По каждому виду перечисленных событий список проверяющих, которые обязаны провести анализ рисков и дать свое заключение, в числе прочего определяется матрицами полномочий согласно п. 6.7.2.1.5.
6.2.1.4. В некоторых случаях информация о риске или проблеме поступает в виде конкретного сообщения или является очевидной и не требует идентификации (например, обнаружено, что у подразделения нет обязательного отчета верхнего уровня по единому формату или нет показателей эффективности).
6.2.1.5. Риск-менеджеры обучают риск-координаторов так, чтобы они могли самостоятельно идентифицировать риски своего департамента и курируемых департаментом подразделений и сотрудников, классифицировать их и эскалировать на уровень риск-менеджера.
6.2.2. Этап 2. Фиксация риска как рекомендации (в т. ч. её согласование с владельцем процесса, в котором обнаружен риск).
6.2.2.1. Проверяющий, который идентифицировал риск, формирует рекомендацию по форме Приложения 5 (делает описание риска, определяет меры по его устранению или минимизации, владельца процесса, в котором обнаружен риск, сроки, тяжесть риска) и направляет её по e-mail владельцу процесса (см. п. 6.2.2.3), в котором обнаружен риск (самостоятельно или через риск-менеджеров). По взаимному согласию все параметры рекомендации могут корректироваться, однако если в течении 5 рабочих дней проверяющий и владелец процесса не пришли к согласию относительно всех параметров рекомендации по форме Приложения 5, то они выносят этот вопрос на ближайшее заседание комитета по рискам, который принимает окончательное решение.
6.2.2.2. В тех случаях, когда работы по минимизации риска уже ведутся или риск обозначается устранённым (без представления соответствующих подтверждений), рекомендации все равно фиксируются, назначаются к исполнению и будут считаться закрытыми только после проведения процедур по п. 6.2.3.4.
6.2.2.3. Ответственным за организацию исполнения рекомендации всегда обозначается одно лицо (во избежание перекладывания ответственности) – соответствующий руководитель департамента в чьем процессе обнаружен риск. В тех случаях, когда для исполнения рекомендации необходимы доработки информационно технологической структуры (далее ИТ), регламентов, оборудования или его закупки, проведение различных работ (в т. ч. рекламных кампаний, коррекции процессов, продуктов, систем мотивации и т. д.), указанный руководитель организует формирование необходимых требований на такие доработки, закупки, работы (при необходимости согласовывает их с риск-менеджерами) и контролирует их реализацию. При обнаружении некачественного исполнения таких требований ответственный эскалирует эту проблему до уровня риск-менеджера и комитета по рискам.
