Большая библиотека риск-менеджера и специалиста по операционным рискам

Информация об авторе

Имя
Роман Исаев

Должность

• Эксперт по организационному развитию, процессному управлению, информационным технологиям в бизнесе;
• Партнёр ГК «Современные технологии управления»;
• Руководитель проектов, бизнес-тренер, сертифицированный специалист Business Studio;
• Автор 11 книг и более 60 публикаций в научно-практических журналах;
• Автор и разработчик моделей и модулей для системы Business Studio, которые на протяжении многих лет активно используются в ведущих российских и международных организациях.

Модели и решения

• Цифровая модель банка и группы финансовых организаций;
• Risk Manager: система управления операционными рисками;
• Task Manager: система управления задачами (с поддержкой Agile);
• IT Architect: система управления ИТ‑архитектурой;
• Process Optimizer: система анализа и оптимизации бизнес-процессов;
• Business Studio Toolset Addon: многофункциональное дополнение.

Книги:

• 60 примеров успешных и проблемных проектов организационного развития;
• Банк 3.0: стратегии, бизнес-процессы, инновации;
• Секреты успешных банков: бизнес-процессы и технологии;
• 22 практических метода для достижения совершенства процессов и бизнес-архитектуры;
• Управление операционными рисками: процессы, технологии, практика;
• Практика управления процессами и проектами с применением Agile (Scrum, Kanban);
• Практика организационного развития и оптимизации бизнес-архитектуры банка.
• 1200 показателей KPI бизнес-процессов и примеры оптимизации. 
• Управление операционными рисками. надёжность бизнес-процессов и ИТ-систем. 

Общие сведения о продукте

Стоимость продукта — 115 000 руб.

Описание

«Большая библиотека риск-менеджера и специалиста по операционным рискам» (далее Библиотека) включает документы и материалы, постоянно требующиеся многим сотрудникам и руководителям, которые работают в следующих областях:

1. Управление операционными рисками
2. Информационная безопасность, риски информационных систем
3. Обеспечение непрерывности деятельности (business continuity management)
4. Обеспечение качества и эффективности бизнес-процессов организации
5. Внутренний аудит, внутренний контроль

Библиотека предназначена для решения следующих практических задач:

1. Построение и развитие системы управления операционным рисками (СУОР), включая управление информационной безопасностью и непрерывностью деятельности
2. Проектирование и развитие бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов организации
3. Обеспечение исполнения бизнес-процессов и регламентов, выполнение процедур аудита и контроля
4. Оптимизация организационной и ролевой структуры по управлению рисками
5. Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников
6. Исполнение национальных и международных стандартов и требований в области операционных рисков. Для банков — это Положение 716-П Банка России, но 100% соответствие не гарантируется. 
7. Применение лучших профессиональных практик и инноваций в данной области.

Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации:

1. Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике.
2. Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т. е. дополнительных расходов.
3. Минимизация операционных рисков и ошибок за счёт готовых проверенных на практике материалов и решений.
4. Улучшение показателей KPI бизнес-процессов, качества и эффективности работы организации в целом. Снижение операционных убытков (потерь).

Пользователи

Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление операционных рисков, управление бизнес-процессов и методологии (процессный офис), управление информационных технологий, управление информационной безопасности, управление внутреннего контроля / внутреннего аудита, департамент персонала, проектный офис, бизнес (продуктовые) подразделения, управление качества и стандартизации.

