Большая библиотека риск-менеджера и специалиста по операционным рискам

«Большая библиотека риск-менеджера и специалиста по операционным рискам» (далее Библиотека) включает документы и материалы, постоянно требующиеся многим сотрудникам и руководителям, которые работают в следующих областях. 

  1. Управление операционными рисками
  2. Информационная безопасность, риски информационных систем
  3. Обеспечение непрерывности деятельности (business continuity management)
  4. Обеспечение качества и эффективности бизнес-процессов организации
  5. Внутренний аудит, внутренний контроль

Библиотека предназначена для решения следующих практических задач

  1. Построение и развитие системы управления операционным рисками (СУОР), включая управление информационной безопасностью и непрерывностью деятельности.
  2. Проектирование и развитие бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов организации.
  3. Обеспечение исполнения бизнес-процессов и регламентов, выполнение процедур аудита и контроля.
  4. Оптимизация организационной и ролевой структуры по управлению рисками.
  5. Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников.
  6. Исполнение национальных и международных стандартов и требований в области операционных рисков. Для банков – это Положение 716-П Банка России, но 100% соответствие не гарантируется. 
  7. Применение лучших профессиональных практик и инноваций в данной области. 

Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации

  1. Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике. 
  2. Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т.е. дополнительных расходов. 
  3. Минимизация операционных рисков и ошибок за счёт готовых проверенных на практике материалов и решений. 
  4. Улучшение показателей KPI бизнес-процессов, качества и эффективности работы организации в целом. Снижение операционных убытков (потерь). 

Пользователи

Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление операционных рисков, управление бизнес-процессов и методологии (процессный офис), управление информационных технологий, управление информационной безопасности, управление внутреннего контроля / внутреннего аудита, департамент персонала, проектный офис, бизнес (продуктовые) подразделения, управление качества и стандартизации.

Структура и материалы Библиотеки

1. Регламенты, положения, методики, политики

Управление рисками (код OR), 36 документов

  • Методика управления операционными рисками
  • Типовые операционные риски бизнес-процессов (список)
  • Регламент процедуры «Идентификация возможных операционных рисков»
  • Инструкция по управлению операционным риском
  • Положение об управлении операционными рисками
  • Положение об организации управления операционным риском
  • Положение о системе управления операционными рисками
  • Стандарт управления рисками (внутренний)
  • Политика по управлению операционным риском
  • Политика управления операционными рисками
  • Политика управления рисками
  • Порядок выполнения самооценки системы управления рисками
  • Порядок работы с Планом обеспечения и восстановления непрерывности деятельности
  • Процедура по реагированию на события, связанные с операционными рисками
  • Регламент взаимодействия подразделений при управлении операционными рисками
  • Методика проведения оценки эффективности системы внутреннего контроля
  • Положение о системе внутреннего контроля
  • Положение об организации внутреннего аудита
  • Порядок проведения проверок службой внутреннего аудита
  • Положение об организации системы риск-менеджмента
  • Методика выявления, регистрации и оценки операционных рисков
  • Стратегия управления рисками
  • Регламент процесса «Управление рисками»
  • Политика обеспечения непрерывности и восстановления бизнеса
  • Положение о разработке и тестировании плана обеспечения непрерывности и восстановления деятельности
  • Порядок разработки и реализации плана обеспечения непрерывности и восстановления деятельности
  • Методика проведения стресс-тестирования (на примере банка)
  • Политика проведения стресс-тестирования
  • Положение о проведении стресс-тестирования (на примере банка)
  • Положение о стресс-тестировании различных видов рисков (на примере банка)
  • Порядок проведения стресс-тестирования рисков (на примере банка)
  • Правила внутреннего контроля для обеспечения целостности данных (информации)
  • Правила внутреннего контроля для обеспечения целостности данных (информации), вариант 2
  • Определение и анализ критически важных процессов (на примере банка)
  • Правила эвакуации сотрудников и документации из организации при возникновении ЧС
  • Порядок обеспечения безопасности серверных помещений и центров обработки данных (ЦОД)

