|
Сучасний ризик-менеджмент часто оцінює не те, що насправді призводить до втрат. Компанії роками вчились описувати ризики, будувати матриці, визначати ймовірність, оцінювати вплив, призначати відповідальних осіб і створювати контрольні процедури. Це правильна управлінська основа. Без неї неможливо говорити про зрілу систему ризик-менеджменту.
Але практичний досвід внутрішніх розслідувань, аудитів безпеки та аналізу інцидентів показує інше: бізнес рідко втрачає гроші лише тому, що в нього не було політики або реєстру ризиків.
Найчастіше документи були. Процедури були. Відповідальні особи були. Іноді навіть були регулярні перевірки.
Але система все одно не бачила головного - власної вразливості.
Після серйозного інциденту керівництво зазвичай ставить одне питання: «Як це стало можливим?»
На мою думку, це питання ставиться запізно. Правильніше питати інакше: яке управлінське рішення зробило цей інцидент можливим ще до того, як він стався?
Саме в цьому полягає головна зміна ризик-менеджменту у 2026 році. Ризик починається не в момент інциденту. Інцидент - це фінальна стадія. До нього завжди існує передумова: надлишковий доступ, слабкий контроль, концентрація повноважень, застаріла процедура, невідкликаний обліковий запис, неконтрольований підрядник, неактуальна роль або управлінське рішення, яке колись виглядало логічним, але з часом стало джерелом вразливості.
Тому бізнесу вже недостатньо питати: «Яка ймовірність того, що це станеться?»
Потрібно питати: наскільки ми вже сьогодні відкриті для цього ризику?
Це і є перехід від оцінки ризику до оцінки експозиції бізнесу.
Чому класична модель більше не дає повної відповіді
Класична модель оцінки ризиків за принципом «ймовірність Ч вплив» залишається корисною. Вона допомагає структурувати ризики, визначати пріоритети, вести реєстр, призначати власників і створювати зрозумілу управлінську мову. Саме на такій логіці побудована значна частина практик, які відповідають ISO 31000, COSO ERM, внутрішнім політикам ризик-менеджменту та системам внутрішнього контролю. Проблема не в тому, що ця модель неправильна. Проблема в тому, що сучасний інцидент рідко є однією окремою подією. Компрометація одного облікового запису може одночасно створити фінансові втрати, витік персональних даних, порушення договірних зобов'язань, простій бізнес-процесу, репутаційну кризу та регуляторні наслідки. Один невідкликаний доступ підрядника може стати кіберризиком, операційним ризиком і ризиком втрати комерційної інформації.
Одна слабкість у погодженні платежів може перетворитися на шахрайство, судовий спір, внутрішнє розслідування та втрату довіри до управлінської системи. Формально це різні категорії ризиків. Фактично - один ланцюг.
Саме тому у світі дедалі більше уваги приділяється не просто управлінню ризиками, а операційній стійкості. У міжнародному контексті ця логіка простежується в ISO 31000 щодо управління ризиками, COSO ERM щодо інтеграції ризиків у корпоративне управління, Регламенті ЄС 2022/2554 про цифрову операційну стійкість фінансового сектору (DORA) та Директиві ЄС 2022/2555 про заходи для високого спільного рівня кібербезпеки (NIS2). Усі ці підходи рухають бізнес в одному напрямі: недостатньо мати політику, потрібно довести, що система реально здатна працювати в умовах збою.
Саме тут багато організацій стикаються з проблемою. Вони мають описані ризики.
Але не мають виміряної експозиції. Ризик і експозиція - це різні речі Ризик відповідає на питання: що може статися? Експозиція відповідає на інше: наскільки бізнес уже сьогодні відкритий для цієї події? Різниця принципова.
Дві компанії можуть однаково оцінити ризик витоку інформації як високий. Але в одній доступ до критичних даних мають десять працівників, а в іншій - двісті. В одній права переглядаються щоквартально, в іншій - лише під час звільнення. В одній підрядники мають тимчасові доступи, в іншій їхні облікові записи залишаються активними після завершення договорів. У реєстрі ризик може виглядати однаково. У реальності експозиція буде абсолютно різною.
Саме тому компанія може правильно оцінити ризик і все одно отримати серйозні втрати. Вона оцінила подію, але не оцінила власний стан перед цією подією.
На практиці найбільші втрати часто виникають не через невідомі загрози, а через давно відомі слабкі місця, які стали частиною нормальної роботи. До них звикли. Їх перестали помічати. Вони не виглядали критичними, доки не стали причиною інциденту.
Працюйте на випередження. Використовуйте LIGA360, щоб оперативно відстежувати регуляторні зміни, перевіряти контрагентів і мінімізувати ризики ще до того, як вони стануть проблемою.
