Система управления рисками на предприятии. Шесть стартовых шагов
Этой теме посвятил статью в онлайновом журнале Chief Security Officer (September 07, 2010) Дерек Слейтер
Допустим, на вашем предприятии нет программы управления рисками (enterprise risk management program), пишет автор. Компания большая и вас пугают масштабы работы по адаптации, установке и эксплуатации такой системы. Либо, напротив, компания небольшая и в бюджете нет достаточных средств для приобретения системы. Слейтер пишет, что «не так страшен черт, как его малюют». Опираясь на рекомендации, которые изложены в развернутом документе COSO (Committee of Sponsoring Organizations of the Treadway Commission), посвященном технологии Enterprise Risk Management – Integrated Framework, он предлагает начать внедрение системы с небольшого - с ограниченной целевой функции. К примеру, начнем с функции «внутренние расследования».
План предполагает шесть последовательных шагов.
Шаг 1. Создайте на предприятии рабочую группу с участием представителя от каждого подразделения, которое так или иначе участвует во внутренних расследованиях. Это могут быть отделы собственной безопасности, кадров, информационной защиты, хозяйственная служба, финансовый и юридический отделы.
Шаг 2. Проведите совещание («мозговую атаку»), рассмотрев возможные ситуации и сценарии, несущие риски для внутренних расследований – информационные утечки, проявления насилия и т.п.
Шаг 3. Систематизируйте риски по категориям. Искать абсолютно точные критерии нет необходимости. Но эта работа побудит к формированию системы метрик, которые могут пригодиться как для внутреннего анализа эффективности работы предприятия, так и для проведения сравнительного изучения конкурентов и партнеров (benchmarking).
Шаг 4. Подошли к вопросу о формах контроля. Проведите инвентаризацию всех контрольных мероприятий, которые организованы и действуют на предприятии. Скорее всего, их количество избыточно. Продумайте, какие иные (новые) методы контроля вам всего лучше подошли бы с точки зрения затрат, сложности и эффективности. Обратите внимание на такие виды контроля, которые устраняют приблизительность в оценках, могут с успехом заменить избыточное число традиционных методов.
Шаг 5. Выберите сотрудника, который бы персонально отвечал за осуществление наиболее приоритетных видов контроля.
Шаг 6. Определите способ измерения эффективности каждой новой контрольной функции, а также каким образом будет действовать новая система измерения внутри рабочей команды и вне ее (на предприятии).
Новая программа управлениями рисками сделает ваши внутренние расследования более эффективными и менее рискованными.
Предложенная методология, считает автор публикации, годится для перехода к охвату этой программы и других вопросов, так или иначе связанных с безопасностью – работа предприятия в экстремальных условиях, вызванных стихийными бедствиями или террористическими угрозами, защита интеллектуальной собственности, защита фирменного бренда... В каждом отдельном случае состав рабочей группы может меняться в зависимости от специфики вопроса.
|
вернуться назад
