Управление рисками

TC‑SI‑550‑a.2

В течение 2022–2023 годов на основе ранее внедренного Global Problem Management процесса по управлению технологическими рисками в Компании сформирована и активно развивается система управления рисками (СУР). Она обеспечивает управление операционными и технологическими рисками как на уровне департаментов и подразделений Компании, так и на пересечении зон ответственности функциональных областей.

Основные принципы управления рисками Компании разработаны в соответствии с законодательством Российской Федерации, нормативными актами Центрального банка Российской Федерации, международной практикой управления рисками.


Цели и задачи управления рисками

Целями управления операционными рисками являются выявление, оценка, агрегирование и контроль объема операционных рисков «Лаборатории Касперского» во всех ее подразделениях. Кроме того, Компания стремится поддерживать операционные риски на приемлемом уровне, обеспечивающем устойчивое функционирование и развитие бизнеса в рамках реализации стратегии, сохранения активов и поддержания высокого качества продуктов и услуг.

Компания управляет технологическими рисками, своевременно и проактивно выявляя их и предотвращая инциденты, связанные с качеством продуктов и сервисов Компании, ее внутренней IT‑инфраструктуры, а также с рисками непрерывности бизнеса.

Задачи системы управления рисками:

  • обеспечение осведомленности руководства Компании о ключевых операционных и технологических рисках, в том числе о характере и возможных последствиях, а также об уровне контроля этих рисков;
  • своевременная идентификация и оценка операционных и технологических рисков Компании во всех ее подразделениях, включая все новые направления деятельности, процессы, системы, активы, и снижение вероятности возникновения потерь, величины потерь в процессе осуществления деятельности Компании;
  • обеспечение бесперебойной деятельности Компании.

Принципы управления операционными рисками

  • Создание рискориентированной среды в Компании

Управление операционными рисками не является изолированным процессом в рамках отдельного подразделения. Это неотъемлемая часть трудового процесса каждого сотрудника «Лаборатории Касперского».

  • Непрерывность и обязательность процесса управления операционными рисками

Процедуры управления операционными рисками применяются к бизнес‑процессам и операциям, обеспечивающим достижение целей деятельности и выполнение функций Компании.

  • Информированность и осведомленность об операционных рисках для каждого уровня принятия решений в Компании

Компания создает систему отчетности об уровне операционных рисков и приоритизирует риски таким образом, чтобы лицам, принимающим решения, была доступна наиболее актуальная информация о рисках, связанных с принимаемыми решениями. Для показателей операционных рисков устанавливаются пороговые значения, о превышении которых информируют менеджеров более высокого уровня.

  • Открытость и прозрачность процедур и методов анализа операционных рисков

Подразделение Компании, ответственное за анализ рисков, максимально полно отражает во внутренних нормативных документах подходы к оценке рисков и документирует процедуру анализа операционных рисков. В будущем это позволит провести оценку эффективности системы управления операционными рисками.

Процесс управления операционными рисками

Идентификация (выявление) рисков представляет собой определение и классификацию выявленных рисков. Для идентификации рисков используется комбинация различных методик и инструментов. Для каждого выявленного риска определяются его владелец, причина возникновения события операционного риска, а также ответственный за меры по снижению рисков.

Оценка значимости рисков и анализ проводятся по двум параметрам: оценка фактически понесенных или потенциальных потерь для Компании в случае реализации риска (влияние) и вероятность реализации события операционного риска.

Мониторинг фактически понесенных и потенциальных потерь осуществляется Компанией на регулярной основе. В процессе выявляются источники реализации риска, а также критические уязвимости в текущих бизнес‑процессах, соответствие установленному уровню риска, выявление нарушений допустимого уровня риска.

Контроль рисков в Компании осуществляется непрерывно и в первую очередь направлен:

  • на соблюдение установленных процедур и полномочий при принятии и реализации управленческих решений, затрагивающих интересы Компании и клиентов;
  • управление операционными рисками, возникающими при осуществлении деятельности Компании;
  • принятие своевременных и эффективных мер, способствующих устранению выявленных недостатков и нарушений в деятельности Компании.

Отчетность по операционным рискам и обмен информацией о рисках

Чтобы способствовать принятию объективных и действенных управленческих решений, Компания внедрила многоступенчатую систему отчетности по рискам. Отчетность содержит сведения о фактических или потенциальных потерях, понесенных Компанией в связи с реализацией операционных рисков, о рисках в разрезе категорий операционных рисков, об источниках операционных рисков, а также количественный анализ событий, карту операционных рисков и информацию о превентивных и последующих мерах по минимизации потерь Компании.

Генеральный директор «Лаборатории Касперского» получает ежегодный отчет с указанием наиболее значимых рисков и событий операционного риска. Ежеквартальный отчет об операционных рисках представляется управляющему совету. Кроме того, в Компании проводится регулярное обсуждение статуса инцидентов и рисков с руководителями департаментов, руководителями и сотрудниками структурных подразделений.