Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Соцсети
Телеграм
Право
Крипто
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
RTM Group

Как оценить эффективность системы управления операционным риском? (чек-лист)

Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками, а также рекомендации по их минимизации и минимизации соответствующих расходов.

Как оценить эффективность системы управления операционным риском? (чек-лист)

Автор: Валерия Окорокова, младший консультант по ИБ RTM Group

Система управления операционными рисками (СУОР) необходима любой финансовой организации для эффективного управления операционными рисками. Требования регулятора по данному вопросу включают в себя положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее – 716-П) [1] и разъяснение Банка России от 25.04.2022 № 716-Р-2021/63 "Рекомендации по осуществлению оценки эффективности системы управления операционным риском" вместе с Рекомендациями по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы) [2] (далее – методика).

Как оценить эффективность системы управления операционным риском? (чек-лист)

Предмет и методика оценки эффективности

Перед кредитными организациями стоит важная задача осуществлять ежегодную оценку эффективности функционирования СУОР.

Эта задача содержит в себе следующие составляющие:

  • соответствие СУОР требованиям ЦБ РФ, включая как документирование, так и практическую часть реализации;
  • методы оценки ОР;
  • соблюдение процедур управления ОР, а именно оценка точности и достоверности информации об осуществляемых процедурах в рамках СУОР;
  • порядок ведения базы событий;
  • классификация событий ОР;
  • оценка потерь и компенсаций от реализации ОР;
  • управление риском информационной безопасности;
  • управление риском информационных систем;
  • наличие организованной структуры управления ОР, включающей в себя все подразделения и работников организации (исключая конфликт интересов).

Оценка эффективности существующей СУОР имеет четыре уровня/балла – "хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно", описание которых представлено в табл. 1.

<p>Таблица 1. 4-балльная система качественной оценки</p>

Таблица 1. 4-балльная система качественной оценки

По результатам аудита каждого блока определяется средневзвешенная оценка эффективности и соответствия СУОР кредитной организации требованиям 716-П, а также формулируются выводы (результаты проверки) и рекомендации органам управления кредитной организации.

Этапы оценки эффективности

Оценка эффективности СУОР проводится в несколько этапов, по итогам которых формируется общий результат. В методике представлена рекомендуемая программа проведения оценивания СУОР.

Первый этап (или организационный) направлен на анализ основных составляющих СУОР:

  • вовлеченность всех подразделений и работников кредитной организации;
  • распределение ответственности и задач между ними;
  • наличие отдельного подразделения, ответственного за организацию управления ОР;
  • перечень процессов кредитной организации;
  • наличие центров компетенций для них;
  • порядок взаимодействия подразделений, задействованных в управлении ОР.

На втором этапе оценивается точность и полнота описания процессов СУОР в соответствии с требованиями 716-П во внутренних документах. Иными словами, необходимо провести аудит документации на соответствие СУОР требованиям, установленным регулятором в области системы управления ОР. Как правило, для данного этапа запрашиваются верхнеуровневые документы, такие как:

  • политика управления операционным риском (общие положения);
  • процедуры управления операционным риском;
  • стратегия управления рисками и капиталом;
  • политика информационной безопасности;
  • политика информационных систем.

На следующем этапе происходит оценка качества выполняемых процедур в рамках СУОР. Рассмотрим пример.

Для подведения итогов оценки качества выполняемых процедур в рамках СУОР аудитором составляется отчетная таблица (см. табл. 2).

<p>Таблица 2. Результаты оценки качества выполняемых процедур в рамках СУОР</p>

Таблица 2. Результаты оценки качества выполняемых процедур в рамках СУОР

Средневзвешенная оценка интерпретируется в двух формах:

  • качественная – сводится к меньшему своему значению;
  • балльная – расчет производится путем сложения произведений весового коэффициента и балла.

Остановимся на процедуре качественной оценки уровня ОР. Для проведения аудита потребуются следующие документы:

  • методика качественной оценки уровня операционного риска;
  • процедуры управления операционным риском;
  • протоколы самооценки рисков и контрольных процедур (анкеты);
  • отчеты о самостоятельной оценке;
  • план мероприятий по минимизации операционных рисков и устранению недостатков контрольных процедур;
  • отчет о стресс-тестировании;
  • план и результаты сценарного анализа;
  • другие организационно-распорядительные документы, относящиеся к рассматриваемой процедуре.

В рамках качественной оценки уровня ОР рекомендуется составить отчетную таблицу по результатам оцениваемых предметов для наглядности и подтверждающей недостатки информации.

