Журнал "Information Security/ Информационная безопасность" #4, 2023

ром составляется отчетная таб- лица (см. табл. 2). Средневзвешенная оценка интерпретируется в двух формах: l качественная – сводится к меньшему своему значению; l балльная – расчет произво- дится путем сложения произве- дений весового коэффициента и балла. Остановимся на процедуре качественной оценки уровня ОР. Для проведения аудита потребуются следующие доку- менты: l методика качественной оцен- ки уровня операционного риска; l процедуры управления опе- рационным риском; l протоколы самооценки рис- ков и контрольных процедур (анкеты); l отчеты о самостоятельной оценке; l план мероприятий по мини- мизации операционных рисков и устранению недостатков конт- рольных процедур; l отчет о стресс-тестировании; l план и результаты сценарного анализа; l другие организационно-рас- порядительные документы, относящиеся к рассматривае- мой процедуре. В рамках качественной оцен- ки уровня ОР рекомендуется составить отчетную таблицу по результатам оцениваемых пред- метов для наглядности и под- тверждающей недостатки информации. Программа проведения оценки эффективности СУОР включает в себя оценку конт- роля за принятым объемом ОР. На данном этапе необхо- димо установить целевые показатели объема ОР для каждого направления деятель- ности. Как мы помним, любые показатели требуют регуляр- ного мониторинга и сопостав- ления факта с планом. В слу- чае превышения планового значения у организации долж- ны быть разработаны свои меры реагирования. Стоит обратить внимание на показатель склонности к риску, который тоже необходимо конт- ролировать. Важная часть СУОР – управ- ление риском ИБ и информа- ционных систем. Оценка эффективности управления риском информа- ционных систем основывается на важнейших пунктах 716-П. Система КПУР (контрольный показатель уровня риска. – Прим. ред.) оценивается по сле- дующим предметам: l перечень и значения должны быть утверждены советом директоров и (или) исполни- тельным органом; l правильность расчета значе- ний; 60 • УПРАВЛЕНИЕ Таблица 2. Результаты оценки качества выполняемых процедур в рамках СУОР Таблица 3. Результаты процедуры качественной оценки уровня ОР Показатели Весовой коэффициент Качественная оценка Балльная оценка Процедура идентификации операционного риска в соответствии с подп. 2.1.1 п. 2.1 положения № 716-П 0,2 "Сомнительно" 3 Процедура сбора и регистрации информа- ции о внутренних СОР и потерях от его реализации в соответствии с подп. 2.1.2 п. 2.1 положения № 716-П 0,1 "Сомнительно" 3 Процедура оценки потерь и возмещений от реализации СОР в кредитной организации в соответствии с подп. 2.1.3 п. 2.1 положе- ния № 716-П 0,1 "Хорошо" 1 Процедура количественной оценки уровня операционного риска в соответствии с подп. 2.1.4 пункта 2.1 Положения №716-П. 0,2 "Сомнительно" 3 Процедура качественной оценки уровня операционного риска в соответствии с подп. 2.1.5 п. 2.1 положения № 716-П. 0,2 "Сомнительно" 3 Процедура выбора и применения способа реагирования на операционный риск в соответствии с подп. 2.1.6 п. 2.1 положения № 716-П 0,1 "Сомнительно" 3 Процедура мониторинга операционного риска в кредитной организации в соответ- ствии с подп. 2.1.7 п. 2.1 положения № 716-П 0,1 "Сомнительно" 3 Средневзвешенная оценка Сомнительно" Показатели Весовой коэффициент Качественная оценка Балльная оценка Подразделение, ответственное за органи- зацию управления операционным риском, ежегодно разрабатывает план проведения качественной оценки и утверждает его на уровне коллегиального исполнительного органа кредитной организации 0,2 "Удовлетвори- тельно" 2 Самооценка операционного риска прово- дится кредитной организацией в отноше- нии всех видов операционного риска в соответствии с планом ее проведения (не реже одного раза в год) в соответствии с требованиями абзаца 8 подп. 2.1.5 п. 2.1 положения № 716-П и установленной во внутренних документах методикой 0,3 "Сомнительно" 3 Профессиональная оценка уровня опера- ционного риска осуществляется с соблюде- нием требований к процедуре и методам ее проведения, установленным во внутренних документах кредитной организации 0,3 "Удовлетвори- тельно" 2 Сценарный анализ операционных рисков осуществляется в соответствии с методи- кой и порядком его проведения, установ- ленными внутренними документами 0,2 "Сомнительно" Средневзвешенная оценка "Сомнительно"