Технологии управления и организационного развития Большая библиотека риск-менеджера и специалиста по операционным рискам

«Большая библиотека риск-менеджера и специалиста по операционным рискам» (далее Библиотека) включает документы и материалы, постоянно требующиеся многим сотрудникам и руководителям, которые работают в следующих областях.

1. Управление операционными рисками
2. Информационная безопасность, риски информационных систем
3. Обеспечение непрерывности деятельности (business continuity management)
4. Обеспечение качества и эффективности бизнес-процессов организации
5. Внутренний аудит, внутренний контроль 

Библиотека предназначена для решения следующих практических задач

1. Построение и развитие системы управления операционным рисками (СУОР), включая управление информационной безопасностью и непрерывностью деятельности
2. Проектирование и развитие бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов организации
3. Обеспечение исполнения бизнес-процессов и регламентов, выполнение процедур аудита и контроля
4. Оптимизация организационной и ролевой структуры по управлению рисками
5. Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников
6. Исполнение национальных и международных стандартов и требований в области операционных рисков. Для банков – это Положение 716-П Банка России.
7. Применение лучших профессиональных практик и инноваций в данной области. 

Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации

1. Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике.
2. Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т.е. дополнительных расходов.
3. Минимизация операционных рисков и ошибок за счёт готовых проверенных на практике материалов и решений.
4. Улучшение показателей KPI бизнес-процессов, качества и эффективности работы организации в целом. Снижение операционных убытков (потерь). 

Пользователи

Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление операционных рисков, управление бизнес-процессов и методологии (процессный офис), управление информационных технологий, управление информационной безопасности, управление внутреннего контроля / внутреннего аудита, департамент персонала, проектный офис, бизнес (продуктовые) подразделения, управление качества и стандартизации. 

Структура и материалы Библиотеки

1. Регламенты, положения, методики, политики

1.1. Управление рисками (код OR), 31 документ

Базовые документы (код OR)

- Методика управления операционными рисками
- Типовые операционные риски бизнес-процессов (список)
- Регламент процедуры «Идентификация возможных операционных рисков»
- Инструкция по управлению операционным риском
- Положение об управлении операционными рисками
- Положение об организации управления операционным риском
- Положение о системе управления операционными рисками
- Стандарт управления рисками (внутренний)
- Политика по управлению операционным риском
- Политика управления операционными рисками
- Политика управления рисками
- Порядок выполнения самооценки системы управления рисками
- Порядок работы с Планом обеспечения и восстановления непрерывности деятельности
- Процедура по реагированию на события, связанные с операционными рисками
- Регламент взаимодействия подразделений при управлении операционными рисками
- Методика проведения оценки эффективности системы внутреннего контроля
- Положение о системе внутреннего контроля
- Положение об организации внутреннего аудита
- Порядок проведения проверок службой внутреннего аудита
- Положение об организации системы риск-менеджмента
- Методика выявления, регистрации и оценки операционных рисков
- Стратегия управления рисками
- Регламент процесса «Управление рисками»
- Политика обеспечения непрерывности и восстановления бизнеса
- Положение о разработке и тестировании плана обеспечения непрерывности и восстановления деятельности
- Порядок разработки и реализации плана обеспечения непрерывности и восстановления деятельности
- Методика проведения стресс-тестирования (на примере банка) - Политика проведения стресс-тестирования
- Положение о проведении стресс-тестирования (на примере банка)
- Положение о стресс-тестировании различных видов рисков (на примере банка)
- Порядок проведения стресс-тестирования рисков (на примере банка)

1.2 Информационные системы и технологии (код IT), 5 документов

- Политика в области обеспечения качества ИТ (IT quality assurance)
- Политика по работе с рисками (инцидентами) в информационных системах
- Политика по обновлению и развитию ИТ-систем (тестирование, установка, контроль)
- Порядок и план проведения стресс-тестирования по восстановлению работоспособности ИС
- Порядок резервирования и восстановления ИС, баз данных, СЗИ, оборудования

