«Большая библиотека риск-менеджера и специалиста по операционным рискам» (далее Библиотека) включает документы и материалы, постоянно требующиеся многим сотрудникам и руководителям, которые работают в следующих областях.
- Управление операционными рисками.
- Информационная безопасность, риски информационных систем.
- Обеспечение непрерывности деятельности (business continuity management).
- Обеспечение качества и эффективности бизнес-процессов организации.
- Внутренний аудит, внутренний контроль.
Библиотека предназначена для решения следующих практических задач:
- Построение и развитие системы управления операционным рисками (СУОР), включая управление информационной безопасностью и непрерывностью деятельности.
- Проектирование и развитие бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов организации.
- Обеспечение исполнения бизнес-процессов и регламентов, выполнение процедур аудита и контроля.
- Оптимизация организационной и ролевой структуры по управлению рисками.
- Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников.
- Исполнение национальных и международных стандартов и требований в области операционных рисков. Для банков – это Положение 716-П Банка России.
- Применение лучших профессиональных практик и инноваций в данной области.
Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации:
- Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике.
- Возможность выполнить большой объем задач собственными силами без привлечения внешних консультантов, т.е. дополнительных расходов.
- Минимизация операционных рисков и ошибок за счет готовых проверенных на практике материалов и решений.
- Улучшение показателей KPI бизнес-процессов, качества и эффективности работы организации в целом. Снижение операционных убытков (потерь).
Пользователи
Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление операционных рисков, управление бизнес-процессов и методологии (процессный офис), управление информационных технологий, управление информационной безопасности, управление внутреннего контроля / внутреннего аудита, департамент персонала, проектный офис, бизнес (продуктовые) подразделения, управление качества и стандартизации.
Структура и материалы Библиотеки
1. Регламенты, положения, методики, политики
1.1. Управление рисками (код OR), 31 документ
Базовые документы (код OR)
- Методика управления операционными рисками.
- Типовые операционные риски бизнес-процессов (список).
- Регламент процедуры «Идентификация возможных операционных рисков».
- Инструкция по управлению операционным риском.
- Положение об управлении операционными рисками.
- Положение об организации управления операционным риском.
- Положение о системе управления операционными рисками.
- Стандарт управления рисками (внутренний).
- Политика по управлению операционным риском.
- Политика управления операционными рисками.
- Политика управления рисками.
- Порядок выполнения самооценки системы управления рисками.
- Порядок работы с Планом обеспечения и восстановления непрерывности деятельности.
- Процедура по реагированию на события, связанные с операционными рисками.
- Регламент взаимодействия подразделений при управлении операционными рисками.
- Методика проведения оценки эффективности системы внутреннего контроля.
- Положение о системе внутреннего контроля.
- Положение об организации внутреннего аудита.
- Порядок проведения проверок службой внутреннего аудита.
- Положение об организации системы риск-менеджмента.
- Методика выявления, регистрации и оценки операционных рисков.
- Стратегия управления рисками.
- Регламент процесса «Управление рисками».
- Политика обеспечения непрерывности и восстановления бизнеса.
- Положение о разработке и тестировании плана обеспечения непрерывности и восстановления деятельности.
- Порядок разработки и реализации плана обеспечения непрерывности и восстановления деятельности.
- Методика проведения стресс-тестирования (на примере банка) - Политика проведения стресс-тестирования.
- Положение о проведении стресс-тестирования (на примере банка).
- Положение о стресс-тестировании различных видов рисков (на примере банка).
- Порядок проведения стресс-тестирования рисков (на примере банка).
1.2. Информационные системы и технологии (код IT), 5 документов
- Политика в области обеспечения качества ИТ (IT quality assurance).
- Политика по работе с рисками (инцидентами) в информационных системах.
- Политика по обновлению и развитию ИТ-систем (тестирование, установка, контроль).
- Порядок и план проведения стресс-тестирования по восстановлению работоспособности ИС.
- Порядок резервирования и восстановления ИС, баз данных, СЗИ, оборудования.
1.3. Информационная безопасность (код IB), 20 документов
- Положение о бесперебойной работе информационной сети и защите информации.
- Положение об обеспечении информационной безопасности процессов в ИТ-системах.
