Проведение самооценки организации

Основными целями проведения самооценки организации являются:

• Идентификация основных операционных рисков, характерных для финансовых услуг, бизнес - процессов и систем, относящихся к основной деятельности организации;
• Выполнение оценки в рамках операционных рисков для каждого из выявленных рисков;
• Выявление отсутствующих, несовершенных либо устаревших процедур контроля в разрезе бизнес - процессов структурных подразделений и разработка плана корректирующих мероприятий по ограничению/снижению выявленных операционных рисков;
• Формирование инструментов управления операционными рисками.

Подготовка к проведению самооценки организации может состоять из следующих шагов:

• Разработка форм документов для проведения самооценки;
• Определение уполномоченных сотрудников структурных подразделений, ответственных за проведение самооценки (далее – ответственные сотрудники);
• Разработка порядка взаимодействия структурных подразделений с должностным лицом/структурным подразделением, ответственным за организацию системы управления рисками, в процессе проведения самооценки;
• Консультация ответственных сотрудников и/или руководителей структурных подразделений, которые могут быть определены в качестве лиц, ответственных за проведение самооценки в рамках подчиненного подразделения.

Объектами самооценки являются операционные риски, применяемые в отношении них контрольные процедуры и ограничения операционных рисков (ключевые индикаторы риска) (при необходимости).

В процессе проведения самооценки могут участвовать: должностное лицо/структурное подразделение, ответственное за организацию системы управления рисками; руководители и ответственные сотрудники структурных подразделений, иные сотрудники организации.

Роль должностного лица/структурного подразделения, ответственного за организацию системы управления рисками, в процессе проведения самооценки может состоять в следующем:

• Разработка методологии (порядка) проведения самооценки;
• Разработка структуры и формы Анкеты для проведения самооценки (далее – Анкета)/иного документа, применяемого в организации в целях проведения самооценки;
• Определение сроков проведения самооценки и перечня структурных подразделений, в которых планируется проведение самооценки;
• Подготовка перечня ответственных сотрудников структурных подразделений;
• Консультирование ответственных сотрудников по вопросам заполнения Анкеты/иного документа, применяемого в организации в целях проведения самооценки;
• Анализ агрегированных результатов самооценок структурных подразделений организации и разработка рекомендаций по операционным рискам по итогам самооценки;
• Подготовка соответствующей отчетности по проведению самооценки;
• Информирование заинтересованных подразделений о результатах самооценки;
• Иное.

Роль руководителя структурного подразделения в процессе проведения самооценки может состоять в следующем:

• Определение ответственного сотрудника структурного подразделения, либо самостоятельное исполнение функций данного сотрудника;
• Визирование/подписание Анкеты либо иного документа подразделения, формируемого по итогам проведения самооценки;
• Иное.

Роль ответственного сотрудника структурного подразделения в процессе проведения самооценки может состоять в следующем:

• Заполнение форм документов по проведению самооценки;
• Отправка заполненных Анкет(Анкеты подразделения)/иного документа, предназначенного для целей проведения самооценки, должностному лицу/структурному подразделению, ответственному за организацию системы управления рисками, в установленные сроки;
• Разработка планов мероприятий по ограничению/снижению операционных рисков;
• Контроль за исполнением в подразделении мероприятий по ограничению/снижению операционных рисков.
• Иное.

Если ответственный сотрудник в структурном подразделении не определен, то его функции выполняет руководитель соответствующего структурного подразделения.

В таблице ниже приведен пример порядка проведения самооценки организации.

1. Порядок проведения Самооценки

Руководители структурных подразделений организации «Х» определяют ответственных сотрудников для заполнения Анкеты.

Должностное лицо, ответственное за организацию системы управления рисками, не позднее трех рабочих дней с даты окончания квартала направляет форму Анкеты в структурные подразделения.

Ответственный сотрудник на основе информации о деятельности структурного подразделения идентифицирует и оценивает операционные риски и контрольные процедуры структурного подразделения и заполняет Анкету. В случае необходимости Должностное лицо, ответственное за организацию системы управления рисками, оказывает консультационную поддержку ответственному сотруднику по вопросам заполнения Анкеты.

Руководитель структурного подразделения контролирует полноту и своевременность заполнения Анкеты ответственным сотрудником. Заполненная Анкета подписывается ответственным сотрудником и руководителем структурного подразделения.

Ответственный сотрудник направляет заполненную Анкету Должностному лицу, ответственному за организацию системы управления рисками, не позднее 20 рабочих дней с даты окончания квартала. Должностное лицо, ответственное за организацию системы управления рисками, осуществляет обработку и анализ Анкет, поступивших от структурных подразделений. Результаты проведенной самооценки доводятся до сведения высшего руководства.

2. Этапы проведения Самооценки

2.1. Идентификация операционных рисков

Процедура идентификации операционных рисков осуществляется в разрезе бизнес-процессов структурного подразделения. Для этого могут использоваться:

• классификатор бизнес – процессов (при наличии);
• технологические карты бизнес - процессов (при наличии);
• регламент проведения операций (при наличии);
• дополнительные источники информации;
• положение о структурном подразделении;
• должностные инструкции.