1.3 Информационная безопасность (код IB), 20 документов

- Положение о бесперебойной работе информационной сети и защите информации
- Положение об обеспечении информационной безопасности процессов в ИТ-системах
- Положение об оценке рисков нарушения информационной безопасности
- Положение об информационной безопасности при обеспечении непрерывности бизнеса и его восстановления
- Положение о системе менеджмента информационной безопасности
- Методика проведения анализа рисков информационной безопасности
- Порядок контроля уязвимостей программного обеспечения в организации
- Политика информационной безопасности
- Положение о защите информации в информационных системах
- Положение о проведении контроля защищённости информационных систем
- Порядок разработки систем защиты информации в информационных системах
- Порядок эксплуатации систем защиты информации в информационных системах
- Типовая детальная модель защиты информационной системы
- Классификация информационных систем для обеспечения безопасности персональных данных
- Модель угроз и нарушителей безопасности информации в информационных системах
- Положение о категорировании информационных систем и ресурсов в целях защиты
- Политика антивирусной защиты
- Положение об антивирусной защите
- Порядок осуществления контроля за состоянием информационной системы и её безопасности
- Порядок проведения аудитов и самооценок информационной безопасности

2. Положения о подразделениях, должностные инструкции (9 документов)

- Должностная инструкция Директора департамента рисков
- Положение об Отделе операционных рисков
- Бизнес-архитектура организации (схема взаимодействия подразделений при управлении процессами и рисками)
- Департамент риск-менеджмента (организационная структура)
- Положение о Комитете по информационной безопасности
- Положение об Отделе информационной безопасности
- Положение о Комитете по рискам
- Положение о Комитете по управлению рисками
- Карта полномочий Директора по управлению рисками

3. Формы документов и примеры заполнения

3.1 Управление рисками (код OR), 19 документов

- Чек-лист «Оценка эффективности функционирования СУОР»
- Чек-лист «Аудит операционных рисков бизнес-процесса»
- Расчёт важности операционного риска
- Расчёт вероятности операционного риска
- Шаблон таблицы для сбора данных «Операционные риски – факт (события)»
- Шаблон таблицы для сбора данных – «Убытки по фактам рисков (из бухгалтерии)»
- Таблица владельцев, аналитиков и риск-офицеров по бизнес-процессам
- Матрица распределения рисков по центрам ответственности и бизнес-процессам (включая аудит)
- Отчёт о проверке процесса обеспечения непрерывности бизнеса (на примере банка)
- Программа проверки системы управления операционными рисками
- Стратегия внутреннего аудита и внутреннего контроля (включая риски и ИТ)
- Управление рисками (расчётная таблица Excel)
- План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре
-Отчёт об испытаниях аварийного плана (ОНиВД) и порядок его составления
- Отчёт об устранении замечаний службы внутреннего аудита (шаблон)
- Отчёт по стресс-тестированию и сценарному анализу операционных рисков
- План действий, направленных на обеспечение непрерывности и восстановление деятельности
- План обеспечения непрерывности и восстановления деятельности (на примере банка)
- Планы и программы обеспечения непрерывности и восстановления деятельности (ОНиВД)

3.2 Информационная безопасность (код IB), 6 документа

- Отчёт о проверке безопасности информационной системы (ИС)
- Отчёт об уровне зрелости системы информационной безопасности
- Программа оценки системы информационной безопасности
- План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам
- Отчёт о результатах обследования процессов обработки персональных данных
- Отчёт о результатах проверки обеспечения защиты персональных данных в ИС

3.3 Информационные системы и технологии (код IT), 2 документа

- Программа проверки информационных систем (ИС) службой внутреннего контроля
- План обеспечения непрерывной работы и восстановления информационной системы (ИС) и локальной сети

4. Примеры отчётов(документов)

Код D

- Анализ возможных операционных рисков процедуры
- Операционные риски (план и факт) в ответственности должности
- Операционные риски и операционные убытки бизнес-процесса
- Операционные риски информационной системы (ИС)
- Статистика и анализ по типу события операционного риска
- Чистые (фактические) потери от реализации события операционного риска

Код S

- Анализ всех возможных операционных рисков и статистика
- Анализ фактов всех операционных рисков с детализацией убытков
- Контроль задач (мероприятий) по закрытию (проработке) фактов рисков
- Контроль предупреждающих действий для идентифицированных рисков
- Расчёт суммы чистых (фактических) убытков (потерь) в организации 

