Контакты
Подписка 2024
Статьи по информационной безопасности

Как оценить эффективность системы управления операционным риском? (чек-лист)

Валерия Окорокова, 14/07/23

Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками, а также рекомендации по их минимизации и минимизации соответствующих расходов.

Автор: Валерия Окорокова, младший консультант по ИБ RTM Group

Система управления операционными рисками (СУОР) необходима любой финансовой организации для эффективного управления операционными рисками. Требования регулятора по данному вопросу включают в себя положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее – 716-П) [1] и разъяснение Банка России от 25.04.2022 № 716-Р-2021/63 "Рекомендации по осуществлению оценки эффективности системы управления операционным риском" вместе с Рекомендациями по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы) [2] (далее – методика).

ris1-Jul-14-2023-10-50-55-7445-AM

Предмет и методика оценки эффективности

Перед кредитными организациями стоит важная задача осуществлять ежегодную оценку эффективности функционирования СУОР.

Эта задача содержит в себе следующие составляющие:

  • соответствие СУОР требованиям ЦБ РФ, включая как документирование, так и практическую часть реализации;
  • методы оценки ОР;
  • соблюдение процедур управления ОР, а именно оценка точности и достоверности информации об осуществляемых процедурах в рамках СУОР;
  • порядок ведения базы событий;
  • классификация событий ОР;
  • оценка потерь и компенсаций от реализации ОР;
  • управление риском информационной безопасности;
  • управление риском информационных систем;
  • наличие организованной структуры управления ОР, включающей в себя все подразделения и работников организации (исключая конфликт интересов).

Оценка эффективности существующей СУОР имеет четыре уровня/балла – "хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно", описание которых представлено в табл. 1.

t1
Таблица 1. 4-балльная система качественной оценки

По результатам аудита каждого блока определяется средневзвешенная оценка эффективности и соответствия СУОР кредитной организации требованиям 716-П, а также формулируются выводы (результаты проверки) и рекомендации органам управления кредитной организации.

Этапы оценки эффективности

Оценка эффективности СУОР проводится в несколько этапов, по итогам которых формируется общий результат. В методике представлена рекомендуемая программа проведения оценивания СУОР.

Первый этап (или организационный) направлен на анализ основных составляющих СУОР:

  • вовлеченность всех подразделений и работников кредитной организации;
  • распределение ответственности и задач между ними;
  • наличие отдельного подразделения, ответственного за организацию управления ОР;
  • перечень процессов кредитной организации;
  • наличие центров компетенций для них;
  • порядок взаимодействия подразделений, задействованных в управлении ОР.

На втором этапе оценивается точность и полнота описания процессов СУОР в соответствии с требованиями 716-П во внутренних документах. Иными словами, необходимо провести аудит документации на соответствие СУОР требованиям, установленным регулятором в области системы управления ОР. Как правило, для данного этапа запрашиваются верхнеуровневые документы, такие как:

  • политика управления операционным риском (общие положения);
  • процедуры управления операционным риском;
  • стратегия управления рисками и капиталом;
  • политика информационной безопасности;
  • политика информационных систем.

На следующем этапе происходит оценка качества выполняемых процедур в рамках СУОР. Рассмотрим пример.

Для подведения итогов оценки качества выполняемых процедур в рамках СУОР аудитором составляется отчетная таблица (см. табл. 2).

t2
Таблица 2. Результаты оценки качества выполняемых процедур в рамках СУОР

Средневзвешенная оценка интерпретируется в двух формах:

  • качественная – сводится к меньшему своему значению;
  • балльная – расчет производится путем сложения произведений весового коэффициента и балла.

Остановимся на процедуре качественной оценки уровня ОР. Для проведения аудита потребуются следующие документы:

  • методика качественной оценки уровня операционного риска;
  • процедуры управления операционным риском;
  • протоколы самооценки рисков и контрольных процедур (анкеты);
  • отчеты о самостоятельной оценке;
  • план мероприятий по минимизации операционных рисков и устранению недостатков контрольных процедур;
  • отчет о стресс-тестировании;
  • план и результаты сценарного анализа;
  • другие организационно-распорядительные документы, относящиеся к рассматриваемой процедуре.

