Мониторинг эффективности внедренных мер и переоценка

25 минут Урок 15

Введение: Иллюзия «Сделано и забыто»

Добро пожаловать на урок, который отделяет теоретиков от практиков. В предыдущих модулях мы идентифицировали риски, ранжировали их в матрице и разработали меры контроля. Казалось бы, работа сделана? Это самое опасное заблуждение в риск-менеджменте.

Внедрение меры защиты — это не финишная черта, а стартовый выстрел. Мир меняется: оборудование изнашивается, сотрудники привыкают к опасности, появляются новые технологии или меняются бизнес-процессы. То, что вчера было «зеленой зоной» матрицы, завтра может незаметно переползти в «красную».

Цель этого урока: научиться не просто «ставить галочки» о выполнении мероприятий, а измерять их реальную эффективность и своевременно пересматривать матрицу рисков. Мы разберем цикл PDCA, ловушки восприятия и метрики, которые действительно работают.

1. Цикл жизни риска и принцип PDCA

Управление рисками — это не линейный процесс, а циклический. В основе мониторинга лежит классический цикл Деминга (PDCA):

Plan (Планируй): Оценка рисков и выбор мер (то, что мы делали ранее).
Do (Делай): Внедрение мер контроля.
Check (Проверяй): Мониторинг эффективности. Работает ли мера так, как задумано?
Act (Воздействуй): Корректировка мер или переоценка риска.

Если вы не выполняете этап Check, ваша матрица рисков становится «мертвым документом» — красивой таблицей, которую показывают только аудиторам раз в год, но которая не имеет ничего общего с реальностью.

Типы мониторинга:

Активный мониторинг: Проверка до того, как что-то случилось. Это инспекции, аудиты, проверка работоспособности датчиков, наблюдение за поведением сотрудников.
Реактивный мониторинг: Анализ после инцидента. Расследование аварий, анализ «почти случившихся» событий (near-misses), статистика травматизма.

2. Метрики эффективности: KPI и KRI

Как понять, что мера работает? Нам нужны данные. В риск-менеджменте выделяют два ключевых типа показателей:

Показатель	Расшифровка	Суть	Пример (Пожарная безопасность)
KPI (Key Performance Indicators)	Ключевые показатели эффективности	Показывают, насколько хорошо мы выполняем запланированные мероприятия. Это про «усилия».	% огнетушителей, прошедших проверку в срок; % сотрудников, прошедших тренинг.
KRI (Key Risk Indicators)	Ключевые индикаторы риска	Показывают изменение уровня самого риска. Это про «результат» и раннее предупреждение.	Количество срабатываний пожарной сигнализации; количество обнаруженных горючих материалов вне зон хранения.

Важно: Опасайтесь «арбузных» показателей (зеленые снаружи, красные внутри). Например, KPI «100% сотрудников прошли инструктаж» может быть зеленым, но если инструктаж был формальным, реальный риск (KRI) остается высоким. Эффективность меры оценивается не по факту её внедрения, а по степени снижения риска.

Упражнение

Вы — менеджер по безопасности на логистическом складе. Риск: «Столкновение погрузчика с пешеходом». Внедренная мера: «Установка сферических зеркал на перекрестках проездов». Спустя месяц вы видите отчет: «Зеркала установлены на всех 10 перекрестках (100% выполнения)». Однако вчера произошло опасное сближение (near-miss). Задание: Предложите 1 метод активного мониторинга и 1 метод реактивного мониторинга, чтобы проверить реальную эффективность зеркал.

Решение:

Решение:

1. Активный мониторинг (наблюдение за процессом): Провести выборочное наблюдение (например, по камерам или лично) за перекрестками. Пользуются ли водители зеркалами? Смотрят ли в них? Чистые ли зеркала или запылились? Видно ли в них пешехода с позиции водителя (правильный ли угол наклона)?

2. Реактивный мониторинг (анализ инцидента): Разобрать вчерашнее опасное сближение. Опросить участника: почему зеркало не помогло? Возможно, оно было загорожено паллетой (блокировка меры контроля) или водитель просто игнорировал его из-за спешки (культура безопасности).

3. Остаточный риск (Residual Risk) и его переоценка

После внедрения мер и подтверждения их эффективности мы возвращаемся к Матрице. Нам нужно рассчитать Остаточный риск.

