Онлайн книга «Управление операционными рисками банка: практические рекомендации»
|
6.1.1.3. По однотипным инцидентам [26] или инцидентам с уровнем значимости высокий и выше [27], риск-координаторы, которые отвечают за обработку этих инцидентов, разрабатывают и внедряют планы (методики) реагирования и локализации, включающие в себя как минимум следующие пункты: • виды инцидентов, подлежащих обработке, их признаки; • порядок регистрации сообщений об инцидентах этого вида (в том числе виды категории сотрудников банка, которые с наибольшей вероятностью могут обнаружить признаки инцидента; места, где могут быть обнаружены признаки инцидентов (виды информационных систем, ситуаций, иных источников)); • классификацию критичности инцидентов этого вида; • мотивацию сотрудников банка к регистрации сообщений об инцидентах; • порядок эскалации и определения шкалы срочности, которая должна быть применена к инцидентам данной категории; • последовательность действий при реагировании на инцидент, данные об основных участниках процесса реагирования на инциденты и их обязанности; • процесс анализа последствий инцидента; • действия по ограничению распространения инцидента, устранению последствий; • порядок актуализации инцидентов, по которым не все меры выполнены или возможно изменение существенных обстоятельств. 6.1.1.4. Все инциденты подлежат учету. При этом значимые инциденты [28] подлежат детальному учету, т. е. должны фиксироваться обстоятельства инцидента, принятые меры, их результаты, возможные изменения, прежде всего возможные поступления или отчисления, а также планируемые действия и сроки, предложения по вводу процедур недопущения повторений инцидента, по наказанию виновных и т. д. (писок полей приведен в Приложении 4). 6.1.2. Три основных этапа работы с инцидентами. Работа с инцидентами делится на три этапа: Этап 1. Обнаружение инцидента и реагирование на него (осуществляет эксперт по инцидентам); Этап 2. Отчет об обработке инцидента (осуществляет эксперт по инцидентам); Этап 3. Проверка качества обработки инцидента (осуществляют риск-координатор и риск-менеджер). ![Иллюстрация к книге — Управление операционными рисками банка: практические рекомендации [i_006.jpg]](img/book_covers/066/66885/i_006.jpg "Иллюстрация к книге — Управление операционными рисками банка: практические рекомендации [i_006.jpg]") Схема 4. Три основных этапа работы с инцидентами 6.1.3. Этап 1. Обнаружение инцидента и реагирование на него. Вне зависимости от количества субъектов, участвующих в обнаружении инцидента и реагировании на него, в целом за эти действия отвечает одно лицо – соответствующий эксперт по инцидентам. 6.1.3.1. Обнаружение признаков инцидента и регистрация сообщения. 6.1.3.1.1. При обнаружении признаков инцидента [29] незамедлительно осуществляются следующиепервичные действия: • действия по сохранению жизни и здоровья сотрудников и клиентов и первичные действий по минимизации ущерба от инцидента (при наличии такой обязанности); • регистрация сообщения об инциденте (по процедуре, установленной для этого вида инцидентов). 6.1.3.1.2. Обнаружить признаки и зарегистрировать сообщение может любой сотрудник банка (регистратор) или непосредственно эксперт по инцидентам. Сотрудник имеет право не регистрировать сообщение об инциденте, когда точно знает, что такая регистрация уже осуществлена другим сотрудником и впоследствии это может быть документально подтверждено. В тех случаях, когда инцидент произошел, но не был зарегистрирован, привлечению к дисциплинарной ответственности за неисполнение функции регистрации подлежат руководитель подразделения, в котором произошел инцидент. Также в обязательном порядке производится разбирательство, должным ли образом риск-координатор и эксперт по инцидентам организовали процедуры идентификации и регистрации инцидентов (так, чтобы сотрудники банка, которые вероятнее всего могут обнаружить инцидент, знали о признаках таких инцидентов, знали, как регистрировать сообщения об инцидентах (с ними проводилось обучение), и были заинтересованы это делать). Если этого не было сделано, риск-координатор и эксперт по инцидентам также привлекаются к дисциплинарной ответственности. 6.1.3.1.3. Сообщения об инциденте должно поступать на рассмотрение соответствующего эксперта по инцидентам не более 5 минут после факта регистрации. 6.1.3.2. Реагирование на инцидент. 6.1.3.2.1. После осуществления первичных действий и получения сообщения об инциденте эксперт по инцидентам осуществляет следующие действия: • направляет регистратору инцидента уведомление: «Сообщение об инциденте (название инцидента) принято в работу (Ф.И.О. эксперта по инцидентам)»; • организует дальнейшую локализацию инцидента, устранение его последствий, при необходимости координируя деятельность других лиц, участвующих в работе с инцидентом; • формирует отчет о работе с инцидентом (не позже 4 часов после регистрации сообщения об инциденте). 6.1.4. Этап 2. Отчет об обработке инцидента. Эксперт по инцидентам составляет отчет о работе с инцидентом. В случае если инцидент полностью исчерпан (все меры исполнены, изменений не прогнозируется), то регистратору инцидента направляется уведомление: «Закончена работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам. Подтвердите факт того, что инцидент полностью исчерпан». В случае если инцидент имеет статус «Не закончен» (по инциденту предполагаются дополнительные меры или прогнозируются изменения), то регистратору инцидента направляется сообщение: «Закончена первичная работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам, об окончании работ будет сообщено дополнительно». Если инцидент является значимым [30], то эксперт по инцидентам в своем отчете фиксирует детали инцидента согласно полям Приложения 4 и отправляет его на согласование риск-координаторуне позже чем через 4 часапосле регистрации сообщения об инциденте. |