cio-sibir.ru
31.05.2026 Автор: Алексей Громов Раздел: Управление технологическими рисками

Стратегический риск-менеджмент в ИТ: интегрированный подход COSO и NIST

Стратегический риск-менеджмент в ИТ: интегрированный подход COSO и NIST

Стратегический риск-менеджмент в ИТ: интегрированный подход COSO и NIST

Когда компании проходят цифровую трансформацию, классический подход к управлению рисками часто даёт сбой не потому, что он плох, а потому, что он фрагментирован. Совет директоров оперирует стратегическими горизонтами и финансовыми моделями, служба ИБ считает уязвимости по severity score, а ИТ-департамент мониторит доступность сервисов. При этом реальная стоимость риска — та, что отражается на выручке, операционной устойчивости и репутации — часто остаётся без управленческого внимания до момента серьёзного инцидента. Интеграция COSO и NIST решает именно эту проблему: она создаёт сквозной контур, в котором технологический риск становится бизнес-риском, сформулированным на языке, понятном высшему руководству.

Почему ИТ-риск больше нельзя рассматривать отдельно

Практика показывает: изолированный ИТ-риск — это иллюзия контроля. Когда ИБ-служба докладывает о тысячах уязвимостей, а бизнес-подразделения параллельно запускают критичные процессы на непроверенных платформах, налицо системный разрыв. Усилия не объединены общей рамкой, связывающей техническую уязвимость с конкретным сценарием остановки бизнеса.

Цифровая трансформация многократно обостряет эту проблему. Облачные миграции, микросервисные ландшафты, интеграция с внешними API, промышленные IoT-платформы и генеративные ИИ-сервисы создают не просто новые технические поверхности атаки — они порождают стратегические риски. Сбой одного компонента может каскадно остановить цепочку создания ценности. Утечка данных из новой аналитической платформы способна привести к регуляторным санкциям и потере доверия клиентов. А срыв сроков внедрения ERP-системы напрямую влияет на способность компании выполнять операционные планы. В такой среде риск-менеджмент обязан выйти за рамки функции ИБ и стать частью управленческого контура.

COSO и NIST: что делает каждый стандарт

Часто слышу вопрос: «Что лучше — COSO или NIST?» Ответ будет неправильным, если выбирать что-то одно. Эти подходы решают разные задачи и на разных уровнях управления работают эффективнее именно в паре.

COSO ERM (Enterprise Risk Management) — это управленческий каркас. Его задача — встроить риск-менеджмент в саму ткань корпоративного управления: стратегию, постановку целей, мониторинг ключевых показателей, принятие решений на уровне совета директоров и комитетов по аудиту. В модели COSO риск — это не только угроза, но и событие, способное помешать достижению бизнес-целей либо, напротив, создать новую возможность. Это смещает фокус с «закрытия уязвимостей» на управление влиянием на бизнес.

NIST полезен там, где требуется практическая детализация. Стандарты Национального института стандартов и технологий США — это операционный инструментарий для идентификации активов, угроз и уязвимостей, оценки вероятности и воздействия, а также выбора конкретных мер реагирования. Для ИТ-команды и CISO NIST даёт структурированный язык, на котором можно перевести стратегические риски, сформулированные по COSO, в конкретные контрольные процедуры, приоритизированные по остаточному риску.

Подход Главная задача Где особенно полезен
COSO ERM Связать риск с корпоративной стратегией и управлением Совет директоров, CEO, CFO, комитет по рискам
NIST Описать и оценить ИТ- и киберриски в операционных деталях CIO, CISO, архитекторы, ИТ- и ИБ-команды

Как работает интегрированный подход

Суть интеграции — не в том, чтобы «внедрить два стандарта», а в том, чтобы замкнуть управленческий цикл: от стратегической цели компании до конкретного технического контроля и обратно — к осмысленной отчётности для руководства. В этом цикле риск перестаёт быть вопросом ИБ и превращается в параметр управленческого решения. Рассмотрим пошагово.

Шаг 1. Привязать риски к целям бизнеса

Ошибка, которую допускают многие компании на старте — начинать с инвентаризации уязвимостей. Это путь в бесконечный список технических проблем, не имеющих бизнес-контекста. Правильно начинать с вопроса: чего компания стратегически пытается достичь в ближайшие 18–36 месяцев? Это может быть ускорение вывода продукта на рынок, повышение доступности цифровых каналов продаж, миграция на облачную инфраструктуру, снижение зависимости от ручных операций или запуск новой цифровой услуги.

