Вот что вам никто не расскажет об управлении рисками: ваша команда кибербезопасности говорит на клингонском, ваши специалисты по операционной деятельности — на эльфийском, а ваши стратеги — на древнегреческом. И вы почему-то ожидаете, что все они будут защищать один и тот же замок.
Мы наблюдали это не раз. Руководитель службы кибербезопасности предупреждает об угрозах программ-вымогателей. Операционный отдел беспокоится о сбоях в цепочках поставок. Совет директоров одержим идеей рыночных потрясений. Все они говорят о рисках, но могут быть на разных планетах. Когда наступает кризис (а он всегда наступает), все разбегаются в разные стороны, пока всё вокруг горит.
Эти команды блестяще справляются со своими задачами. Проблема в том, что риски были разделены, как индейка на День благодарения, и каждый отдел забрал себе любимый кусок. Кибербезопасность получила ножку, операционная деятельность — грудку, стратегия — крылья. Никто не смотрит на всю птицу целиком.
Такая фрагментация губит компании. Enron обанкротилась не из-за отсутствия умных людей или хитроумных фреймворков. Она погибла, потому что информация санировалась, искажалась или иным образом изменялась по мере продвижения вверх по цепочке. Руководство рассказывало одну историю, отчетность показывала другую, а в некоторых случаях рядовые сотрудники понятия не имели, что на самом деле происходит. Когда правда наконец всплыла, доверие испарилось в одночасье. Исчезли миллиарды. Это было крупнейшее банкротство в истории США на тот момент.
Вот что происходит, когда риски живут в изолированных «бункерах».
Проблема трех языков
Зайдите в любую организацию, и вы услышите три разных диалекта риска.
Команды кибербезопасности говорят на языке уязвимостей, злоумышленников и «нулевых дней». Они живут в мире, где атаки развиваются быстрее защиты, а один неправильно настроенный сервер может скомпрометировать миллионы записей. Их язык риска — технический, непосредственный и часто пугающий.
Операционный отдел говорит о сбоях в процессах, человеческих ошибках и непрерывности бизнеса. Они беспокоятся о банальных вещах, которые на самом деле разрушают компании: поставщик, который внезапно банкротится, сотрудник, который кликает не по той ссылке, пожар на складе, останавливающий производство на недели. Их язык риска — практический, основанный на том, что может пойти не так сегодня.
Стратегическое мышление оперирует сдвигами на рынке, конкурентными угрозами и устареванием бизнес-моделей. Они играют в шахматы, пока остальные играют в шашки; пытаясь предвидеть потрясения до их наступления. Их язык риска — абстрактный, долгосрочный и мучительно неопределенный.
Никто из них не ошибается. Но и никто из них не дает полной картины.
Когда Netflix столкнулся с потенциальным вымиранием из-за конкурирующего сервиса Blockbuster в начале 2000-х, они не просто исправили свою технологию, подкорректировали операции или пересмотрели стратегию. Они объединили все три направления. Руководство приняло смелое стратегическое решение перейти на потоковое вещание. Операционный отдел трансформировал всю модель доставки. Технологии стали основой, а не вспомогательной функцией. Они говорили на одном языке во всех сферах.
Blockbuster сохранил разделение сфер. Стратегия принимала решения, не понимая операционных ограничений. Операционный отдел не мог достаточно быстро адаптироваться. Технологии отставали от потребностей рынка. Мы знаем, чем закончилась эта история.
Создание единой культуры из трех языков
Стандарт организационной культуры риска (Organizational Risk Culture Standard, ORCS) предлагает то, чего не хватает большинству фреймворков: он рассматривает культуру как фундамент, а не как запоздалую мысль. Нельзя просто прикрепить культуру к существующим процессам и считать дело сделанным. Культура — это то, как люди на самом деле думают о рисках, когда никто не смотрит. Это общие убеждения, которые руководят решениями под давлением.
Представьте это как динамичную систему, в которой люди, процессы и технологии должны танцевать вместе. Люди — это операторы, которые оценивают риски и действуют на их основе. Процессы обеспечивают стандарты, чтобы им не приходилось импровизировать в кризисной ситуации. Технологии предоставляют инструменты для обнаружения закономерностей, мониторинга угроз и реагирования быстрее, чем человеческие рефлексы.
