1. Выявление риска и управление им

Источнику критических услуг рекомендуется выявлять и осуществлять управление существенными операционными и финансовыми рисками, присущими оказываемым им критическим услугам, и обеспечивать эффективность процессов управления этими рисками.

Источник критических услуг должен иметь эффективные процессы и системы для выявления и документального подтверждения рисков, применения средств контроля в целях управления рисками и принятия решений о приемлемости определенных рисков. Источник критических услуг может подвергаться рискам, связанным с информационной безопасностью, надежностью и способностью к восстановлению нормального функционирования и технологическим планированием, а также юридическими и нормативными требованиями, относящимися к его корпоративной структуре и поведению, отношениям с клиентами, стратегическим решениям, влияющим на его способность работать как действующее предприятие, и зависимости от третьих сторон. Для уменьшения выявленных рисков источник критических услуг должен проводить постоянную переоценку своих рисков и адекватности своей системы управления рисками.

Выявление рисков и управление ими должны осуществляться под контролем совета директоров (совета) источника критических услуг и оцениваться независимым подразделением внутреннего аудита, которое доводит результаты своей оценки до сведения соответствующих членов совета. При этом предполагается создание советом независимого и профессионального подразделения внутреннего аудита. Деятельность подразделения внутреннего аудита должна подвергаться анализу, чтобы обеспечить соблюдение им принципов профессиональной организации, регулирующей практику и проведение аудита (например, Института внутренних аудиторов), и возможность независимой оценки рисков, а также структуры и эффективности процессов управления риском и средств внутреннего контроля. Кроме того, подразделение внутреннего аудита должно обеспечивать доведение результатов своих оценок до сведения соответствующих членов совета.