Для каждой такой цели задаём простой фокусный вопрос: «Что может помешать её выполнению?» Именно здесь проявляются стратегические ИТ-риски: отказ критичных систем, ошибки в данных, срыв интеграции после внедрения новой платформы, потеря контроля над цепочкой поставщиков облачных сервисов. На этом этапе не нужно углубляться в технические детали — нужен верхнеуровневый, но бизнес-ориентированный реестр.

Шаг 2. Разложить риск по цепочке «событие — последствие»

Далее каждый выявленный риск стоит описать в формате, пригодном для обсуждения с CEO и владельцами бизнес-процессов. Полезна короткая структура:

  • что именно может случиться (сценарий);
  • почему это становится возможным (уязвимость или слабость);
  • какой бизнес-эффект наступит (остановка отгрузок, потеря выручки, штраф, простой производства);
  • кто из руководителей бизнес-функции является владельцем риска;
  • какие меры уже работают сейчас.

Такой подход радикально меняет качество диалога. Вместо абстрактного «у нас существуют риски по инфраструктуре» появляется конкретика: «если ERP-система недоступна более 4 часов в пик отгрузки, блокируется складская и логистическая цепочка, финансовые потери могут составить до 18 млн рублей в сутки». Это именно тот язык, на котором принимаются решения о приоритетах инвестиций.

Шаг 3. Использовать NIST для оценки и обработки

Когда стратегический контур очерчен, наступает очередь NIST. Он помогает провести детальный операционный цикл: идентифицировать конкретные информационные активы, определить релевантные угрозы и уязвимости для каждого сценария, оценить вероятность реализации и величину воздействия, выбрать меры реагирования (снижение, передача, принятие или избегание риска) и зафиксировать остаточный уровень риска. Для CIO и CISO это рабочий способ разложить стратегический риск на тактические действия: технические контроли, процедуры реагирования, планы восстановления.

Шаг 4. Вернуть результат в контур управления

Самый важный этап, на котором многие спотыкаются. Качественно выполненная оценка не должна оседать в архиве. Она обязана влиять на решения:

  • приоритизация инвестиционного портфеля ИТ и ИБ;
  • изменение архитектурных паттернов (например, переход от монолита к отказоустойчивому кластеру);
  • пересмотр соглашений об уровне услуг (SLA) и операционных соглашений (OLA);
  • усиление резервирования критичных узлов;
  • переоценка модели работы с ключевыми поставщиками;
  • запуск целевых проектов по устранению критических разрывов в зрелости.

Здесь COSO дополняет NIST самым существенным образом: первый отвечает на вопрос «как мы этим управляем на уровне компании?» — через комитеты, KPI, регулярную отчётность и культуру принятия риска. Второй отвечает на вопрос «что конкретно мы делаем с этим риском на уровне ИТ?».

Какие риски чаще всего оказываются стратегическими

За годы практики сложился устойчивый список категорий, которые при должной оценке перестают быть «техническими проблемами» и становятся предметом обсуждения с советом директоров.

Технологические риски

  • отказ критичных систем в пиковые периоды бизнес-активности;
  • недостаточная отказоустойчивость ключевых компонентов архитектуры;
  • устаревшая платформа, не поддерживающая необходимый темп изменений;
  • накопленный технологический долг, блокирующий развитие;
  • критическая зависимость от одного вендора или облачного провайдера.

Киберриски

  • утечка конфиденциальных данных клиентов или интеллектуальной собственности;
  • шифровальщики, парализующие операционную деятельность на дни или недели;
  • компрометация привилегированных учётных записей администраторов;
  • системные ошибки в управлении доступом к критичным ресурсам;
  • слабый контроль киберустойчивости в цепочке поставщиков.

Риски данных

  • некорректные или дублирующиеся мастер-данные в ключевых системах;
  • разрыв интеграционных потоков между ERP, CRM и производственными системами;
  • отсутствие единой модели данных, подрывающее доверие к корпоративной отчётности;
  • потеря качества аналитики из-за рассинхронизации источников;
  • несоответствие отчётности регуляторным требованиям.