Информационные системы и технологии (код IT), 5 документов

  • Политика в области обеспечения качества ИТ (IT quality assurance)
  • Политика по работе с рисками (инцидентами) в информационных системах
  • Политика по обновлению и развитию ИТ-систем (тестирование, установка, контроль)
  • Порядок и план проведения стресс-тестирования по восстановлению работоспособности ИС
  • Порядок резервирования и восстановления ИС, баз данных, СЗИ, оборудования

Информационная безопасность (код IB), 31 документ

  • Положение о бесперебойной работе информационной сети и защите информации
  • Положение об обеспечении информационной безопасности процессов в ИТ-системах
  • Положение об оценке рисков нарушения информационной безопасности
  • Положение об информационной безопасности при обеспечении непрерывности бизнеса и его восстановления
  • Положение о системе менеджмента информационной безопасности
  • Методика проведения анализа рисков информационной безопасности
  • Порядок контроля уязвимостей программного обеспечения в организации
  • Политика информационной безопасности
  • Положение о защите информации в информационных системах
  • Положение о проведении контроля защищённости информационных систем
  • Порядок разработки систем защиты информации в информационных системах
  • Порядок эксплуатации систем защиты информации в информационных системах
  • Типовая детальная модель защиты информационной системы
  • Классификация информационных систем для обеспечения безопасности персональных данных
  • Модель угроз и нарушителей безопасности информации в информационных системах
  • Положение о категорировании информационных систем и ресурсов в целях защиты
  • Политика антивирусной защиты
  • Положение об антивирусной защите
  • Порядок осуществления контроля за состоянием информационной системы и её безопасности
  • Порядок проведения аудитов и самооценок информационной безопасности
  • Положение об управлении уязвимостями информационных ресурсов и систем
  • Инструкция категорирования информационных ресурсов (конфиденциальность, целостность)
  • Методика обнаружения и противодействия атакам на ИТ-системы организации
  • Положение о технических средствах защиты информации
  • Положение об анализе и улучшениях системы обеспечения информационной безопасности
  • Положение по учету, хранению и использованию носителей ключевой информации (ЭЦП)
  • Порядок проведения тестирования защищенности информационных систем
  • Политика использования средств криптографической защиты информации
  • Положение об организации антивирусной защиты локальной вычислительной сети
  • Положение об организации криптографической защиты информации
  • Положение по работе со средствами криптографической защиты информации и ключевой информацией

2. Положения о подразделениях и комитетах, должностные инструкции (11 документов)

  • Должностная инструкция Директора департамента рисков
  • Положение об Отделе операционных рисков
  • Бизнес-архитектура организации (схема взаимодействия подразделений при управлении процессами и рисками)
  • Департамент риск-менеджмента (организационная структура)
  • Положение о Комитете по информационной безопасности
  • Положение об Отделе информационной безопасности
  • Положение о Комитете по рискам
  • Положение о Комитете по управлению рисками
  • Карта полномочий Директора по управлению рисками
  • Положение о комиссии по повышению устойчивости функционирования организации
  • Положение о службе внутреннего аудита

3. Формы документов и примеры заполнения

Управление рисками (код OR), 23 документа

  • Чек-лист «Оценка эффективности функционирования СУОР»
  • Чек-лист «Аудит операционных рисков бизнес-процесса»
  • Расчёт важности операционного риска
  • Расчёт вероятности операционного риска
  • Шаблон таблицы для сбора данных «Операционные риски – факт (события)»
  • Шаблон таблицы для сбора данных – «Убытки по фактам рисков (из бухгалтерии)»
  • Таблица владельцев, аналитиков и риск-офицеров по бизнес-процессам
  • Матрица распределения рисков по центрам ответственности и бизнес-процессам (включая аудит)
  • Отчёт о проверке процесса обеспечения непрерывности бизнеса (на примере банка)
  • Программа проверки системы управления операционными рисками
  • Стратегия внутреннего аудита и внутреннего контроля (включая риски и ИТ)
  • Управление рисками (расчётная таблица Excel)
  • План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре
  • Отчёт об испытаниях аварийного плана (ОНиВД) и порядок его составления
  • Отчёт об устранении замечаний службы внутреннего аудита (шаблон)
  • Отчёт по стресс-тестированию и сценарному анализу операционных рисков
  • План действий, направленных на обеспечение непрерывности и восстановление деятельности
  • План обеспечения непрерывности и восстановления деятельности (на примере банка)
  • Планы и программы обеспечения непрерывности и восстановления деятельности (ОНиВД)
  • Организационный план Управления финансового анализа и риск-менеджмента в чрезвычайных ситуациях
  • План действий по обеспечению непрерывности и восстановлению деятельности организации
  • План действий при возникновении аварийных обстоятельств в работе организации
  • План восстановления финансовой устойчивости (на примере банка)