Це особливо помітно під час внутрішніх розслідувань. Після інциденту майже завжди знаходиться не одна причина, а ланцюг рішень: хтось погодив постійний доступ, хтось не відкликав роль, хтось не перевірив виняток, хтось не побачив концентрацію повноважень, хтось роками сприймав слабкий контроль як прийнятний. Тому справжня причина інциденту часто знаходиться не в моменті порушення, а значно раніше - у конструкції процесу.
Один знеособлений приклад: В одному з практичних кейсів кілька працівників систематично пересилали чутливу корпоративну інформацію на зовнішню електронну адресу. Це не була класична хакерська атака. Не було складного проникнення в інфраструктуру. Не було зовнішнього зловмисника, який обійшов усі рівні захисту. Інформацію виносили люди, які мали легітимний доступ. Коли ситуацію виявили, збиток уже був завданий. І перше питання керівництва було передбачуваним: «Як таке взагалі стало можливим?» Формальна відповідь могла звучати просто: працівники порушили правила.
Але управлінська відповідь була глибшою. Проблема була не лише в поведінці працівників. Проблема була в тому, що компанія не бачила, хто має доступ до яких даних, який маршрут проходить інформація від критичного активу до зовнішнього середовища, які контрольні точки існують на цьому маршруті і де вони фактично не працюють. Іншими словами, ризик був не в самій електронній пошті. Ризик був у невидимій експозиції, яку система не вимірювала.
Саме такі ситуації показують, що сучасний ризик-менеджмент повинен аналізувати не лише подію, а й умови, які роблять її можливою.
Доступ як фінансова категорія
Одна з найбільших методологічних прогалин сучасного ризик-менеджменту - сприйняття доступу виключно як технічного питання. У багатьох компаніях доступом займаються різні функції. ІТ адмініструє облікові записи. HR повідомляє про прийняття, переведення або звільнення працівників. Служба безпеки контролює фізичний доступ. Комплаєнс перевіряє відповідність процедурам. Внутрішній аудит оцінює ефективність контрольних механізмів.
Кожен бачить свою частину. Але майже ніхто не оцінює доступ як єдину фінансову категорію ризику.
Працівник має доступ до платіжної системи. Підрядник - до внутрішньої інфраструктури. Бухгалтер - до реквізитів контрагентів. Менеджер - до комерційної інформації. Адміністратор - до критичних налаштувань. Колишній співробітник - до поштової скриньки або хмарного сховища. Кожен окремий доступ може виглядати пояснюваним. Але разом вони формують експозицію, яку керівництво часто не бачить у грошовому вимірі.
Фінансовий директор може оцінити валютний ризик. Юрист - судову перспективу. Казначей - ліквідність. Закупівельник - залежність від постачальника.
Але на просте питання «яка фінансова експозиція поточної моделі доступів?» більшість організацій не має готової відповіді. І це вже не технічна проблема. Це проблема управління.
Будь-який доступ до критичного активу створює потенційну можливість дії. Якщо ця дія може призвести до втрати грошей, даних, безперервності процесу або контролю над активом, такий доступ має оцінюватися не лише технічно, а й фінансово.
Саме тут безпека має перестати говорити лише мовою заборон і почати говорити мовою бізнесу. Не «у нас є користувачі з надлишковими правами». А «ці надлишкові права створюють конкретну фінансову експозицію».
Прихований борг доступів
Окремо варто виділити явище, яке можна назвати боргом доступів.
Це накопичений ризик, який виникає тоді, коли фактичні права користувачів більше не відповідають їхнім реальним посадовим обов'язкам, бізнес-потребам або рівню контролю.
Джерела такого боргу зазвичай прості:
1. тимчасовий доступ, який не відкликали;
2. підрядник, який завершив роботу, але зберіг обліковий запис;
3. працівник, який перейшов в інший підрозділ, але залишив старі ролі;
4. сервісний акаунт, який роками не переглядався;
5. адміністративні права, видані «на один раз», але залишені назавжди;
6. спільні облікові записи, за якими неможливо встановити реального виконавця;
7. винятки з правил, які стали постійною практикою.
Кожен із цих елементів окремо може не виглядати критичним. Але разом вони створюють приховану поверхню ризику. І чим довше компанія росте без системного перегляду доступів, тим більшим стає цей борг. У фінансах борг має вартість. Він впливає на ліквідність, кредитоспроможність і стійкість компанії. У безпеці борг доступів теж має вартість. Просто більшість компаній не вміє її рахувати. Саме це потрібно змінювати.
