«Большая библиотека риск-менеджера и специалиста по операционным рискам» (далее Библиотека) включает документы и материалы, постоянно требующиеся многим сотрудникам и руководителям, которые работают в следующих областях.
- Управление операционными рисками
- Информационная безопасность, риски информационных систем
- Обеспечение непрерывности деятельности (business continuity management)
- Обеспечение качества и эффективности бизнес-процессов организации
- Внутренний аудит, внутренний контроль
Библиотека предназначена для решения следующих практических задач
- Построение и развитие системы управления операционным рисками (СУОР), включая управление информационной безопасностью и непрерывностью деятельности.
- Проектирование и развитие бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов организации.
- Обеспечение исполнения бизнес-процессов и регламентов, выполнение процедур аудита и контроля.
- Оптимизация организационной и ролевой структуры по управлению рисками.
- Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников.
- Исполнение национальных и международных стандартов и требований в области операционных рисков. Для банков – это Положение 716-П Банка России, но 100% соответствие не гарантируется.
- Применение лучших профессиональных практик и инноваций в данной области.
Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации
- Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике.
- Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т.е. дополнительных расходов.
- Минимизация операционных рисков и ошибок за счёт готовых проверенных на практике материалов и решений.
- Улучшение показателей KPI бизнес-процессов, качества и эффективности работы организации в целом. Снижение операционных убытков (потерь).
Пользователи
Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление операционных рисков, управление бизнес-процессов и методологии (процессный офис), управление информационных технологий, управление информационной безопасности, управление внутреннего контроля / внутреннего аудита, департамент персонала, проектный офис, бизнес (продуктовые) подразделения, управление качества и стандартизации.
Структура и материалы Библиотеки
1. Регламенты, положения, методики, политики
Управление рисками (код OR), 36 документов
- Методика управления операционными рисками
- Типовые операционные риски бизнес-процессов (список)
- Регламент процедуры «Идентификация возможных операционных рисков»
- Инструкция по управлению операционным риском
- Положение об управлении операционными рисками
- Положение об организации управления операционным риском
- Положение о системе управления операционными рисками
- Стандарт управления рисками (внутренний)
- Политика по управлению операционным риском
- Политика управления операционными рисками
- Политика управления рисками
- Порядок выполнения самооценки системы управления рисками
- Порядок работы с Планом обеспечения и восстановления непрерывности деятельности
- Процедура по реагированию на события, связанные с операционными рисками
- Регламент взаимодействия подразделений при управлении операционными рисками
- Методика проведения оценки эффективности системы внутреннего контроля
- Положение о системе внутреннего контроля
- Положение об организации внутреннего аудита
- Порядок проведения проверок службой внутреннего аудита
- Положение об организации системы риск-менеджмента
- Методика выявления, регистрации и оценки операционных рисков
- Стратегия управления рисками
- Регламент процесса «Управление рисками»
- Политика обеспечения непрерывности и восстановления бизнеса
- Положение о разработке и тестировании плана обеспечения непрерывности и восстановления деятельности
- Порядок разработки и реализации плана обеспечения непрерывности и восстановления деятельности
- Методика проведения стресс-тестирования (на примере банка)
- Политика проведения стресс-тестирования
- Положение о проведении стресс-тестирования (на примере банка)
- Положение о стресс-тестировании различных видов рисков (на примере банка)
- Порядок проведения стресс-тестирования рисков (на примере банка)
- Правила внутреннего контроля для обеспечения целостности данных (информации)
- Правила внутреннего контроля для обеспечения целостности данных (информации), вариант 2
- Определение и анализ критически важных процессов (на примере банка)
- Правила эвакуации сотрудников и документации из организации при возникновении ЧС
- Порядок обеспечения безопасности серверных помещений и центров обработки данных (ЦОД)
Информационные системы и технологии (код IT), 5 документов
- Политика в области обеспечения качества ИТ (IT quality assurance)
- Политика по работе с рисками (инцидентами) в информационных системах
- Политика по обновлению и развитию ИТ-систем (тестирование, установка, контроль)
- Порядок и план проведения стресс-тестирования по восстановлению работоспособности ИС
- Порядок резервирования и восстановления ИС, баз данных, СЗИ, оборудования
Информационная безопасность (код IB), 31 документ
- Положение о бесперебойной работе информационной сети и защите информации
- Положение об обеспечении информационной безопасности процессов в ИТ-системах
