Контакты
Подписка 2025
Статьи по информационной безопасности

Как оценить эффективность системы управления операционным риском? (чек-лист)

Валерия Окорокова, 14/07/23

Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками, а также рекомендации по их минимизации и минимизации соответствующих расходов.

Автор: Валерия Окорокова, младший консультант по ИБ RTM Group

Система управления операционными рисками (СУОР) необходима любой финансовой организации для эффективного управления операционными рисками. Требования регулятора по данному вопросу включают в себя положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее – 716-П) [1] и разъяснение Банка России от 25.04.2022 № 716-Р-2021/63 "Рекомендации по осуществлению оценки эффективности системы управления операционным риском" вместе с Рекомендациями по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы) [2] (далее – методика).

ris1-Jul-14-2023-10-50-55-7445-AM

Предмет и методика оценки эффективности

Перед кредитными организациями стоит важная задача осуществлять ежегодную оценку эффективности функционирования СУОР.

Эта задача содержит в себе следующие составляющие:

  • соответствие СУОР требованиям ЦБ РФ, включая как документирование, так и практическую часть реализации;
  • методы оценки ОР;
  • соблюдение процедур управления ОР, а именно оценка точности и достоверности информации об осуществляемых процедурах в рамках СУОР;
  • порядок ведения базы событий;
  • классификация событий ОР;
  • оценка потерь и компенсаций от реализации ОР;
  • управление риском информационной безопасности;
  • управление риском информационных систем;
  • наличие организованной структуры управления ОР, включающей в себя все подразделения и работников организации (исключая конфликт интересов).

Оценка эффективности существующей СУОР имеет четыре уровня/балла – "хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно", описание которых представлено в табл. 1.

t1
Таблица 1. 4-балльная система качественной оценки

По результатам аудита каждого блока определяется средневзвешенная оценка эффективности и соответствия СУОР кредитной организации требованиям 716-П, а также формулируются выводы (результаты проверки) и рекомендации органам управления кредитной организации.

Этапы оценки эффективности

Оценка эффективности СУОР проводится в несколько этапов, по итогам которых формируется общий результат. В методике представлена рекомендуемая программа проведения оценивания СУОР.

Первый этап (или организационный) направлен на анализ основных составляющих СУОР:

  • вовлеченность всех подразделений и работников кредитной организации;
  • распределение ответственности и задач между ними;
  • наличие отдельного подразделения, ответственного за организацию управления ОР;
  • перечень процессов кредитной организации;
  • наличие центров компетенций для них;
  • порядок взаимодействия подразделений, задействованных в управлении ОР.

На втором этапе оценивается точность и полнота описания процессов СУОР в соответствии с требованиями 716-П во внутренних документах. Иными словами, необходимо провести аудит документации на соответствие СУОР требованиям, установленным регулятором в области системы управления ОР. Как правило, для данного этапа запрашиваются верхнеуровневые документы, такие как:

  • политика управления операционным риском (общие положения);
  • процедуры управления операционным риском;
  • стратегия управления рисками и капиталом;
  • политика информационной безопасности;
  • политика информационных систем.

На следующем этапе происходит оценка качества выполняемых процедур в рамках СУОР. Рассмотрим пример.

Для подведения итогов оценки качества выполняемых процедур в рамках СУОР аудитором составляется отчетная таблица (см. табл. 2).

t2
Таблица 2. Результаты оценки качества выполняемых процедур в рамках СУОР

Средневзвешенная оценка интерпретируется в двух формах:

  • качественная – сводится к меньшему своему значению;
  • балльная – расчет производится путем сложения произведений весового коэффициента и балла.

Остановимся на процедуре качественной оценки уровня ОР. Для проведения аудита потребуются следующие документы:

  • методика качественной оценки уровня операционного риска;
  • процедуры управления операционным риском;
  • протоколы самооценки рисков и контрольных процедур (анкеты);
  • отчеты о самостоятельной оценке;
  • план мероприятий по минимизации операционных рисков и устранению недостатков контрольных процедур;
  • отчет о стресс-тестировании;
  • план и результаты сценарного анализа;
  • другие организационно-распорядительные документы, относящиеся к рассматриваемой процедуре.

