ію, тобто фірму, берущую на себе «чужі» функції званої аутсорсингової, або аутсорсером.
У разі аутсорсингу ризику мова йде про покладання відповідальності (в т.ч. фінансової) за можливий наступ несприятливої ??події на сторонню організацію (провайдера послуг).
Конкретно для служби внутрішнього контролю перевірка управління ризиками при використанні послуг сторонніх організацій (аутсорсинг) може включати:
) вивчення заходів з управління ризиками при використанні послуг сторонніх організацій, в ході якого визначаються:
- встановлений порядок оцінки ризиків з метою визначення заходів із захисту інформації в разі виникнення необхідності підключення до апаратури та ліній зв'язку сторонньої організації;
- порядок доступу сторонньої організації до інформації, наданої кредитної організацією (філіями), у тому числі питання дотримання банківської таємниці;
- встановлений порядок оцінки ризиків, а також включення в договір зі сторонньою організацією заходів щодо їх мінімізації при розміщенні даних на зовнішніх інформаційних ресурсах і управлінні даними (передачі даних) сторонньою організацією;
2) аналіз умов договорів (контрактів) зі сторонніми організаціями в частині визначення відповідальності у разі виникнення конфліктних ситуацій або надзвичайних обставин. При перевірці змісту таких договорів рекомендується звернути увагу на:
- дозволені способи доступу;
- використання унікальних ідентифікаторів користувачів і паролів, а також контроль їх використання;
- опис кожного наданого інформаційного сервісу;
- наявність списку осіб, яким дозволено використовувати інформаційний сервіс, а також процедури надання дозволу доступу новим користувачам;
- часовий інтервал, протягом якого інформаційний сервіс буде доступний;
- процедури і заходи з реалізації захисту інформаційних ресурсів кредитної організації (філій);
- зобов'язання щодо дотримання вимог законодавства Російської Федерації і внутрішніх документів кредитної організації, зокрема наявність вимоги дотримання конфіденційності;
- зобов'язання сторонньої організації з встановлення та налаштування апаратно-програмних засобів та інформаційних ресурсів, інформаційних ресурсів та їх супроводу;
- порядок забезпечення повернення або знищення конфіденційної інформації по закінченні терміну дії договору;
- заходи з фізичного захисту устаткування і даних;
- навчання (при необхідності) користувачів інформаційних сервісів правилам забезпечення ІБ;
- заходи для забезпечення захисту від шкідливих програм;
- процедури повідомлення про інциденти в системі забезпечення ІБ, а також порядок їх розслідування;
- умови участі у вирішенні конфліктних ситуацій або надзвичайних обставин, при необхідності, третіх осіб (розробники і постачальники апаратно-програмних засобів та інформаційних ресурсів, провайдери інформаційно-технологічних послуг та ін.).
При укладанні контракту, особливо на повний аутсорсинг, необхідно мати форс-мажорний план зміни провайдера.
Використання механізмів аутсорсингу управління ризиками дозволяє компанії-замовнику скоротити витрати на утримання підрозділу ризик-менеджменту, уникнути витрат на навчання персоналу і забезпечує залучення компетентних кадрів, доступ до налагоджених технологій менеджменту ризиків, інструментам оцінки та спеціалізованим програмним продуктам , застосовуваним професійною командою фахівців.
При використанні передачі управління ризиками на сторонню компанію покладається весь комплекс робіт з безпосереднього постановці та забезпечення протікання процесів управління ризиками на підприємстві, включаючи:
- розробку та впровадження комплексної системи управління ризикамиі підприємства;
- забезпечення процесів управління ризиками;
- безперервний моніторинг рівня корпоративних ризиків;
- періодичне виявлення та аналіз ризиків;
- якісну і кількісну оцінку ризиків компанії-замовника;
- розробка комплексу методів реагування та превентивних заходів;
- оцінка витрат з метою утвердження бюджету на управління ризиками;
- формування переліку контрольних процедур.
Однак слід зазначити, що залучення консультантів в галузі управління ризиками є сформованою практикою в зарубіжних країнах. У російс...
