Автор: Валерия Окорокова, младший консультант по ИБ RTM Group
Система управления операционными рисками (СУОР) необходима любой финансовой организации для эффективного управления операционными рисками. Требования регулятора по данному вопросу включают в себя положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее – 716-П) [1] и разъяснение Банка России от 25.04.2022 № 716-Р-2021/63 "Рекомендации по осуществлению оценки эффективности системы управления операционным риском" вместе с Рекомендациями по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы) [2] (далее – методика).
Перед кредитными организациями стоит важная задача осуществлять ежегодную оценку эффективности функционирования СУОР.
Эта задача содержит в себе следующие составляющие:
Оценка эффективности существующей СУОР имеет четыре уровня/балла – "хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно", описание которых представлено в табл. 1.
Таблица 1. 4-балльная система качественной оценки
По результатам аудита каждого блока определяется средневзвешенная оценка эффективности и соответствия СУОР кредитной организации требованиям 716-П, а также формулируются выводы (результаты проверки) и рекомендации органам управления кредитной организации.
Оценка эффективности СУОР проводится в несколько этапов, по итогам которых формируется общий результат. В методике представлена рекомендуемая программа проведения оценивания СУОР.
Первый этап (или организационный) направлен на анализ основных составляющих СУОР:
На втором этапе оценивается точность и полнота описания процессов СУОР в соответствии с требованиями 716-П во внутренних документах. Иными словами, необходимо провести аудит документации на соответствие СУОР требованиям, установленным регулятором в области системы управления ОР. Как правило, для данного этапа запрашиваются верхнеуровневые документы, такие как:
На следующем этапе происходит оценка качества выполняемых процедур в рамках СУОР. Рассмотрим пример.
Для подведения итогов оценки качества выполняемых процедур в рамках СУОР аудитором составляется отчетная таблица (см. табл. 2).
Таблица 2. Результаты оценки качества выполняемых процедур в рамках СУОР
Средневзвешенная оценка интерпретируется в двух формах:
Остановимся на процедуре качественной оценки уровня ОР. Для проведения аудита потребуются следующие документы:
В рамках качественной оценки уровня ОР рекомендуется составить отчетную таблицу по результатам оцениваемых предметов для наглядности и подтверждающей недостатки информации.
Таблица 3. Результаты процедуры качественной оценки уровня ОР
Программа проведения оценки эффективности СУОР включает в себя оценку контроля за принятым объемом ОР. На данном этапе необходимо установить целевые показатели объема ОР для каждого направления деятельности. Как мы помним, любые показатели требуют регулярного мониторинга и сопоставления факта с планом. В случае превышения планового значения у организации должны быть разработаны свои меры реагирования.
Стоит обратить внимание на показатель склонности к риску, который тоже необходимо контролировать.
Важная часть СУОР – управление риском ИБ и информационных систем.
Оценка эффективности управления риском информационных систем основывается на важнейших пунктах 716-П.
Система КПУР (контрольный показатель уровня риска. – Прим. ред.) оценивается по следующим предметам:
Завершающим этапом является оценка эффективности системы отчетов об управлении ОР. Что за ним стоит?
Все отчеты о СУОР должны находиться в строгом соответствии требованиям и срокам ЦБ РФ. На основании их содержания разрабатываются мероприятия, направленные на повышение эффективности СУОР.
В итоге получаем отчет о результатах оценки эффективности СУОР, который предоставляется уполномоченным подразделением на рассмотрение совету директоров и исполнительному органу для утверждения, как правило, на ежегодной основе.
Аудит данной области проводится по следующим вопросам:
Обратимся к практическому примеру оценки эффективности управления риском ИБ.
Результаты оценки эффективности управления риском ИБ заносятся в таблицу (см. табл. 4), которая содержит качественную и балльную оценку по каждой области.
Таблица 4. Результаты оценки эффективности управления риском ИБ
На этом примере видно, что существующая система управления риском ИБ оцениваемого банка в целом соответствует требованиям регулятора, но с отдельными несущественными нарушениями, которые рекомендуется оперативно устранить в целях повышения оценки.
Главной целью проведения оценки эффективности СУОР является минимизация рисков, своевременное их предотвращение, а также выявление уязвимостей и их устранение. Данный этап играет важную роль в системе управления рисками, так как в реальности наблюдается тенденция роста разновидностей и количества проявлений рисков. В целях сохранения надежной и бесперебойной работы организации стоит своевременно проводить совершенствование СУОР.