Большая библиотека риск-менеджера и специалиста по операционным рискам. Версия 3.0

«Большая библиотека риск-менеджера и специалиста по операционным рискам» (далее Библиотека) включает документы и материалы, постоянно требующиеся многим сотрудникам и руководителям, которые работают в следующих областях.

• Управление операционными рисками.
• Информационная безопасность, риски информационных систем.
• Обеспечение непрерывности деятельности (business continuity management).
• Обеспечение качества и эффективности бизнес-процессов организации.
• Внутренний аудит, внутренний контроль.

Библиотека предназначена для решения следующих практических задач:

• Построение и развитие системы управления операционным рисками (СУОР), включая управление информационной безопасностью и непрерывностью деятельности.
• Проектирование и развитие бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов организации.
• Обеспечение исполнения бизнес-процессов и регламентов, выполнение процедур аудита и контроля.
• Оптимизация организационной и ролевой структуры по управлению рисками.
• Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников.
• Исполнение национальных и международных стандартов и требований в области операционных рисков. Для банков – это Положение 716-П Банка России.
• Применение лучших профессиональных практик и инноваций в данной области. 

Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации:

• Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике.
• Возможность выполнить большой объем задач собственными силами без привлечения внешних консультантов, т.е. дополнительных расходов.
• Минимизация операционных рисков и ошибок за счет готовых проверенных на практике материалов и решений.
• Улучшение показателей KPI бизнес-процессов, качества и эффективности работы организации в целом. Снижение операционных убытков (потерь). 

Пользователи

Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление операционных рисков, управление бизнес-процессов и методологии (процессный офис), управление информационных технологий, управление информационной безопасности, управление внутреннего контроля / внутреннего аудита, департамент персонала, проектный офис, бизнес (продуктовые) подразделения, управление качества и стандартизации. 

Структура и материалы Библиотеки

1. Регламенты, положения, методики, политики

1.1. Управление рисками (код OR), 31 документ

Базовые документы (код OR)

• Методика управления операционными рисками.
• Типовые операционные риски бизнес-процессов (список).
• Регламент процедуры «Идентификация возможных операционных рисков».
• Инструкция по управлению операционным риском.
• Положение об управлении операционными рисками.
• Положение об организации управления операционным риском.
• Положение о системе управления операционными рисками.
• Стандарт управления рисками (внутренний).
• Политика по управлению операционным риском.
• Политика управления операционными рисками.
• Политика управления рисками.
• Порядок выполнения самооценки системы управления рисками.
• Порядок работы с Планом обеспечения и восстановления непрерывности деятельности.
• Процедура по реагированию на события, связанные с операционными рисками.
• Регламент взаимодействия подразделений при управлении операционными рисками.
• Методика проведения оценки эффективности системы внутреннего контроля.
• Положение о системе внутреннего контроля.
• Положение об организации внутреннего аудита.
• Порядок проведения проверок службой внутреннего аудита.
• Положение об организации системы риск-менеджмента.
• Методика выявления, регистрации и оценки операционных рисков.
• Стратегия управления рисками.
• Регламент процесса «Управление рисками».
• Политика обеспечения непрерывности и восстановления бизнеса.
• Положение о разработке и тестировании плана обеспечения непрерывности и восстановления деятельности.
• Порядок разработки и реализации плана обеспечения непрерывности и восстановления деятельности.
• Методика проведения стресс-тестирования (на примере банка) - Политика проведения стресс-тестирования.
• Положение о проведении стресс-тестирования (на примере банка).
• Положение о стресс-тестировании различных видов рисков (на примере банка).
• Порядок проведения стресс-тестирования рисков (на примере банка).

1.2. Информационные системы и технологии (код IT), 5 документов

• Политика в области обеспечения качества ИТ (IT quality assurance).
• Политика по работе с рисками (инцидентами) в информационных системах.
• Политика по обновлению и развитию ИТ-систем (тестирование, установка, контроль).
• Порядок и план проведения стресс-тестирования по восстановлению работоспособности ИС.
• Порядок резервирования и восстановления ИС, баз данных, СЗИ, оборудования.