В процессе идентификации операционных рисков также могут использоваться иные источники информации, включая акты проверок структурного подразделения контролером и паспорта рисков.

Для каждого из выделенного в структурном подразделении бизнес – процесса выявляются возможные операционные риски. В перечень включаются операционные риски, которые уже реализовывались, либо могут реализоваться с большой долей вероятности в результате особенностей бизнес - процесса и контрольных процедур.

По каждому бизнес - процессу выделяется как минимум один операционный риск.

Информация о выявленных в ходе проведения идентификации операционных рисках заносится в Анкету. В таблице 1 представлена часть Анкеты в отношении идентификации операционных рисков.

Таблица 1. Идентификация операционных рисков

2.2. Анализ контрольных процедур (Контрольная процедура – это действия, установленные политиками и процедурами, которые помогают обеспечить исполнение указаний менеджмента по снижению рисков, препятствующих достижению целей)

После формирования перечня операционных рисков ответственный сотрудник структурного подразделения анализирует перечень действующих контрольных процедур в разрезе каждого операционного риска. В перечень также включаются отсутствующие, но планируемые к внедрению контрольные процедуры.

По каждой контрольной процедуре указывается внутренний документ (при наличии), определяющий порядок выполнения этой процедуры. На основе экспертного мнения определяется достаточность контрольных процедур (контроль достаточный/недостаточный).

Если контрольные процедуры в отношении определенного вида риска отсутствуют или требуют улучшения (недостаточный контроль), ответственный сотрудник указывает возможные меры по его улучшению.

Далее указываются мероприятия, позволяющие осуществлять мониторинг выполнения заданных контрольных процедур.

Информация по контрольным процедурам заносится ответственным сотрудником структурного подразделения в Анкету. В Таблице 2 представлена часть Анкеты в отношении контрольных процедур.

Таблица 2. Анализ контрольных процедур

2.3. Оценка операционного риска

По итогам формирования форм по операционным рискам и контрольным процедурам ответственный сотрудник структурного подразделения проводит ранжирование операционных рисков по уровню значимости.

Оценка значимости (ранжирование) операционных рисков структурного подразделения производится по следующей пятибалльной шкале:

• 1. Действие операционного риска, в случае его реализации, не прервет штатное исполнение бизнес - процесса; все необходимые контрольные процедуры и формы мониторинга частично, либо полностью реализованы; прямые потери – отсутствуют в любом случае;
• 2. действие операционного риска, в случае его реализации, приведет к незначительным изменениям в качестве исполнения бизнес - процесса; последствия легко исправимы силами структурного подразделения, необходимые контрольные процедуры требуют незначительных доработок; прямые потери полностью возмещаются;
• 3. действие операционного риска, в случае его реализации, приведет к незначительным изменениям в качестве исполнения бизнес - процесса; последствия исправимы, как правило, с привлечением стороннего структурного подразделения, частично отсутствуют необходимые контрольные процедуры и формы мониторинга, прямые потери полностью возмещаются или их величина незначительна;
• 4. действие операционного риска, в случае его реализации, приведет к значительным изменениям в качестве исполнения бизнес - процесса, возможна полная остановка исполнения бизнес - процесса; ликвидация последствий требует затрат времени, необходимые контрольные процедуры и формы мониторинга частично или практически отсутствуют; прямые потери невосполнимы или частично восполнимы;
• 5. действие операционного риска, в случае его реализации, приведет к значительным изменениям в качестве исполнения бизнес - процесса, возможна полная остановка исполнения процесса; ликвидация последствий, как правило, невозможна, необходимые контрольные процедуры и формы мониторинга отсутствуют, прямые потери невосполнимы или составляют значительные суммы.

Дополнительно к оценке значимости ответственный сотрудник оценивает операционные риски в разрезе вероятности наступления и последствий при реализации риска.

Результаты проведенной оценки вносятся в Анкету. В Таблице 3 приведена часть Анкеты в отношении оценки операционного риска.

Таблица 3. Оценка операционного риска

2.4. Разработка ключевых индикаторов риска

В отношении выявленных рисков ответственным сотрудником определяются ключевые индикаторы риска (КИР).

КИР устанавливается для тех рисков, где:

• установлен балльный коэффициент значимости операционных рисков от 3 до 5-ти;
• контрольные процедуры практически отсутствуют или не работают;
• наблюдается высокая частота проявления этого риска;

Также КИР могут устанавливаться по иным рискам.

Определенные КИР заносятся в Анкету. В таблице 4 форму приведена часть Анкеты в отношении КИР.

Таблица 4. Перечень ключевых индикаторов риска

2.5. Разработка планов мероприятий

Ответственный сотрудник совместно с руководителем структурного подразделения анализируют заполненные поля Анкеты по операционным рискам, контрольным процедурам и мониторингу и определяют мероприятия по устранению выявленных пробелов. Часть Анкеты в отношении планируемых мероприятий приведена в таблице 5.

Таблица 5. План мероприятий

На основе предоставленных от структурных подразделений организации Анкет Риск – менеджер формирует сводный документ по результатам проведенной самооценки «Отчет по самооценке» (Таблица 6).

Таблица 6. Отчет по самооценке