Как ‎я‏ ‎и ‎говорил, ‎буду ‎максимально ‎стараться‏ ‎излагать ‎материал‏ ‎сугубо‏ ‎простым ‎языком ‎+‏ ‎на ‎основе‏ ‎эмпирического ‎опыта ‎(но ‎местами‏ ‎без‏ ‎теории ‎не‏ ‎обойтись, ‎это‏ ‎надо ‎просто ‎принять). ‎

Погнали. ‎

Итак,‏ ‎мы‏ ‎имеем ‎некую‏ ‎середнячковую ‎организацию‏ ‎(4-8 ‎млрд ‎выручки ‎в ‎год)‏ ‎,‏ ‎которую‏ ‎только ‎что‏ ‎продали, ‎убили‏ ‎всю ‎региональную‏ ‎сеть‏ ‎и ‎новый‏ ‎собственник ‎начинает ‎наводить ‎свои ‎порядки,‏ ‎что ‎естественно.‏ ‎

На‏ ‎что ‎он ‎обратит‏ ‎внимание ‎в‏ ‎первую ‎очередь?

Скорей ‎всего ‎на‏ ‎резервы‏ ‎и ‎обычные‏ ‎текущие ‎расходы.

Вот‏ ‎об ‎обычных ‎и ‎текущих ‎речь‏ ‎и‏ ‎пойдёт. ‎

Новому‏ ‎хозяину ‎было‏ ‎озвучено, ‎что ‎в ‎этой ‎конкретной‏ ‎компании‏ ‎если‏ ‎кто ‎и‏ ‎хотел ‎что-то‏ ‎украсть ‎посредством‏ ‎расходной‏ ‎части, ‎давно‏ ‎украл ‎и ‎его ‎тут ‎уже‏ ‎нет. ‎И‏ ‎на‏ ‎это ‎не ‎нужно‏ ‎тратить ‎время‏ ‎и ‎людские ‎ресурсы. ‎

Но‏ ‎новый‏ ‎хозяин ‎принимает‏ ‎решение, ‎что‏ ‎надо ‎назначить ‎2 ‎людей, ‎которые‏ ‎будут‏ ‎контролировать ‎все‏ ‎текущие ‎(любые)‏ ‎расходы. ‎

При ‎этом ‎совокупная ‎зп‏ ‎этих‏ ‎2х‏ ‎людей ‎330‏ ‎тыс.руб. ‎(да,‏ ‎не ‎самые‏ ‎дешёвые‏ ‎люди). ‎

Итог?

За‏ ‎2 ‎недели ‎работы ‎не ‎выявлено‏ ‎никакого ‎мошенничества‏ ‎и‏ ‎воровства ‎(проверялось ‎100%‏ ‎расходов), ‎а‏ ‎найден ‎лишь ‎один ‎неверно‏ ‎оформленный‏ ‎акт ‎выполненных‏ ‎работ ‎на‏ ‎2000 ‎рублей. ‎

Теперь ‎математика

• совокупная ‎зп‏ ‎2х‏ ‎людей ‎за‏ ‎две ‎недели‏ ‎165 ‎тыс.руб.
• отчислим ‎во ‎внебюджет ‎грубо‏ ‎30%.‏ ‎Ещё‏ ‎55 ‎тыс.‏ ‎
• найденный ‎риск?‏ ‎Риск ‎по‏ ‎налогу‏ ‎на ‎прибыль.‏ ‎20% ‎от ‎2000 ‎рублей ‎=‏ ‎400 ‎рублей.‏ ‎Штрафы,‏ ‎пени...вообще ‎нематериальны. ‎

Так‏ ‎о ‎чем‏ ‎это ‎все?

Риск-аппетит - это ‎когда ‎лучше‏ ‎оставить‏ ‎потерю ‎на‏ ‎своем ‎удержании,‏ ‎чем ‎понести ‎еще ‎бОльшие ‎потери,‏ ‎чтобы‏ ‎ее ‎выявить‏ ‎или ‎чтобы‏ ‎управлять ‎ею.

Простыми ‎словами, ‎- ‎потратить‏ ‎много‏ ‎тысяч‏ ‎и ‎сэкономить‏ ‎пару ‎сотен‏ ‎- ‎неправильное‏ ‎управление‏ ‎риском. ‎А‏ ‎руководителя, ‎который ‎принимает ‎такое ‎решение...даже‏ ‎и ‎не‏ ‎знаю‏ ‎как ‎назвать. ‎Есть‏ ‎варианты?

Не ‎согласны‏ ‎с ‎этой ‎историей? ‎Ну...‏ ‎It's‏ ‎up ‎to‏ ‎you.

