Обеспечение непрерывности деятельности банков: планирование и контроль

      Комментарии к записи Обеспечение непрерывности деятельности банков: планирование и контроль отключены

Обеспечение непрерывности бизнеса есть приоритетной задачей кредитной организации и наиболее значимым причиной денежной устойчивости финансовой системы в целом. // Н.А. Тысячникова, Bнутренний контроль в кредитной организации № 3/2009.

Разумеется, что перебои в проведении операций одним банком смогут привести к в работе вторых, провоцируя тем самым нарушения в деятельности денежной совокупности, что, со своей стороны, подрывает доверие к ней отечественных и зарубежных участников денежного рынка. В данной связи управление непрерывностью деятельности кредитных организаций находится под вниманием органов надзора большинства и банковского регулирования государств и, в большинстве случаев, регламентируется соответствующими нормативными документами.

Внимание к обеспечению непрерывности бизнеса обострилось по окончании ужасных событий 11 сентября 2001 года в Соединенных Штатах, в то время, когда в следствии теракта появилась угроза остановки деловых операций последовательности компаний.

Потом последовательность терактов в Лондоне, Стамбуле, других странах и Мадриде, широкомасштабные природные трагедии, вспышки смертельно страшных болезней лишь подтвердили необходимость управления непрерывностью бизнеса, показав высокую степень риска больших операционных нарушений для деятельности денежной совокупности.

Разработка рекомендаций, а после этого и требований к управлению непрерывностью бизнеса изначально концентрировалась на проблемах национального уровня. По мере ответа более масштабных задач (к примеру, обеспечение устойчивости транснациональных банков и сохранение функциональности денежной совокупности по регионам их присутствия) вопрос о разработке стандартов по управлению непрерывностью бизнеса переместился на интернациональный уровень.

Летом 2004 года Форум по денежной стабильности (1) и Банк Англии совместно организовали симпозиум по вопросам непрерывности бизнеса, что дал импульс к проведению соответствующих изучений и выработке рекомендаций по управлению непрерывностью деятельности разных денежных секторов. В июне 2006 года Европейский центробанк принял «Советы по наблюдению за непрерывностью деятельности для системно значимых платежных совокупностей» (2) с целью планов обеспечения и координации политики эффективности деятельности денежных университетов государств Европейского союза. В августе 2006 года Базельский комитет по банковскому надзору выпустил консультативный документ «Руководящие правила обеспечения непрерывности деятельности» (3), определяющий понятийный аппарат управления непрерывностью бизнеса и систематизирующий подходы к нему.

Во многих государствах мира на законодательном уровне закреплены требования по управлению непрерывностью деятельности банков, созданы методики формирования соответствующих замыслов, а также в виде вопросников по отдельным направлениям бизнеса банков для органов надзора, дешёвых для широкого пользования. К примеру, управление по проверке замыслов непрерывности деятельности для IT-совокупностей в Соединенных Штатах (4).

В Российской Федерации тема управления непрерывностью деятельности кредитных организаций взяла актуальность в марте этого года, в связи с внесением Банком России дополнений в Положение ЦБ РФ от 16.12.2003 № 242-П «Об организации внутреннего контроля в банковских группах и кредитных организациях» (потом — Положение № 242-П), в частности Приложения № 5 «Советы по содержанию и структуре замысла действий, направленных на обеспечение непрерывности деятельности и (либо) восстановление деятельности (потом — Замысел ОНиВД) кредитной организации при происхождения непредвиденных событий, и по организации проверки возможности его исполнения» (5). Дополнения устанавливают необходимость наличия замыслов ОНиВД и очень конкретно определяют требования надзорного органа к их содержанию и структуре.

Разработка замысла обеспечения непрерывности деятельности (Замысел ОНиВД)

Непрерывность бизнеса банка определяется как свойство делать бизнес-процессы и поддерживать их постоянное и согласованное сотрудничество, снабжая тем самым реализацию целей деятельности банка при любых условиях, включая форс-мажор. Замысел по обеспечению непрерывности деятельности по сути собственной есть одним из инструментов управления операционным риском в части поддержания бизнес-процессов и обеспечения операционной устойчивости.

Наличие замысла по обеспечению непрерывности деятельности принципиально важно для любой организации не только в целях соблюдения требований надзорного органа, но и с позиций алгоритмизации собственных действий по понижению последствий нарушения непрерывности деятельности, каковые смогут быть операционными, денежными, юридическими, репутационными.

Замысел по обеспечению непрерывности деятельности особенное внимание уделяет характеру действия, а не источникам нарушений. Наряду с этим замысел обязан содержать подробные указания по восстановлению деловых операций по окончании их нарушения до отметки, достаточного чтобы обеспечить исполнение обязательств за определенный период времени.

