Контакты
Подписка 2025
Статьи по информационной безопасности

Как оценить эффективность системы управления операционным риском? (чек-лист)

Валерия Окорокова, 14/07/23

Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками, а также рекомендации по их минимизации и минимизации соответствующих расходов.

Автор: Валерия Окорокова, младший консультант по ИБ RTM Group

Система управления операционными рисками (СУОР) необходима любой финансовой организации для эффективного управления операционными рисками. Требования регулятора по данному вопросу включают в себя положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее – 716-П) [1] и разъяснение Банка России от 25.04.2022 № 716-Р-2021/63 "Рекомендации по осуществлению оценки эффективности системы управления операционным риском" вместе с Рекомендациями по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы) [2] (далее – методика).

ris1-Jul-14-2023-10-50-55-7445-AM

Предмет и методика оценки эффективности

Перед кредитными организациями стоит важная задача осуществлять ежегодную оценку эффективности функционирования СУОР.

Эта задача содержит в себе следующие составляющие:

  • соответствие СУОР требованиям ЦБ РФ, включая как документирование, так и практическую часть реализации;
  • методы оценки ОР;
  • соблюдение процедур управления ОР, а именно оценка точности и достоверности информации об осуществляемых процедурах в рамках СУОР;
  • порядок ведения базы событий;
  • классификация событий ОР;
  • оценка потерь и компенсаций от реализации ОР;
  • управление риском информационной безопасности;
  • управление риском информационных систем;
  • наличие организованной структуры управления ОР, включающей в себя все подразделения и работников организации (исключая конфликт интересов).

Оценка эффективности существующей СУОР имеет четыре уровня/балла – "хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно", описание которых представлено в табл. 1.

t1
Таблица 1. 4-балльная система качественной оценки

По результатам аудита каждого блока определяется средневзвешенная оценка эффективности и соответствия СУОР кредитной организации требованиям 716-П, а также формулируются выводы (результаты проверки) и рекомендации органам управления кредитной организации.

Этапы оценки эффективности

Оценка эффективности СУОР проводится в несколько этапов, по итогам которых формируется общий результат. В методике представлена рекомендуемая программа проведения оценивания СУОР.

Первый этап (или организационный) направлен на анализ основных составляющих СУОР:

  • вовлеченность всех подразделений и работников кредитной организации;
  • распределение ответственности и задач между ними;
  • наличие отдельного подразделения, ответственного за организацию управления ОР;
  • перечень процессов кредитной организации;
  • наличие центров компетенций для них;
  • порядок взаимодействия подразделений, задействованных в управлении ОР.

На втором этапе оценивается точность и полнота описания процессов СУОР в соответствии с требованиями 716-П во внутренних документах. Иными словами, необходимо провести аудит документации на соответствие СУОР требованиям, установленным регулятором в области системы управления ОР. Как правило, для данного этапа запрашиваются верхнеуровневые документы, такие как:

  • политика управления операционным риском (общие положения);
  • процедуры управления операционным риском;
  • стратегия управления рисками и капиталом;
  • политика информационной безопасности;
  • политика информационных систем.

На следующем этапе происходит оценка качества выполняемых процедур в рамках СУОР. Рассмотрим пример.

Для подведения итогов оценки качества выполняемых процедур в рамках СУОР аудитором составляется отчетная таблица (см. табл. 2).

t2
Таблица 2. Результаты оценки качества выполняемых процедур в рамках СУОР

Средневзвешенная оценка интерпретируется в двух формах:

  • качественная – сводится к меньшему своему значению;
  • балльная – расчет производится путем сложения произведений весового коэффициента и балла.

Остановимся на процедуре качественной оценки уровня ОР. Для проведения аудита потребуются следующие документы:

  • методика качественной оценки уровня операционного риска;
  • процедуры управления операционным риском;
  • протоколы самооценки рисков и контрольных процедур (анкеты);
  • отчеты о самостоятельной оценке;
  • план мероприятий по минимизации операционных рисков и устранению недостатков контрольных процедур;
  • отчет о стресс-тестировании;
  • план и результаты сценарного анализа;
  • другие организационно-распорядительные документы, относящиеся к рассматриваемой процедуре.

В рамках качественной оценки уровня ОР рекомендуется составить отчетную таблицу по результатам оцениваемых предметов для наглядности и подтверждающей недостатки информации.

t3
Таблица 3. Результаты процедуры качественной оценки уровня ОР

Программа проведения оценки эффективности СУОР включает в себя оценку контроля за принятым объемом ОР. На данном этапе необходимо установить целевые показатели объема ОР для каждого направления деятельности. Как мы помним, любые показатели требуют регулярного мониторинга и сопоставления факта с планом. В случае превышения планового значения у организации должны быть разработаны свои меры реагирования.