1.3. Информационная безопасность (код IB), 20 документов

• Положение о бесперебойной работе информационной сети и защите информации.
• Положение об обеспечении информационной безопасности процессов в ИТ-системах.
• Положение об оценке рисков нарушения информационной безопасности.
• Положение об информационной безопасности при обеспечении непрерывности бизнеса и его восстановления.
• Положение о системе менеджмента информационной безопасности.
• Методика проведения анализа рисков информационной безопасности.
• Порядок контроля уязвимостей программного обеспечения в организации.
• Политика информационной безопасности.
• Положение о защите информации в информационных системах.
• Положение о проведении контроля защищённости информационных систем.
• Порядок разработки систем защиты информации в информационных системах.
• Порядок эксплуатации систем защиты информации в информационных системах.
• Типовая детальная модель защиты информационной системы.
• Классификация информационных систем для обеспечения безопасности персональных данных.
• Модель угроз и нарушителей безопасности информации в информационных системах.
• Положение о категорировании информационных систем и ресурсов в целях защиты.
• Политика антивирусной защиты.
• Положение об антивирусной защите.
• Порядок осуществления контроля за состоянием информационной системы и её безопасности.
• Порядок проведения аудитов и самооценок информационной безопасности.

2. Положения о подразделениях, должностные инструкции (9 документов)

• Должностная инструкция Директора департамента рисков.
• Положение об Отделе операционных рисков.
• Бизнес-архитектура организации (схема взаимодействия подразделений при управлении процессами и рисками).
• Департамент риск-менеджмента (организационная структура).
• Положение о Комитете по информационной безопасности.
• Положение об Отделе информационной безопасности.
• Положение о Комитете по рискам.
• Положение о Комитете по управлению рисками.
• Карта полномочий Директора по управлению рисками.

3. Формы документов и примеры заполнения

3.1. Управление рисками (код OR), 19 документов

• Чек-лист «Оценка эффективности функционирования СУОР».
• Чек-лист «Аудит операционных рисков бизнес-процесса».
• Расчет важности операционного риска.
• Расчет вероятности операционного риска.
• Шаблон таблицы для сбора данных «Операционные риски – факт (события)».
• Шаблон таблицы для сбора данных – «Убытки по фактам рисков (из бухгалтерии)».
• Таблица владельцев, аналитиков и риск-офицеров по бизнес-процессам.
• Матрица распределения рисков по центрам ответственности и бизнес-процессам (включая аудит).
• Отчет о проверке процесса обеспечения непрерывности бизнеса (на примере банка).
• Программа проверки системы управления операционными рисками.
• Стратегия внутреннего аудита и внутреннего контроля (включая риски и ИТ).
• Управление рисками (расчетная таблица Excel).
• План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре.
• Отчет об испытаниях аварийного плана (ОНиВД) и порядок его составления.
• Отчет об устранении замечаний службы внутреннего аудита (шаблон).
• Отчет по стресс-тестированию и сценарному анализу операционных рисков.
• План действий, направленных на обеспечение непрерывности и восстановление деятельности.
• План обеспечения непрерывности и восстановления деятельности (на примере банка).
• Планы и программы обеспечения непрерывности и восстановления деятельности (ОНиВД).

3.2. Информационная безопасность (код IB), 6 документа

• Отчет о проверке безопасности информационной системы (ИС).
• Отчет об уровне зрелости системы информационной безопасности.
• Программа оценки системы информационной безопасности.
• План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам.
• Отчет о результатах обследования процессов обработки персональных данных.
• Отчет о результатах проверки обеспечения защиты персональных данных в ИС.

3.3. Информационные системы и технологии (код IT), 2 документа

• Программа проверки информационных систем (ИС) службой внутреннего контроля.
• План обеспечения непрерывной работы и восстановления информационной системы (ИС) и локальной сети

4. Примеры отчетов(документов)

Код D

• Анализ возможных операционных рисков процедуры.
• Операционные риски (план и факт) в ответственности должности.
• Операционные риски и операционные убытки бизнес-процесса.
• Операционные риски информационной системы (ИС).
• Статистика и анализ по типу события операционного риска.
• Чистые (фактические) потери от реализации события операционного риска.

Код S

• Анализ всех возможных операционных рисков и статистика.
• Анализ фактов всех операционных рисков с детализацией убытков.
• Контроль задач (мероприятий) по закрытию (проработке) фактов рисков.
• Контроль предупреждающих действий для идентифицированных рисков.
• Расчет суммы чистых (фактических) убытков (потерь) в организации.

