Изменения законодательства

Автор Исаев Р.А.

Эксперт по организационному развитию,

управлению бизнес-процессами и операционными рисками.

ГК «Современные технологии управления» Партнёр.

Руководитель проектов, бизнес-тренер.

Управление операционными рисками, обеспечение операционной надёжности и непрерывности деятельности организаций является несомненным трендом на долгие годы вперёд. Всё это нуждается в качественной регламентации и моделировании. Т.е. важно не просто внедрять новые методики, стандарты и технологии, а сопровождать и обеспечивать все разработки детальной системой регламентации и моделей, которые будут исполняться на практике. В статье рассмотрим структуру (Рис. 1) данной системы и приведём примеры её компонентов. Эта структура показывает, какой полный набор моделей и документов в идеале должен иметь современный департамент риск-менеджмента средней и крупной организации (многих отраслей, особенно высокотехнологичных, производственных, финансовых).

В работу активно входит новое понятие – операционная надёжность. Это способность организации обеспечить непрерывность функционирования критически важных процессов в случае возникновения отказов и (или) нарушений функционирования применяемых организацией информационных, технологических и других систем, оборудования и (или) несоответствия их функциональных возможностей и характеристик потребностям организации или реализации киберриска. [1]

Рис. 1. Структура системы регламентации и моделей по операционным рискам и операционной надёжности

При разработке данной схемы автор учитывал следующие факторы.

• Возможности систем бизнес-моделирования (Microsoft Visio, Business Studio [2] и др.) по разработке соответствующих моделей и документов. Это ключевой фактор, т.к. не имеет смысла говорить о каких-то моделях и включать их в рекомендуемую структуру, если их разработку не поддерживают современные системы.
• Готовые типовые решения – «Большая библиотека риск-менеджера и специалиста по операционным рискам» [3]
• Успешные практики и проектный опыт
• Актуальные задачи и потребности департаментов риск-менеджмента ведущих организаций
• Требования национальных и международных стандартов в области рисков (ISO 31000, ISO 31010, FERMA, COSO ERM, Положение №716-П Банка России, BASEL III и др.)

Сразу следует обратить внимание, что данная схема не является абсолютной истиной и должна дорабатываться (корректироваться) под конкретную организацию. Т.е. можно перемещать разные компоненты (блоки) между категориями (группами), удалять, добавлять новые. Но предложенные подходы являются универсальными и применимы для широкого круга задач.

Область операционных рисков и операционной надёжности тесно связана с ИТ-архитектурой организации, поэтому для получения более подробной информации по теме ИТ рекомендуется авторская статья «ИТ-архитектура организации и система регламентации ИТ-департамента». [4]

Рассмотрим более подробно, что входит в каждый из компонентов схемы (Рис. 1) с примерами.

1. Нормативные документы (ОР)

Данная группа включает непроцессные верхнеуровневые нормативные документы: политики, положения, порядки, методики. Процессные регламенты относятся в группе «4. Процессы и процедуры». Приведём список нескольких важных документов.

• Политика по управлению операционными рисками
• Политика обеспечения непрерывности и восстановления деятельности организации
• Политика в области обеспечения качества ИТ (IT quality assurance)
• Положение об управлении операционными рисками
• Положение об организации системы риск-менеджмента
• Положение о разработке и тестировании плана обеспечения непрерывности и восстановления деятельности
• Положение об исполнении требований по операционной надёжности
• Положение об обеспечении информационной безопасности
• Методика проведения оценки эффективности системы риск-менеджмента
• Методика проведения стресс-тестирования различных видов рисков

Плюс дополнительные категории (группы) нормативных документов: информационная безопасность, обеспечение непрерывности и восстановление деятельности, ИТ (информационные технологии) и другие. Чем крупнее организация, тем больше нормативных документов требуется для регламентации всей деятельности по управлению операционными рисками.