Структура и материалы Библиотеки

1. Регламенты, положения, методики, политики

Управление рисками (код OR), 36 документов

• Методика управления операционными рисками
• Типовые операционные риски бизнес-процессов (список)
• Регламент процедуры «Идентификация возможных операционных рисков»
• Инструкция по управлению операционным риском
• Положение об управлении операционными рисками
• Положение об организации управления операционным риском
• Положение о системе управления операционными рисками
• Стандарт управления рисками (внутренний)
• Политика по управлению операционным риском
• Политика управления операционными рисками
• Политика управления рисками
• Порядок выполнения самооценки системы управления рисками
• Порядок работы с Планом обеспечения и восстановления непрерывности деятельности
• Процедура по реагированию на события, связанные с операционными рисками
• Регламент взаимодействия подразделений при управлении операционными рисками
• Методика проведения оценки эффективности системы внутреннего контроля
• Положение о системе внутреннего контроля
• Положение об организации внутреннего аудита
• Порядок проведения проверок службой внутреннего аудита
• Положение об организации системы риск-менеджмента
• Методика выявления, регистрации и оценки операционных рисков
• Стратегия управления рисками
• Регламент процесса «Управление рисками»
• Политика обеспечения непрерывности и восстановления бизнеса
• Положение о разработке и тестировании плана обеспечения непрерывности и восстановления деятельности
• Порядок разработки и реализации плана обеспечения непрерывности и восстановления деятельности
• Методика проведения стресс-тестирования (на примере банка)
• Политика проведения стресс-тестирования
• Положение о проведении стресс-тестирования (на примере банка)
• Положение о стресс-тестировании различных видов рисков (на примере банка)
• Порядок проведения стресс-тестирования рисков (на примере банка)
• Правила внутреннего контроля для обеспечения целостности данных (информации)
• Правила внутреннего контроля для обеспечения целостности данных (информации), вариант 2
• Определение и анализ критически важных процессов (на примере банка)
• Правила эвакуации сотрудников и документации из организации при возникновении ЧС
• Порядок обеспечения безопасности серверных помещений и центров обработки данных (ЦОД)

Информационные системы и технологии (код IT), 5 документов

• Политика в области обеспечения качества ИТ (IT quality assurance)
• Политика по работе с рисками (инцидентами) в информационных системах
• Политика по обновлению и развитию ИТ-систем (тестирование, установка, контроль)
• Порядок и план проведения стресс-тестирования по восстановлению работоспособности ИС
• Порядок резервирования и восстановления ИС, баз данных, СЗИ, оборудования

Информационная безопасность (код IB), 31 документ

• Положение о бесперебойной работе информационной сети и защите информации
• Положение об обеспечении информационной безопасности процессов в ИТ-системах
• Положение об оценке рисков нарушения информационной безопасности
• Положение об информационной безопасности при обеспечении непрерывности бизнеса и его восстановления
• Положение о системе менеджмента информационной безопасности
• Методика проведения анализа рисков информационной безопасности
• Порядок контроля уязвимостей программного обеспечения в организации
• Политика информационной безопасности
• Положение о защите информации в информационных системах
• Положение о проведении контроля защищённости информационных систем
• Порядок разработки систем защиты информации в информационных системах
• Порядок эксплуатации систем защиты информации в информационных системах
• Типовая детальная модель защиты информационной системы
• Классификация информационных систем для обеспечения безопасности персональных данных
• Модель угроз и нарушителей безопасности информации в информационных системах
• Положение о категорировании информационных систем и ресурсов в целях защиты
• Политика антивирусной защиты
• Положение об антивирусной защите
• Порядок осуществления контроля за состоянием информационной системы и её безопасности
• Порядок проведения аудитов и самооценок информационной безопасности
• Положение об управлении уязвимостями информационных ресурсов и систем
• Инструкция категорирования информационных ресурсов (конфиденциальность, целостность)
• Методика обнаружения и противодействия атакам на ИТ-системы организации
• Положение о технических средствах защиты информации
• Положение об анализе и улучшениях системы обеспечения информационной безопасности
• Положение по учету, хранению и использованию носителей ключевой информации (ЭЦП)
• Порядок проведения тестирования защищенности информационных систем
• Политика использования средств криптографической защиты информации
• Положение об организации антивирусной защиты локальной вычислительной сети
• Положение об организации криптографической защиты информации
• Положение по работе со средствами криптографической защиты информации и ключевой информацией

2. Положения о подразделениях и комитетах, должностные инструкции (11 документов)