Информационная безопасность (код IB), 8 документов

  • Отчёт о проверке безопасности информационной системы (ИС)
  • Отчёт об уровне зрелости системы информационной безопасности
  • Программа оценки системы информационной безопасности
  • План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам
  • Отчёт о результатах обследования процессов обработки персональных данных
  • Отчёт о результатах проверки обеспечения защиты персональных данных в ИС
  • Анализ соответствия ИТ-системы требованиям безопасности и рекомендации
  • Техническое задание – разработка комплексной системы обеспечения безопасности в ИТ-системе

Информационные системы и технологии (код IT), 2 документа

  • Программа проверки информационных систем (ИС) службой внутреннего контроля
  • План обеспечения непрерывной работы и восстановления информационной системы (ИС) и локальной сети

4. Примеры отчётов (11 документов)

Код D

  • Анализ возможных операционных рисков процедуры
  • Операционные риски (план и факт) в ответственности должности
  • Операционные риски и операционные убытки бизнес-процесса
  • Операционные риски информационной системы (ИС)
  • Статистика и анализ по типу события операционного риска
  • Чистые (фактические) потери от реализации события операционного риска

Код S

  • Анализ всех возможных операционных рисков и статистика
  • Анализ фактов всех операционных рисков с детализацией убытков
  • Контроль задач (мероприятий) по закрытию (проработке) фактов рисков
  • Контроль предупреждающих действий для идентифицированных рисков
  • Расчёт суммы чистых (фактических) убытков (потерь) в организации

5. Модели процессов и процедур (23 файла)

  • Управление операционными рисками (7 моделей)
  • Управление другими видами рисков (3 модели): репутационными, правовыми, рыночными
  • Антикризисное управление (5 моделей)
  • Работа с претензиями клиентов (4 модели)
  • Управление безопасностью информации (Information Security Management)
  • Управление инцидентами (Incident Management)
  • Управление изменениями (Change Management)
  • Управление доступом (Access Management)

6. Разные модели и материалы (12 файлов)

  • Модель анализа причин «Большое количество операционных рисков в бизнес-процессах»
  • Модель решений «Как снизить количество операционных рисков в бизнес-процессах»
  • Стратегическая карта «Антикризисная»
  • Стратегическая карта «Развитие системы управления операционными рисками»
  • Показатели KPI процесса «Управление операционными рисками», включая оценку работы департамента операционных рисков
  • Показатели KPI процесса «Обеспечение безопасности»
  • Контрольные показатели уровня операционного риска
  • Аналитическая таблица «Сравнительный анализ и поддержка принятия решений»
  • Электронная книга «Исаев Р.А. 60 примеров успешных и проблемных проектов организационного развития». Содержит примеры проектов по тематике операционных рисков и бизнес-процессов. 
  • Электронное пособие «Исаев Р.А. Управление операционными рисками: процессы, технологии, практика»
  • Статья «Операционная надёжность и операционные риски – система регламентации и моделей»
  • Матрица компетенций (квалификации) риск-менеджеров

7. Онлайн-тренажёр «Эксперт по управлению операционными рисками»

Онлайн-тренажёр представляет собой информационную систему (веб-портал), включающую 50+ бизнес-кейсов и вопросов, на которые можно отвечать в онлайн-режиме и сразу видеть результат по каждому ответу. Доступ осуществляется через веб-браузер с компьютера, смартфона или планшета.