2. Организационные регламенты

Данная группа включает: должностные инструкции (всех сотрудников департамента риск-менеджмента), положения о подразделениях (входящих в состав департамента риск-менеджмента), положения о рабочих группах и комитетах (в сфере управления рисками), организационная структура департамента риск-менеджмента (в его состав входит несколько управлений, одно из них на Рис. 2). Дополнительный важный компонент – учебные материалы и тесты для персонала, которые должны быть обязательно проработаны и постоянно актуализироваться.

Перечислим ключевые подразделения в организационной структуре, которые принимают активное участие в управлении операционными рисками, кроме департамента риск-менеджмента.

• Служба внутреннего контроля
• Служба внутреннего аудита
• Отдел информационной безопасности
• Отдел развития ИТ-архитектуры
• Служба качества и стандартизации
• Департамент бизнес-архитектуры (включая процессный офис)

Согласно современным требованиям и рекомендациям по управлению операционными рисками в подразделениях организации необходимо назначать риск-офицеров или центры компетенции. Их задача – управление операционными рисками в области своих бизнес-процессов.

Рис. 2. Организационная структура Управления операционных рисков (фрагмент)

3. Формы документов (ОР)

Данная группа включает: приказы, служебные записки, планы, отчёты, анкеты, чек-листы, формы регистрации рисков, технические задания и т.п. Наличие детально проработанной библиотеки форм документов позволяет эффективно спроектировать и исполнять бизнес-процессы и соответствующие им технологии (автоматизация).

4. Процессы и процедуры

Данная группа включает: дерево (реестр) процессов по управлению рисками (Рис. 3) как часть единого дерева всех процессов организации, модели процессов и процедур (Рис. 4), показатели KPI процессов, матрицы распределения ответственности и ролей в процессах. Виды ролей, которые желательно утвердить по всем наиболее важным (критичным) процессам организации: владелец (ответственный), бизнес-аналитик (системный аналитик), риск-офицер (риск-менеджер), исполнитель (участник). Примеры всех процессов и процедур по управлению операционными рисками, а также всех основных компонентов бизнес-архитектуры организации и бизнес-кейсы приведены в книге [5].

Рис. 3. Дерево (реестр) процессов и процедур по управлению рисками, фрагмент

Рис. 4. Модель процедуры «Идентификация, анализ и оценка операционных рисков»

5. Базовые справочники и модели

Данная группа включает: идентификация рисков (план), факты (события) рисков (Рис. 5), задачи (предупреждающие и корректирующие действия по рискам), матрицы и карты рисков, показатели (Key Risk Indicators — KRI). Все справочники обычно имеют формат иерархических каталогов (реестров), которые ведутся в Microsoft Excel или специализированных программных продуктах, например Business Studio [2]. А графические модели и матрицы позволяют наглядно отобразить и изучить необходимую информацию по рискам для быстрого принятия решений и системного понимания.

Рис. 5. Пример карточки события (факта) риска из справочника (каталога) всех событий (фактов) рисков

6. Вспомогательные справочники

Данная группа включает: типы событий операционного риска, виды операционного риска, виды убытков (потерь), виды возмещений потерь, источники рисков. Эта информация необходима для формирования отчётов и выполнения расчётов по операционным рискам в разрезе разных аналитических параметров.

7. Другие модели и материалы

Данная группа включает: стратегические карты и цели по ОР (Рис. 6), ИТ-архитектура (для ИТ-рисков), модели (графики) проектов в области ОР, другие аналитические и технические модели.

Рис. 6. Стратегическая карта «Развитие системы управления операционными рисками (СУОР)»

Расчёт уровня зрелости системы регламентации и моделей по операционным рискам

На основе Рис. 1 можно разработать чек-лист, с помощью которого оценить уровень развития (проработки) каждого компонента и затем получить агрегированную оценку для системы в целом.