Продолжаем ‎погружаться‏ ‎в ‎мир ‎внутреннего ‎контроля, ‎рисков‏ ‎и ‎самообразования.

Постом‏ ‎ранее‏ ‎мы, ‎надеюсь, ‎выяснили,‏ ‎что ‎такое‏ ‎РИСК. А ‎так ‎как ‎повторенье‏ ‎-‏ ‎мать ‎ученья,‏ ‎озвучу ‎ещё‏ ‎раз: ‎Риск ‎- любое ‎неблагоприятное ‎событие,‏ ‎которое‏ ‎может ‎привести‏ ‎или ‎уже‏ ‎привело ‎бизнес ‎к ‎потерям. ‎

Резонно‏ ‎встаёт‏ ‎вопрос‏ ‎по ‎классику:‏ ‎"Что ‎делать?"

Ответ‏ ‎прост. ‎Своими‏ ‎рисками‏ ‎надо ‎управлять.‏ ‎

Дабы ‎избежать ‎академичности ‎и ‎сухой‏ ‎теории, ‎предлагаю‏ ‎смоделировать‏ ‎некую ‎практическую ‎историю.‏ ‎

Пусть ‎у‏ ‎нас ‎есть ‎организация, ‎у‏ ‎которой‏ ‎очень ‎много‏ ‎расходов. ‎А‏ ‎расходы, ‎как ‎мы ‎знаем, ‎уменьшают‏ ‎налогооблагаемую‏ ‎базу ‎по‏ ‎налогу ‎на‏ ‎прибыль. ‎

Очевидный ‎риск ‎организации ‎-‏ ‎налоговый.‏ ‎А‏ ‎именно, ‎-‏ ‎доначисление ‎налога,‏ ‎штрафы, ‎пени‏ ‎и‏ ‎прочие ‎"блага".

Почему?

Потому‏ ‎что ‎расходы ‎могут ‎быть ‎не‏ ‎подтверждены ‎документально‏ ‎(доков‏ ‎нет, ‎доки ‎неверно‏ ‎оформлены, ‎доки‏ ‎не ‎бьются ‎с ‎налоговым‏ ‎периодом...НК‏ ‎РФ ‎нам‏ ‎в ‎помощь).‏ ‎

Чтобы ‎этот ‎риск ‎нас ‎не‏ ‎настиг‏ ‎надо ‎что-то‏ ‎делать ‎(управлять‏ ‎риском) ‎: ‎

• назначить ‎ответственных ‎за‏ ‎наличие,‏ ‎своевременность‏ ‎истребования, ‎корректность‏ ‎документов;
• зафиксировать ‎обязанности‏ ‎ответственных ‎в‏ ‎должностных‏ ‎инструкциях;
• настроить ‎напоминалки‏ ‎в ‎информационной ‎системе;
• разграничить ‎права ‎доступа‏ ‎в ‎той‏ ‎же‏ ‎информ.системе...

И ‎т.д. ‎В‏ ‎каждом ‎бизнесе‏ ‎есть ‎свои ‎нюансы ‎и‏ ‎вариации.

Всё‏ ‎вышеозначенное ‎является‏ ‎примером ‎контрольных‏ ‎процедур ‎- ‎меры, ‎которые ‎помогают‏ ‎вам‏ ‎избежать ‎потерь.‏ ‎

Если ‎у‏ ‎вас ‎их ‎нет...пора ‎задуматься ‎и‏ ‎внедрить.‏ ‎Если‏ ‎есть ‎-‏ ‎вы ‎молодец,‏ ‎но ‎стоит‏ ‎проверить,‏ ‎а ‎эффективны‏ ‎ли ‎ваши ‎контрольные ‎процедуры? ‎Действительно‏ ‎ли ‎они‏ ‎оберегают‏ ‎вас ‎от ‎потерь?‏ ‎

А ‎про‏ ‎риск-аппетит ‎наслышаны?

Об ‎этом ‎позднее.

Реальная‏ ‎история‏ ‎о ‎сверхглупости‏ ‎последует. ‎

Оставаться‏ ‎или ‎нет... ‎it's ‎up ‎to‏ ‎you.

Т.к. ‎в‏ ‎дальнейшем ‎повествовании ‎часто ‎будут ‎использоваться‏ ‎термины ‎"контроль",‏ ‎"‏ ‎внутренний ‎контроль", ‎"риск",‏ ‎" ‎Система‏ ‎Внутреннего ‎Контроля ‎(СВК)", ‎думаю,‏ ‎будет‏ ‎не ‎лишним‏ ‎разобраться, ‎что‏ ‎это, ‎несмотря ‎на, ‎казалось ‎бы,‏ ‎очевидность‏ ‎их ‎определения,‏ ‎а ‎также‏ ‎в ‎каком ‎контексте ‎они ‎будут‏ ‎употребляться.

