• Сегодня 21 ноября 2024
  • USD ЦБ 100.22 руб
  • EUR ЦБ 105.81 руб
Сорок первая конференция «Общие центры обслуживания: организация и развитие»
Седьмая конференция «Управление рисками в промышленности»
Подборка подарков на новогодние праздники от издательства «Архипелаг»
Одиннадцатая конференция «Корпоративное планирование и прогнозирование»
https://vk.com/cforussia

Отчет о Семнадцатой конференции «Корпоративные системы риск-менеджмента» (День 1)

05.07.2023

1-2 июня 2023 года в Москве в семнадцатый раз прошла Конференция «Корпоративные системы риск-менеджмента». Мероприятие было организовано группой Prosperity Media при поддержке портала CFO Russia. Партнером конференции стала компания VK GRC. Представляем вашему вниманию отчет о первом дне мероприятия.

Чтобы приобрести материалы конференции, звоните по телефону +7 (495) 971-92-18 или пишите на электронный адрес events@cfo-russia.ru.

Команда Prosperity Media и CFO Russia благодарит спикеров и партнера конференции за сотрудничество и уникальные практики, а всех слушателей – за интерес к мероприятию, комментарии и вопросы.

Первая секция первого дня «Курс на импортозамещение: перестройка российского риск-менеджмента в условиях нестабильности» началась с выступления Михаила Рыжова, главного менеджера департамента внутреннего контроля, ПАО «ГМК «Норильский никель». Он рассказал про роботизацию системы внутреннего контроля и перечислил требования к бизнес-процессу, который нужно автоматизировать:

  1. Процесс должен быть повторяющимся, с множеством рутинных задач.
  2. Трудоемкость и частота выполнения процесса.
  3. У процесса должны быть четкие правила и структурированные шаги

Затем эксперт поделился эффектом от роботизации СВК:

  • Роботизированные проверки – проверка идет независимо от действий работника внутреннего контроля
  • Отсутствие человеческого фактора
  • Существенное ускорение ряда процессов внутреннего контроля
  • Эффект более 13 FTE

Практикой создания, внедрения и развития информационной системы управления рисками поделился Александр Грисенко, руководитель направления цифровой трансформации, Спутниковая система «Гонец». Спикер рассмотрел цели и основные принципы целевой модели стратегии цифровой трансформации. Приоритетными задачами были: управление на основе данных и развитие человеческого капитала и компетенций. Затем Александр описал переход от процессного управления к цифровой трансформации и отметил шаги данной трансформации. Также он поделился ходом работ по созданию и внедрению платформы «Метаграф».

В конце секции прошел КРУГЛЫЙ СТОЛ «Переход с зарубежных ИТ-систем на отечественные аналоги: на что обратить внимание при выборе решений и основные этапы внедрения». Среди спикеров: Ольга Костина, начальник отдела управления рисками, Международный аэропорт Внуково (модератор); Михаил Рыжов, главный менеджер департамента внутреннего контроля, ПАО «ГМК «Норильский никель»; Анастасия Гусева, главный эксперт департамента внутреннего контроля и управления рисками, Интер РАО; Мурат Сергеев, риск-менеджер, Лента; Валерий Павлов, директор по рискам и внутреннему контролю, Ростех; Николай Николаенко, начальник отдела управления рисками, Росатом. Они обсудили следующие темы:

  • Перестройка риск-менеджмента в 2023 году: как определить приоритетность импортозамещения
  • С какими сложностями сталкивается компания в процессе поиска аналогов ИТ-инструментов
  • Поиск альтернативных российских разработок или создание собственных – что выбрать
  • Как оценить эффективность перехода на отечественный продукт: основные этапы и результаты

Докладчики второй секции поделились опытом автоматизации системы управления рисками в компании.

Николай Николаенко, начальник отдела управления рисками, Росатом, представил кейс «Риск-менеджмент Росатома: от централизации функции до создания

собственной ИТ-системы». Он рассказал, как понять, что функция риск-менеджмента внедрена и работает:

  • риски встроены в систему принятия решений
  • риски не повторяются
  • о рисках говорят открыто

Далее Николай представил выстроенный механизм эскалации рисков и систему раннего реагирования Росатома, а также описал интеграцию функции риск-менеджмента в процессы планирования и принятий решений компании. Кроме того, спикер рассказал про развитие ИТ-системы Росатома в условиях цифровой трансформации и поделился, как реагировал Росатом на вызовы мировой экономики.

