитывая доступное разнообразие (случаи искусственно накладываемых государством ограничений, например, в сфере госзакупок, не рассматриваются - GAAP.RU). К сожалению, у всего есть обратная сторона медали, и при такой доступности готовых решений не все, особенно молодые развивающиеся организации, успевают подстроить свои системы управления рисками к новым условиям. Справиться с этим поможет новое обновление к модели управления организационными рисками COSO ERM от Комитета спонсорских организаций Комиссии Тредвея, которое вышло в конце июля.

Облачные сервисы - тема сама по себе непростая, однако относительно легкую ее интеграцию обеспечивают интегрированные (опять же) основы внутреннего контроля от COSO 2013 года и более свежая модель управления рисками 2017 года, которая связала все воедино с планированием, стратегией развития и оценкой результатов. По сути, больше ничего и не требуется: это как новый “кирпичик”, который занял свое положенное место в общей структуре, охватывающей собой внутреннее руководство, систему мониторинга, определение рисков и реагирование, коммуникации, изменения в ответ на внутренние и внешние тенденции.

Тем не менее, случившееся в 2017 существенное расширение вывело управление организационными рисками далеко за пределы просто системы внутреннего контроля, интегрировав сюда управляющий совет директоров и других ключевых стейкхолдеров, дабы увязать все со стратегией развития, системой корпоративного руководства и даже корпоративной культурой. Как следствие, сегодня перед риск-менеджерами встала отнюдь не тривиальная задача сначала интегрировать все операционные функции с разветвленной сетью поставщиков облачных вычислений, а далее наладить и интегрировать систему управления облачными вычислениями в уже действующую и отлаженную систему ERM.

Напомним, что сама по себе модель управления организационными рисками COSO ERM представляет собой набор ключевых принципов пяти различных категорий:

  1. Корпоративное управление (задающее тон “наверху”) и культура (определяющая ключевые ценности, поведение, понимание сущности риска).
  2. Стратегия и целеполагание. Склонность к риску зависит от выбранной стратегии, а ключевые цели определяют реализацию выбранной стратегии на практике.
  3. Результаты. Итог многоступенчатого процесса, который доводится до сведения ключевых стейкхолдеров, а состоит он из определения и оценки рисков, способных повлиять на реализацию стратегии, с последующим выставлением приоритетности с учетом выбранной склонности к риску, определением ответных мер реагирования и, собственно, результатов выбранной стратегии управления рисками.
  4. Анализ, пересмотр и внесение корректив. На основе изучения результатов делается вывод об эффективности выбранной стратегии управления облачными рисками.
  5. Информация, коммуникации, отчетность. Риск-менеджмент - это непрерывный процесс, требующий постоянного информационного обмена между внутренними и внешними источниками.

Давайте посмотрим, как эти ключевые принципы каждой категории применимы к облачным вычислениям.

Корпоративное управление и культура

Всего различают 20 ключевых принципов. В данной категории их пять:

  1. Управление рисками и надзор
  2. Создание операционной инфраструктуры
  3. Определение корпоративной культуры и желательного типа поведения
  4. Следование корпоративным ценностям
  5. Привлечение, развитие и удержание ценных сотрудников

Управление рисками и надзор

Хорошо известна пословица “рыба гниет с головы”. Корпоративное управление и культура начинаются на самом верху, с совета директоров и топ-менеджеров. Менеджеры определяют культуру и цели, совет директоров отвечает за реализацию стратегии и достижение целей. Наибольшей эффективности в этом можно добиться при обеспечении многообразия его членов, имеющих за плечами разнообразное (в том числе техническое) образование и опыт. Именно так получится задавать правильные вопросы, например:

  • Как технологии помогут в реализации поставленных целей
  • Каким образом они влияют на риски
  • Каковы современные и прогнозируемые будущие тренды с облачными вычислениями
  • Как влияют облачные сервисы на организацию
  • Каким образом завязана выбранная стратегия развития на облачные сервисы

Создание операционной инфраструктуры

Еще до перехода на облачные вычисления необходимо четко понимать текущую ситуацию с организационной инфраструктурой - в какой мере она способствует достижению стоящих перед организацией задач. Поскольку теперь у нас имеются облачные вычисления, нужно смотреть, в какой мере они в нее вписываются. Влияние их может охватить самые разные области: финансовый и юридический департамент, поставки, внутренний аудит и так далее. Уследить за всем сразу очень непросто. Для успешного переезда в “облако” может потребоваться определение дополнительных ролей и зон ответственности. Вполне возможно, что необходимые для этого структурные изменения потребуют формирования специальной комиссии, которая будет отвечать на создание необходимой инфраструктуры.