Многие‏ ‎привыкли‏ ‎и ‎приняли‏ ‎как ‎данность,‏ ‎что ‎Система‏ ‎внутреннего‏ ‎контроля ‎(равно‏ ‎как ‎и ‎Служба ‎внутреннего ‎контроля)‏ ‎- ‎прерогатива‏ ‎крупных‏ ‎предприятий. ‎

Поэтому ‎продолжу‏ ‎с ‎не‏ ‎самого ‎очевидного: ‎любой ‎бизнес‏ ‎имеет‏ ‎Систему ‎внутреннего‏ ‎контроля ‎

Неважно,‏ ‎кто ‎вы: ‎самозанятый, ‎ИП, ‎ООО‏ ‎и‏ ‎т.д. ‎

Например:

- Самозанятый,‏ ‎шьющий ‎предметы‏ ‎одежды ‎на ‎дому, ‎контролирует ‎остаток‏ ‎материала,‏ ‎контролирует‏ ‎сроки ‎выполнения‏ ‎работы ‎и‏ ‎отправки ‎заказа‏ ‎заказчику...‏ ‎;

- ИП, ‎который‏ ‎организовал ‎небольшое ‎производство ‎детского ‎конструктора‏ ‎контролирует ‎качество‏ ‎поставленного‏ ‎материала, ‎изнашиваемость ‎оборудования‏ ‎и/или ‎деталей‏ ‎к ‎нему, ‎мониторит ‎(контролирует)‏ ‎проведение‏ ‎тематических ‎выставок...‏ ‎;

- ООО ‎и‏ ‎более ‎крупные ‎единицы ‎бизнеса ‎контролируют‏ ‎сроки‏ ‎поставок, ‎отгрузок,‏ ‎производства, ‎выполнения‏ ‎услуг, ‎организации ‎продаж.... ‎И ‎много‏ ‎чего‏ ‎ещё.‏ ‎Думаю, ‎суть‏ ‎ясна. ‎

Иными‏ ‎словами ‎-‏ ‎везде‏ ‎и ‎всегда‏ ‎есть ‎какой ‎никакой, ‎но ‎контроль.‏ ‎А ‎значит‏ ‎уже‏ ‎есть ‎и ‎некая‏ ‎система ‎контроля‏ ‎(СВК).

(Забегая ‎немного ‎вперёд, ‎раскрою‏ ‎карты‏ ‎- ‎ключевым‏ ‎моментом ‎всегда‏ ‎(на ‎протяжении ‎всего ‎периода ‎жизни‏ ‎бизнеса)‏ ‎будет ‎являться‏ ‎КАЧЕСТВО, ‎ЭФФЕКТИВНОСТЬ‏ ‎И ‎ДОСТАТОЧНОСТЬ ‎этой ‎системы ‎контроля.‏ ‎Но‏ ‎об‏ ‎этом ‎потом).

А‏ ‎сейчас. ‎..Revenons‏ ‎à ‎nos‏ ‎moutons,‏ ‎как ‎говорят‏ ‎французы. ‎То ‎бишь ‎- ‎вернёмся‏ ‎к ‎нашим‏ ‎баранам,‏ ‎к ‎сути ‎поста.‏ ‎

Для ‎чего‏ ‎мы ‎контролируем ‎свой ‎бизнес?

Многие‏ ‎ответят:‏ ‎чтобы ‎зарабатывать‏ ‎деньги, ‎как‏ ‎и ‎было ‎запланировано. ‎

Я ‎не‏ ‎соглашусь‏ ‎и ‎отвечу‏ ‎иначе: ‎мы‏ ‎контролируем, ‎чтобы ‎НЕ ‎терять ‎деньги.‏ ‎То‏ ‎есть‏ ‎своевременно ‎реагировать‏ ‎на ‎некие‏ ‎неблагоприятные ‎события....РИСКИ

Если‏ ‎наш‏ ‎самозанятый ‎вовремя‏ ‎не ‎закупит ‎материал, ‎вовремя ‎не‏ ‎сошьет ‎заказанные‏ ‎мною‏ ‎перчатки ‎и ‎вовремя‏ ‎их ‎не‏ ‎отправит, ‎чем ‎он ‎рискует:

• отказ‏ ‎от‏ ‎заказа ‎с‏ ‎моей ‎стороны‏ ‎(деньги ‎на ‎материал ‎потрачены ‎свои,‏ ‎время‏ ‎потрачено, ‎доход‏ ‎не ‎получен).‏ ‎Деньги ‎потеряны. ‎Когда ‎вернутся(ли) ‎...неизвестно;
• негативный‏ ‎отзыв‏ ‎с‏ ‎моей ‎стороны‏ ‎в ‎соцсетях.‏ ‎Самозанятый ‎потерял‏ ‎потенциальных‏ ‎будущих ‎клиентов,‏ ‎ака ‎доход. ‎