Но есть нюанс: эти три элемента должны быть согласованы во всех трех доменах риска. Ваша команда кибербезопасности должна понимать, как их решения влияют на операционную деятельность. Ваша операционная команда должна понимать стратегические последствия. Ваши стратеги должны перестать считать риски кибербезопасности и операционные риски чужой проблемой.
Это согласование достигается через четыре столпа, которые действительно имеют смысл.
Интеграция между доменами
Во-первых, руководство и управление должны интегрироваться между доменами. Не просто CISO отчитывается перед CIO, пока COO занимается своим делом, пока совет директоров получает квартальные отчеты, а команда корпоративных рисков вообще не видна в области кибербезопасности.
Настоящая интеграция означает создание межфункциональных комитетов, где специалисты по кибербезопасности, операционной деятельности, рискам и стратегии сидят вместе, говорят на одном языке и принимают решения как единое целое. Это означает наличие лидеров, которые демонстрируют желаемое поведение, которые спрашивают о междоменных последствиях перед утверждением чего-либо значимого.
Создание системы унифицированной разведывательной информации о рисках
Во-вторых, вам нужна унифицированная разведывательная информация о рисках. Информация об угрозах кибербезопасности не может существовать в вакууме. Когда ваша команда безопасности обнаруживает фишинговую кампанию, нацеленную на вашу отрасль, операционный отдел должен знать об этом, потому что это затрагивает их сотрудников. Стратегический отдел должен знать, потому что это сигнализирует о сборе конкурентной информации. Разведка рисков должна течь через границы, иначе это просто шум.
Это требует применения концепции адаптивной эластичности из стандарта ORCS. Организации, которые выживают, не являются жесткими. Они гнутся. Они перекалибруются. Когда условия меняются, они корректируют свою склонность к риску и толерантность в режиме реального времени. Они не ждут ежегодного стратегического обзора, чтобы понять, что мир изменился шесть месяцев назад.
Унификация склонности к риску и ее донесение
В-третьих, вы устанавливаете единую склонность к риску и единую коммуникационную структуру. Большинство организаций имеют неявные склонности к риску, которые сильно различаются по отделам. Кибербезопасность может быть не склонна к риску, в то время как стратегия делает большие ставки, а операционная деятельность ищет компромисс. Это не стратегия. Это хаос с бюджетом.
Четкая склонность к риску означает, что все знают, какие риски вы будете преследовать, а какие не будете трогать. Толерантность к риску устанавливает границы. Когда вы их пересекаете, срабатывают сигналы тревоги, и люди эскалируют проблему. Никаких догадок. Никакой самодеятельности. Никаких сюрпризов.
Коммуникация делает это реальностью. Прозрачный обмен информацией между доменами. Психологическая безопасность, чтобы люди могли высказывать опасения, не опасаясь последствий. Когда акция «бесконечные креветки» в Red Lobster чуть не привела к банкротству, новый генеральный директор не стал прятаться за PR. Он напрямую вышел в социальные сети, взял на себя ответственность и вступил в диалог с клиентами. Такая прозрачность быстрее восстановила доверие, чем любая маркетинговая кампания.
Добавление непрерывного обучения
В-четвертых, вы встраиваете непрерывное обучение в культуру. Управление рисками — это не проект с конечной датой. Это практика, которая развивается. Вы оцениваете текущее состояние, разрабатываете улучшения, внедряете изменения и измеряете результаты. Затем вы повторяете это снова. И снова.
Стандарт ORCS предоставляет модель зрелости из пяти уровней. Большинство организаций начинают с Уровня 1, где управление рисками реактивно и фрагментировано. Люди импровизируют. Политики существуют на бумаге, но никто им не следует. Кризисы застают всех врасплох.
Уровень 3 — это когда все становится интереснее. У вас есть формальные фреймворки, последовательные процессы и умеренная интеграция. Управление рисками становится частью вашей работы, а не чем-то, что вы делаете под давлением.
