Компания «Квадриум» приступила к работам по внедрению модулей ORM (Operational Risk Management), ICM (Internal Control Management) системы Quadrium ActiveGRC в ПАО «Магнитогорский металлургический комбинат».

Модуль ORM (Operational Risk Management) это ядро IRM-системы Quadrium ActiveGRC, сочетающее в себе всю информацию об организационно-штатной структуре организации, библиотеке бизнес-процессов, матрицы рисков и контролей, мероприятиях по снижению уровня риска или последствий от событий операционного риска, а также о системе мониторинга (ключевых индикаторах уровня риска). Модуль предназначен для автоматизации следующих задач:

·         Субъекты и процессы:

o   ведение иерархии группы компаний,

o   организационно-штатная структура членов группы,

o   ведение реестра бизнес-процессов, описание характеристик критичности и параметров непрерывности,

o   структура бизнес-процессов (шаги процесса).

·         Матрица рисков и контролей:

o   классификация рисков,

o   качественная и количественная оценка риска,

o   определение контрольной среды,

o   классификация контролей (в т.ч. по COSO),

o   переоценка рисков и контролей,

o   проверки и аттестации контрольной среды (аудиторский след системы внутреннего контроля).

·         Реестр событий операционного риска:

o   классификация в соответствии с регуляторными требованиями,

o   дополнительная классификация по Basel II, а также в соответствии с ведущими мировыми практиками,

o   учет потерь и возмещений по событию,

o   бизнес-процесс расследования события с привлечением специализированных подразделений,

o   загрузка проводок из АБС,

o   возможность генерации (автопризнание) потерь под событиями.

·         Мероприятия по управлению риском:

o   снижение уровня риска (смягчение риска),

o   снижение уровня последствий от события по риску.

·         Система мониторинга (КИРы):

o   ведение расписаний и методик расчета,

o   автоматизированный расчет КИРов,

o   уведомления о необходимости расчета КИРа,

o   расчет трендов по статистике значений КИРа,

o   автоматические уведомления об окончании выделенного времени для введения значения КИРа, а также о просрочке введения значения КИРа.

·         Сценарный анализ:

o   описание сценариев на основе подхода «галстук бабочка»,

o   оценка риска в соответствии с разными математическими моделями.

Модуль ICM (Internal Control Management) предназначен для автоматизации процесса управления планами выполнения и планами тестирования контрольного пространства организации, оценки эффективности контрольных процедур, а также для ведения реестра недостатков контрольных процедур, выявленных в результате проверок СВК.

·         Планы тестирования контрольной среды:

o   ведение реестра планов тестирования контролей,

o   классификация планов тестирования,

o   периодичность тестирования,

o   методика, применяемая для тестирования,

o   связь с рабочими документами для внутреннего аудита (план тестирования может выступать предметом исследования в рамках аудита).

·         Автоматизированное тестирование контролей:

o   возможность настройки регулярного автоматизированного тестирования контрольной среды,

o   возможность использования данных из внешних систем-источников IT-инфраструктуры организации.

·         Результаты тестирования контролей:

o   классификация полученных результатов,

o   возможность определения параллельной оценки результата тестирования со стороны внутреннего аудита,

o   связь с мероприятиями по устранению выявленных недостатков контрольной среды.

·         Мероприятия по управлению эффективностью контроля:

o   ведение реестра мероприятий по улучшению контрольной среды,

o   связь с источниками возникновения негативных оценок контролей,

o   участие в последующей переаттестации контроля.

Согласно условиям контракта внедряемая система должна быть интегрирована с несколькими системами заказчика и должна быть адаптирована к автоматизированному процессу выполнения контрольных процедур и мониторингу рисков.

Система Quadrium ActiveGRC – инновационная разработка компании «Квадриум», представляющая собой систему интегрированного управления рисками. Более подробно почитать про систему можно здесь.

Для получения дополнительной информации обратитесь в «Квадриум».