Если ‎наш ‎ИП‏ ‎вовремя ‎не‏ ‎обновил‏ ‎детали ‎оборудования ‎по‏ ‎производству ‎конструктора,‏ ‎он ‎никак ‎не ‎сможет‏ ‎выполнить‏ ‎весь ‎объем‏ ‎заказов ‎на‏ ‎конструкторы ‎в ‎срок, ‎пока ‎не‏ ‎получит‏ ‎новые ‎детали‏ ‎к ‎оборудованию....‏ ‎Отказы ‎от ‎заказов, ‎списание ‎материалов‏ ‎в‏ ‎убыток,‏ ‎негативные ‎отзывы,‏ ‎потери, ‎потери‏ ‎потери... ‎

Более‏ ‎крупный‏ ‎бизнес ‎теряет‏ ‎деньги ‎вообще ‎на ‎каждом ‎шагу.‏ ‎Об ‎этом‏ ‎можно‏ ‎отдельные ‎посты ‎делать.‏ ‎

Надеюсь, ‎посыл‏ ‎понятен. ‎

А ‎задача ‎сегодняшнего‏ ‎упражнения‏ ‎запомнить, ‎что‏ ‎РИСК ‎- это‏ ‎событие, ‎которое ‎уже ‎привело ‎к‏ ‎потерям,‏ ‎либо ‎может‏ ‎привести! ‎И‏ ‎что ‎вы ‎контролируете ‎свой ‎бизнес...вопрос‏ ‎насколько‏ ‎качественно.‏ ‎

Если ‎кто-то‏ ‎не ‎согласен,‏ ‎то ‎может‏ ‎высказать‏ ‎свою ‎позицию‏ ‎в ‎комментариях, ‎а ‎в ‎остальном...‏ ‎it's ‎up‏ ‎to‏ ‎you

Это ‎первый‏ ‎пост. ‎Пусть ‎это ‎будет, ‎как‏ ‎означено ‎в‏ ‎заголовке,‏ ‎некая ‎проба ‎пера.‏ ‎Не ‎судите‏ ‎строго. ‎

В ‎бизнесе ‎нельзя‏ ‎верить‏ ‎никому!!! ‎

Ни‏ ‎брату, ‎ни‏ ‎свату, ‎ни ‎маме ‎с ‎папой,‏ ‎ни‏ ‎любовнице, ‎ни‏ ‎жене...никому. ‎Это‏ ‎факт. ‎Поверьте. ‎

Предадут, ‎обманут, ‎начнут‏ ‎играть‏ ‎на‏ ‎чувствах ‎и‏ ‎просить ‎послабления,‏ ‎перевёрнут ‎всё‏ ‎в‏ ‎угоду ‎себе,‏ ‎но ‎никак ‎не ‎вам. ‎И‏ ‎вы ‎будете‏ ‎плохим‏ ‎(и ‎только ‎вы).‏ ‎

Бизнес ‎этого‏ ‎не ‎приемлет. ‎Это ‎колоссальный‏ ‎риск!‏ ‎Ваш ‎риск.‏ ‎

Все ‎взаимоотношения‏ ‎со ‎всеми ‎вышеозначенными ‎людьми ‎(да‏ ‎и‏ ‎со ‎всеми‏ ‎прочими, ‎разумеется)‏ ‎подлежат ‎юридическому ‎оформлению. ‎Если ‎этого‏ ‎не‏ ‎сделать...винить‏ ‎в ‎потерях‏ ‎можно ‎только‏ ‎себя.

Договоры, ‎расписки‏ ‎о‏ ‎получении ‎денег‏ ‎(даже ‎от ‎мамы) ‎, ‎соглашения‏ ‎о ‎намерениях‏ ‎(нотариально‏ ‎заверенные ‎с ‎детализацией‏ ‎ролей ‎в‏ ‎бизнесе), ‎совместное ‎учредительство ‎(ака‏ ‎ответственность).‏ ‎Только ‎так.‏ ‎Это ‎всё‏ ‎должно ‎у ‎вас ‎быть. ‎

Неудобно?‏ ‎Неловко?‏ ‎:) ‎

Да,‏ ‎такие ‎ощущения‏ ‎бывают. ‎

Ну ‎как ‎же ‎...он‏ ‎(она,‏ ‎они)‏ ‎близкие ‎люди,‏ ‎моё ‎родное,‏ ‎я ‎верю,‏ ‎не‏ ‎обманут. ‎

Обманут!!!

