«Самое важное, чему я научился как менеджер, что работу должны делать другие».
АльфредСлоун,
президент корпорации «Дженерал Моторс»
Передача риска может быть выбрана в случае, если сложно уменьшить риск до приемлемого уровня либо если передача этого риска третьей стороне экономически более оправдана.
Основными механизмами передачи риска являются страхование и аутсорсинг. Для передачи риска годятся также любые договорные отношения, позволяющие разделять ответственность и перекладывать риск на внешнюю сторону (партнеров, клиентов и т.п.). Не стоит, однако, рассматривать государство в качестве такой внешней стороны. Передать риск государству достаточно проблематично. Предлагая, а чаще всего навязывая, бизнесу систему лицензирования, сертификации и аттестации, государство при этом не принимает на себя соответствующие риски бизнеса. Для аттестованных систем никаких дополнительных гарантий и компенсации ущерба не предоставляется, наличие лицензий и сертификатов не является гарантией безопасности. Не получится разделить ответственность также и с независимыми негосударственными органами по сертификации, т.к. эти органы лишь декларируют соответствие определенным требованиям.
Традиционным механизмом передачи риска является страхование. Страховщики делают бизнес на чужих рисках, принимая на себя эти риски и получая за это страховую премию. Компенсация убытков предоставляется в том случае, если осуществляется риск, который укладывается в рамки страхового покрытия. Успех их бизнеса определяется точностью прогнозирования среднегодового ущерба, которые должен быть существенно меньше страховой премии.
Однако даже при страховании присутствует элемент остаточного риска, поскольку будут существовать условия и исключения, применяемые в зависимости от типа происшествия, для которых компенсация не будет предоставляться. Поэтому необходимо тщательно анализировать передачу риска при помощи страхования для того, чтобы определить, какая часть риска реально передается. Следует также учитывать, что страхование обычно не имеет дело с нефинансовыми последствиями и не предоставляет немедленной компенсации в случае инцидента.
Другой возможностью является использование третьих сторон или партнеров по аутсорсингу для управления неосновными бизнес-процессами организации. В этом случае необходимо позаботиться о получении гарантий того, что все требования безопасности, цели и механизмы контроля включены в соответствующие договора для обеспечения достаточного уровня безопасности.
Кроме того, следует определить требования безопасности вместе с конкретными показателями эффективности в соглашениях об уровне сервиса таким образом, чтобы эффективность предпринимаемых мер безопасности могла быть измерена. Необходимо принимать во внимание, что здесь также присутствует остаточный риск, заключающийся в том, что окончательная ответственность за безопасность аутсорсинговой информации и средств ее обработки остается за вашей организацией, а также, что через аутсорсинг могут привноситься новые риски, которые также должны оцениваться и контролироваться.