- Положение об оценке рисков нарушения информационной безопасности
- Положение об информационной безопасности при обеспечении непрерывности бизнеса и его восстановления
- Положение о системе менеджмента информационной безопасности
- Методика проведения анализа рисков информационной безопасности
- Порядок контроля уязвимостей программного обеспечения в организации
- Политика информационной безопасности
- Положение о защите информации в информационных системах
- Положение о проведении контроля защищённости информационных систем
- Порядок разработки систем защиты информации в информационных системах
- Порядок эксплуатации систем защиты информации в информационных системах
- Типовая детальная модель защиты информационной системы
- Классификация информационных систем для обеспечения безопасности персональных данных
- Модель угроз и нарушителей безопасности информации в информационных системах
- Положение о категорировании информационных систем и ресурсов в целях защиты
- Политика антивирусной защиты
- Положение об антивирусной защите
- Порядок осуществления контроля за состоянием информационной системы и её безопасности
- Порядок проведения аудитов и самооценок информационной безопасности
- Положение об управлении уязвимостями информационных ресурсов и систем
- Инструкция категорирования информационных ресурсов (конфиденциальность, целостность)
- Методика обнаружения и противодействия атакам на ИТ-системы организации
- Положение о технических средствах защиты информации
- Положение об анализе и улучшениях системы обеспечения информационной безопасности
- Положение по учету, хранению и использованию носителей ключевой информации (ЭЦП)
- Порядок проведения тестирования защищенности информационных систем
- Политика использования средств криптографической защиты информации
- Положение об организации антивирусной защиты локальной вычислительной сети
- Положение об организации криптографической защиты информации
- Положение по работе со средствами криптографической защиты информации и ключевой информацией
2. Положения о подразделениях и комитетах, должностные инструкции (11 документов)
- Должностная инструкция Директора департамента рисков
- Положение об Отделе операционных рисков
- Бизнес-архитектура организации (схема взаимодействия подразделений при управлении процессами и рисками)
- Департамент риск-менеджмента (организационная структура)
- Положение о Комитете по информационной безопасности
- Положение об Отделе информационной безопасности
- Положение о Комитете по рискам
- Положение о Комитете по управлению рисками
- Карта полномочий Директора по управлению рисками
- Положение о комиссии по повышению устойчивости функционирования организации
- Положение о службе внутреннего аудита
3. Формы документов и примеры заполнения
Управление рисками (код OR), 23 документа
- Чек-лист «Оценка эффективности функционирования СУОР»
- Чек-лист «Аудит операционных рисков бизнес-процесса»
- Расчёт важности операционного риска
- Расчёт вероятности операционного риска
- Шаблон таблицы для сбора данных «Операционные риски – факт (события)»
- Шаблон таблицы для сбора данных – «Убытки по фактам рисков (из бухгалтерии)»
- Таблица владельцев, аналитиков и риск-офицеров по бизнес-процессам
- Матрица распределения рисков по центрам ответственности и бизнес-процессам (включая аудит)
- Отчёт о проверке процесса обеспечения непрерывности бизнеса (на примере банка)
- Программа проверки системы управления операционными рисками
- Стратегия внутреннего аудита и внутреннего контроля (включая риски и ИТ)
- Управление рисками (расчётная таблица Excel)
- План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре
- Отчёт об испытаниях аварийного плана (ОНиВД) и порядок его составления
- Отчёт об устранении замечаний службы внутреннего аудита (шаблон)
- Отчёт по стресс-тестированию и сценарному анализу операционных рисков
- План действий, направленных на обеспечение непрерывности и восстановление деятельности
- План обеспечения непрерывности и восстановления деятельности (на примере банка)
- Планы и программы обеспечения непрерывности и восстановления деятельности (ОНиВД)
- Организационный план Управления финансового анализа и риск-менеджмента в чрезвычайных ситуациях
- План действий по обеспечению непрерывности и восстановлению деятельности организации
- План действий при возникновении аварийных обстоятельств в работе организации
- План восстановления финансовой устойчивости (на примере банка)
Информационная безопасность (код IB), 8 документов
- Отчёт о проверке безопасности информационной системы (ИС)
- Отчёт об уровне зрелости системы информационной безопасности
- Программа оценки системы информационной безопасности
- План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам
- Отчёт о результатах обследования процессов обработки персональных данных
- Отчёт о результатах проверки обеспечения защиты персональных данных в ИС
- Анализ соответствия ИТ-системы требованиям безопасности и рекомендации
- Техническое задание - разработка комплексной системы обеспечения безопасности в ИТ-системе
Информационные системы и технологии (код IT), 2 документа
