Первая линия защиты — это набор процедур и процессов, которые встраиваются на уровне подразделений и осуществляется самими подразделениями, например:
1. Единое информационное пространство в организации с доступом к информационной системе через единый личный кабинет, систему уведомлений, визуализации (дашборды) и управления задачами.
2. ВК и УР на уровне каждого подразделения с интеграцией с системами операционной деятельности, КПЭ подразделений и соответствующим мониторингом.
3. Постоянная работа с рисками, а именно идентификация и оценка, предиктивная аналитика, учет и мониторинг сценариев реализации рисков.
4. Управление доступом и разделение полномочий для минимизации рисков мошенничества и ошибок в том числе с использованием разграничения функциональности.
Вторая линия защиты – это наличие соответствующих служб Внутреннего аудита (ВА), ВК и УР, которые отвечают за наличие и эффективное функционирование централизованной системы УР, ВК и УР, соответствующих методологий и методик работы, например:
1. Управление рисками через оценку уровня риск-культуры с установлением и мониторингом риск-аппетита.
2. Формализация централизованной системы внутреннего контроля с документированием оценки эффективности внутренний процессов организации, мониторингом контрольных процедур.
3. Наличие службы комплаенса, мониторинг законодательства и системы государственного регулирования на предмет соответствия деятельности, анализ конфликтов интересов.
4. Обеспечение непрерывности бизнеса, формализация, обновление и тестирование планов по восстановлению деятельности. Создание системы оповещения и группового взаимодействия на случай форс-мажорных обстоятельств.
5. Создание службы информационной безопасности и противодействие мошенничеству с управлением индикаторами и инцидентами. Автоматизация централизованной системы, системы расследований, отчетов и аналитики ВК, ВА и УР.
Третья линия защиты – контроль рисков, требования к системам ВК, ВА и УР со стороны собственников и совета директоров (СД). Именно собственники и СД формируют стратегию организации и определяют риск аппетит, а также обеспечивают достижение целей через систему мониторинга и контроля в том числе с использованием комитетов (комитет по рискам, комитет по аудиту и т.п.), например:
1. Риск-ориентированный план внутреннего аудита с формализацией вселенной аудита и выявлением риск-факторов для проверки. Непрерывный аудит и анализ данных с интеграцией в систему управления организацией (интеграция с источниками данных, наличие автоматизированной системы аудита с дашбордами и отчетами, формирование программ проверок и чек-листов, ведение документооборота в процессе проверки).
2. Формализация требований к качеству исходных данных, наличие следа в системах, контроль качества документирования. Например: логи активности в системы, документирование всех изменений в ПО, наличие необходимых инструкций, разграничение полномочий и т.п.
3. Автоматизация рабочего процесса с контролем этапов, сроков процессов. Использование конструкторов процессов и постоянный мониторинг их эффективности.
В следующей статье мы рассмотрим подробнее управление рисками в проектах. Если Вы заинтересованы во внедрении систем УР, ВК и ВА в Вашей компанией, то я с удовольствием помогу в реализации таких проектов. Прошу обращаться ко мне через мой сайт: http://akonnov.ru/ или через мой Телеграм канал: https://t.me/biz_in