Узнано‏ ‎и ‎проверено ‎опытным ‎путём.

Ну ‎а‏ ‎дальше... ‎

It's‏ ‎up‏ ‎to ‎you...

У ‎меня‏ ‎два ‎инфоресурса: ‎бесплатный ‎канал и ‎платный‏ ‎проект.

Я ‎пишу‏ ‎для‏ ‎взрослых ‎думающих ‎людей,‏ ‎понимающих, ‎что‏ ‎компетентность ‎стоит ‎денег.

В ‎общедоступных‏ ‎статьях‏ ‎я ‎отвечаю‏ ‎на ‎вопрос‏ ‎— ‎что?

Что ‎такое ‎трейдинг ‎—‏ ‎искусство‏ ‎или ‎наука?

Можно‏ ‎ли ‎торговать‏ ‎против ‎тренда ‎и ‎комбинировать ‎торговые‏ ‎стратегии?

Чем‏ ‎профессионал‏ ‎отличается ‎от‏ ‎инвестиционного ‎шарлатана?

Обучающий‏ ‎материал ‎структурирован‏ ‎по‏ ‎тематическим ‎подборкам,‏ ‎например, ‎«Уровни ‎мастерства» или ‎«Управление ‎риском».

Подписывайтесь,‏ ‎читайте, ‎думайте.

Здесь‏ ‎на‏ ‎Sponsr ‎мы ‎говорим‏ ‎на ‎тему‏ ‎— ‎как?

Это ‎для ‎тех,‏ ‎кому‏ ‎интересно ‎детальное‏ ‎погружение ‎в‏ ‎трейдерское ‎ремесло, ‎кто ‎действительно ‎хочет‏ ‎разобраться‏ ‎в ‎биржевой‏ ‎торговле. ‎Кто‏ ‎устал ‎от ‎кричащих ‎новостей ‎ни‏ ‎о‏ ‎чём‏ ‎и ‎сказок‏ ‎про ‎успешный‏ ‎успех. ‎Всё‏ ‎на‏ ‎реальных ‎примерах,‏ ‎с ‎подробными ‎схемами ‎и ‎пошаговыми‏ ‎разъяснениями.

Я ‎беру‏ ‎подписчика‏ ‎за ‎руку ‎и‏ ‎веду ‎его‏ ‎вслед ‎за ‎трендом.

Как ‎тренды‏ ‎классифицируются по‏ ‎достоверности?

Как ‎нужно‏ ‎размечать ‎графики в‏ ‎торговом ‎терминале ‎и ‎как ‎вести‏ ‎трейдерский‏ ‎дневник?

Авторская ‎аналитика, с‏ ‎которой ‎я‏ ‎сам ‎работаю.

Если ‎вам ‎это ‎надо‏ ‎—‏ ‎присоединяйтесь‏ ‎— ‎чтобы‏ ‎не ‎оставаться‏ ‎с ‎рынком‏ ‎один‏ ‎на ‎один.

В ‎случае‏ ‎организаций ‎категории ‎Б ‎рассматривается ‎пятиэтапный‏ ‎процесс ‎реализации‏ ‎доктрины.

📌 Этап‏ ‎0 ‎— ‎Корпоративное‏ ‎управление ‎и‏ ‎стратегия ‎управления ‎корпоративными ‎рисками. этап‏ ‎включает‏ ‎в ‎себя‏ ‎создание ‎структуры‏ ‎управления ‎и ‎стратегии ‎управления ‎корпоративными‏ ‎рисками.‏ ‎Он ‎закладывает‏ ‎основу ‎подхода‏ ‎организации ‎к ‎киберзащите.

📌 Этап ‎1 ‎—‏ ‎Разграничение‏ ‎деятельности‏ ‎и ‎обследование‏ ‎по ‎оценке‏ ‎рисков. этап ‎включает‏ ‎в‏ ‎себя ‎определение‏ ‎сферы ‎деятельности ‎организации ‎и ‎проведение‏ ‎обследования ‎по‏ ‎оценке‏ ‎рисков. ‎Это ‎помогает‏ ‎организации ‎понять‏ ‎свои ‎потенциальные ‎уязвимости ‎и‏ ‎риски,‏ ‎связанные ‎с‏ ‎её ‎деятельностью.

📌 Этап‏ ‎2 ‎— ‎Оценка ‎рисков. этап ‎включает‏ ‎детальную‏ ‎оценку ‎рисков,‏ ‎выявленных ‎на‏ ‎предыдущем ‎этапе. ‎Организация ‎оценивает ‎потенциальное‏ ‎воздействие‏ ‎и‏ ‎вероятность ‎каждого‏ ‎риска, ‎что‏ ‎помогает ‎расставить‏ ‎приоритеты‏ ‎для ‎их‏ ‎смягчения.