Ознаки невиміряної експозиції
Компанія може мати невиміряну експозицію навіть тоді, коли формально система контролю існує.
Найбільш характерні ознаки:
1. Керівництво не має єдиного переліку критичних активів.
2. Немає зрозумілих власників критичних даних, систем або бізнес-процесів.
3. Права доступу переглядаються нерегулярно або лише після інцидентів.
4. Підрядники й зовнішні користувачі залишаються поза постійним контролем.
5. Існують постійні привілейовані доступи там, де достатньо тимчасового доступу.
6. Частина облікових записів є спільною, технічною або погано атрибутованою.
7. Винятки з політик не мають строку дії та власника.
8. Контролі існують у документах, але не підтверджуються доказами.
Ніхто не може швидко відповісти, який доступ сьогодні створює найбільшу фінансову загрозу.
Якщо хоча б кілька з цих ознак присутні, організація має не просто технічну прогалину. Вона має управлінську сліпу зону.
Що змінюється у 2026 році
У 2026 році ризик-менеджмент рухається від формальної оцінки до доказового управління експозицією. Це проявляється в кількох напрямах.
По-перше, ризики стають взаємопов'язаними. Окремий кіберінцидент уже не можна розглядати без операційних, юридичних, репутаційних і фінансових наслідків.
По-друге, зростає роль операційної стійкості. Бізнес має не лише запобігати інцидентам, а й доводити здатність підтримувати критичні функції під час збою.
По-третє, керівництво дедалі частіше несе персональну відповідальність за якість управління ризиками. У цьому контексті важливо не лише прийняти рішення, а й мати доказову базу, чому воно було прийняте саме так.
По-четверте, штучний інтелект створює новий контур ризику. AI-сервіси впливають на дані, рішення, доступи, контракти, перевірки, комунікації та репутацію. Якщо вони залишаються лише «інструментом ІТ» без управлінського контролю, компанія отримує ще одну невидиму експозицію.
По-п'яте, ризики третіх сторін стають частиною основного ризик-профілю. Підрядники, SaaS-провайдери, логістичні партнери, інтегратори й аутсорсингові команди часто мають доступ до критичних процесів, але не завжди перебувають у полі зору внутрішньої системи контролю.
Усі ці зміни вказують на одне: компанії потрібно оцінювати не лише ризики як події, а й власну архітектуру вразливості.
Старий і новий підхід
Питання | Традиційний підхід | Підхід 2026 |
Що оцінюємо? | Подію ризику | Експозицію бізнесу |
Основна логіка | Ймовірність Ч вплив | Вразливість Ч фінансові наслідки |
Доступ | ІТ-функція | Фінансова категорія ризику |
Контроль | Наявність процедури | Доказ реального виконання |
Власник ризику | Функція ризик-менеджменту | Власник бізнес-процесу |
Мета | Описати ризик | Зменшити експозицію |
Результат | Реєстр ризиків | Управлінське рішення |
Ця таблиця не скасовує класичний ризик-менеджмент. Вона показує, куди він має еволюціонувати.
Як оцінювати експозицію практично
Оцінка експозиції не повинна починатися з великої трансформації або закупівлі нових систем. У більшості компаній перший етап можна провести на базі вже наявної інформації: переліку систем, ролей, журналів доступу, посадових функцій, політик, договорів із підрядниками та реєстру інцидентів.
Практична логіка може бути такою.
Спочатку визначаються критичні активи - те, що реально впливає на гроші, операційну стійкість, стратегічні дані або безперервність діяльності.
Потім аналізується, хто має до них доступ, який рівень дій може виконувати, як довго діє цей доступ, які контролі реально працюють і які сценарії втрат можуть виникнути.
Після цього доступи потрібно пріоритизувати за рівнем потенційного впливу. Не всі надлишкові доступи однаково небезпечні. Один доступ може бути технічно широким, але не створювати значного фінансового впливу. Інший може виглядати стандартним, але відкривати можливість змінити реквізити контрагента, провести платіж або вивести критичні дані.
Тому правильне питання звучить не так: «Скільки у нас зайвих доступів?»
Правильне питання звучить інакше: які доступи створюють найбільшу фінансову експозицію?
Саме така постановка питання змінює якість управлінського рішення.
Не «у нас високий ризик».
А «цей доступ створює найбільшу експозицію, тому його потрібно обмежити, перевести в тимчасовий режим, посилити контроль або винести на рівень окремого управлінського рішення».
Саме так безпека починає говорити мовою бізнесу.
Що має змінитися у роботі керівництва
Для керівництва головна зміна полягає в тому, що ризик-менеджмент більше не може бути лише функцією окремого підрозділу. Якщо доступ до критичного активу може створити фінансові втрати, це питання не лише ІТ. Якщо концентрація повноважень дозволяє провести критичну операцію без незалежного контролю, це питання не лише внутрішнього аудиту.