- Программа проверки информационных систем (ИС) службой внутреннего контроля
- План обеспечения непрерывной работы и восстановления информационной системы (ИС) и локальной сети
4. Примеры отчётов (11 документов)
Код D
- Анализ возможных операционных рисков процедуры
- Операционные риски (план и факт) в ответственности должности
- Операционные риски и операционные убытки бизнес-процесса
- Операционные риски информационной системы (ИС)
- Статистика и анализ по типу события операционного риска
- Чистые (фактические) потери от реализации события операционного риска
Код S
- Анализ всех возможных операционных рисков и статистика
- Анализ фактов всех операционных рисков с детализацией убытков
- Контроль задач (мероприятий) по закрытию (проработке) фактов рисков
- Контроль предупреждающих действий для идентифицированных рисков
- Расчёт суммы чистых (фактических) убытков (потерь) в организации
5. Модели процессов и процедур (23 файла)
- Управление операционными рисками (7 моделей)
- Управление другими видами рисков (3 модели): репутационными, правовыми, рыночными
- Антикризисное управление (5 моделей)
- Работа с претензиями клиентов (4 модели)
- Управление безопасностью информации (Information Security Management)
- Управление инцидентами (Incident Management)
- Управление изменениями (Change Management)
- Управление доступом (Access Management)
6. Разные модели и материалы (12 файлов)
- Модель анализа причин «Большое количество операционных рисков в бизнес-процессах»
- Модель решений «Как снизить количество операционных рисков в бизнес-процессах»
- Стратегическая карта «Антикризисная»
- Стратегическая карта «Развитие системы управления операционными рисками»
- Показатели KPI процесса «Управление операционными рисками», включая оценку работы департамента операционных рисков
- Показатели KPI процесса «Обеспечение безопасности»
- Контрольные показатели уровня операционного риска
- Аналитическая таблица «Сравнительный анализ и поддержка принятия решений»
- Электронная книга «Исаев Р.А. 60 примеров успешных и проблемных проектов организационного развития». Содержит примеры проектов по тематике операционных рисков и бизнес-процессов.
- Электронное пособие «Исаев Р.А. Управление операционными рисками: процессы, технологии, практика»
- Статья «Операционная надёжность и операционные риски – система регламентации и моделей»
- Матрица компетенций (квалификации) риск-менеджеров
7. Онлайн-тренажёр «Эксперт по управлению операционными рисками»
Онлайн-тренажёр представляет собой информационную систему (веб-портал), включающую 50+ бизнес-кейсов и вопросов, на которые можно отвечать в онлайн-режиме и сразу видеть результат по каждому ответу. Доступ осуществляется через веб-браузер с компьютера, смартфона или планшета.
Практические задачи, которые решает онлайн-тренажёр
- Возможность постоянных коммуникаций и обмена опытом между пользователями онлайн-тренажёра (включая ведущих экспертов) в закрытом Telegram чате.
- Отработать навыки принятия решений в сложных и нестандартных ситуациях управления операционными рисками.
- Самооценка знаний в области «Управление операционными рисками» и профессиональное развитие.
- Проведение аттестации специалистов внутри организации.
- Проверка знаний кандидатов или принятие решения о выборе кандидатов при приёме на работу.
- Применение в рамках построения и развития системы управления операционными рисками (СУОР) в организации.
- Обзор практических наработок и инноваций, которые применяют ведущие организации
Чем отличается онлайн-тренажёр от обычных электронных тестов
- Для прохождения обычных электронных тестов в любых профессиональных областях всегда даётся 1-2 попытки, которые ограничены по времени. Цель онлайн-тренажёра – добиться 100% результата. Для этого даётся 5 попыток (на 1 логин), которые не ограничены по времени. Т.е. с каждой новой попыткой (подходом) можно увеличивать результат и экспертный уровень.
- Обычные электронные тесты содержат большое количество коротких вопросов, чаще всего теоретических. Онлайн-тренажёр кроме вопросов содержит также подробные бизнес-кейсы и практические задания из опыта работы реальных организаций.
Состав поставки
В рамках Библиотеки предоставляется 5 логинов на доступ к онлайн-тренажёру. Срок действия логинов не ограничен. Возможна поставка любого количества логинов по отдельному договору. Никакого программного обеспечения устанавливать не требуется, необходим только веб-браузер.
8. Электронная база знаний
Представляет собой веб-портал (HTML-страницы) и открывается в браузере (Google Chrome, Opera, Edge и др.). Для объектов справочников включено более 100 примеров отчётов, которые можно сохранять в форматах Word, Excel, PDF на локальный компьютер. Включает следующие заполненные справочники (классификаторы) по управлению операционными рисками.
- Типы событий операционного риска
- Виды операционного риска
- Виды убытков (потерь)
- Виды возмещений потерь
- Источники рисков
- Статусы фактов (событий) рисков
- Идентификация рисков (план)
- Факты (события) рисков
- Задачи (предупреждающие и корректирующие действия по рискам)
- Отчёты
- Чек-листы
- Показатели (включая ключевые индикаторы рисков - КИРы)