Мария Зубова, старший менеджер направления Presale, VK Tech, и Михаил Толчельников, руководитель группы управления рисками ИБ, VK, выступили с докладом «VK GRC – надежная система внутреннего контроля и управления рисками». Они рассказали об актуальных задачах по управлению рисками и новом продукте для решения данных задач – VK GRC. Вот какие сложности бизнеса выделили спикеры:

  • Отсутствует единая связанная структура ключевых объектов СВК и УР
  • Управление, планирование и исполнение процессов СВК и УР осуществляется вручную
  • Трудоёмкая процедура актуализации ключевых участников СВК и УР
  • Формирование консолидированной отчетности о состоянии ключевых объектов СВК и УР трудозатратно

Затем спикеры рассказали, как VK GRC помогает решить эти сложности. А также рассмотрели финансовую суть процесса риск-ориентированной стратегии при управлении рисками информационной безопасности и дали рекомендации, как перестать сравнивать «красное» с «рублями» по киберрискам.

Опытом разработки и внедрения корпоративного ИТ-решения по управлению рисками в периметре компании поделился Сергей Романов, руководитель проекта по риск-менеджменту, Газпром нефть шельф. Он рассмотрел предпосылки проекта и готовность компании к ИТ-решению и рассказал про основной функционал и необходимость разработки новой ролевой модели по управлению рисками в системе. Также Сергей поделился итогами внедрения системы (СУОР) и потенциалом ее развития. «Повышение уровня прозрачности управления рисками позволило выявить проблемные моменты для дальнейшего развития. Возможности СУОР по консолидации обширной информации позволяют системе являться источником данных для смежных информационных систем. Модуль отчетности позволяет выносить аналитические срезы на совещания разного уровня», – отметил спикер.

Анастасия Гусева, главный эксперт департамента внутреннего контроля и управления рисками, Интер РАО, рассказала, как управлять непрерывностью бизнеса с позиции зависимости бизнес-процессов от критичных ИТ-систем. Спикер объяснила, от чего сегодня зависит непрерывное функционирование бизнес-процессов, а также отметила, как импортозамещение сказывается на непрерывности деятельности. Кроме того, Анастасия рассказала, как ранжировать ИТ-системы с точки зрения важности для бизнеса: критерии должны быть подобраны исходя из специфики организации, а также особенностей используемых ИТ-систем. А среди критериев может быть, например, масштаб использования, тип доступа к системе, количество обеспечиваемых бизнес-процессов, импортонезависимость, время жизнеспособности процесса в отсутствии ИТ-системы, и это далеко не всё.

Денис Скороходов, заместитель генерального директора по развитию систем управления, ИНК-Капитал, представил кейс «Автоматизированная система управления рисками. Опыт разработки и внедрения». Эксперт перечислил золотые правила эффективной системы управления рисками:

  • Система – это набор взаимосвязанных элементов
  • Эффективный риск-менеджмент влияет на процесс принятия решений и интегрирован в него
  • Когда сформирована среда – культура управления рисками – экосистема - нейронные связи
  • Лидерство – руководство придерживается принципов РМ и транслирует их.
  • Вовлеченность – каждый сотрудник риск-менеджер. Мы не создаем продукт для себя, мы делаем сервис, которым пользуется бизнес
  • Компетенции – мы учимся на практическом опыте, лучших практиках – БРИФ
  • Коммуникации – среда. Площадка для коммуникаций, эскалации рисков

Денис отметил, что на рынке отсутствует комплексное ИТ-решение, адаптированное под специфику бизнеса заказчика, и в большинстве своем представлены ИТ-решения для риск-менеджеров, а не для бизнеса. Поэтому в их компании было принято решение о разработке собственной системы, которая поддерживает управление рисками на каждом этапе.

Первым в третьей секции «Информационные риски: как обеспечить ИТ-безопасность компании» выступил Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, ЕВРАЗ. Он рассказал, как минимизировать ИТ-риски и предотвращать кибератаки. Эксперт представил комплекс мероприятий по обеспечению безопасности и рассказал про непрерывность данного процесса и специфику оценки рисков. «Для начала нужно оценить риски и понять для себя, какие события для бизнеса не должны возникнуть. Например, нарушение\остановка производства, отгрузки, продаж, платежного процесса, утечка конфиденциальной информации, санкции и т.д. В этих процессах участвуют различные информационные системы. Надо понять, какие из них более критичны. Защита должна быть эшелонированной, а события ИБ следует мониторить», – поделился советами спикер.

Как выявлять и устранять скрытые риски в облаках? На этот вопрос ответил Андрей Минаев, руководитель направления информационной безопасности, FUELUP. Спикер перечислил основные риски, связанные с облачным провайдером:

  • Простой из-за изменений в инфраструктуре провайдера
  • Неполное удаление данных в облаке
  • Несанкционированный доступ к данным со стороны провайдера
  • Нарушение изолирования между клиентами провайдера
  • Несоответствие требованиям законодательства (ПДн)
  • Недостаточные меры защиты со стороны провайдера

Как снижать эти риски? Проверять наличие сертификатов безопасности у облачного провайдера, проверять в целом развитие направления кибербезопасности у провайдера, закреплять обязательства по кибербезопасности в договорах с ним. Также Андрей перечислил типичные ошибки при конфигурации облака и трудности с обеспечением и контролем безопасности в облаке.




Комментарии

Защита от автоматических сообщений