Эффективность выполнения процедур управления операционным риском
В фокус экспертного анализа входит оценка качества управления риском аутсорсинга (Дополнение Глава 8.1 716-П и далее), проведение независимой оценки качества данных в информационных системах (не в базе событий операционного риска), проверка обоснованности принятых в Банке Показателей Операционной Надежности, КИРов и КПУРов, ЦПОНов, данных статистики по процессам, методологии Методики Обеспечения Полноты Данных, Сценариев для Сценарного Анализа, полноты выявления событий операционного риска и операционной надежности по сравнению с эталонными отраслевыми практиками из ведущих российских банков и т.п.
Проведение внешней оценки позволяет до проведения проверки ЦБ РФ устранить наиболее широко распространенные требования из предписаний в инициативном порядке, избежать занижения показателей СУОН, КИР и КПУР, что приводит к превышению плановых показателей фактическими. Подобные превышения свидетельствуют о неэффективности системы управления оперрисками и опернадежностью, что может привести к существенному увеличению компоненты ОР в формуле расчета достаточности капитала Н1. Нарушения требований 716-П, 744-П, 787-П может привести к требованиям к Банку об увеличении резервов со стороны ЦБ РФ. В эти нарушения входит назначение показателей Системы Операционной Надежности в отсутствии утвержденной в Банке методологии на уровне Внутренних Нормативных Документов, утверждаемых Советом Директоров и/или Правлением Банка до 01 октября 2022 г. В отсутствие ВНД Члены Правления Банка несут персональную ответственность.
Оценка по 716-П, 744-П, 850-П, 6103-П, МР-17 и МР-18 ЦБ РФ включает:
1. В соответствии с методическими указаниями ЦБ:
a. Средневзвешенная оценка;
b. Организация СУОР;
c. Полнота ВНД регламентации ОР;
d. Качество процедур управления ОР;
e. Оценка контроля объёма, принятого ОР;
f. Оценка эффективности ИБ;
g. Оценка эффективности ИС;
h. Оценка эффективности системы отчетов;
i. Оценка эффективности системы КПУР;
j. Оценка эффективности - доп. Требования.
2. Проведение анализа внутренних нормативных документов 716-П, 6103-У, 787-П:
a. Политика управления операционным риском
b. Политика управления риском информационных систем
c. Политика управления риском информационной безопасности
d. Политика управления операционной надежностью
e. Порядок управления операционной надежностью
f. Порядок обеспечения непрерывности и качества функционирования информационных систем
g. Порядок и методы определения потерь от реализации событий операционных рисков, а также способов возмещения
h. Положение о КПУР
i. Положение об оценке персонала
j. Система мотивации персонала к участию в управлении операционным риском
k. Порядок ведения базы событий риска информационной безопасности Банка
l. Порядок ведения базы событий операционного риска
m. Порядок управления рисками информационной безопасности в Банке
n. Концепция о применимости мер защиты информации в отношении объектов информационной инфраструктуры Банка
o. Требования к организации ресурсного (кадрового и финансового) обеспечения системы обеспечения информационной безопасности Банка
p. Обеспечении информационной безопасности на стадиях (этапах) жизненного цикла автоматизированных банковских систем Банка
q. Методические указания к порядку расчета и обоснованию сигнальных и контрольных значений контрольных показателей уровня риска информационной безопасности Банка
r. Методика операционной надежности
s. Организация контроля за функционированием системы обеспечения информационной безопасности Банка
t. Сканирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры Банка
u. Защита от воздействия вредоносных кодов Банка
v. Положение об оценке СУОР
w. Положение о порядке обнаружения, анализа и реагирования на инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств в Платежной Системе Банка
x. Положение о порядке использования внешних информационных систем
y. Планы обеспечения непрерывности деятельности
z. Порядок обеспечения непрерывности технологических процессов
aa. Методика расчета размера операционного риска
bb. Методика обеспечения качества данных в информационных системах
cc. Порядок оценки угроз технологическим процессам
3. Оценка и проверка расчета показателей:
a. КПУР (ключевые показатели уровня риска) по 716-П, 6103-У (23 показателя КПУР) сигнальные и контрольные значения;
b. ЦПУОН (целевые показатели операционной надежности) 787-П в разрезе 13 технологических процессов (каналов работы - технологических участков)
i. Допустимое время простоя и (или) деградации технологического процесса
ii. Допустимая доля деградации технологического процесса
iii. Допустимое суммарное время простоя и (или) деградации технологического процесса
iv. Продолжительность времени работы (функционирования) технологического процесса
v. допустимого отношения общего количества банковских операций и иных операций;
vi. показателя соблюдения режима работы (функционирования) технологического процесса
4. Оценка проведения расчетов показателей по 744-П:
a. размер операционного риска (ОР);
b. величины компонента расчета размера операционного риска (КБИ);
c. величина коэффициента внутренних потерь (КВП).
Указанная методология внедрена в Промышленном и коммерческом банке Китая (ICBC), Ситибанк, Банк Русский Стандарт, Русский Стандарт Страхование, ПСКБ, БКС, Тойота Банк, Рено Ниссан Банк, Мидзухо Банк, Юг-ИнвестБанк, БелгородСоцБанк, Яндекс Деньги и др.
В части методологии и ПО для 716-П, 744-П и 850-П для банковского сектора компания Ланселот тесно сотрудничает с ЦБ РФ и консалтинговыми компаниями Deloitte, EY и PWC.