Уровень 5 — это когда риск становится конкурентным преимуществом. Вы предвидите потрясения до их наступления. Вы превращаете угрозы в возможности. Заинтересованные стороны доверяют вам, потому что вы заслужили это последовательными, этичными действиями.
Реализация на практике
Вот как выглядит внедрение на практике, без лишних слов.
Вы начинаете с оценки текущего состояния по 10 измерениям: руководство, разведывательная информация о рисках, этика, принятие решений, склонность к риску, коммуникация, интеграция технологий, развитие персонала, согласование фреймворков и управление изменениями. Вы ищете пробелы между доменами. Где застревает информация? Где решения принимаются в изоляции? Где люди говорят на разных языках?
Затем вы разрабатываете интеграцию. Вы создаете общую таксономию рисков, чтобы все использовали одни и те же термины. Вы строите структуры управления, которые заставляют к междоменному сотрудничеству. Вы определяете метрики, которые имеют значение во всех трех доменах, а не только в рамках отдельных «бункеров».
Внедрение начинается с малого. Выберите один высокоэффективный междоменный риск. Программы-вымогатели подходят хорошо, потому что они затрагивают все: защиту кибербезопасности, операционную непрерывность и стратегическую репутацию. Постройте там свой интегрированный ответ. Покажите, что это работает. Затем масштабируйте.
Вам понадобятся технологии, которые связывают все воедино. Платформы управления рисками, которые дают всем одинаковое представление. Мониторинг в реальном времени, который выявляет закономерности между доменами. Дашборды, которые руководители могут реально понять.
Но технологии — это лишь средство. Настоящая работа — культурная. Обучение людей мыслить за пределами своего домена. Создание стимулов, которые вознаграждают сотрудничество, а не защиту территории. Создание циклов обратной связи, чтобы уроки, извлеченные в одной области, распространялись по всей организации.
Patagonia добилась этого, опубликовав полностраничную рекламу с надписью «Не покупайте эту куртку». Они признали экологическую стоимость своего самого продаваемого продукта. Рискованно? Абсолютно. Но они подкрепили это операционными изменениями: услугами по ремонту, программами переработки и платформами перепродажи. Они согласовали этику, операционную деятельность и стратегию. Продажи подскочили на 30% в следующем году, потому что клиенты им доверяли.
Результат
Когда вы делаете это правильно, преимущества накапливаются.
Вы видите риски раньше, потому что смотрите на картину в целом, а не только на свою часть. Разведка киберугроз выявляет уязвимость в цепочке поставок. Операционный сбой сигнализирует о стратегическом сдвиге на вашем рынке. Вы соединяете точки, которые упускают изолированные команды.
Вы реагируете быстрее, потому что все знают план. Нет времени, потраченного на споры о том, чья это проблема или кто должен возглавить ответные действия. Структура управления уже определила роли. Коммуникационные каналы уже существуют. Вы действуете.
Вы принимаете лучшие решения, потому что балансируете риски и возможности во всех доменах. Вы не действуете безрассудно в стратегии, будучи параноиками в кибербезопасности. Вы поддерживаете динамическое равновесие рисков стандарта. Вы принимаете рассчитанные риски, которые поддерживают ваши цели, оставаясь в пределах границ, которые защищают то, что важно.
Самое главное, вы строите доверие. Сотрудники доверяют руководству, потому что видят последовательные ценности в действии. Клиенты доверяют вам, потому что вы прозрачны, когда что-то идет не так. Инвесторы доверяют вам, потому что вы демонстрируете устойчивость. Регуляторы доверяют вам, потому что вы соответствуете таким стандартам, как ISO 31000 и COSO ERM.
Риск перестает быть тем, чем вы управляете, и становится тем, что вы используете. Не каждая организация достигнет этого. Большинство останется запертыми в своих «бункерах», говоря на своих отдельных языках и удивляясь, почему их постоянно застают врасплох.
Вот как построить единую культуру из трех языков и превратить потрясения в преимущество. И остаться на плаву, когда все утихнет.
Эта статья публикуется в рамках сети экспертов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maman Ibrahim