Практические задачи, которые решает онлайн-тренажёр

  1. Возможность постоянных коммуникаций и обмена опытом между пользователями онлайн-тренажёра (включая ведущих экспертов) в закрытом Telegram чате.
  2. Отработать навыки принятия решений в сложных и нестандартных ситуациях управления операционными рисками.
  3. Самооценка знаний в области «Управление операционными рисками» и профессиональное развитие. 
  4. Проведение аттестации специалистов внутри организации.
  5. Проверка знаний кандидатов или принятие решения о выборе кандидатов при приёме на работу.
  6. Применение в рамках построения и развития системы управления операционными рисками (СУОР) в организации.
  7. Обзор практических наработок и инноваций, которые применяют ведущие организации. 

Чем отличается онлайн-тренажёр от обычных электронных тестов

  1. Для прохождения обычных электронных тестов в любых профессиональных областях всегда даётся 1-2 попытки, которые ограничены по времени. Цель онлайн-тренажёра – добиться 100% результата. Для этого даётся 5 попыток (на 1 логин), которые не ограничены по времени. Т.е. с каждой новой попыткой (подходом) можно увеличивать результат и экспертный уровень. 
  2. Обычные электронные тесты содержат большое количество коротких вопросов, чаще всего теоретических. Онлайн-тренажёр кроме вопросов содержит также подробные бизнес-кейсы и практические задания из опыта работы реальных организаций.

Состав поставки

В рамках Библиотеки предоставляется 5 логинов на доступ к онлайн-тренажёру. Срок действия логинов не ограничен. Возможна поставка любого количества логинов по отдельному договору. Никакого программного обеспечения устанавливать не требуется, необходим только веб-браузер. 

8. Электронная база знаний

Представляет собой веб-портал (HTML-страницы) и открывается в браузере (Google Chrome, Opera, Edge и др.). Для объектов справочников включено более 100 примеров отчётов, которые можно сохранять в форматах Word, Excel, PDF на локальный компьютер. Включает следующие заполненные справочники (классификаторы) по управлению операционными рисками.

  • Типы событий операционного риска
  • Виды операционного риска
  • Виды убытков (потерь)
  • Виды возмещений потерь
  • Источники рисков
  • Статусы фактов (событий) рисков
  • Идентификация рисков (план)
  • Факты (события) рисков
  • Задачи (предупреждающие и корректирующие действия по рискам)
  • Отчёты
  • Чек-листы
  • Показатели (включая ключевые индикаторы рисков – КИРы)

Общие сведения о Библиотеке

  • Версия 4.0.
  • Стоимость 115 000 руб. Для выполнения закупки необходимо отправить запрос в свободной форме (с реквизитами организации) на адрес автора-разработчика mail@isaevroman.ru.
  • Скидка 10% предоставляется для пользователей других Библиотек, модулей и моделей (любых годов приобретения) разработки автора (Исаев Р.А.).
  • Области применения: организации любых отраслей и сфер деятельности. 
  • Краткое описание: 162 файла – образцы документов, модели, практические и учебные материалы, которые постоянно требуются в работе сотрудникам и руководителям в области операционных рисков. Плюс более 100 документов и материалов в электронной базе знаний.
  • Обновления: пользователи любых предыдущих версий Библиотеки (включая актуальную на данный момент) получают бессрочную бесплатную подписку на все следующие обновления и версии.
  • Технические требования: поставка выполняется в виде архива файлов форматов: Word, Excel, PDF, Visio. Для открытия файлов необходимы соответствующие программные продукты (актуальных версий). 
  • Индивидуальные заказы: возможна разработка и включение в Библиотеку любых новых документов и материалов по индивидуальным запросам клиентов. Просьба обращаться к автору.
  • Обучение и поддержка: проводится вебинар «Операционные риски и операционная надёжность организаций: процессы, технологии, практика». Работает специальный Telegram канал для консультаций и общения пользователей Библиотеки.
  • Видео-презентация
  • Предлагаем ознакомиться также с “Большой библиотекой бизнес-аналитика и специалиста по бизнес-процессам“, “Большой библиотекой системного аналитика и ИТ-архитектора“, “Большой библиотекой по информационной безопасности и защите ИТ-систем“.