В рамках качественной оценки уровня ОР рекомендуется составить отчетную таблицу по результатам оцениваемых предметов для наглядности и подтверждающей недостатки информации.

t3
Таблица 3. Результаты процедуры качественной оценки уровня ОР

Программа проведения оценки эффективности СУОР включает в себя оценку контроля за принятым объемом ОР. На данном этапе необходимо установить целевые показатели объема ОР для каждого направления деятельности. Как мы помним, любые показатели требуют регулярного мониторинга и сопоставления факта с планом. В случае превышения планового значения у организации должны быть разработаны свои меры реагирования.

Стоит обратить внимание на показатель склонности к риску, который тоже необходимо контролировать.

Важная часть СУОР – управление риском ИБ и информационных систем.

Оценка эффективности управления риском информационных систем основывается на важнейших пунктах 716-П.

Система КПУР (контрольный показатель уровня риска. – Прим. ред.) оценивается по следующим предметам:

  • перечень и значения должны быть утверждены советом директоров и (или) исполнительным органом;
  • правильность расчета значений;
  • регулярный мониторинг их соблюдения;
  • отчеты по ОР должны содержать данные о фактических значениях КПУР.

Завершающим этапом является оценка эффективности системы отчетов об управлении ОР. Что за ним стоит?

Все отчеты о СУОР должны находиться в строгом соответствии требованиям и срокам ЦБ РФ. На основании их содержания разрабатываются мероприятия, направленные на повышение эффективности СУОР.

В итоге получаем отчет о результатах оценки эффективности СУОР, который предоставляется уполномоченным подразделением на рассмотрение совету директоров и исполнительному органу для утверждения, как правило, на ежегодной основе.

Оценка эффективности управления риском ИБ

Аудит данной области проводится по следующим вопросам:

  • соблюдение порядка работы системы ИБ в соответствии с внутренними документами организации;
  • распределение функций и ответственности между подразделениями и работниками в пределах системы ИБ;
  • соблюдение порядка и сроков формирования отчетов по рискам ИБ;
  • полнота ведения базы событий рисков ИБ;
  • соблюдение порядка предоставления информации о потерях, связанных с реализацией риска ИБ.

Обратимся к практическому примеру оценки эффективности управления риском ИБ.

Результаты оценки эффективности управления риском ИБ заносятся в таблицу (см. табл. 4), которая содержит качественную и балльную оценку по каждой области.

t4
Таблица 4. Результаты оценки эффективности управления риском ИБ

На этом примере видно, что существующая система управления риском ИБ оцениваемого банка в целом соответствует требованиям регулятора, но с отдельными несущественными нарушениями, которые рекомендуется оперативно устранить в целях повышения оценки.

Выводы и экспертные рекомендации

Главной целью проведения оценки эффективности СУОР является минимизация рисков, своевременное их предотвращение, а также выявление уязвимостей и их устранение. Данный этап играет важную роль в системе управления рисками, так как в реальности наблюдается тенденция роста разновидностей и количества проявлений рисков. В целях сохранения надежной и бесперебойной работы организации стоит своевременно проводить совершенствование СУОР.

Чек-лист: что делать для получения наивысшего результата оценки эффективности СУОР

  1. Выстроить организацию СУОР таким образом, чтобы она охватывала все структурные подразделения (исключая конфликт интересов) и всю деятельность банка.
  2. Обеспечить полную регламентацию и привести в соответствие с 716-П всю документацию по СУОР.
  3. Уделять внимание качеству реализации установленных процедур управления ОР.
  4. Осуществлять регулярный мониторинг принятого объема ОР.
  5. Соблюдать требования регулятора в области управления риском ИБ и информационных систем.
  6. Утвердить целевые значения КПУР и проводить их регулярный мониторинг.
  7. Соблюдать порядок и срок формирования отчетов об управлении ОР.
  8. В целях повышения объективности оценки эффективности рекомендуется кроме внутренних подразделений привлекать к работе независимых экспертов, обладающих опытом и знаниями в данной сфере.
Темы:УправлениеВебмониторэксЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Обзор новинок UserGate конца 2024 года
    Компания UserGate обычно радует рынок своими новинками в апреле, но в этом году решила, что ждать весны слишком долго, и выстрелила новыми продуктами уже в ноябре. Темп инноваций лишний раз напоминает, что улучшение безопасности – это вопрос не календаря, а готовности разработчиков удивлять своих клиентов.
  • Что нужно знать про новые штрафы в области ПДн?
    Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”
    В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"