Риски трансформации

  • провал внедрения крупных платформ — ERP, CRM, BI или облачной инфраструктуры;
  • недооценка сложности интеграции унаследованных систем с новыми компонентами;
  • сопротивление пользователей и низкая скорость адаптации процессов;
  • срыв сроков и бюджета, ведущий к заморозке или откату проекта;
  • глубинный разрыв между спроектированной архитектурой и реальным бизнес-процессом.

Практическая модель внедрения

Интеграция COSO и NIST не требует многолетней программы — она требует дисциплины и правильной последовательности шагов.

1. Определите контур критичных бизнес-услуг

Не нужно начинать с полного реестра всех ИТ-активов — это тупиковый путь, порождающий нечитаемые таблицы на тысячи строк. Выделите 10–20 критичных бизнес-услуг: продажи, производство, логистика, расчёты с клиентами и поставщиками, цифровые каналы взаимодействия, корпоративная отчётность. Для каждой услуги свяжите поддерживающие системы, ключевые интеграции и назначьте владельца из бизнеса. Это и есть граница контура, с которым вы будете работать.

2. Сформируйте единый реестр рисков

Разрозненные реестры — главный враг сквозного управления. В одном инструменте должны жить:

  • стратегические риски (от COSO-контура);
  • ИТ-риски (доступность, производительность, архитектурная устойчивость);
  • киберриски;
  • риски цепочки поставщиков;
  • риски, связанные с качеством данных;
  • риски проектов трансформации.

Если у вас отдельный реестр у CISO, отдельный у риск-менеджера и ещё один в проектном офисе, интеграция COSO и NIST не заработает физически — вы потеряете связи между рисками и не сможете оценить накопленный эффект.

3. Назначьте владельцев риска

Это принципиальный момент, который часто вызывает сопротивление. Владельцем бизнес-риска должен быть руководитель, отвечающий за результат процесса или сервиса — коммерческий директор, директор по производству, операционный директор. ИТ-служба может владеть мерами по снижению риска, но не самим бизнес-риском. Если эту грань размыть, любое обсуждение сведётся к негласной формуле «ИТ виновато, ИТ пусть и разбирается» — а это убивает ответственность бизнеса за устойчивость своих процессов.

4. Свяжите риск с метриками

Риск без измерения не управляется — это аксиома. Прикладные показатели, которые имеет смысл внедрить:

  • доля критичных сервисов с подтверждённым резервированием (по факту проверки, а не по документации);
  • среднее время восстановления сервиса (RTO) и его соответствие бизнес-требованиям;
  • процент систем с актуальной классификацией риска;
  • количество рисков с просроченными мерами обработки;
  • доля поставщиков, прошедших оценку киберустойчивости;
  • число инцидентов, реально повлиявших на бизнес-процессы, с указанием масштаба воздействия.

5. Введите регулярный пересмотр

ИТ-ландшафт меняется непрерывно — быстрее, чем годовой цикл бюджета или стратегическая сессия совета директоров. Поэтому обновлять оценку рисков необходимо при любом существенном событии:

  • запуск новой платформы или крупного релиза;
  • смена ключевого поставщика или облачного провайдера;
  • миграция критичной нагрузки в облачную среду;
  • архитектурные изменения, затрагивающие отказоустойчивость;
  • серьёзный инцидент или событие, близкое к инциденту («near miss»);
  • корректировка корпоративной стратегии.

Где чаще всего допускают ошибки

На основании опыта внедрения в разных организациях выделю несколько повторяющихся проблемных зон, которые могут нивелировать эффект даже от грамотно спроектированной модели.

Подмена риск-менеджмента списком инцидентов

Инциденты — это то, что уже случилось. Риск — это вероятность будущего события и оценка его эффекта. Если компания ведёт только журнал инцидентов, она реагирует на последствия, но не управляет причинами. Зрелый риск-менеджмент работает на опережение.

Слишком технический язык

Совету директоров не нужно знать номера CVE или детали векторов атак, если речь идёт о риске остановки продаж на несколько часов. Коммуникация обязана переводить технический риск в бизнес-категории: прямые финансовые потери, сроки восстановления, регуляторные последствия, репутационный ущерб. Это и есть мост, который строит интеграция COSO и NIST.