Определение корпоративной культуры и желательного типа поведения; Следование корпоративным ценностям

Для того чтобы процесс перехода и дальнейшей интеграции облачных вычислений шел целостно на всех организационных уровнях, требуется формирование соответствующей культуры. “Тон наверху” задают управляющие, а далее это расходится по всем организационным уровням, потому что облачные вычисления могут использоваться представителями самых разных департаментов.

Желательно рассматривать облачные вычисления целостно, как часть общей стратегии развития. Противоположностью является полностью разрозненное определение решений на уровне каждого департамента, в соответствии с его потребностями. Понятно, что “один размер на всех не подойдет”, поэтому важно найти баланс, чтобы были удовлетворены индивидуальные потребности, но при этом используемые решения не выбивались за рамки выбранной стратегии.

Привлечение, развитие и удержание ценных сотрудников

И конечно, успешная реализация невозможна без внутреннего человеческого капитала - обладающих необходимыми знаниями сотрудников, способных контролировать процесс. Даже если опыт работы у кого-то есть, важно продумать дополнительные тренинги, чтобы сотрудники могли уверенно обращаться с облачными сервисами. Определенные задачи для кого-то несильно будут отличаться от текущих, а для кого-то может потребоваться дополнительное распределение обязанностей.

Переход на облачные вычисления как бы перекладывает часть текущей ответственности на третью сторону - поставщика облачных сервисов. Это влияет и на управление человеческим капиталом. Здесь очень важно понимать, как именно это происходит, чтобы это также стало составной частью целостной системы управления организационными рисками в контексте облачных вычислений.

Стратегия и целеполагание

Здесь рассматриваются четыре ключевых принципа:

6. Контекстуальный анализ бизнеса

7. Определение склонности к риску

8. Оценка альтернативных стратегий

9. Формулировка целей

Контекстуальный анализ бизнеса

Облачные вычисления внедряются довольно быстро и без особых проблем, но перед этим необходимо определить цели и стратегию переезда в “облако” для конкретной организации. Причин может быть множество, причем необязательно, что все они связаны с IT. Однако при этом нельзя забывать и про собственные бизнес-функции, с которыми должны соотноситься цели и стратегия перехода. Это и называется контекстуальным анализом бизнеса для эффективной последующей интеграции в него облачных вычислений.

После выхода в 2017 году “интегрированной” версии руководства по управлению рисками под деловым окружением начали подразумеваться “тренды, события, деловые отношения и другие факторы”, способные повлиять на организацию. Пандемия коронавируса, таким образом, изменила окружение для очень многих организаций, что спровоцировало массовый переезд на облачные сервисы в целях обеспечения сотрудников удаленным доступом к корпоративным системам и базам данных. Исполнительный директор Microsoft Сатья Наделла (Satya Nadella) в апреле прошлого года отметил по этому поводу, что “два года цифровой трансформации уложились в два месяца”.

Помимо рисков, стратегия переезда на облачные вычисления принимает, конечно же, во внимание и преимущества этого - например, получение в свое распоряжение более удобных решений, с меньшим/большим числом настроек, более простым пользовательским интерфейсом, и так далее. Если речь идет о крупных и давно функционирующих организаций с и так уже развитой инфраструктурой, переезд в “облако” может преследовать более ограниченные, вспомогательные цели (например, повышение эффективности), однако и это тоже должно быть оговорено в стратегии, учитывающей особенности данного конкретного бизнеса. Именно она содержит общую миссию, цели, ценности, равно как и ответ на ключевой вопрос “Зачем?”

Определение склонности к риску

После того как организация определилась со стратегией, можно заняться рисками для реализации данной стратегии и посмотреть, в какой степени они соответствуют установленной на данный момент склонности к риску. Это позволит провести детальный анализ сценариев на основе различных моделей внедрения и в сотрудничестве с разными поставщиками облачных сервисов. Как пример, это может быть сочетание использования собственных вычислительных мощностей в работе с коммерчески чувствительными данными и облачных приложений по моделям SaaS/PaaS (“Платформа как услуга”).