5. Модели процессов и процедур (23 файла)

- Управление операционными рисками (7 моделей)
- Управление другими видами рисков (3 модели): репутационными, правовыми, рыночными
- Антикризисное управление (5 моделей)
- Работа с претензиями клиентов (4 модели)
- Управление безопасностью информации (Information Security Management)
- Управление инцидентами (Incident Management)
- Управление изменениями (Change Management)
- Управление доступом (Access Management) 

6. Разные модели и материалы (10 файлов)

- Модель анализа причин «Большое количество операционных рисков в бизнес-процессах»
- Модель решений «Как снизить количество операционных рисков в бизнес-процессах»
- Стратегическая карта «Антикризисная»
- Стратегическая карта «Развитие системы управления операционными рисками»
- Показатели KPI процесса «Управление операционными рисками», включая оценку работы департамента операционных рисков
- Показатели KPI процесса «Обеспечение безопасности»
- Контрольные показатели уровня операционного риска
- Аналитическая таблица «Сравнительный анализ и поддержка принятия решений»
- Электронная книга «Исаев Р.А. 60 примеров успешных и проблемных проектов организационного развития». Содержит примеры проектов по тематике операционных рисков и бизнес-процессов.
- Электронное пособие «Исаев Р.А. Управление операционными рисками: процессы, технологии, практика»

7. Онлайн-тренажёр «Эксперт по управлению операционными рисками»

Онлайн-тренажёр представляет собой информационную систему (веб-портал), включающую 50+ бизнес-кейсов и вопросов, на которые можно отвечать в онлайн-режиме и сразу видеть результат по каждому ответу. Доступ осуществляется через веб-браузер с компьютера, смартфона или планшета.

Практические задачи, которые решает онлайн-тренажёр

1. Возможность постоянных коммуникаций и обмена опытом между пользователями онлайн-тренажёра (включая ведущих экспертов) в закрытом Telegram чате.
2. Отработать навыки принятия решений в сложных и нестандартных ситуациях управления операционными рисками.
3. Самооценка знаний в области «Управление операционными рисками» и профессиональное развитие.
4. Проведение аттестации специалистов внутри организации.
5. Проверка знаний кандидатов или принятие решения о выборе кандидатов при приёме на работу.
6. Применение в рамках построения и развития системы управления операционными рисками (СУОР) в организации.
7. Обзор практических наработок и инноваций, которые применяют ведущие организации.

Чем отличается онлайн-тренажёр от обычных электронных тестов

1. Для прохождения обычных электронных тестов в любых профессиональных областях всегда даётся 1-2 попытки, которые ограничены по времени. Цель онлайн-тренажёра – добиться 100% результата. Для этого даётся 5 попыток (на 1 логин), которые не ограничены по времени. Т.е. с каждой новой попыткой (подходом) можно увеличивать результат и экспертный уровень.
2. Обычные электронные тесты содержат большое количество коротких вопросов, чаще всего теоретических. Онлайн-тренажёр кроме вопросов содержит также подробные бизнес-кейсы и практические задания из опыта работы реальных организаций.

Состав поставки

В рамках Библиотеки предоставляется 5 логинов на доступ к онлайн-тренажёру. Срок действия логинов не ограничен. Возможна поставка любого количества логинов по отдельному договору. Никакого программного обеспечения устанавливать не требуется, требуется только веб-браузер. 

8. Электронная база знаний

Представляет собой веб-портал (HTML-страницы) и открывается в браузере (Google Chrome, Opera, Edge и др.). Для объектов справочников включено более 100 примеров отчётов, которые можно сохранять в форматах Word, Excel, PDF на локальный компьютер. Включает следующие заполненные справочники (классификаторы) по управлению операционными рисками.

- Типы событий операционного риска
- Виды операционного риска
- Виды убытков (потерь)
- Виды возмещений потерь
- Источники рисков
- Статусы фактов (событий) рисков
- Идентификация рисков (план)
- Факты (события) рисков
- Задачи (предупреждающие и корректирующие действия по рискам)
- Отчёты
- Чек-листы
- Показатели (включая ключевые индикаторы рисков - КИРы)