5. Модели процессов и процедур (23 файла)

• Управление операционными рисками (7 моделей).
• Управление другими видами рисков (3 модели): репутационными, правовыми, рыночными.
• Антикризисное управление (5 моделей).
• Работа с претензиями клиентов (4 модели).
• Управление безопасностью информации (Information Security Management).
• Управление инцидентами (Incident Management).
• Управление изменениями (Change Management).
• Управление доступом (Access Management).

6. Разные модели и материалы (10 файлов)

• Модель анализа причин «Большое количество операционных рисков в бизнес-процессах».
• Модель решений «Как снизить количество операционных рисков в бизнес-процессах».
• Стратегическая карта «Антикризисная».
• Стратегическая карта «Развитие системы управления операционными рисками».
• Показатели KPI процесса «Управление операционными рисками», включая оценку работы департамента операционных рисков.
• Показатели KPI процесса «Обеспечение безопасности».
• Контрольные показатели уровня операционного риска.
• Аналитическая таблица «Сравнительный анализ и поддержка принятия решений».
• Электронная книга «Исаев Р.А. 60 примеров успешных и проблемных проектов организационного развития». Содержит примеры проектов по тематике операционных рисков и бизнес-процессов.
• Электронное пособие «Исаев Р.А. Управление операционными рисками: процессы, технологии, практика».

7. Онлайн-тренажер «Эксперт по управлению операционными рисками»

Онлайн-тренажер представляет собой информационную систему (веб-портал), включающую 50+ бизнес-кейсов и вопросов, на которые можно отвечать в онлайн-режиме и сразу видеть результат по каждому ответу. Доступ осуществляется через веб-браузер с компьютера, смартфона или планшета.

Практические задачи, которые решает онлайн-тренажер

• Возможность постоянных коммуникаций и обмена опытом между пользователями онлайн-тренажера (включая ведущих экспертов) в закрытом Telegram чате.
• Отработать навыки принятия решений в сложных и нестандартных ситуациях управления операционными рисками.
• Самооценка знаний в области «Управление операционными рисками» и профессиональное развитие.
• Проведение аттестации специалистов внутри организации.
• Проверка знаний кандидатов или принятие решения о выборе кандидатов при приеме на работу.
• Применение в рамках построения и развития системы управления операционными рисками (СУОР) в организации.
• Обзор практических наработок и инноваций, которые применяют ведущие организации.

Чем отличается онлайн-тренажер от обычных электронных тестов

• Для прохождения обычных электронных тестов в любых профессиональных областях всегда дается 1-2 попытки, которые ограничены по времени. Цель онлайн-тренажера – добиться 100% результата. Для этого дается 5 попыток (на 1 логин), которые не ограничены по времени. Т.е. с каждой новой попыткой (подходом) можно увеличивать результат и экспертный уровень.
• Обычные электронные тесты содержат большое количество коротких вопросов, чаще всего теоретических. Онлайн-тренажер кроме вопросов содержит также подробные бизнес-кейсы и практические задания из опыта работы реальных организаций.

Состав поставки

В рамках Библиотеки предоставляется 5 логинов на доступ к онлайн-тренажеру. Срок действия логинов не ограничен. Возможна поставка любого количества логинов по отдельному договору. Никакого программного обеспечения устанавливать не требуется, требуется только веб-браузер. 

8. Электронная база знаний

Представляет собой веб-портал (HTML-страницы) и открывается в браузере (Google Chrome, Opera, Edge и др.). Для объектов справочников включено более 100 примеров отчетов, которые можно сохранять в форматах Word, Excel, PDF на локальный компьютер. Включает следующие заполненные справочники (классификаторы) по управлению операционными рисками.

• Типы событий операционного риска.
• Виды операционного риска.
• Виды убытков (потерь).
• Виды возмещений потерь.
• Источники рисков.
• Статусы фактов (событий) рисков.
• Идентификация рисков (план).
• Факты (события) рисков.
• Задачи (предупреждающие и корректирующие действия по рискам).
• Отчеты.
• Чек-листы.
• Показатели (включая ключевые индикаторы рисков - КИРы).