Выбор оптимальной модели или сочетания моделей основан на результатах проведенного риск-менеджерами анализа неотъемлемого и остаточного риска. В предыдущем пункте отмечалось, что стратегия переезда на облачные вычисления в идеале должна соотноситься с главной стратегией развития бизнеса. В реальности это далеко не всегда так, и могут быть определенные расхождения (например, если стратегия по облачным вычислениям охватывает собой лишь часть продуктовой линейки). В этом случае будут создаваться новые риски, но если их получится адекватно оценить и минимизировать, даже в этом случае для организации еще могут быть преимущества.

Но для этого необходимо четко понимать склонность к риску, которая в случае с разными наборами данных (например, по клиентам, по сотрудникам, по разработкам) также может быть разной. Это значит, что и требования к различным облачным системам будут отличаться, что требует от организации проверки, как именно и насколько сильно будет варьироваться тогда выбранная стратегия.

Оценка альтернативных стратегий

Для всестороннего анализа требуется рассмотрение альтернативных стратегий перехода и внедрения облачных технологий после определения основной. Перебирая различные модели, организация смотрит на собственный профиль риска и способность достигать стоящие перед бизнесом цели (и то, как достижение этих целей далее будет способствовать росту, увеличению производительности, эффективности, организационной стоимости).

Как пример, одним из предметов для анализа в этой связи могут стать инновационные способности. Если опираться в инновациях исключительно на собственные ресурсы, это приводит к накоплению так называемого – “технологического долга” (technology debt), представляющего собой накопленные издержки на поддержание систем в рабочем состоянии плюс альтернативные издержки из-за отказа от переезда на более современные системы. Традиционными источниками технологического долга являются устаревшие технологии, привычные, но слабые в техническом плане решения, или давно использующиеся решения, которые прошли не одну настройку и учитывают тонкости данной конкретной организации, зато не дают при этом гибкости для внесения изменений.

Организации с большими объемами технологического долга обычно несут повышенные риски и издержки. Для выбора правильного решения необходимо взвесить все издержки, которые формируют технологический долг, и сопоставить их с альтернативами, способными помочь от него избавиться. Оценивая облачные альтернативы и анализируя их потенциальное влияние на уровень технологического долга, организации также держат в голове издержки на изменение рабочих процессов, чтобы те соответствовали функциональности выбранного в конечном итоге приложения, а также учитывают необходимое для внедрения время и связанные с выбором киберриски.

Формулировка целей

После определения облачной стратегии для нее необходимо определить собственные цели, чтобы иметь возможность сопоставить их с целями общей бизнес-стратегии. Обязательной целью является определение модели облачной безопасности как части системы управления облачными вычислениям.

Как хорошо известно, цели общей бизнес-стратегии также не постоянны, а меняются в ответ на изменение внешних условий или собственный рост. Даже склонность к риску может измениться. Все эти обновления требуют постоянной переоценки облачной стратегии и ее целей в контексте управления организационными рисками.

Результаты

В этой категории различают пять ключевых принципов:

10. Идентификация риска

11. Оценка серьезности риска

12. Выставление приоритетов по рискам

13. Внедрение ответных мер реагирования на риски

14. Выработка портфельного восприятия рисков

Идентификация риска

Риски, появляющиеся в результате использования облачных вычислений, бывают внешними и внутренними, и способны повлиять на стратегическую, операционную, финансовую составляющие, на учет и отчетность, комлайенс, или даже на все сразу. Поэтому очень важно на этой стадии в первую очередь определить риски, способные помешать достижению целей облачной стратегии, а следовательно - целей общей стратегии бизнеса.

При переходе на облачные вычисления организации делегируют внешним участникам хотя бы часть нынешней ответственности в сфере IT. Это хорошо. Не везде, конечно, и не всегда, но на эффективном развитом рынке у организаций обычно нет проблем с нахождением компетентных стратегических партнеров, готовых взять на себя часть функций. Но делегирование ответственности не устраняет самого риска, который по-прежнему будет зависеть от выбранной модели внедрения. В этой связи одна из самых больших ошибок, которые может допустить организация - это перепутать или забыть, у кого на руках рычаги воздействия.

