Автоматизация управления рисками: скрытая стоимость ручных проверок и что меняет искусственный интеллект
Это утро вторника в марте. Контроль, регулирующий предоставление доступа к критически важному финансовому приложению, незаметно вышел за пределы соответствия требованиям. Изменение конфигурации, внесенное три недели назад, создало разрыв — без явных ошибок, без сигналов тревоги. Просто тихое изменение в том, как предоставляются права доступа.
Никто этого не замечает.
Контроль проверяли в январе, и он был признан корректным. Следующая плановая проверка назначена на апрель. В течение 89 дней организация несет риск, который она не видит, в системе, которая считается корректной.
Когда разрыв обнаруживается в квартальной проверке, исправление превращается из простой корректировки в полноценное расследование.
Возникают вопросы:
Хотя это гипотетический сценарий, он отражает реальную архитектурную проблему большинства современных программ управления GRC.
Никто этого не замечает.
Контроль проверяли в январе, и он был признан корректным. Следующая плановая проверка назначена на апрель. В течение 89 дней организация несет риск, который она не видит, в системе, которая считается корректной.
Когда разрыв обнаруживается в квартальной проверке, исправление превращается из простой корректировки в полноценное расследование.
Возникают вопросы:
- какие транзакции прошли в период нарушения;
- какие согласования были выполнены в условиях измененного контроля;
- кто подтвердил корректность последней проверки.
Хотя это гипотетический сценарий, он отражает реальную архитектурную проблему большинства современных программ управления GRC.
Почему архитектура создает проблему
Проблема не в халатности. Проблема в архитектуре.
Системы управления GRC создавались для организаций с предсказуемыми процессами, устойчивыми структурами управления и медленно меняющимися рисками. В такой модели периодические проверки были достаточны: проверили контроль, он прошел - значит работает до следующей проверки.
Но современные организации устроены иначе. Системы тесно связаны между собой, и одно изменение может повлиять на несколько процессов одновременно, причем без уведомления службы комплаенса.
Сегодня критически важен связанный взгляд на риск, при котором:
Системы управления GRC создавались для организаций с предсказуемыми процессами, устойчивыми структурами управления и медленно меняющимися рисками. В такой модели периодические проверки были достаточны: проверили контроль, он прошел - значит работает до следующей проверки.
Но современные организации устроены иначе. Системы тесно связаны между собой, и одно изменение может повлиять на несколько процессов одновременно, причем без уведомления службы комплаенса.
Сегодня критически важен связанный взгляд на риск, при котором:
- контроли;
- процессы;
- зависимости
Пример из практики
Контроль согласования поставщиков требует двух подписей при подключении нового контрагента.
В рамках внутреннего изменения финансовый блок обновляет матрицу согласований в системе. Это обычное изменение, которое не воспринимается как риск. Службу комплаенса не уведомляют.
В течение шести недель поставщики одобряются по одной подписи вместо двух.
Контроль формально выглядит корректным, но его зависимости изменились. Квартальная проверка выявляет проблему уже постфактум, когда последствия распространились на:
В рамках внутреннего изменения финансовый блок обновляет матрицу согласований в системе. Это обычное изменение, которое не воспринимается как риск. Службу комплаенса не уведомляют.
В течение шести недель поставщики одобряются по одной подписи вместо двух.
Контроль формально выглядит корректным, но его зависимости изменились. Квартальная проверка выявляет проблему уже постфактум, когда последствия распространились на:
- процессы закупок;
- договорную документацию;
- цепочки аудита.
Три категории скрытых издержек
Эти потери редко отражаются в отчетности, но накапливаются в трех направлениях.
Пропущенные сигналы
Между проверками:
- контроли деградируют;
- конфигурации изменяются;
- нормативные требования обновляются.
Нарастающий уровень риска
Разрыв, выявленный через 7 дней, — это оперативное исправление.
Тот же разрыв через 90 дней:
Тот же разрыв через 90 дней:
- затрагивает больше транзакций;
- влияет на большее число процессов;
- становится значимым инцидентом.
Затраты на реактивное устранение
Когда проблема обнаружена поздно:
- необходимо восстановить хронологию событий;
- оценить влияние на процессы;
- уведомить заинтересованные стороны;
- объяснить задержку выявления.
Почему более частые проверки не решают проблему
Увеличение частоты проверок кажется логичным решением, но не устраняет корень проблемы. Даже при переходе от квартальных к ежемесячным проверкам:
- остается значительный временной разрыв;
- сохраняется ручной характер процессов;
- растет нагрузка на команды.
Непрерывный мониторинг и роль искусственного интеллекта
Непрерывный мониторинг не означает больше проверок. Он означает наблюдение за сигналами, которые уже формируются в системе.
Прямые сигналы
Косвенные сигналы
Предиктивные сигналы
Прямые сигналы
- журналы событий;
- состояния конфигураций;
- записи доступа.
Косвенные сигналы
- аномалии поведения;
- отклонения от стандартных сценариев;
- нарушения корреляций между событиями.
Предиктивные сигналы
- изменения конфигураций;
- обновления нормативных требований;
- новые паттерны рисков.
Роль искусственного интеллекта
Основная проблема непрерывного мониторинга: перегрузка уведомлениями. Без интеллектуальной обработки команды получают слишком много сигналов и начинают игнорировать их.
Искусственный интеллект должен:
Искусственный интеллект должен:
- снижать количество шумовых уведомлений;
- выделять значимые отклонения;
- сопоставлять их с процессами и зависимостями;
- формировать понятный контекст.
Пример разницы подходов
При периодических проверках
Нарушение выявляется через 60 дней:
При непрерывном мониторинге
Тот же инцидент фиксируется через несколько часов:
Нарушение выявляется через 60 дней:
- десятки затронутых операций;
- отсутствие полной картины последствий;
- длительное расследование.
При непрерывном мониторинге
Тот же инцидент фиксируется через несколько часов:
- список затронутых операций;
- оценка влияния на процессы;
- рекомендации по устранению.
Роль современных цифровых платформ
Современные системы управления GRC позволяют перейти от разрозненных проверок к единой модели наблюдения.
Такие платформы обеспечивают:
Такие платформы обеспечивают:
- объединение данных о рисках и контролях;
- автоматический анализ отклонений;
- непрерывный контроль соответствия требованиям;
- формирование единого источника данных;
- поддержку принятия решений в реальном времени.
Ключевой вопрос для организаций
Каждая система управления GRC имеет задержку обнаружения проблемы: период между возникновением отклонения и его выявлением.
Вопрос, который необходимо задать:
какова стоимость того, что система не видит проблему 89 дней?
Если эта стоимость значительна, возникает следующий вопрос:
какой должна быть задержка обнаружения: неделя, день или реальное время?
Ответ на него определяет архитектуру будущей системы управления рисками и уровень зрелости GRC в организации.
Вопрос, который необходимо задать:
какова стоимость того, что система не видит проблему 89 дней?
Если эта стоимость значительна, возникает следующий вопрос:
какой должна быть задержка обнаружения: неделя, день или реальное время?
Ответ на него определяет архитектуру будущей системы управления рисками и уровень зрелости GRC в организации.
Вывод
Основная проблема современных систем управления GRC заключается не в отсутствии контроля, а в задержке его обнаружения.
Переход к непрерывному мониторингу и интеллектуальной обработке данных позволяет:
Переход к непрерывному мониторингу и интеллектуальной обработке данных позволяет:
- снизить время реакции;
- повысить прозрачность процессов;
- уменьшить скрытые риски;
- перейти от реактивной модели к проактивной.