Якщо підрядник має доступ до важливого процесу, це питання не лише закупівель.
Якщо AI-сервіс обробляє корпоративні дані, це питання не лише цифровізації.
Усе це - питання управління експозицією.
Тому відповідальність має бути розподілена інакше. Власник бізнес-процесу повинен розуміти, які активи є критичними. Фінансова функція - які втрати можуть виникнути. Безпека - які сценарії реалізації можливі. ІТ - які доступи існують. Комплаєнс - які вимоги порушуються. Внутрішній аудит - які контролі реально підтверджені.
Лише поєднання цих точок зору дає повну картину.
Практичний алгоритм на 90 днів
Компанії не потрібно чекати великої трансформації, щоб почати оцінювати експозицію. Перші результати можна отримати через 90 днів.
Перші 30 днів: визначити критичні активи. На цьому етапі потрібно відповісти на базові питання:
1. які системи, дані, процеси й повноваження є критичними для бізнесу;
2. хто є їхнім власником;
3. які фінансові, операційні або юридичні наслідки виникнуть у разі втрати контролю;
4. які підрозділи, ролі, підрядники й технічні акаунти мають до них доступ.
5. Результатом має бути не загальний перелік систем, а реєстр критичних активів із власниками та рівнем бізнес-впливу.
6. 30-60 днів: побачити борг доступів
7. На другому етапі потрібно провести змістовний перегляд доступів.
8. Не формальний.
9. Не у вигляді таблиці «активний / неактивний».
10. А з відповіддю на питання:
11. чи потрібен цей доступ зараз;
12. чи відповідає він посадовим обов'язкам;
13. чи є він постійним або тимчасовим;
14. чи існує незалежний контроль;
15. чи можна довести, хто саме виконав критичну дію;
16. чи є строк перегляду або відкликання.
Саме на цьому етапі зазвичай виявляються надлишкові ролі, застарілі доступи, невідкликані права, постійні винятки, підрядники без контролю та привілейовані акаунти без реального власника.
Ефективне управління починається з контролю ризиків. Використовуйте LIGA360, щоб відстежувати зміни законодавства, перевіряти партнерів, аналізувати судову практику та оперативно реагувати на виклики бізнесу.
60-90 днів: зменшити експозицію
Третій етап - не опис проблеми, а управлінське рішення.
Критичні доступи потрібно скоротити, обмежити, перевести в тимчасовий режим, підсилити додатковим підтвердженням або винести на регулярний контроль керівництва.
Для кожного рішення має бути доказова база: хто погодив, на якій підставі, на який строк, який контроль встановлено і як це перевіряється.На цьому етапі важливо сформувати пакет доказів того, що контроль не просто описаний у політиці, а реально працює.
У кризовій ситуації саме докази відрізняють управління від декларації.
Чек-лист для самодіагностики:
Компанії варто чесно відповісти на кілька питань:
1. Чи знаємо ми свої критичні активи?
2. Чи визначені власники цих активів?
3. Чи є актуальний перелік доступів до них?
4. Чи знаємо ми, які доступи є надлишковими?
5. Чи переглядаються права після зміни посади, ролі або завершення роботи підрядника?
6. Чи можемо ми оцінити фінансовий вплив компрометації ключових доступів?
7. Чи існують спільні або технічні акаунти без зрозумілого власника?
8. Чи мають винятки строк дії?
9. Чи може керівництво побачити топ доступів, які створюють найбільшу фінансову експозицію?
10. Чи є докази того, що контрольні механізми реально працюють?
11. Якщо відповідь на більшість цих питань негативна, компанія має не просто технічну прогалину. Вона має невиміряну фінансову експозицію.
Висновок
За моїм досвідом, найдорожчі ризики - не ті, які бізнес неправильно оцінив. Найдорожчі - ті, які він вчасно не побачив. Я бачив це в розслідуваннях, де документи були в порядку, а збиток уже стався. Бачив в аудитах, де реєстр ризиків існував, але ніхто не міг відповісти, який доступ сьогодні створює найбільшу загрозу.
Саме тому я переконаний: реальний ризик-менеджмент починається не з політики, а з питання - що вже сьогодні робить інцидент можливим?
Практичний перший крок для керівництва - визначити критичні активи, перевірити фактичні доступи до них, знайти накопичений борг доступів, оцінити фінансову експозицію ключових доступів, закрити найнебезпечніші винятки та сформувати доказову базу контролів. Саме з цього починається не формальний, а реальний ризик-менеджмент.