Хороший в этой связи иллюстративный пример приводит все та же исследовательская компания Garnter: по ее оценкам, к 2025 году в 99 случаях из 100 нарушения безопасности будут случаться по вине клиента. Так что является ли облачная технология безопасной для организации - это уже неверная постановка вопроса, а правильной постановкой вопроса будет: “Использует ли ее организация безопасным образом?” Передать часть операций внешнему провайдеру можно, но нельзя при этом передать ему все риски. Если, например, не оговорить предварительно с ним или с нею определенные процедуры - такие как регулярные обновления и установка патчей - могут образоваться уязвимости.

В общем случае профиль риска организации при обращении к внешним провайдерам облачных услуг неизбежно меняется и как будто переплетается с профилем риска этих провайдеров. В случае если “облаков” несколько, ситуация становится еще более сложной. И даже еще более непростой, но жизненной ситуацией является обращение самого провайдера облачных вычислений к услугам другого провайдера. Если что-то случается у одного участника этой запутанной цепочки отношений, это может повлиять на другого участника, как если бы что-то случилось с какой-то из шестеренок передаточного механизма.

В таких запутанных ситуациях многие организации часто недооценивают ответственность, которую они делят с внешними поставщиками облачных услуг. Так или иначе, разделение характерно для всех облачных отношений. Разделить ответственность можно - нельзя при этом отдать риски на аутсорсинг.

Оценка серьезности риска; Выставление приоритетов по рискам

Эти два принципа идут вместе, поскольку выставление приоритетов напрямую связано с серьезностью риска и производится с ее учетом. Оценка бывает количественной и качественной и анализирует не только масштаб влияния конкретного риска, но и вероятность его возникновения. Оценка может проводиться несколько раз, к тому же в отношении разных наборов данных: серьезность риска может определяться по-разному в зависимости от выбора облачного решения и модели внедрения.

Внедрение ответных мер реагирования на риски

Ответные меры внедряются и также оцениваются для определения остаточного риска и текущего положения организации с учетом ее склонности к риску и предельной устойчивости к риску.

В зависимости от параметров, организация может выбрать пять различных вариантов реагирования на риск, но COSO полагает, что в случае с облачными вычислениями основным будет снижение риска. Другими вариантами ответных действий являются:

  • Принятие облачных рисков (как они есть);
  • Уклонение (полное избегание риска возможно лишь в ограниченных случаях, но можно представить себе, например, полный отказ от переноса в облако персональных данных);
  • Преследование (открывающихся новых возможностей, конечно, а не рисков);
  • Разделение (как одна из форм реагирования, оно имеет свои ограничения, и далеко не все облачные риски поддаются такому разделению).

Выработка портфельного восприятия рисков

Тут важно помнить, что облачные вычисления представляют собой, по сути, часть общей IT-стратегии, которая, в свою очередь, является составляющей общей бизнес-стратегии. Поэтому подходить к анализу рисков следуют с целостным, “портфельным” восприятием. Это также подразумевает анализ влияния риска в разных контекстах - в плане влияния на разные подразделения. Риск непрерывности деятельности в случае с финансовым департаментом, например, может весьма отличаться от риска непрерывности в производственном департаменте, это разные вещи.

При обдумывании облачных рисков нельзя забывать про киберриски, которые требуют целостного восприятия в системе ERM.

Анализ, пересмотр и внесение корректив

В данной категории три принципа:

15. Оценка существенных изменений

16. Пересмотр рисков и результатов

17. Улучшение системы управления организационными рисками

Оценка существенных изменений

ERM - непрерывный и изменчивый процесс. Это не что-то такое из разряда “сделали и забыли”, и ежегодные обновления тут также мало подойдут. Система управления рисками должна реагировать на то, как функционирует организация, быть столь же живой, как сам бизнес.

Таким образом, мы говорим о постоянных обновлениях, как только происходят существенные изменения - будь-то во внешнем окружении, в самой организации, или же что-то происходит с внешними поставщиками облачных вычислений. Риск-менеджеры постоянно проводят рутинные проверки рисков и определяют ситуации, когда те могут выйти за пределы установленных ориентиров.