📌 Этап ‎3 ‎— ‎Управление ‎риском. этап‏ ‎включает ‎разработку‏ ‎стратегий‏ ‎по ‎управлению ‎ими:‏ ‎снижение ‎риска,‏ ‎принятие ‎или ‎предотвращение, ‎в‏ ‎зависимости‏ ‎от ‎характера‏ ‎риска ‎и‏ ‎толерантности ‎к ‎риску ‎организации.

📌 Этап ‎4‏ ‎—‏ ‎Построение ‎плана‏ ‎работы: на ‎основе‏ ‎стратегий ‎управления ‎рисками, ‎разработанных ‎на‏ ‎предыдущем‏ ‎этапе,‏ ‎этот ‎этап‏ ‎включает ‎в‏ ‎себя ‎создание‏ ‎подробного‏ ‎плана ‎работы,‏ ‎где ‎описываются ‎шаги, ‎которые ‎организация‏ ‎предпримет ‎для‏ ‎реализации‏ ‎своих ‎стратегий ‎управления‏ ‎рисками.

📌 Этап ‎5‏ ‎— ‎Непрерывный ‎аудит ‎и‏ ‎мониторинг. этап‏ ‎включает ‎постоянный‏ ‎аудит ‎и‏ ‎мониторинг, ‎чтобы ‎гарантировать ‎эффективную ‎реализацию‏ ‎стратегий‏ ‎управления ‎рисками‏ ‎и ‎выявлять‏ ‎любые ‎новые ‎или ‎изменяющиеся ‎риски.

В ‎случае‏ ‎организаций ‎категории ‎А ‎рассматривается ‎пятиэтапный‏ ‎процесс ‎реализации‏ ‎доктрины.

📌 Этап‏ ‎1: ‎Разграничение ‎деятельности. этап‏ ‎включает ‎определение‏ ‎объёма ‎деятельности ‎организации, ‎которую‏ ‎необходимо‏ ‎защитить.

📌 Этапы ‎2‏ ‎и ‎3:‏ ‎Оценка ‎рисков ‎и ‎определение ‎стратегии‏ ‎борьбы‏ ‎с ‎ними. этапы‏ ‎включают ‎выявление‏ ‎потенциальных ‎рисков ‎для ‎организации ‎и‏ ‎разработку‏ ‎стратегии‏ ‎управления ‎этими‏ ‎рисками.

📌 Этап ‎4:‏ ‎Составление ‎плана‏ ‎работы. этап‏ ‎включает ‎в‏ ‎себя ‎создание ‎подробного ‎плана ‎реализации‏ ‎стратегии ‎защиты.

📌 Этап‏ ‎5:‏ ‎Непрерывный ‎аудит ‎и‏ ‎контроль. этап ‎включает‏ ‎постоянный ‎мониторинг ‎и ‎контроль‏ ‎для‏ ‎обеспечения ‎эффективности‏ ‎стратегии ‎защиты‏ ‎и ‎внесения ‎необходимых ‎корректировок.

Реализация ‎Доктрины

📌 Подчёркивается‏ ‎важность ‎процессов ‎автоматизации ‎и ‎координации‏ ‎для ‎уменьшения‏ ‎человеческих‏ ‎ошибок ‎и ‎воздействия‏ ‎личной ‎информации.

📌 Поощряется‏ ‎использование ‎передовых ‎автоматизированных ‎решений‏ ‎для‏ ‎непрерывного ‎контроля‏ ‎и ‎выполнения‏ ‎процессов ‎реагирования, ‎при ‎этом ‎участие‏ ‎человека‏ ‎требуется ‎лишь‏ ‎в ‎исключительных‏ ‎случаях.

📌 Необходимость ‎применения ‎превентивных ‎мер ‎защиты‏ ‎для‏ ‎сохранения‏ ‎информации, ‎а‏ ‎также ‎для‏ ‎поддержания ‎эффективных‏ ‎возможностей‏ ‎реагирования ‎на‏ ‎случаи ‎утечки ‎информации.

📌 Средства ‎контроля ‎доктрины‏ ‎включены ‎в‏ ‎структуру,‏ ‎включающую ‎аспекты ‎идентификации,‏ ‎защиты, ‎обнаружения,‏ ‎реагирования ‎и ‎восстановления.

📌 Необходимость ‎внедрения‏ ‎средств‏ ‎контроля ‎на‏ ‎разных ‎уровнях‏ ‎зрелости ‎по ‎таким ‎вопросам, ‎как‏ ‎SOC,‏ ‎DLP ‎или‏ ‎исследования ‎рисков.

