Журнал "Information Security/ Информационная безопасность" #4, 2023

• 59 УПРАВЛЕНИЕ www.itsec.ru Перед кредитными орга- низациями стоит важная задача осуществлять еже- годную оценку эффективно- сти функционирования СУОР. По результатам аудита каждого блока определяется средневзвешенная оценка эффективности и соответ- ствия СУОР кредитной орга- низации требованиям 716-П, а также формулируются выводы (результаты провер- ки) и рекомендации органам управления кредитной орга- низации. Система управления опера- ционными рисками (СУОР) необходима любой финансовой организации для эффективного управления операционными рис- ками. Требования регулятора по данному вопросу включают в себя положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управ- ления операционным риском в кредитной организации и бан- ковской группе" (далее – 716- П) 1 и разъяснение Банка России от 25.04.2022 № 716-Р-2021/63 "Рекомендации по осуществле- нию оценки эффективности системы управления операцион- ным риском" вместе с Рекомен- дациями по осуществлению оценки эффективности системы управления операционным рис- ком в кредитной организации (головной кредитной организа- ции банковской группы) 2 (далее – методика). Предмет и методика оценки эффективности Перед кредитными организа- циями стоит важная задача осу- ществлять ежегодную оценку эффективности функциониро- вания СУОР. Эта задача содержит в себе следующие составляющие: l соответствие СУОР требова- ниям ЦБ РФ, включая как доку- ментирование, так и практиче- скую часть реализации; l методы оценки ОР; l соблюдение процедур управ- ления ОР, а именно оценка точ- ности и достоверности инфор- мации об осуществляемых про- цедурах в рамках СУОР; l порядок ведения базы собы- тий; l классификация событий ОР; l оценка потерь и компенсаций от реализации ОР; l управление риском инфор- мационной безопасности; l управление риском инфор- мационных систем; l наличие организованной структуры управления ОР, включающей в себя все под- разделения и работников орга- низации (исключая конфликт интересов). Оценка эффективности суще- ствующей СУОР имеет четыре уровня/балла – "хорошо", "удов- летворительно", "сомнительно", "неудовлетворительно", описа- ние которых представлено в табл. 1. По результатам аудита каж- дого блока определяется сре- дневзвешенная оценка эффек- тивности и соответствия СУОР кредитной организации требо- ваниям 716-П, а также форму- лируются выводы (результаты проверки) и рекомендации орга- нам управления кредитной орга- низации. Этапы оценки эффективности Оценка эффективности СУОР проводится в несколько этапов, по итогам которых формируется общий результат. В методике представлена рекомендуемая программа проведения оцени- вания СУОР. Первый этап (или организа- ционный) направлен на анализ основных составляющих СУОР: l вовлеченность всех подраз- делений и работников кредит- ной организации; l распределение ответствен- ности и задач между ними; l наличие отдельного подразделения, ответ- ственного за организа- цию управления ОР; l перечень процессов кредитной организации; l наличие центров ком- петенций для них; l порядок взаимодей- ствия подразделений, задействованных в управлении ОР. На втором этапе оценивается точность и полнота описания процессов СУОР в соответствии с требованиями 716-П во внут- ренних документах. Иными сло- вами, необходимо провести аудит документации на соот- ветствие СУОР требованиям, установленным регулятором в области системы управления ОР. Как правило, для данного этапа запрашиваются верхнеу- ровневые документы, такие как: l политика управления опера- ционным риском (общие поло- жения); l процедуры управления опе- рационным риском; l стратегия управления риска- ми и капиталом; l политика информационной безопасности; l политика информационных систем. На следующем этапе про- исходит оценка качества выпол- няемых процедур в рамках СУОР. Рассмотрим пример. Для подведения итогов оцен- ки качества выполняемых про- цедур в рамках СУОР аудито- Как оценить эффективность системы управления операционным риском? ассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками, а также рекомендации по их минимизации и минимизации соответствующих расходов. Р Валерия Окорокова, младший консультант по ИБ RTM Group Таблица 1. 4-балльная система качественной оценки 1 https://www.garant.ru/products/ipo/prime/doc/74179372/ 2 https://www.consultant.ru/document/cons_doc_LAW_415759/ 1 балл Полностью соответствует 2 балла В целом соответствует, с отдельными несущественными нарушениями 3 балла Соответствует не полностью, так как выявлены существенные отклонения и нарушения, требующие серьезной переработки (реинжиниринга) выполнения процедуры 4 балла Не соответствует в целом