Менеджер по ИТ-рискам (Risk Manager – IT Risks)

Ключевые задачи

1. Управление ИТ-рисками в масштабах всей компании

• Идентификация, оценка, классификация и мониторинг ИТ-рисков: киберриски, технологические риски, риски доступности, непрерывности, отказов ИТ-инфраструктуры, риски данных, приложений, интеграций.
• Формирование, поддержка и регулярное обновление IT Risk Register.
• Определение, мониторинг и анализ ключевых показателей ИТ-рисков (IT KRIs).
• Взаимодействие с ИТ-подразделениями, службой кибербезопасности, архитекторами и владельцами бизнес-процессов для развития культуры управления ИТ-рисками.

2. Идентификация и анализ ИТ-рисков

• Проведение RCSA (самооценки рисков и контролей) совместно с ИТ-подразделениями и ИБ.
• Оценка inherent и residual рисков для систем, приложений, сервисов, инфраструктурных элементов.
• Анализ зрелости ИТ-процессов и контролей в соответствии с ITIL, COBIT, NIST CSF, ISO 27001.
• Выявление слабых мест в процессах разработки, эксплуатации, изменения, резервирования, управления конфигурациями.
• Участие в разработке и контроле реализации Risk Response & Action Plan.
• Подготовка аналитической отчетности по ИТ-рискам для Комитета по рискам.

3. Управление инцидентами, отказоустойчивостью и киберустойчивостью

• Анализ ИТ-инцидентов, проблем, нарушений SLA, сбоев инфраструктуры; проведение Root Cause Analysis (5 Why, Fishbone).
• Контроль корректности регистрации инцидентов, проблем и изменений.
• Мониторинг выполнения корректирующих и превентивных действий.
• Участие в разработке, тестировании и улучшении BCP/DRP, тестов отказоустойчивости.
• Анализ устойчивости ключевых ИТ-систем, поиск системных рисков, повторяющихся инцидентов, рисков в архитектуре.
• Оценка критичности ИТ-сервисов (Business Impact Analysis – BIA).

Основные требования

• Высшее образование в области ИТ, информационной безопасности, инженерии, телекоммуникаций, риск-менеджмента.
• Опыт 3–5 лет в ИТ-рисках, ИТ-аудите, кибербезопасности или технических ИТ-ролях (в т.ч. Big4 — преимущество).
• Знание международных стандартов:
  ISO 31000, COBIT, ITIL, NIST CSF, ISO 27001, желательно участие в их внедрении/развитии.
• Опыт работы с RCSA, IT Risk Register, KRIs, матрицами рисков, оценкой зрелости ИТ-процессов.
• Понимание методов оценки вероятности и влияния ИТ-рисков, включая киберугрозы, инфраструктурные риски, риски данных, интеграций и DevOps-процессов.
• Навыки проведения RCA (5 Why, Fishbone), понимание ITIL процессов: Incident, Problem, Change, Release, CMDB.
• Желательно знание принципов архитектуры ИТ-инфраструктуры (серверы, сети, базы данных, облака, SAP/S4HANA, CI/CD, API-интеграции).

Ключевые компетенции

• Системное мышление: понимание взаимосвязей ИТ-систем, архитектуры, процессов и рисков.
• Сильные аналитические способности, структурное мышление, внимание к деталям.
• Умение работать с большими массивами технической информации и логами.
• Навыки оценки ИТ- и киберрисков, понимание технологических зависимостей.
• Умение коммуницировать с ИТ-командами, архитекторами, разработчиками и владельцами процессов.
• Умение готовить профессиональные риск-отчеты и презентовать результаты руководству.
• Проактивность, инициативность.