• Должностная инструкция Директора департамента рисков
• Положение об Отделе операционных рисков
• Бизнес-архитектура организации (схема взаимодействия подразделений при управлении процессами и рисками)
• Департамент риск-менеджмента (организационная структура)
• Положение о Комитете по информационной безопасности
• Положение об Отделе информационной безопасности
• Положение о Комитете по рискам
• Положение о Комитете по управлению рисками
• Карта полномочий Директора по управлению рисками
• Положение о комиссии по повышению устойчивости функционирования организации
• Положение о службе внутреннего аудита

3. Формы документов и примеры заполнения

Управление рисками (код OR), 23 документа

• Чек-лист «Оценка эффективности функционирования СУОР»
• Чек-лист «Аудит операционных рисков бизнес-процесса»
• Расчёт важности операционного риска
• Расчёт вероятности операционного риска
• Шаблон таблицы для сбора данных «Операционные риски — факт (события)»
• Шаблон таблицы для сбора данных — «Убытки по фактам рисков (из бухгалтерии)»
• Таблица владельцев, аналитиков и риск-офицеров по бизнес-процессам
• Матрица распределения рисков по центрам ответственности и бизнес-процессам (включая аудит)
• Отчёт о проверке процесса обеспечения непрерывности бизнеса (на примере банка)
• Программа проверки системы управления операционными рисками
• Стратегия внутреннего аудита и внутреннего контроля (включая риски и ИТ)
• Управление рисками (расчётная таблица Excel)
• План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре
• Отчёт об испытаниях аварийного плана (ОНиВД) и порядок его составления
• Отчёт об устранении замечаний службы внутреннего аудита (шаблон)
• Отчёт по стресс-тестированию и сценарному анализу операционных рисков
• План действий, направленных на обеспечение непрерывности и восстановление деятельности
• План обеспечения непрерывности и восстановления деятельности (на примере банка)
• Планы и программы обеспечения непрерывности и восстановления деятельности (ОНиВД)
• Организационный план Управления финансового анализа и риск-менеджмента в чрезвычайных ситуациях
• План действий по обеспечению непрерывности и восстановлению деятельности организации
• План действий при возникновении аварийных обстоятельств в работе организации
• План восстановления финансовой устойчивости (на примере банка)

Информационная безопасность (код IB), 8 документов

• Отчёт о проверке безопасности информационной системы (ИС)
• Отчёт об уровне зрелости системы информационной безопасности
• Программа оценки системы информационной безопасности
• План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам
• Отчёт о результатах обследования процессов обработки персональных данных
• Отчёт о результатах проверки обеспечения защиты персональных данных в ИС
• Анализ соответствия ИТ-системы требованиям безопасности и рекомендации
• Техническое задание — разработка комплексной системы обеспечения безопасности в ИТ-системе

Информационные системы и технологии (код IT), 2 документа

• Программа проверки информационных систем (ИС) службой внутреннего контроля
• План обеспечения непрерывной работы и восстановления информационной системы (ИС) и локальной сети

4. Примеры отчётов (11 документов)

Код D

• Анализ возможных операционных рисков процедуры
• Операционные риски (план и факт) в ответственности должности
• Операционные риски и операционные убытки бизнес-процесса
• Операционные риски информационной системы (ИС)
• Статистика и анализ по типу события операционного риска
• Чистые (фактические) потери от реализации события операционного риска

Код S

• Анализ всех возможных операционных рисков и статистика
• Анализ фактов всех операционных рисков с детализацией убытков
• Контроль задач (мероприятий) по закрытию (проработке) фактов рисков
• Контроль предупреждающих действий для идентифицированных рисков
• Расчёт суммы чистых (фактических) убытков (потерь) в организации

5. Модели процессов и процедур (23 файла)

• Управление операционными рисками (7 моделей)
• Управление другими видами рисков (3 модели): репутационными, правовыми, рыночными
• Антикризисное управление (5 моделей)
• Работа с претензиями клиентов (4 модели)
• Управление безопасностью информации (Information Security Management)
• Управление инцидентами (Incident Management)
• Управление изменениями (Change Management)
• Управление доступом (Access Management)

