Автоматизация системы управления операционными рисками в банке Ноябрь 2007 г.
2 О чём пойдет речь: 1.Основные компоненты системы управления операционными рисками в банке (СУОР) 2.Условия начала автоматизации СУОР 3.Требования к автоматизации СУОР 4.Проект по автоматизации СУОР: участники проекта, этапы проекта
3 Основные компоненты СУОР Ведение реестра рисков Банка Сбор данных о рисковых событиях и их последствиях Ключевые идентификаторы ОР Риск-аудит Качественная и количественная оценка ОР Принципы управления ОР (разработка и соблюдение) Планирование на случай непредвиденных ситуаций Система отчетности об уровне ОР Банка
4 Условия начала автоматизации СУОР Обязательно: Выработан основной понятийный аппарат СУОР: Используемые термины: риск, рисковое событие,риск-фактор, владелец риска и т.п. Классификация ОР и других используемых понятий Определены сферы компетенции, функции и ответственность подразделений в управлении ОР Утвержден основной методологический документ по управлению операционным риском (Политика,Положение и т.п.) Желательно: Определена и опробована процедура сбора данных о рисковых событиях и их последствиях Разработаны и опробованы подходы к качественной и количественной оценке ОР Определена система отчетности об уровне ОР банка
5 Требования к автоматизации СУОР (1 из 4) Общие требования к объектам ИТ-решения по СУОР Журналирование изменения объектов: риски, рисковые события, бизнес-процессы, классификаторы (кто изменил, когда изменил, что изменил) Возможность связывания объектов СУОР: Рисковые события – связывание с рисками, риск-факторами, КИРами, бизнес-процессами Бизнес-процессы – связывание с рисковыми событиями, рисками, КИРами Риски – связывание с рисковыми событиями, риск-факторами, бизнес-процессами, КИРами Разделение прав доступа на основе ролевого подхода Механизм автоматической генерации уведомлений по Возможность назначения «уровней секретности» хранимой информации о рисках, рисковых событиях и т.п.
6 Сбор данных о рисковых событиях операционного риска Ведение стадий жизненного цикла обработки Рисковых событий (РС) Разделение доступа к информации о РС в зависимости от подразделения, к которому относится пользователь При использовании механизма «Ответственных сотрудников на местах»: объявление отдельных РС «особо секретными» Различный состав обязательных для заполнения полей на разных стадиях жизненного цикла РС Учет распределения ответственности за обработку РС в подразделении по управлению рисками Прикрепление к РС вложенных файлов; Возможность построения отчетов по истории жизненного цикла РС Требования к автоматизации СУОР (2 из 4)
7 Качественная оценка операционного риска Ведение каталога бизнес-процессов в составе этапов и операций Регистрация оценок уровня риска на отдельной операции, этапе бизнес-процесса, бизнес-процессе в целом Связывание бизнес-процесса с рисками, которым он подвержен Вычисление уровня риска бизнес-процесса через: составные части бизнес-процесса: этапы, операции, связанные с бизнес-процессом риски. Самооценка операционного риска Ведение статусов заполнения опросных листов Импорт заполненных опросных листов из внешних систем Конвертация результатов опроса в оценку риска Требования к автоматизации СУОР (3 из 4)
8 Реестр рисков Хранение истории присвоения риску качественных оценок Формирование, согласование и отслеживание исполнения планов действий по минимизации рисков Присвоение риску множественных значений классификаторов (бизнес-процессы, типы рисковых событий) Ключевые индикаторы риска Экспорт значений КИРов из ИТ-систем банка Фильтрация и сортировка индикаторов в зависимости от текущего состояния (в зоне риска, вне зоны риска) Ведение информации о сроке актуальности значения индикатора (утратил/не утратил актуальность) Авторизация введенных пользователем значений Требования к автоматизации СУОР (4 из 4)
9 Проект автоматизации СУОР (1 из 2) Состав проектной группы Обязательно Риск-менеджмент Внутренний контроль Служба безопасности ИТ-блок Бизнес-подразделения (имеющие отдельную сферу компетенции в рамках СУОР) Желательно Подразделение, курирующее филиальную сеть Юридическая служба Критерии отбора членов проектной группы: Специалист обладает навыками аналитика, технолога, Специалист задействован в процессах управления ОР, Специалист ориентируется в методологии СУОР.
10 Проект автоматизации СУОР (2 из 2) Этапы проекта 1.Определение требований к ИТ-решению 1.1. Составление требований банка к ИТ-решению, 1.2. Согласование требований внутри Проектной команды 2.Анализ рынка, выбор поставщика 2.1. Анализ рынка ИТ-решений, предварительный просмотр систем 2.2. Выбор сокращенного списка поставщиков ИТ-решений 2.3. Составление сценариев показа систем (на соответствие требованиям) 2.4. Просмотр ИТ-решений, оценка соответствия ИТ-решений требованиям банка 2.5. Принятие решения о методе выборе ИТ-решения 2.6. Выбор поставщика ИТ-решения 3.Заключение контракта 4.Внедрение выбранного решения
11 Вопросы?