М. А. Татчук

Основные принципы комплаенс-контроля


Скачать книгу

бизнес-процессов организация осуществляет предварительный анализ потенциальных операционных рисков.

      В зависимости от типа операционных рисков различаются следующие способы управления операционным риском:

      ● способы (мероприятия) по уменьшению операционного риска (система и процедуры внутреннего контроля, порядки и регламенты осуществления операций на финансовых рынках, контрольные и верификационные функции информационных систем при осуществлении финансовых операций);

      ● способы покрытия отдельных видов возможных потерь от реализации операционных рисков (создание резервов, распределение капитала и страхование).

      В части подконтрольных факторов операционного риска организация осуществляет следующие меры (мероприятия):

      ● разработку организационной структуры, правил и процедур совершения банковских операций и других сделок;

      ● разработку порядка утверждения (согласования) и подотчётности по заключаемым сделкам и проводимым операциям;

      ● обеспечение информационной безопасности за счёт:

      • разработки нормативно-методических документов, регламентирующих осуществление деятельности по защите информации;

      • разработки и реализации комплекса организационно-технических мероприятий по защите информационных активов от возможных угроз;

      • обеспечения резервирования данных, направленного на сохранение и возможность восстановления информационных активов в случае возникновения сбоев и отказов технических и программных средств, ошибочных действий персонала, техногенных аварий и других непредвиденных обстоятельств;

      • проведения аудита информационно-технологических систем в целях выявления неучтённых ранее источников операционного риска;

      ● снижение операционных рисков путём внедрения новых информационных технологий и автоматизации бизнес-процессов, совершаемых в «ручном» режиме;

      ● внедрение квалификационных требований, повышение уровня квалификации персонала, обучение новым информационным технологиям и правилам обеспечения информационной безопасности на рабочем месте, материальное стимулирование и улучшение условий труда, применение санкций за нарушения технологий, установление персональных лимитов полномочий и пр.;

      ● установление структурных лимитов;

      ● осуществление страхования:

      • зданий и иного имущества – от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а также в результате действий третьих лиц;

      • персонала – от несчастных случаев и причинения вреда здоровью;

      • носителей информации и самой информации – на случай утраты;

      • специфических рисков, в том числе связанных с профессиональной ответственностью персонала, ущерба от преступлений в сфере компьютерной информации.

      В части неподконтрольных факторов операционного риска организацией осуществляются:

      ● стресс-тестирование