- Положение об оценке рисков нарушения информационной безопасности.
- Положение об информационной безопасности при обеспечении непрерывности бизнеса и его восстановления.
- Положение о системе менеджмента информационной безопасности.
- Методика проведения анализа рисков информационной безопасности.
- Порядок контроля уязвимостей программного обеспечения в организации.
- Политика информационной безопасности.
- Положение о защите информации в информационных системах.
- Положение о проведении контроля защищённости информационных систем.
- Порядок разработки систем защиты информации в информационных системах.
- Порядок эксплуатации систем защиты информации в информационных системах.
- Типовая детальная модель защиты информационной системы.
- Классификация информационных систем для обеспечения безопасности персональных данных.
- Модель угроз и нарушителей безопасности информации в информационных системах.
- Положение о категорировании информационных систем и ресурсов в целях защиты.
- Политика антивирусной защиты.
- Положение об антивирусной защите.
- Порядок осуществления контроля за состоянием информационной системы и её безопасности.
- Порядок проведения аудитов и самооценок информационной безопасности.
2. Положения о подразделениях, должностные инструкции (9 документов)
- Должностная инструкция Директора департамента рисков.
- Положение об Отделе операционных рисков.
- Бизнес-архитектура организации (схема взаимодействия подразделений при управлении процессами и рисками).
- Департамент риск-менеджмента (организационная структура).
- Положение о Комитете по информационной безопасности.
- Положение об Отделе информационной безопасности.
- Положение о Комитете по рискам.
- Положение о Комитете по управлению рисками.
- Карта полномочий Директора по управлению рисками.
3. Формы документов и примеры заполнения
3.1. Управление рисками (код OR), 19 документов
- Чек-лист «Оценка эффективности функционирования СУОР».
- Чек-лист «Аудит операционных рисков бизнес-процесса».
- Расчет важности операционного риска.
- Расчет вероятности операционного риска.
- Шаблон таблицы для сбора данных «Операционные риски – факт (события)».
- Шаблон таблицы для сбора данных – «Убытки по фактам рисков (из бухгалтерии)».
- Таблица владельцев, аналитиков и риск-офицеров по бизнес-процессам.
- Матрица распределения рисков по центрам ответственности и бизнес-процессам (включая аудит).
- Отчет о проверке процесса обеспечения непрерывности бизнеса (на примере банка).
- Программа проверки системы управления операционными рисками.
- Стратегия внутреннего аудита и внутреннего контроля (включая риски и ИТ).
- Управление рисками (расчетная таблица Excel).
- План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре.
- Отчет об испытаниях аварийного плана (ОНиВД) и порядок его составления.
- Отчет об устранении замечаний службы внутреннего аудита (шаблон).
- Отчет по стресс-тестированию и сценарному анализу операционных рисков.
- План действий, направленных на обеспечение непрерывности и восстановление деятельности.
- План обеспечения непрерывности и восстановления деятельности (на примере банка).
- Планы и программы обеспечения непрерывности и восстановления деятельности (ОНиВД).
3.2. Информационная безопасность (код IB), 6 документа
- Отчет о проверке безопасности информационной системы (ИС).
- Отчет об уровне зрелости системы информационной безопасности.
- Программа оценки системы информационной безопасности.
- План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам.
- Отчет о результатах обследования процессов обработки персональных данных.
- Отчет о результатах проверки обеспечения защиты персональных данных в ИС.
3.3. Информационные системы и технологии (код IT), 2 документа
- Программа проверки информационных систем (ИС) службой внутреннего контроля.
- План обеспечения непрерывной работы и восстановления информационной системы (ИС) и локальной сети
4. Примеры отчетов(документов)
Код D
- Анализ возможных операционных рисков процедуры.
- Операционные риски (план и факт) в ответственности должности.
- Операционные риски и операционные убытки бизнес-процесса.
- Операционные риски информационной системы (ИС).
- Статистика и анализ по типу события операционного риска.
- Чистые (фактические) потери от реализации события операционного риска.
Код S
- Анализ всех возможных операционных рисков и статистика.
- Анализ фактов всех операционных рисков с детализацией убытков.
- Контроль задач (мероприятий) по закрытию (проработке) фактов рисков.