Предлагаемая шкала: 2 – полностью проработано и используется, 1 – проработано и используется частично, 0 – отсутствует. Формула: сумма оценок разделить на максимально возможный суммарный балл по всем компонентам. Автору известны организации, у которых данный чек-лист показывает 100%, т.е. максимальный уровень зрелости. А значит и другие организации тоже могут приблизиться к совершенству, выполнив соответствующие работы.

Ещё раз обратим внимание, что важно не просто разработать все необходимые регламенты и модели по операционным рискам и операционной надёжности, а постоянно поддерживать их в актуальном состоянии, исполнять на практике и развивать. Только в таком случае всё это имеет ценность и даёт долгосрочные конкурентные преимущества.

Электронную версию чек-листа в формате Excel можно получить у автора по контактам, указанным в данной статье.

Заключение

Построение полноценной и комплексной системы регламентации и моделей в области операционных рисков и операционной надёжности – это трудоёмкая и длительная задача, требующая высокопрофессионального подхода. Чтобы не разрабатывать большинство документов и моделей с чистого листа, рекомендуется использовать готовое решение – «Большая библиотека риск-менеджера и специалиста по операционным рискам» [3]. Данная библиотека позволит получить следующие экономические эффекты и практические выгоды для организации.

• Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике.
• Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т. е. дополнительных расходов.
• Минимизация операционных рисков и ошибок за счёт готовых проверенных на практике материалов и решений.
• Улучшение показателей KPI бизнес-процессов, качества и эффективности работы организации в целом. Снижение операционных убытков (потерь).

Рекомендуемая литература и источники информации

[1] Проект Положения Банка России «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг».

[2] Business Studio – Risk Manager: система управления операционными рисками.

https://www.businessstudio.ru/buy/models/model/sistema_upravleniya_operatsionnymi_riskami/

[3] Большая библиотека риск-менеджера и специалиста по операционным рискам.

https://isbd.ru/cennye-biblioteki-finansovykh-znanij

[4] Исаев Р.А. ИТ-архитектура организации и система регламентации ИТ-департамента. https://zen.yandex.ru/media/id/5e2d63989515ee00aea7ce2b/itarhitektura-organizacii-i-sistema-reglamentacii-itdepartamenta-6212174138e7b1267a1a32a4

[5] Исаев Р.А. Управление операционными рисками: процессы, технологии, практика. Электронное пособие. https://allsoft.ru/software/vendors/tekhnologii-upravleniya-i-razvitiya/upravlenie-operatsionnymi-riskami—protsessy—tekh/

Автор Исаев Р.А.

Эксперт по организационному развитию, процессному управлению,

информационным технологиям в бизнесе.

ГК «Современные технологии управления» Партнёр.

Руководитель проектов, бизнес-тренер.

Цифровая трансформация, роботизация и внедрение самых современных информационных технологий является несомненным трендом на долгие годы вперёд. Всё это нуждается в качественной регламентации и моделировании. Т.е. важно не просто внедрять новые технологии, а сопровождать и обеспечивать все проекты и разработки детальной системой регламентации и моделей. В статье  рассмотрим структуру (Рис. 1) данной системы и приведём большое количество примеров многих её компонентов. Эта структура показывает, какой полный набор моделей и документов в идеале должен иметь современный ИТ-департамент средней и крупной организации (многих отраслей, особенно самых высокотехнологичных).

Рис. 1. Структура системы регламентации ИТ-департамента (виды моделей и документов)

При разработке данной схемы автор учитывал следующие факторы.

• Возможности систем бизнес-моделирования (Microsoft Visio, Business Studio [1] и др.) по разработке соответствующих моделей и документов. Это ключевой фактор, т.к. не имеет смысла говорить о каких-то моделях и включать их в рекомендуемую структуру, если их разработку не поддерживают современные системы.
• Готовые типовые решения – «Большая библиотека системного аналитика и ИТ-архитектора» [2]
• Успешные практики и проектный опыт
• Актуальные задачи и потребности ИТ-департаментов ведущих организаций
• Требования национальных и международных стандартов и методологий в области ИТ (включая ITIL — Information Technology Infrastructure Library, TOGAF — The Open Group Architecture Framework, Archimate, ISO/IEC/IEEE 42010 и др.)