В рамках качественной оценки уровня ОР рекомендуется составить отчетную таблицу по результатам оцениваемых предметов для наглядности и подтверждающей недостатки информации.

t3
Таблица 3. Результаты процедуры качественной оценки уровня ОР

Программа проведения оценки эффективности СУОР включает в себя оценку контроля за принятым объемом ОР. На данном этапе необходимо установить целевые показатели объема ОР для каждого направления деятельности. Как мы помним, любые показатели требуют регулярного мониторинга и сопоставления факта с планом. В случае превышения планового значения у организации должны быть разработаны свои меры реагирования.

Стоит обратить внимание на показатель склонности к риску, который тоже необходимо контролировать.

Важная часть СУОР – управление риском ИБ и информационных систем.

Оценка эффективности управления риском информационных систем основывается на важнейших пунктах 716-П.

Система КПУР (контрольный показатель уровня риска. – Прим. ред.) оценивается по следующим предметам:

  • перечень и значения должны быть утверждены советом директоров и (или) исполнительным органом;
  • правильность расчета значений;
  • регулярный мониторинг их соблюдения;
  • отчеты по ОР должны содержать данные о фактических значениях КПУР.

Завершающим этапом является оценка эффективности системы отчетов об управлении ОР. Что за ним стоит?

Все отчеты о СУОР должны находиться в строгом соответствии требованиям и срокам ЦБ РФ. На основании их содержания разрабатываются мероприятия, направленные на повышение эффективности СУОР.

В итоге получаем отчет о результатах оценки эффективности СУОР, который предоставляется уполномоченным подразделением на рассмотрение совету директоров и исполнительному органу для утверждения, как правило, на ежегодной основе.

Оценка эффективности управления риском ИБ

Аудит данной области проводится по следующим вопросам:

  • соблюдение порядка работы системы ИБ в соответствии с внутренними документами организации;
  • распределение функций и ответственности между подразделениями и работниками в пределах системы ИБ;
  • соблюдение порядка и сроков формирования отчетов по рискам ИБ;
  • полнота ведения базы событий рисков ИБ;
  • соблюдение порядка предоставления информации о потерях, связанных с реализацией риска ИБ.

Обратимся к практическому примеру оценки эффективности управления риском ИБ.

Результаты оценки эффективности управления риском ИБ заносятся в таблицу (см. табл. 4), которая содержит качественную и балльную оценку по каждой области.

t4
Таблица 4. Результаты оценки эффективности управления риском ИБ

На этом примере видно, что существующая система управления риском ИБ оцениваемого банка в целом соответствует требованиям регулятора, но с отдельными несущественными нарушениями, которые рекомендуется оперативно устранить в целях повышения оценки.

Выводы и экспертные рекомендации

Главной целью проведения оценки эффективности СУОР является минимизация рисков, своевременное их предотвращение, а также выявление уязвимостей и их устранение. Данный этап играет важную роль в системе управления рисками, так как в реальности наблюдается тенденция роста разновидностей и количества проявлений рисков. В целях сохранения надежной и бесперебойной работы организации стоит своевременно проводить совершенствование СУОР.

Чек-лист: что делать для получения наивысшего результата оценки эффективности СУОР

  1. Выстроить организацию СУОР таким образом, чтобы она охватывала все структурные подразделения (исключая конфликт интересов) и всю деятельность банка.
  2. Обеспечить полную регламентацию и привести в соответствие с 716-П всю документацию по СУОР.
  3. Уделять внимание качеству реализации установленных процедур управления ОР.
  4. Осуществлять регулярный мониторинг принятого объема ОР.
  5. Соблюдать требования регулятора в области управления риском ИБ и информационных систем.
  6. Утвердить целевые значения КПУР и проводить их регулярный мониторинг.
  7. Соблюдать порядок и срок формирования отчетов об управлении ОР.
  8. В целях повышения объективности оценки эффективности рекомендуется кроме внутренних подразделений привлекать к работе независимых экспертов, обладающих опытом и знаниями в данной сфере.
Темы:УправлениеУправление рискамиСУОРЖурнал "Информационная безопасность" №4, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • SECURITY AWARENESS: разработка мероприятий по повышению осведомленности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
  • ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ
    Чтобы решить задачу по организации/модернизации системы реагирования на инциденты, задайте себе несколько следующих вопросов.
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"