- Контроль предупреждающих действий для идентифицированных рисков.
- Расчет суммы чистых (фактических) убытков (потерь) в организации.
5. Модели процессов и процедур (23 файла)
- Управление операционными рисками (7 моделей).
- Управление другими видами рисков (3 модели): репутационными, правовыми, рыночными.
- Антикризисное управление (5 моделей).
- Работа с претензиями клиентов (4 модели).
- Управление безопасностью информации (Information Security Management).
- Управление инцидентами (Incident Management).
- Управление изменениями (Change Management).
- Управление доступом (Access Management).
6. Разные модели и материалы (10 файлов)
- Модель анализа причин «Большое количество операционных рисков в бизнес-процессах».
- Модель решений «Как снизить количество операционных рисков в бизнес-процессах».
- Стратегическая карта «Антикризисная».
- Стратегическая карта «Развитие системы управления операционными рисками».
- Показатели KPI процесса «Управление операционными рисками», включая оценку работы департамента операционных рисков.
- Показатели KPI процесса «Обеспечение безопасности».
- Контрольные показатели уровня операционного риска.
- Аналитическая таблица «Сравнительный анализ и поддержка принятия решений».
- Электронная книга «Исаев Р.А. 60 примеров успешных и проблемных проектов организационного развития». Содержит примеры проектов по тематике операционных рисков и бизнес-процессов.
- Электронное пособие «Исаев Р.А. Управление операционными рисками: процессы, технологии, практика».
7. Онлайн-тренажер «Эксперт по управлению операционными рисками»
Онлайн-тренажер представляет собой информационную систему (веб-портал), включающую 50+ бизнес-кейсов и вопросов, на которые можно отвечать в онлайн-режиме и сразу видеть результат по каждому ответу. Доступ осуществляется через веб-браузер с компьютера, смартфона или планшета.
Практические задачи, которые решает онлайн-тренажер
- Возможность постоянных коммуникаций и обмена опытом между пользователями онлайн-тренажера (включая ведущих экспертов) в закрытом Telegram чате.
- Отработать навыки принятия решений в сложных и нестандартных ситуациях управления операционными рисками.
- Самооценка знаний в области «Управление операционными рисками» и профессиональное развитие.
- Проведение аттестации специалистов внутри организации.
- Проверка знаний кандидатов или принятие решения о выборе кандидатов при приеме на работу.
- Применение в рамках построения и развития системы управления операционными рисками (СУОР) в организации.
- Обзор практических наработок и инноваций, которые применяют ведущие организации.
Чем отличается онлайн-тренажер от обычных электронных тестов
- Для прохождения обычных электронных тестов в любых профессиональных областях всегда дается 1-2 попытки, которые ограничены по времени. Цель онлайн-тренажера – добиться 100% результата. Для этого дается 5 попыток (на 1 логин), которые не ограничены по времени. Т.е. с каждой новой попыткой (подходом) можно увеличивать результат и экспертный уровень.
- Обычные электронные тесты содержат большое количество коротких вопросов, чаще всего теоретических. Онлайн-тренажер кроме вопросов содержит также подробные бизнес-кейсы и практические задания из опыта работы реальных организаций.
Состав поставки
В рамках Библиотеки предоставляется 5 логинов на доступ к онлайн-тренажеру. Срок действия логинов не ограничен. Возможна поставка любого количества логинов по отдельному договору. Никакого программного обеспечения устанавливать не требуется, требуется только веб-браузер.
8. Электронная база знаний
Представляет собой веб-портал (HTML-страницы) и открывается в браузере (Google Chrome, Opera, Edge и др.). Для объектов справочников включено более 100 примеров отчетов, которые можно сохранять в форматах Word, Excel, PDF на локальный компьютер. Включает следующие заполненные справочники (классификаторы) по управлению операционными рисками.
- Типы событий операционного риска.
- Виды операционного риска.
- Виды убытков (потерь).
- Виды возмещений потерь.
- Источники рисков.
- Статусы фактов (событий) рисков.
- Идентификация рисков (план).
- Факты (события) рисков.
- Задачи (предупреждающие и корректирующие действия по рискам).
- Отчеты.
- Чек-листы.
- Показатели (включая ключевые индикаторы рисков - КИРы).