<p>Таблица 3. Результаты процедуры качественной оценки уровня ОР</p>

Таблица 3. Результаты процедуры качественной оценки уровня ОР

Программа проведения оценки эффективности СУОР включает в себя оценку контроля за принятым объемом ОР. На данном этапе необходимо установить целевые показатели объема ОР для каждого направления деятельности. Как мы помним, любые показатели требуют регулярного мониторинга и сопоставления факта с планом. В случае превышения планового значения у организации должны быть разработаны свои меры реагирования.

Стоит обратить внимание на показатель склонности к риску, который тоже необходимо контролировать.

Важная часть СУОР – управление риском ИБ и информационных систем.

Оценка эффективности управления риском информационных систем основывается на важнейших пунктах 716-П.

Система КПУР (контрольный показатель уровня риска. – Прим. ред.) оценивается по следующим предметам:

  • перечень и значения должны быть утверждены советом директоров и (или) исполнительным органом;
  • правильность расчета значений;
  • регулярный мониторинг их соблюдения;
  • отчеты по ОР должны содержать данные о фактических значениях КПУР.

Завершающим этапом является оценка эффективности системы отчетов об управлении ОР. Что за ним стоит?

Все отчеты о СУОР должны находиться в строгом соответствии требованиям и срокам ЦБ РФ. На основании их содержания разрабатываются мероприятия, направленные на повышение эффективности СУОР.

В итоге получаем отчет о результатах оценки эффективности СУОР, который предоставляется уполномоченным подразделением на рассмотрение совету директоров и исполнительному органу для утверждения, как правило, на ежегодной основе.

Оценка эффективности управления риском ИБ

Аудит данной области проводится по следующим вопросам:

  • соблюдение порядка работы системы ИБ в соответствии с внутренними документами организации;
  • распределение функций и ответственности между подразделениями и работниками в пределах системы ИБ;
  • соблюдение порядка и сроков формирования отчетов по рискам ИБ;
  • полнота ведения базы событий рисков ИБ;
  • соблюдение порядка предоставления информации о потерях, связанных с реализацией риска ИБ.

Обратимся к практическому примеру оценки эффективности управления риском ИБ.

Результаты оценки эффективности управления риском ИБ заносятся в таблицу (см. табл. 4), которая содержит качественную и балльную оценку по каждой области.

<p>Таблица 4. Результаты оценки эффективности управления риском ИБ</p>

Таблица 4. Результаты оценки эффективности управления риском ИБ

На этом примере видно, что существующая система управления риском ИБ оцениваемого банка в целом соответствует требованиям регулятора, но с отдельными несущественными нарушениями, которые рекомендуется оперативно устранить в целях повышения оценки.

Выводы и экспертные рекомендации

Главной целью проведения оценки эффективности СУОР является минимизация рисков, своевременное их предотвращение, а также выявление уязвимостей и их устранение. Данный этап играет важную роль в системе управления рисками, так как в реальности наблюдается тенденция роста разновидностей и количества проявлений рисков. В целях сохранения надежной и бесперебойной работы организации стоит своевременно проводить совершенствование СУОР.

Чек-лист: что делать для получения наивысшего результата оценки эффективности СУОР

  1. Выстроить организацию СУОР таким образом, чтобы она охватывала все структурные подразделения (исключая конфликт интересов) и всю деятельность банка.
  2. Обеспечить полную регламентацию и привести в соответствие с 716-П всю документацию по СУОР.
  3. Уделять внимание качеству реализации установленных процедур управления ОР.
  4. Осуществлять регулярный мониторинг принятого объема ОР.
  5. Соблюдать требования регулятора в области управления риском ИБ и информационных систем.
  6. Утвердить целевые значения КПУР и проводить их регулярный мониторинг.
  7. Соблюдать порядок и срок формирования отчетов об управлении ОР.
  8. В целях повышения объективности оценки эффективности рекомендуется кроме внутренних подразделений привлекать к работе независимых экспертов, обладающих опытом и знаниями в данной сфере.
RTM Group
Пентест веб-приложений: инвестиция в безопасность и защиту информации

Деятельность разработчика веб-приложений связана с различными архитектурными проблемами: от выбора компонентов и оптимизации работы сайта до аудита соответствия требованиям. Кроме того, на различных стадиях создания программных продуктов необходимо «отлавливать» и закрывать разнообразные проблемы безопасности. Согласно статистике Positive Technolog…

Пентест веб-приложений: инвестиция в безопасность и защиту информации
Начать дискуссию