Сразу следует обратить внимание, что данная схема не является абсолютной истиной и должна дорабатываться (корректироваться) под конкретную организацию. Т.е. можно перемещать разные компоненты (блоки) между категориями (группами), удалять, добавлять новые. Но предложенные подходы являются универсальными и применимы для широкого круга задач.

Рассмотрим более подробно, что входит в каждый из компонентов схемы (Рис. 1) с примерами.

1. Нормативные документы (ИТ)

Данная группа включает непроцессные верхнеуровневые нормативные документы: политики, положения, порядки. Процессные регламенты относятся в группе «4. Процессы и процедуры (ИТ)».

Наиболее важные документы данной группы, которые должны быть разработаны и постоянно актуализироваться.

• Политика информационных систем
• Политика в области обеспечения качества ИТ (IT quality assurance)
• Политика информационной безопасности
• Положение об ИТ-архитектуре
• Положение об архитектуре, функционировании и развитии компьютерной сети
• Положение об организации ведения и архитектуре электронных баз данных
• Порядок проведения регламентных работ в ИТ-инфраструктуре
• Порядок установки, модификации и обслуживания объектов ИТ-инфраструктуры
• Порядок доработки, тестирования и внесения изменений в ИТ-системы
• Положение о разработке программных продуктов
• Порядок подготовки, организации и выполнения ИТ-проектов

Плюс дополнительные категории (группы) нормативных документов: информационная безопасность, обеспечение непрерывности и восстановление деятельности. Чем крупнее организация, тем больше нормативных документов требуется для регламентации всей деятельности в области ИТ.

2. Организационные регламенты (ИТ-персонал)

Данная группа включает: должностные инструкции (всех сотрудников ИТ-департамента), положения о подразделениях (входящих в состав ИТ-департамента), положения о рабочих группах и комитетах (в сфере ИТ), организационная структура ИТ-департамента (Рис. 2).

Дополнительный важный компонент – учебные материалы и тесты для персонала ИТ-департамента, которые должны быть обязательно проработаны и постоянно актуализироваться.

Рис. 2. Организационная структура ИТ-департамента (на примере банка, фрагмент)

3. Формы документов (ИТ)

Данная группа включает: приказы, заявления, служебные записки, договора, планы, отчёты, анкеты, чек-листы, технические задания (ТЗ), бизнес-требования (БТ) и т.п. Наличие детально проработанной библиотеки форм документов позволяет эффективно спроектировать и исполнять бизнес-процессы и соответствующие им технологии (автоматизация).

4. Процессы и процедуры

Данная группа включает: дерево (реестр) ИТ-процессов (Рис. 3), модели ИТ-процессов и процедур, показатели KPI ИТ-процессов (Рис. 4), матрицы распределения ответственности и ролей в процессах, практики ITIL. Виды ролей, которые желательно утвердить по каждому ИТ-процессу: владелец (ответственный), бизнес-аналитик (системный аналитик), риск-офицер (риск-менеджер), исполнитель (участник). Примеры построения бизнес-архитектур, описания и оптимизации процессов, цифровой трансформации приведены в книге [3].

Рис. 3. Дерево (реестр) ИТ-процессов и процедур, фрагмент

Рис. 4. Показатели KPI ИТ-процессов, фрагмент

5. Архитектура приложений, технологий и баз данных

Данная группа включает: архитектура приложений (модели ИТ-систем и связей) – Рис. 5 и 6, архитектура технологий, системных компонентов и платформ, архитектура баз данных, модели потоков данных, задачи и требования к ИТ-системам, матрицы прав доступа к ИТ-системам, полномочий.

