Контакты
Подписка 2024

Как оценить эффективность системы управления операционным риском? (чек-лист)

Валерия Окорокова, 14/07/23

Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками, а также рекомендации по их минимизации и минимизации соответствующих расходов.

Автор: Валерия Окорокова, младший консультант по ИБ RTM Group

Система управления операционными рисками (СУОР) необходима любой финансовой организации для эффективного управления операционными рисками. Требования регулятора по данному вопросу включают в себя положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее – 716-П) [1] и разъяснение Банка России от 25.04.2022 № 716-Р-2021/63 "Рекомендации по осуществлению оценки эффективности системы управления операционным риском" вместе с Рекомендациями по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы) [2] (далее – методика).

ris1-Jul-14-2023-10-50-55-7445-AM

Предмет и методика оценки эффективности

Перед кредитными организациями стоит важная задача осуществлять ежегодную оценку эффективности функционирования СУОР.

Эта задача содержит в себе следующие составляющие:

  • соответствие СУОР требованиям ЦБ РФ, включая как документирование, так и практическую часть реализации;
  • методы оценки ОР;
  • соблюдение процедур управления ОР, а именно оценка точности и достоверности информации об осуществляемых процедурах в рамках СУОР;
  • порядок ведения базы событий;
  • классификация событий ОР;
  • оценка потерь и компенсаций от реализации ОР;
  • управление риском информационной безопасности;
  • управление риском информационных систем;
  • наличие организованной структуры управления ОР, включающей в себя все подразделения и работников организации (исключая конфликт интересов).

Оценка эффективности существующей СУОР имеет четыре уровня/балла – "хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно", описание которых представлено в табл. 1.

t1
Таблица 1. 4-балльная система качественной оценки

По результатам аудита каждого блока определяется средневзвешенная оценка эффективности и соответствия СУОР кредитной организации требованиям 716-П, а также формулируются выводы (результаты проверки) и рекомендации органам управления кредитной организации.

Этапы оценки эффективности

Оценка эффективности СУОР проводится в несколько этапов, по итогам которых формируется общий результат. В методике представлена рекомендуемая программа проведения оценивания СУОР.

Первый этап (или организационный) направлен на анализ основных составляющих СУОР:

  • вовлеченность всех подразделений и работников кредитной организации;
  • распределение ответственности и задач между ними;
  • наличие отдельного подразделения, ответственного за организацию управления ОР;
  • перечень процессов кредитной организации;
  • наличие центров компетенций для них;
  • порядок взаимодействия подразделений, задействованных в управлении ОР.

На втором этапе оценивается точность и полнота описания процессов СУОР в соответствии с требованиями 716-П во внутренних документах. Иными словами, необходимо провести аудит документации на соответствие СУОР требованиям, установленным регулятором в области системы управления ОР. Как правило, для данного этапа запрашиваются верхнеуровневые документы, такие как:

  • политика управления операционным риском (общие положения);
  • процедуры управления операционным риском;
  • стратегия управления рисками и капиталом;
  • политика информационной безопасности;
  • политика информационных систем.

На следующем этапе происходит оценка качества выполняемых процедур в рамках СУОР. Рассмотрим пример.

Для подведения итогов оценки качества выполняемых процедур в рамках СУОР аудитором составляется отчетная таблица (см. табл. 2).

t2
Таблица 2. Результаты оценки качества выполняемых процедур в рамках СУОР

Средневзвешенная оценка интерпретируется в двух формах:

  • качественная – сводится к меньшему своему значению;
  • балльная – расчет производится путем сложения произведений весового коэффициента и балла.

Остановимся на процедуре качественной оценки уровня ОР. Для проведения аудита потребуются следующие документы:

  • методика качественной оценки уровня операционного риска;
  • процедуры управления операционным риском;
  • протоколы самооценки рисков и контрольных процедур (анкеты);
  • отчеты о самостоятельной оценке;
  • план мероприятий по минимизации операционных рисков и устранению недостатков контрольных процедур;
  • отчет о стресс-тестировании;
  • план и результаты сценарного анализа;
  • другие организационно-распорядительные документы, относящиеся к рассматриваемой процедуре.