📌 Сосредоточение‏ ‎внимание ‎на ‎рисках, ‎актуальных ‎для‏ ‎каждой‏ ‎организации,‏ ‎при ‎этом‏ ‎периодические ‎проверки‏ ‎и ‎разведывательные‏ ‎оценки‏ ‎проводятся ‎по‏ ‎всей ‎израильской ‎экономике.

📌 Инвестиции ‎в ‎защиту‏ ‎каждого ‎объекта‏ ‎защиты‏ ‎в ‎организации ‎будут‏ ‎соответствовать ‎уровню‏ ‎его ‎критичности ‎для ‎функционирования‏ ‎организации.

Разница‏ ‎контроля ‎уровня

📌 Контроль‏ ‎базового ‎уровня‏ ‎обычно ‎указывает ‎на ‎процесс, ‎который‏ ‎существует,‏ ‎но ‎не‏ ‎управляется ‎и‏ ‎выполняется ‎вручную. ‎Это ‎отправная ‎точка‏ ‎для‏ ‎организаций,‏ ‎позволяющая ‎им‏ ‎внедрить ‎базовые‏ ‎элементы ‎управления,‏ ‎прежде‏ ‎чем ‎переходить‏ ‎к ‎более ‎продвинутым ‎и ‎сложным‏ ‎элементам ‎управления.

📌 С‏ ‎другой‏ ‎стороны, ‎контроль ‎инновационного‏ ‎уровня ‎означает‏ ‎реализацию ‎контроля ‎управляемым, ‎документированным,‏ ‎автоматическим,‏ ‎эффективным ‎и‏ ‎действенным ‎образом.‏ ‎Этот ‎уровень ‎контроля ‎является ‎более‏ ‎комплексным‏ ‎и ‎учитывает‏ ‎ограничения ‎организации,‏ ‎классификацию ‎информации ‎и ‎адаптацию ‎к‏ ‎бизнес-процессам.

Целью‏ ‎является ‎формирование ‎принципов, ‎которых ‎организациям‏ ‎следует ‎придерживаться,‏ ‎чтобы‏ ‎эффективно ‎управлять ‎кибер-рисками‏ ‎и ‎повышать‏ ‎свою ‎кибер-устойчивость.

Целевая ‎аудитория включает ‎руководителей‏ ‎организаций,‏ ‎специалистов ‎по‏ ‎информационной ‎безопасности‏ ‎и ‎экспертов ‎по ‎киберзащите, ‎которые‏ ‎отвечают‏ ‎за ‎управление‏ ‎кибер-рисками ‎и‏ ‎реализацию ‎стратегий ‎защиты ‎в ‎своих‏ ‎организациях.

Процесс‏ ‎автоматизации‏ ‎и ‎интеграции

Подчёркивается‏ ‎важность ‎процессов‏ ‎автоматизации ‎и‏ ‎интеграции:

📌 Процессы‏ ‎автоматизации ‎снижают‏ ‎необходимость ‎участия ‎человека ‎в ‎защитных‏ ‎и ‎операционных‏ ‎процессах,‏ ‎тем ‎самым ‎сводя‏ ‎к ‎минимуму‏ ‎вероятность ‎человеческой ‎ошибки.

📌 Внедрение ‎MITRE‏ ‎ATT&‏ ‎CK ‎с‏ ‎целью ‎использования‏ ‎передовых ‎автоматизированных ‎решений ‎для ‎непрерывного‏ ‎контроля‏ ‎и ‎реализации‏ ‎процессов ‎реагирования‏ ‎минимизирует ‎объём ‎ручного ‎участия ‎человека.

📌 Применение‏ ‎превентивных‏ ‎мер‏ ‎сохранения ‎информации,‏ ‎включая ‎поддержание‏ ‎эффективных ‎возможностей‏ ‎реагирования‏ ‎на ‎случаи‏ ‎утечки ‎информации, ‎например ‎получение ‎возможности‏ ‎удалять ‎информацию,‏ ‎которая‏ ‎попала ‎в ‎Интернет‏ ‎и ‎даркнет.

📌 Директор‏ ‎по ‎информационной ‎безопасности ‎(CISO)‏ ‎играет‏ ‎важную ‎роль‏ ‎в ‎защите‏ ‎информации ‎и ‎конфиденциальности ‎и ‎должен‏ ‎использовать‏ ‎различные ‎инструменты‏ ‎для ‎максимизации‏ ‎уровня ‎защиты.