Рис. 5. ИТ-архитектура на примере банка (фрагмент, верхний уровень) и пример карточки (набора параметров) ИТ-системы

Рис. 6. Модели взаимодействия и интеграции ИТ-систем

6. Другие модели и материалы

Данная группа включает: стратегические карты ИТ и цели, реестр рисков ИТ-систем, модели технической архитектуры (оборудование), модели сетевой архитектуры (ЛВС, Active Directory и др.) – Рис. 7, модели (графики) ИТ-проектов, другие аналитические и технические модели.

Рис. 7. Примеры ИТ-моделей, создаваемые в Microsoft Visio (шаблоны категории «Программы и базы данных»)

Расчёт уровня зрелости системы регламентации и моделей ИТ-департамента

На основе Рис. 1 можно разработать чек-лист, с помощью которого оценить уровень развития (проработки) каждого компонента и затем получить агрегированную оценку для системы в целом.

Предлагаемая шкала: 2 – полностью проработано и используется, 1 – проработано и используется частично, 0 – отсутствует. Формула: сумма оценок разделить на максимально возможный суммарный балл по всем компонентам. Автору известны организации, у которых данный чек-лист показывает 100%, т.е. максимальный уровень зрелости. А значит и другие организации тоже могут приблизиться к совершенству, выполнив соответствующие работы.

Ещё раз обратим внимание, что важно не просто разработать все необходимые регламенты и модели, а постоянно поддерживать их в актуальном состоянии, исполнять на практике и развивать. Только в таком случае всё это имеет ценность и даёт долгосрочные конкурентные преимущества.

Электронную версию чек-листа в формате Excel можно получить у автора по контактам, указанным в данной статье.

Уровни ИТ-архитектуры

Если рассмотреть ИТ-архитектуру в широком понимании, то на основе компонентов из Рис. 1. все модели и документы можно разделить на 6 уровней (Рис. 8), между которыми существует большое количество разносторонних связей и влияний. Основное влияние идёт сверху вниз. На основе стратегии ИТ разрабатываются (актуализируются, оптимизируются) процессы и процедуры, нормативные документы верхнего уровня. Для исполнения процессов и процедур формируется ИТ-персонал (организационная структура, системы мотивации, корпоративная культура и т.п.). Далее выполняется проработка архитектуры приложений и баз данных, которые автоматизируют процессы и процедуры. Параллельно строится архитектура технологий, системных компонентов и платформ, на которых работают приложения. Последний уровень – физический, т.е. техническая и сетевая архитектура.

Рис. 8. Распределение моделей и регламентов, составляющих ИТ-архитектуру, по уровням

Заключение

Построение полноценной и комплексной системы регламентации и моделей в области ИТ, а также ИТ-архитектуры в целом – это трудоёмкая и длительная задача, требующая высокопрофессионального подхода. Чтобы не разрабатывать большинство документов и моделей с чистого листа, рекомендуется использовать готовое решение – «Большая библиотека системного аналитика и ИТ-архитектора» [2]. Данная библиотека позволит получить следующие экономические эффекты и практические выгоды для организации.

• Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников.
• Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т. е. дополнительных расходов.
• Минимизация рисков ИТ-систем и ИТ-процессов (ошибки, дефекты, сбои).
• Улучшение показателей KPI ИТ-процессов, качества и эффективности работы организации.
• Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников.
• Исполнение национальных и международных стандартов и требований в области информационных технологий, информационной безопасности.

Рекомендуемая литература и источники информации

[1] IT Architect: система управления ИТ‑архитектурой. https://www.businessstudio.ru/buy/models/model/it_architect/

[2] Большая библиотека системного аналитика и ИТ-архитектора. https://www.businessstudio.ru/buy/models/model/it_library/

[3] Исаев Р.А. 60 примеров успешных и проблемных проектов организационного развития. https://www.ozon.ru/product/60-primerov-uspeshnyh-i-problemnyh-proektov-organizatsionnogo-razvitiya-studentam-vuzov-isaev-322365632/