6. Разные модели и материалы (12 файлов)

• Модель анализа причин «Большое количество операционных рисков в бизнес-процессах»
• Модель решений «Как снизить количество операционных рисков в бизнес-процессах»
• Стратегическая карта «Антикризисная»
• Стратегическая карта «Развитие системы управления операционными рисками»
• Показатели KPI процесса «Управление операционными рисками», включая оценку работы департамента операционных рисков
• Показатели KPI процесса «Обеспечение безопасности»
• Контрольные показатели уровня операционного риска
• Аналитическая таблица «Сравнительный анализ и поддержка принятия решений»
• Электронная книга «Исаев Р. А. 60 примеров успешных и проблемных проектов организационного развития». Содержит примеры проектов по тематике операционных рисков и бизнес-процессов.
• Электронное пособие «Исаев Р. А. Управление операционными рисками: процессы, технологии, практика»
• Статья «Операционная надёжность и операционные риски — система регламентации и моделей»
• Матрица компетенций (квалификации) риск-менеджеров

7. Онлайн-тренажёр «Эксперт по управлению операционными рисками»

Онлайн-тренажёр представляет собой информационную систему (веб-портал), включающую 50+ бизнес-кейсов и вопросов, на которые можно отвечать в онлайн-режиме и сразу видеть результат по каждому ответу. Доступ осуществляется через веб-браузер с компьютера, смартфона или планшета.

Практические задачи, которые решает онлайн-тренажёр

1. Возможность постоянных коммуникаций и обмена опытом между пользователями онлайн-тренажёра (включая ведущих экспертов) в закрытом Telegram чате.
2. Отработать навыки принятия решений в сложных и нестандартных ситуациях управления операционными рисками.
3. Самооценка знаний в области «Управление операционными рисками» и профессиональное развитие.
4. Проведение аттестации специалистов внутри организации.
5. Проверка знаний кандидатов или принятие решения о выборе кандидатов при приёме на работу.
6. Применение в рамках построения и развития системы управления операционными рисками (СУОР) в организации.
7. Обзор практических наработок и инноваций, которые применяют ведущие организации.

Чем отличается онлайн-тренажёр от обычных электронных тестов

1. Для прохождения обычных электронных тестов в любых профессиональных областях всегда даётся 1-2 попытки, которые ограничены по времени. Цель онлайн-тренажёра — добиться 100% результата. Для этого даётся 5 попыток (на 1 логин), которые не ограничены по времени. Т. е. с каждой новой попыткой (подходом) можно увеличивать результат и экспертный уровень.
2. Обычные электронные тесты содержат большое количество коротких вопросов, чаще всего теоретических. Онлайн-тренажёр кроме вопросов содержит также подробные бизнес-кейсы и практические задания из опыта работы реальных организаций.

Состав поставки

В рамках Библиотеки предоставляется 5 логинов на доступ к онлайн-тренажёру. Срок действия логинов не ограничен. Возможна поставка любого количества логинов по отдельному договору. Никакого программного обеспечения устанавливать не требуется, необходим только веб-браузер.

8. Электронная база знаний

Представляет собой веб-портал (HTML-страницы) и открывается в браузере (Google Chrome, Opera, Edge и др.). Для объектов справочников включено более 100 примеров отчётов, которые можно сохранять в форматах Word, Excel, PDF на локальный компьютер. Включает следующие заполненные справочники (классификаторы) по управлению операционными рисками.

• Типы событий операционного риска
• Виды операционного риска
• Виды убытков (потерь)
• Виды возмещений потерь
• Источники рисков
• Статусы фактов (событий) рисков
• Идентификация рисков (план)
• Факты (события) рисков
• Задачи (предупреждающие и корректирующие действия по рискам)
• Отчёты
• Чек-листы
• Показатели (включая ключевые индикаторы рисков КИРы)