Начало пандемии в прошлом году наглядно показало, как быстро может меняться ситуация. Многие не только ринулись осваивать новые облачные сервисы для организации удаленной работы в период карантина, но и пересмотрели географические регионы для ведения деятельности в связи с закрытием границ. Но даже в отсутствие пандемии в мире достаточно было существенных событий, таких как введение в действие Общего регламента по защите персональных данных (GDPR). А в качестве примеров внутренних изменений можно привести слияния и поглощения.

Пересмотр рисков и результатов

Из-за того, что время от времени случаются такие значительные события, требуется вносить улучшающие коррективы в систему управления облачными вычислениями. Улучшения можно проводить на основе сбалансированной системы показателей.

Важно отслеживать также события, случающиеся не только с самой организацией, но и с ее провайдерами облачных вычислений. Предположим, имел место взлом у провайдера. Даже если это никак не сказалось на бизнесе, это могло сказаться на способности организации к достижению стоящих перед ней целей в ближайшем будущем. События, которые случаются с поставщиками, могут выводить риски за пределы определенных для них предельных значений. В этом случае, конечно, придется провести пересмотр рисков и принять в отношении них новые ответные меры, а равным образом пересмотреть инструменты контроля.

Улучшение системы управления организационными рисками

Улучшение касается всей системы управления организационными рисками, а не только лишь управления поставщиками, являющимися частью облачных систем. Принятые в ходе пересмотра решения служат обновлением всей системы контроля облачных вычислений, после чего организация смотрит, насколько это обновление вписывается в ее общую систему ERM, что потребует участия представителей нескольких департаментов.

Информация, коммуникации, отчетность

Последняя пятая категория включает три оставшихся принципа:

18. Использование информации и технологий

19. Доведение до сведения участников информации по рискам

20. Отчетность по рискам, корпоративной культуре и результатам

Использование информации и технологий

Различные информационные источники и передовые технологии ожидаемо будут использоваться в поддержке функции ERM по определению, оценке, управлению облачными рисками и информированию о них. Информация, на основе которой осуществляется мониторинг, может приходить из самых разных источников и систем. Помимо рейтинговых агентств, есть очень много организаций, которые оценивают технические характеристики отдельного сайта, поставщика облачного сервиса. Есть даже организации, отслеживающие деловую репутацию. Все эти рейтинги дают возможность оценить безопасность конкретного выбора. И все это, безусловно, можно использовать в общем наборе информации, способной оказать влияние на систему контроля облачных вычислений.

Доведение до сведения участников информации по рискам

Коммуникации, как всегда, являются ключевой компонентой успешной системы управления, так как без них невозможно принятие решений. Необходимо обеспечить прозрачный информационный обмен между всеми сторонами-участниками системы управления. Только так получится держать всех в курсе относительно изменений и обеспечивать целостность корпоративной культуры управления рисками.

С внедрением облачных сервисов идет перераспределение зон ответственности. Конечно, все сотрудники организации обязаны быть в курсе новых зон ответственности. Равным образом они обязаны понимать, что то, что произошло, является частью общей программы ERM - так корпоративная культура в отношении рисков будет не только на бумаге или на словах, но и находить подкрепление в конкретных действиях. И конечно, постоянно быть в курсе прогресса с внедрением облачных вычислений должен быть специальный комитет, если таковой будет создан.

Отчетность по рискам, корпоративной культуре и результатам

А доведение информации до сведения высшего руководства осуществляется, как хорошо известно, посредством строгих форм отчетности. Руководство обязано быть в курсе влияния облачной стратегии на ключевые цели всего бизнеса. Также оно должно иметь представление о том, насколько успешно реализуется корпоративная культура в области рисков на всех организационных уровнях.

Культура, к слову, меняется медленно и неторопливо, прогресс тут отследить непросто, и это требует времени. Вот почему такое значением имеют открытые и прозрачные коммуникации: именно они создают и меняют культуру на всех уровнях.

Теги: COSO  управление рисками  облачные сервисы  облачные вычисления  информационная инфраструктура  Gartner  пандемия  управление организационными рисками  COSO ERM  Комитет спонсорских организаций Комиссии Тредвея  внутренний контроль  модель управления риск