Стоит обратить внимание на показатель склонности к риску, который тоже необходимо контролировать.

Важная часть СУОР – управление риском ИБ и информационных систем.

Оценка эффективности управления риском информационных систем основывается на важнейших пунктах 716-П.

Система КПУР (контрольный показатель уровня риска. – Прим. ред.) оценивается по следующим предметам:

  • перечень и значения должны быть утверждены советом директоров и (или) исполнительным органом;
  • правильность расчета значений;
  • регулярный мониторинг их соблюдения;
  • отчеты по ОР должны содержать данные о фактических значениях КПУР.

Завершающим этапом является оценка эффективности системы отчетов об управлении ОР. Что за ним стоит?

Все отчеты о СУОР должны находиться в строгом соответствии требованиям и срокам ЦБ РФ. На основании их содержания разрабатываются мероприятия, направленные на повышение эффективности СУОР.

В итоге получаем отчет о результатах оценки эффективности СУОР, который предоставляется уполномоченным подразделением на рассмотрение совету директоров и исполнительному органу для утверждения, как правило, на ежегодной основе.

Оценка эффективности управления риском ИБ

Аудит данной области проводится по следующим вопросам:

  • соблюдение порядка работы системы ИБ в соответствии с внутренними документами организации;
  • распределение функций и ответственности между подразделениями и работниками в пределах системы ИБ;
  • соблюдение порядка и сроков формирования отчетов по рискам ИБ;
  • полнота ведения базы событий рисков ИБ;
  • соблюдение порядка предоставления информации о потерях, связанных с реализацией риска ИБ.

Обратимся к практическому примеру оценки эффективности управления риском ИБ.

Результаты оценки эффективности управления риском ИБ заносятся в таблицу (см. табл. 4), которая содержит качественную и балльную оценку по каждой области.

t4
Таблица 4. Результаты оценки эффективности управления риском ИБ

На этом примере видно, что существующая система управления риском ИБ оцениваемого банка в целом соответствует требованиям регулятора, но с отдельными несущественными нарушениями, которые рекомендуется оперативно устранить в целях повышения оценки.

Выводы и экспертные рекомендации

Главной целью проведения оценки эффективности СУОР является минимизация рисков, своевременное их предотвращение, а также выявление уязвимостей и их устранение. Данный этап играет важную роль в системе управления рисками, так как в реальности наблюдается тенденция роста разновидностей и количества проявлений рисков. В целях сохранения надежной и бесперебойной работы организации стоит своевременно проводить совершенствование СУОР.

Чек-лист: что делать для получения наивысшего результата оценки эффективности СУОР

  1. Выстроить организацию СУОР таким образом, чтобы она охватывала все структурные подразделения (исключая конфликт интересов) и всю деятельность банка.
  2. Обеспечить полную регламентацию и привести в соответствие с 716-П всю документацию по СУОР.
  3. Уделять внимание качеству реализации установленных процедур управления ОР.
  4. Осуществлять регулярный мониторинг принятого объема ОР.
  5. Соблюдать требования регулятора в области управления риском ИБ и информационных систем.
  6. Утвердить целевые значения КПУР и проводить их регулярный мониторинг.
  7. Соблюдать порядок и срок формирования отчетов об управлении ОР.
  8. В целях повышения объективности оценки эффективности рекомендуется кроме внутренних подразделений привлекать к работе независимых экспертов, обладающих опытом и знаниями в данной сфере.
Темы:УправлениеВебмониторэксЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Zero Trust для цепочек поставок
    Алексей Плешков, Независимый эксперт по информационной безопасности, эксперт BIS
    Атака на цепочку поставок представляет собой многоступенчатый процесс, при котором злоумышленники наносят ущерб целевой компании, используя ее доверенных партнеров в качестве слабого звена. Вместо прямого нападения на хорошо защищенную организацию, преступники сначала компрометируют ее контрагентов – подрядчиков, сервис-провайдеров или даже открытые библиотеки кода, – чтобы затем через них проникнуть в основную систему.
  • Методология построения и защиты API простыми словами
    Тимофей Горбунов, продуктовый маркетолог “Вебмониторэкс”
    Задумайтесь, какое количество "толстых" клиентов вы используете уже сегодня? Какие тренды зарубежного технологического рынка сформировались за последние годы и дойдут до нас в полном объеме в ближайшее время?
  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности