Управление рисками
В течение 2022–2023 годов на основе ранее внедренного Global Problem Management процесса по управлению технологическими рисками в Компании сформирована и активно развивается система управления рисками (СУР). Она обеспечивает управление операционными и технологическими рисками как на уровне департаментов и подразделений Компании, так и на пересечении зон ответственности функциональных областей.
Основные принципы управления рисками Компании разработаны в соответствии с законодательством Российской Федерации, нормативными актами Центрального банка Российской Федерации, международной практикой управления рисками.
Цели и задачи управления рисками
Целями управления операционными рисками являются выявление, оценка, агрегирование и контроль объема операционных рисков «Лаборатории Касперского» во всех ее подразделениях. Кроме того, Компания стремится поддерживать операционные риски на приемлемом уровне, обеспечивающем устойчивое функционирование и развитие бизнеса в рамках реализации стратегии, сохранения активов и поддержания высокого качества продуктов и услуг.
Компания управляет технологическими рисками, своевременно и проактивно выявляя их и предотвращая инциденты, связанные с качеством продуктов и сервисов Компании, ее внутренней IT‑инфраструктуры, а также с рисками непрерывности бизнеса.
Задачи системы управления рисками:
- обеспечение осведомленности руководства Компании о ключевых операционных и технологических рисках, в том числе о характере и возможных последствиях, а также об уровне контроля этих рисков;
- своевременная идентификация и оценка операционных и технологических рисков Компании во всех ее подразделениях, включая все новые направления деятельности, процессы, системы, активы, и снижение вероятности возникновения потерь, величины потерь в процессе осуществления деятельности Компании;
- обеспечение бесперебойной деятельности Компании.
Принципы управления операционными рисками
- Создание рискориентированной среды в Компании
Управление операционными рисками не является изолированным процессом в рамках отдельного подразделения. Это неотъемлемая часть трудового процесса каждого сотрудника «Лаборатории Касперского».
- Непрерывность и обязательность процесса управления операционными рисками
Процедуры управления операционными рисками применяются к бизнес‑процессам и операциям, обеспечивающим достижение целей деятельности и выполнение функций Компании.
- Информированность и осведомленность об операционных рисках для каждого уровня принятия решений в Компании
Компания создает систему отчетности об уровне операционных рисков и приоритизирует риски таким образом, чтобы лицам, принимающим решения, была доступна наиболее актуальная информация о рисках, связанных с принимаемыми решениями. Для показателей операционных рисков устанавливаются пороговые значения, о превышении которых информируют менеджеров более высокого уровня.
- Открытость и прозрачность процедур и методов анализа операционных рисков
Подразделение Компании, ответственное за анализ рисков, максимально полно отражает во внутренних нормативных документах подходы к оценке рисков и документирует процедуру анализа операционных рисков. В будущем это позволит провести оценку эффективности системы управления операционными рисками.
Процесс управления операционными рисками
Идентификация (выявление) рисков представляет собой определение и классификацию выявленных рисков. Для идентификации рисков используется комбинация различных методик и инструментов. Для каждого выявленного риска определяются его владелец, причина возникновения события операционного риска, а также ответственный за меры по снижению рисков.
Оценка значимости рисков и анализ проводятся по двум параметрам: оценка фактически понесенных или потенциальных потерь для Компании в случае реализации риска (влияние) и вероятность реализации события операционного риска.
Мониторинг фактически понесенных и потенциальных потерь осуществляется Компанией на регулярной основе. В процессе выявляются источники реализации риска, а также критические уязвимости в текущих бизнес‑процессах, соответствие установленному уровню риска, выявление нарушений допустимого уровня риска.
Контроль рисков в Компании осуществляется непрерывно и в первую очередь направлен:
- на соблюдение установленных процедур и полномочий при принятии и реализации управленческих решений, затрагивающих интересы Компании и клиентов;
- управление операционными рисками, возникающими при осуществлении деятельности Компании;
- принятие своевременных и эффективных мер, способствующих устранению выявленных недостатков и нарушений в деятельности Компании.
Отчетность по операционным рискам и обмен информацией о рисках
Чтобы способствовать принятию объективных и действенных управленческих решений, Компания внедрила многоступенчатую систему отчетности по рискам. Отчетность содержит сведения о фактических или потенциальных потерях, понесенных Компанией в связи с реализацией операционных рисков, о рисках в разрезе категорий операционных рисков, об источниках операционных рисков, а также количественный анализ событий, карту операционных рисков и информацию о превентивных и последующих мерах по минимизации потерь Компании.
Генеральный директор «Лаборатории Касперского» получает ежегодный отчет с указанием наиболее значимых рисков и событий операционного риска. Ежеквартальный отчет об операционных рисках представляется управляющему совету. Кроме того, в Компании проводится регулярное обсуждение статуса инцидентов и рисков с руководителями департаментов, руководителями и сотрудниками структурных подразделений.