📌 Средства ‎контроля ‎доктрины ‎включены‏ ‎в‏ ‎систему,‏ ‎включающую ‎аспекты‏ ‎идентификации, ‎защиты,‏ ‎обнаружения, ‎реагирования‏ ‎и‏ ‎восстановления.

📌 Концепция ‎защиты,‏ ‎необходимая ‎для ‎борьбы ‎с ‎современными‏ ‎угрозами ‎поможет‏ ‎организации‏ ‎достичь ‎новых ‎возможностей‏ ‎с ‎целью‏ ‎выиграть ‎время, ‎измотать ‎злоумышленника‏ ‎и‏ ‎даже ‎создать‏ ‎факторы ‎сдерживания‏ ‎против ‎злоумышленников.

Роль ‎директора ‎по ‎информационной‏ ‎безопасности

Директор‏ ‎по ‎информационной‏ ‎безопасности ‎играет‏ ‎решающую ‎роль ‎в ‎защите ‎информации‏ ‎и‏ ‎конфиденциальности‏ ‎внутри ‎организации.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎понимание‏ ‎и ‎соблюдение‏ ‎мер ‎конфиденциальности, ‎баланса ‎различных ‎интересов,‏ ‎управление ‎рисками,‏ ‎разработку‏ ‎стратегий ‎защиты ‎и‏ ‎эффективное ‎внедрение‏ ‎средств ‎контроля:

📌 Закон ‎о ‎защите‏ ‎конфиденциальности: любое‏ ‎посягательство ‎на‏ ‎неприкосновенность ‎частной‏ ‎жизни ‎должно ‎осуществляться ‎в ‎соответствии‏ ‎с‏ ‎законом ‎и‏ ‎общими ‎принципами‏ ‎разумности ‎и ‎добросовестности

📌 Баланс ‎интересов: Директор ‎по‏ ‎информационной‏ ‎безопасности‏ ‎должен ‎найти‏ ‎правильный ‎баланс‏ ‎между ‎различными‏ ‎интересами,‏ ‎чтобы ‎обеспечить‏ ‎обоснованные ‎решения ‎внутри ‎организации. ‎Это‏ ‎включает ‎в‏ ‎себя‏ ‎рассмотрение ‎аспектов ‎конфиденциальности‏ ‎и ‎соблюдение‏ ‎таких ‎принципов, ‎как ‎«Security‏ ‎by‏ ‎Design», ‎«Privacy‏ ‎by ‎Design»‏ ‎и ‎защита ‎с ‎учётом ‎угроз.

📌 Оценка‏ ‎и‏ ‎управление ‎рисками: процесс‏ ‎оценки ‎и‏ ‎управления ‎рисками ‎включает ‎определение ‎основных‏ ‎целей‏ ‎защиты,‏ ‎выявление ‎пробелов‏ ‎в ‎защите‏ ‎и ‎построение‏ ‎плана‏ ‎работы ‎по‏ ‎минимизации ‎этих ‎пробелов.

📌 Ответственность ‎руководства: Ответственность ‎за‏ ‎защиту ‎информации‏ ‎в‏ ‎первую ‎очередь ‎лежит‏ ‎на ‎руководстве‏ ‎организации ‎и ‎директор ‎по‏ ‎ИБ‏ ‎является ‎ключевой‏ ‎фигурой ‎в‏ ‎обеспечении ‎выполнения ‎этой ‎обязанности.

📌 Защита ‎с‏ ‎точки‏ ‎зрения ‎противника: Директор‏ ‎по ‎информационной‏ ‎безопасности ‎должен ‎понимать ‎распространённые ‎сценарии‏ ‎атак‏ ‎и‏ ‎эффективность ‎рекомендаций‏ ‎по ‎защите‏ ‎от ‎них.‏ ‎Это‏ ‎понимание ‎определяет‏ ‎вес ‎и ‎приоритет ‎рекомендаций ‎защиты.

📌 Защита,‏ ‎основанная ‎на‏ ‎потенциальном‏ ‎ущербе: инвестиции ‎в ‎защиту‏ ‎каждой ‎цели‏ ‎защиты ‎должны ‎соответствовать ‎уровню‏ ‎её‏ ‎критичности ‎для‏ ‎функционирования ‎организации.‏ ‎Директор ‎по ‎информационной ‎безопасности ‎должен‏ ‎управлять‏ ‎этими ‎инвестициями

📌 Организационная‏ ‎классификация: классификации ‎основана‏ ‎на ‎потенциальном ‎ущербе ‎от ‎кибер-инцидента.‏ ‎Директор‏ ‎по‏ ‎информационной ‎безопасности‏ ‎должен ‎понимать‏ ‎место ‎организации‏ ‎для‏ ‎формирования ‎стратегий‏ ‎защиты.