В рамках качественной оценки уровня ОР рекомендуется составить отчетную таблицу по результатам оцениваемых предметов для наглядности и подтверждающей недостатки информации.

t3
Таблица 3. Результаты процедуры качественной оценки уровня ОР

Программа проведения оценки эффективности СУОР включает в себя оценку контроля за принятым объемом ОР. На данном этапе необходимо установить целевые показатели объема ОР для каждого направления деятельности. Как мы помним, любые показатели требуют регулярного мониторинга и сопоставления факта с планом. В случае превышения планового значения у организации должны быть разработаны свои меры реагирования.

Стоит обратить внимание на показатель склонности к риску, который тоже необходимо контролировать.

Важная часть СУОР – управление риском ИБ и информационных систем.

Оценка эффективности управления риском информационных систем основывается на важнейших пунктах 716-П.

Система КПУР (контрольный показатель уровня риска. – Прим. ред.) оценивается по следующим предметам:

  • перечень и значения должны быть утверждены советом директоров и (или) исполнительным органом;
  • правильность расчета значений;
  • регулярный мониторинг их соблюдения;
  • отчеты по ОР должны содержать данные о фактических значениях КПУР.

Завершающим этапом является оценка эффективности системы отчетов об управлении ОР. Что за ним стоит?

Все отчеты о СУОР должны находиться в строгом соответствии требованиям и срокам ЦБ РФ. На основании их содержания разрабатываются мероприятия, направленные на повышение эффективности СУОР.

В итоге получаем отчет о результатах оценки эффективности СУОР, который предоставляется уполномоченным подразделением на рассмотрение совету директоров и исполнительному органу для утверждения, как правило, на ежегодной основе.

Оценка эффективности управления риском ИБ

Аудит данной области проводится по следующим вопросам:

  • соблюдение порядка работы системы ИБ в соответствии с внутренними документами организации;
  • распределение функций и ответственности между подразделениями и работниками в пределах системы ИБ;
  • соблюдение порядка и сроков формирования отчетов по рискам ИБ;
  • полнота ведения базы событий рисков ИБ;
  • соблюдение порядка предоставления информации о потерях, связанных с реализацией риска ИБ.

Обратимся к практическому примеру оценки эффективности управления риском ИБ.

Результаты оценки эффективности управления риском ИБ заносятся в таблицу (см. табл. 4), которая содержит качественную и балльную оценку по каждой области.

t4
Таблица 4. Результаты оценки эффективности управления риском ИБ

На этом примере видно, что существующая система управления риском ИБ оцениваемого банка в целом соответствует требованиям регулятора, но с отдельными несущественными нарушениями, которые рекомендуется оперативно устранить в целях повышения оценки.

Выводы и экспертные рекомендации

Главной целью проведения оценки эффективности СУОР является минимизация рисков, своевременное их предотвращение, а также выявление уязвимостей и их устранение. Данный этап играет важную роль в системе управления рисками, так как в реальности наблюдается тенденция роста разновидностей и количества проявлений рисков. В целях сохранения надежной и бесперебойной работы организации стоит своевременно проводить совершенствование СУОР.

Чек-лист: что делать для получения наивысшего результата оценки эффективности СУОР

  1. Выстроить организацию СУОР таким образом, чтобы она охватывала все структурные подразделения (исключая конфликт интересов) и всю деятельность банка.
  2. Обеспечить полную регламентацию и привести в соответствие с 716-П всю документацию по СУОР.
  3. Уделять внимание качеству реализации установленных процедур управления ОР.
  4. Осуществлять регулярный мониторинг принятого объема ОР.
  5. Соблюдать требования регулятора в области управления риском ИБ и информационных систем.
  6. Утвердить целевые значения КПУР и проводить их регулярный мониторинг.
  7. Соблюдать порядок и срок формирования отчетов об управлении ОР.
  8. В целях повышения объективности оценки эффективности рекомендуется кроме внутренних подразделений привлекать к работе независимых экспертов, обладающих опытом и знаниями в данной сфере.

Темы:УправлениеУправление рискамиСУОРЖурнал "Информационная безопасность" №4, 2023

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...