В случае аутсорсинга риска речь идет о возложении ответственности (в т.ч. финансовой) за возможное наступление неблагоприятного события на стороннюю организацию (провайдера услуг).
Конкретно для службы внутреннего контроля проверка управления рисками при использовании услуг сторонних организаций (аутсорсинг) может включать:
1) изучение мероприятий по управлению рисками при использовании услуг сторонних организаций, в ходе которого определяются:
- установленный порядок оценки рисков с целью определения мер по защите информации в случае возникновения необходимости подключения к аппаратуре и линиям связи сторонней организации;
- порядок доступа сторонней организации к информации, предоставляемой кредитной организацией (филиалами), в том числе вопросы соблюдения банковской тайны;
- установленный порядок оценки рисков, а также включение в договор со сторонней организацией мероприятий по их минимизации при размещении данных на внешних информационных ресурсах и управлении данными (передаче данных) сторонней организацией;
2) анализ условий договоров (контрактов) со сторонними организациями в части определения ответственности в случае возникновения конфликтных ситуаций либо чрезвычайных обстоятельств. При проверке содержания таких договоров рекомендуется обратить внимание на:
- разрешенные способы доступа;
- использование уникальных идентификаторов пользователей и паролей, а также контроль их использования;
- описание каждого предоставляемого информационного сервиса;
- наличие списка лиц, которым разрешено использовать информационный сервис, а также процедуры предоставления разрешения доступа новым пользователям;
- временной интервал, в течение которого информационный сервис будет доступен;
- процедуры и меры по реализации защиты информационных ресурсов кредитной организации (филиалов);
- обязательства по соблюдению требований законодательства Российской Федерации и внутренних документов кредитной организации, в частности наличие требования соблюдения конфиденциальности;
- обязательства сторонней организации по установке и настройке аппаратно-программных средств и информационных ресурсов, информационных ресурсов и их сопровождения;
- порядок обеспечения возврата либо уничтожения конфиденциальной информации по окончании срока действия договора;
- меры по физической защите оборудования и данных;
- обучение (при необходимости) пользователей информационных сервисов правилам обеспечения ИБ;
- меры по обеспечению защиты от вредоносных программ;
- процедуры уведомления об инцидентах в системе обеспечения ИБ, а также порядок их расследования;
- условия участия в разрешении конфликтных ситуаций либо чрезвычайных обстоятельств, при необходимости, третьих лиц (разработчики и поставщики аппаратно-программных средств и информационных ресурсов, провайдеры информационно-технологических услуг и др.) .
При заключении контракта, особенно на полный аутсорсинг, необходимо иметь форс-мажорный план смены провайдера.
Использование механизмов аутсорсинга управления рисками позволяет компании-заказчику сократить затраты на содержание подразделения риск-менеджмента, избежать расходов на обучение персонала и обеспечивает вовлечение компетентных кадров, доступ к отлаженным технологиям менеджмента рисков, инструментам оценки и специализированным программным продуктам, применяемым профессиональной командой специалистов.
При использовании передачи управления рисками на стороннюю компанию возлагается весь комплекс работ по непосредственной постановке и обеспечению протекания процессов управления рисками на предприятии, включая:
- разработку и внедрение комплексной системы управления рисками предприятия;
- обеспечение процессов управления рисками;
- непрерывный мониторинг уровня корпоративных рисков;
- периодическое выявление и анализ рисков;
- качественную и количественную оценку рисков компании-заказчика;
- разработка комплекса методов реагирования и превентивных мероприятий;
- оценка затрат в целях утверждения бюджета на управление рисками;
- формирование перечня контрольных процедур .
Однако следует отметить, что привлечение консультантов в области управления рисками является сложившейся практикой в зарубежных странах. В российских же условиях присутствуют свои особенности, которые явно выразились при проведении в 2006 году исследования состояния и проблем развития риск-менеджмента в российских компаниях (рисунок 1). Общий вывод, который можно сделать из ответов в целом, это невысокий уровень доверия к сторонним консультантам. Прежде всего, треть респондентов предпочитает не привлекать сторонних консультантов вовсе, ориентируясь на применение собственных разработок оценки рисков.
Рисунок 1 - Критерии при выборе консультанта / разработчика системы
риск-менеджмента
Отдельно следует сопоставить критерии выбора консультанта по управлению рисками. Так, для риск-менеджеров являются менее значимыми положительные отзывы коллег о работе консультанта (12% респондентов), здесь, по-видимому, сказывается невысокое мнение об общем отраслевом уровне риск-менеджмента. Аналогичным образом, для респондентов не являются достаточно убедительными рекомендации партнеров и даже акционеров: лишь 15,5% указали этот критерий удовлетворительным для себя. Зато верифицируемые критерии (проверяемые на практике) являются достаточно убедительными для российских риск-менеджеров. Так, наличие передовых технологий оценки рисков отметили 29% респондентов, а наличие успешных разработок - более половины, 59%. Следует отметить, что в данном вопросе допускалось до двух вариантов ответов, в случае однозначного выбора различия были еще более существенными .
Таким образом, для успешной работы в российском риск-менеджменте консультанты должны обладать не просто набором соответствующих знаний и технологий, но и иметь опыт успешных отраслевых внедрений.
Поможем написать любую работу на аналогичную тему