Отсутствие владельца и срока

Риск без назначенного ответственного и контрольной даты превращается в красивую запись в реестре — не более. В зрелой модели каждая мера обработки имеет владельца, срок исполнения и критерий, по которому риск можно считать сниженным до приемлемого уровня.

Изолированность ИБ

Если кибербезопасность работает в отрыве от архитектурных решений, закупок, управления изменениями и корпоративной стратегии, она неизбежно оптимизирует свой периметр, а не устойчивость компании как целого. Интеграция требует, чтобы CISO участвовал в архитектурных комитетах, а риск-оценка влияла на принимаемые там решения.

Как понять, что система уже работает

Признаки работающей интеграции COSO и NIST — не в наличии документов, а в изменении управленческого поведения:

  • реестр рисков регулярно используется на инвестиционных комитетах и при защите бюджетов;
  • CIO и CISO на совместных встречах с бизнесом обсуждают не только угрозы, но и бизнес-эффект от реализации рисков;
  • реальная приоритизация ИТ-проектов меняется по итогам риск-оценки — а не наоборот;
  • архитектурные решения проходят риск-фильтр: отказоустойчивость и безопасность не «добавляются потом», а закладываются на этапе дизайна;
  • отчётность по рискам понятна CEO и совету директоров без дополнительного перевода;
  • меры по снижению ключевых рисков в явном виде входят в план трансформации и отслеживаются по KPI.

Чек-лист для CIO и риск-менеджера

  • Связаны ли ключевые ИТ-риски со стратегическими целями компании?
  • Для каждого значимого риска определён ли владелец из бизнеса?
  • Сведены ли стратегические, технологические и киберриски в единый контур управления?
  • Выявлены ли критические сервисы, зависящие от единственной точки отказа (система, провайдер, канал)?
  • Измеряет ли компания остаточный риск — или оперирует только фактом наличия мер?
  • Влияет ли риск-оценка на бюджетный процесс и выбор архитектурных решений?
  • Соответствуют ли контрольные меры практикам NIST, а управленческий контур — логике COSO?
  • Настроен ли регулярный пересмотр рисков при изменениях в бизнесе и ИТ-ландшафте?

FAQ

Что выбрать: COSO или NIST?

Выбор зависит от задачи. Если требуется встроить риск-менеджмент в систему корпоративного управления, обеспечить подотчётность совету директоров и связать риски со стратегией — опорной рамкой будет COSO. Если задача — детально оценить ИТ- и киберриски, определить приоритеты для CISO и ИТ-команд, использовать надо NIST. В зрелой модели они работают как единый механизм, и противопоставлять их смысла нет.

Подходит ли этот подход только крупным компаниям?

Нет. Масштаб сложности разный, но логика та же. Крупной организации интеграция нужна, чтобы координировать множество подразделений и не потерять управляемость. Среднему бизнесу — чтобы по мере роста цифровой зависимости не упустить момент, когда технологический риск превратится в бизнес-катастрофу. Принципиальная схема не меняется: критические услуги, владельцы, единый реестр, регулярный пересмотр.

Кто должен быть владельцем ИТ-риска?

Владельцем бизнес-риска является руководитель, отвечающий за результат процесса или сервиса перед внутренними или внешними клиентами. ИТ и ИБ обычно владеют мерами по снижению риска и обеспечивают техническую реализацию контроля, но не могут в одиночку отвечать за бизнес-последствия, поскольку не управляют операционными решениями на стороне бизнес-функций.

С чего начать внедрение?

С выделения 10–20 критичных бизнес-услуг. Затем для каждой услуги определите поддерживающие системы и интеграции. Проведите верхнеуровневую оценку рисков в логике NIST — сценарии, вероятность, воздействие. Полученные результаты структурируйте в формате COSO — привяжите к целям компании, владельцам и метрикам. Это минимально жизнеспособный контур, который можно запустить за 6–8 недель.

Как не превратить риск-менеджмент в бюрократию?

Сократите реестр до действительно значимых рисков — тех, которые способны повлиять на достижение стратегических целей. Назначьте владельцев, привяжите меры к конкретным срокам и регулярно показывайте влияние на бизнес в метриках, которые понимает руководство. Если обсуждение рисков начинает напоминать ритуальное заполнение таблиц — значит, контур оторвался от реальных управленческих решений, и его нужно перекалибровать.