Остаточный риск — это уровень риска, сохраняющийся после применения мер обработки риска.

Алгоритм переоценки:

Оценка влияния меры на Вероятность: Снижает ли мера шанс возникновения события? (Например, антивирус снижает вероятность заражения).
Оценка влияния меры на Последствия: Снижает ли мера тяжесть ущерба, если событие все-таки случится? (Например, ремень безопасности не предотвращает ДТП, но снижает тяжесть травм).
Новый расчет: Вероятность (новая) × Последствия (новые) = Остаточный риск.

В вашей матрице должно появиться движение. Например, риск был в ячейке 5C (Красная зона). После установки автоматической системы блокировки вероятность упала с 5 до 2. Риск переместился в 2C (Желтая зона).

Золотое правило: Если остаточный риск все еще находится выше уровня аппетита к риску вашей компании (например, все еще в красной зоне), процесс не закончен. Нужны дополнительные меры.

4. Психологические ловушки при мониторинге

Даже лучшие системы дают сбой из-за человеческого фактора. При переоценке рисков остерегайтесь следующих эффектов:

Нормализация отклонений (Normalization of Deviance): Термин, введенный социологом Дианой Вон после катастрофы шаттла «Челленджер». Если нарушение (например, отключенный датчик) не приводит к аварии долгое время, оно начинает восприниматься как норма. «Мы всегда так делали, и ничего не случалось». При мониторинге такие вещи нужно жестко пресекать.
Эффект ореола (Halo Effect): Если мы потратили миллионы на новую систему безопасности, нам психологически сложно признать, что она неэффективна. Мы подсознательно ищем данные, подтверждающие успех инвестиций, и игнорируем сигналы проблем.
Иллюзия контроля: Наличие регламента на бумаге создает ложное чувство защищенности. «У нас есть инструкция» ≠ «Люди работают безопасно».

Упражнение

Проанализируйте ситуацию: В компании внедрена система блокировки учетных записей при 3-х неверных попытках ввода пароля (мера против Brute-force атак). При аудите вы обнаружили, что за полгода в Service Desk поступило 500 заявок на разблокировку от легитимных пользователей, которые просто забыли пароль. IT-отдел, устав от нагрузки, неофициально увеличил лимит попыток до 50. В отчетах по рискам мера все еще числится как «Строгая блокировка (3 попытки)». Каков статус этой меры контроля и как это влияет на матрицу рисков?

Решение:

Анализ:

1. Статус меры: Мера неэффективна или деградировала. Фактически, контроль был ослаблен без официального процесса управления изменениями (Management of Change).
2. Влияние на матрицу: В матрице рисков вероятность взлома была снижена на основании предположения о «3 попытках». Поскольку сейчас попыток 50, вероятность успешной атаки значительно выросла. 
3. Действия: Необходимо вернуть оценку риска на исходный (более высокий) уровень и инициировать пересмотр меры. Возможно, стоит внедрить двухфакторную аутентификацию (MFA) вместо простого ужесточения парольной политики, чтобы снизить нагрузку на поддержку и сохранить безопасность.

5. Когда пересматривать Матрицу рисков?

Мониторинг — процесс непрерывный, но обновление самой матрицы (документа) обычно происходит дискретно. Когда это нужно делать?

Регулярно: Обычно раз в год или раз в квартал (зависит от динамики отрасли).
После инцидентов: Если риск реализовался, значит, наша оценка вероятности или эффективности мер была ошибочной.
При изменениях (Management of Change): Новое оборудование, новые законы, реорганизация отделов, сокращение штата. Любое изменение контекста требует переоценки.
По результатам аудита: Если внешний или внутренний аудит выявил несоответствия.

Совет эксперта: Сохраняйте историю версий матрицы. Возможность посмотреть, как «мигрировали» риски по матрице за последние 3 года — это мощнейший инструмент для стратегического анализа и демонстрации прогресса руководству.

Вопрос

Что из перечисленного лучше всего описывает «Остаточный риск»?

Риск, который невозможно устранить никакими методами.

Уровень риска до внедрения каких-либо мер контроля.

Риск, остающийся после внедрения и проверки эффективности мер контроля.

Сумма всех рисков в матрице.

Риск, переданный страховой компании.

Предыдущий урок Следующий урок