ГОСТ Р 70484—2022
9.2.4 Выбор и применение вариантов обработки рисков ИС (избежание риска, принятие риска,
устранение источника риска, изменение вероятности/последствий реализации риска разделение риска с
другой стороной/сторонами, удержание риска) проводится для разработки плана управленческих ме
роприятий с учетом выбранной стратегии согласно ГОСТ Р 51901.22.
В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответ
ственные за их выполнение, где в качестве ответственных, как правило, назначают:
а) менеджеров по риску, если в качестве стратегии снижения риска выбраны устранение, сниже
ние или оптимизация риска;
б) ответственную сторону, если в качестве стратегии снижения риска выбрана передача риска;
в) ответственного в сфере ИС, наделенного полномочиями принятия риска, если в качестве стра
тегии снижения риска выбрано принятие риска.
Если принято решение об особом управлении конкретным риском, ответственность за управле
ние этим риском должна быть установлена в реестре риска.
9.2.5 Мониторинг процесса менеджмента риска и пересмотр результатов управления рисками ИС
проводится регулярно (не реже одного раза в год) для всех видов риска в реестре риска, направленный на
обеспечение выполнения целей организации и установленных требований к риску, согласно ГОСТ Р
51901.22.
В механизме управления рисками в сфере ИС могут применяться известные методы по анало
гии с другими видами рисков: снижение, предотвращение ущерба и ликвидация последствий. Сниже
ние — наиболее применимый метод управления рисками в сфере ИС, который направлен на управ
ление операционными рисками. Как правило, метод исключения применяется в случае возникновения
незначительных рисков, которыми невыгодно управлять. К рискам в сфере ИС он применяется, когда
способ эффективного управления ими неизвестен. Данные виды рисков более всего поддаются ти
пичным способам расчета величины возможного ущерба риска и вероятности наступления рискового
события, по аналогии с иными рисками, связанными с активами (с использованием статистики и опыта
по таким рискам).
9.3 Комплекс мероприятий по страховой защите рисков в сфере ИС определяется для каждого
риска, имеющего свои варианты по управлению.
В результате должна быть подготовлена карта страхования рисков, в которой зарегистрированы
все выявленные слабые места с подробной характеристикой источников рисков, обусловливающих их
причин, с построением и анализом цепочек развития событий в случае реализации рисков, определе
нием возможных масштабов последствий и необходимых методов страхования.
Финансовые менеджеры совместно со специалистами в сфере ИС и страховщиками разраба
тывают план мероприятий по управлению рисками, позволяющих предотвратить риск либо снизить
его степень до приемлемого уровня или передать на страхование. Учитывается совокупность таких
параметров, как вероятность реализации риска, средний размер возможного ущерба, степень предска
зуемости результата, степень допустимости последствий реализации риска. Для каждого риска выби
раются свои варианты по его управлению и определяется комплекс мероприятий по страховой защите.
В случае изменения степени риска в процессе управления рисками необходима корректировка
отклонений от условий договора страхования. При наступлении страхового случая представители стра
ховой организации должны провести расследование и при отсутствии у них каких-либо сомнений в
правомерности, выплатить страховое возмещение.
Финансовые менеджеры анализируют достоинства и недостатки каждого варианта управления
страхованием рисками для всех ОИС, возможные последствия их внедрения, рассчитывают эконо
мическую эффективность. Страховщикам необходимо определить, на каких специфических условиях
можно принять на страхование риски создания и использования ОИС, после чего может быть достигну то
соглашение по существенным условиям договора страхования.
9.4 Оценку экономической эффективности страховой защиты осуществляют по следующим ос
новным параметрам:
- вероятность наступления страхового события;
- средний размер предполагаемых убытков;
- размер страхового тарифа;
- размер страхового взноса и порядок его уплаты.
Для оценки вероятности наступления страхового события обычно применяют следующие три об
щих подхода, которые могут быть использованы как самостоятельно, так и совместно:
20