Еще до принятия Банком России дополнений в Положение № 242-П многими русскими банками в той либо другой степени продумывался список чрезвычайных событий и замысел действий при их наступлении.

Наряду с этим далеко не всегда это был формализованный документ, а вдруг и был, то покрывал только часть рисков, которые связаны с проблемами, каковые управление банка, исходя из специфики и собственного опыта и условий деятельности ведения бизнеса, и задач и стратегических целей, вычисляло самые вероятными и значительными. Помимо этого, обычно замыслы действий банка при чрезвычайных событиях разрабатывались разными подразделениями параллельно, исходя из этого имели возможность дублировать либо кроме того противоречить друг другу. И, самое основное, замыслы имели возможность и не ориентироваться на восстановление деятельности банка в целом.

В соответствии с рекомендациями Банка России, созданными с учетом интернационального опыта, планирование обеспечения непрерывности в банке должно строиться по модульному принципу. Ээто свидетельствует, что кредитная организация не должна ограничиваться одним документом, обрисовывающим процесс обеспечения непрерывности бизнеса банка в,целом. Замыслы должны разрабатываться для отдельных отдельных направлений и структурных подразделений деятельности банка и, быть наряду с этим комплексными (в соответствии с Положением № 242-П и с учетом интернационального опыта, а также правил Базельского комитета по банковскому надзору).

Процесс составления замысла по обеспечению непрерывности деятельности направляться начать с определения списка критически ответственных для банка процессов, обязательств, совокупностей, объектов. Для этого направляться совершить анализ документов, обрисовать продукты и основные процессы, при необходимости организовать целевые встречи с персоналом.

Для большинства кредитных организаций главными являются следующие бизнес-процессы (по степени приоритетности):

— обслуживание клиентов;

— осуществление платежей и обработка информации;

— обеспечение безопасности, а также информационной;

— управление и финансовый мониторинг рисками;

— операции по размещению и привлечению ресурсов и т.д.

Среди объектов, каковые оказывают значительное влияние на бизнес-процессы банков, направляться разглядывать (6):

— персонал;

— средства связи;

— технологии;

— оборудование;

— совокупность платежей;

— достаточность ликвидных средств;

— административно-хозяйственные затраты;

— операции, в которых употребляется механический ввод данных, и т.д.

Эти объекты направляться принимать к сведенью и при оценке существенности события, повлекшего за собой нарушение непрерывности деятельности банка, и при разработке мероприятий по ее восстановлению.

Потом банку направляться выяснить комплект вероятных негативных событий, ЧС, форс-мажорных событий, каковые смогут оказать влияние на деятельность банка в целом либо одного из его структурных подразделений. В собственных советах Банк России (Приложение 5 к Положению № 242-П) обращает внимание банков на классификацию рисков, установленную Распоряжением Правительства РФ от 21.05.2007 № 304 «О классификации ЧС природного и техногенного характера», и на проявление таких факторов, как выход из строя технических средств, сбои в работе автоматизированных систем обработки данных банка, нарушение коммунальной инфраструктуры, перебои в электроснабжении, непредвиденный недостаток ликвидности банка, а также по обстоятельству утраты рабочий репутации, отказ кредитных организаций-обозревателей либо организаций-агентов от выполнения собственных обязательств.

Так, Банк России в Приложении 5 к Положению № 242-П предоставляет кредитным организациям, по сути, «шпаргалку» в виде списка чрезвычайных событий, каковые остается лишь оценить по степени возможности наступления для конкретного банка и по тяжести вероятных последствий для непрерывности его деятельности.

Возможность происхождения ЧС возможно оценена на базе конкретных условий размещения объектов кредитной организации, изюминок климатических территорий. К примеру, для банка, расположенного на равнине и на приличном расстоянии от природных водоемов, достаточно необычно показывать в списке чрезвычайных событий цунами либо оползень. Наряду с этим такие события, как пожар, аварии совокупностей жизнеобеспечения, перебои и веерное отключение электроэнергии в электроснабжении, являются актуальными для всех банков независимо от места размещения.

В целях обеспечения ясности понимания угроз, каковые смогут внести перебои в осуществлении бизнес-процессов, кредитным организациям направляться отразить их в плане в структурированном виде, к примеру: зависящие от антропогенного фактора, техногенные, природно-техногенные, природные.

Следующий ход при разработке замысла ОНиВД — построение матрицы, разрешающей оценить тяжесть последствий ЧС для банка. Требуется распознать и разглядеть как внутренние, так и внешние риски, и оценить действие каждого нарушения.

Матрица строится методом сопоставления перечней бизнес-процессов, каковые банк выделил в качестве главных, и чрезвычайных событий. Наряду с этим банку направляться выяснить для себя критерии непрерывности процессов. Мерилом могут служить условия соответствующих контрактов, стандарты и сложившаяся практика (к примеру, последовательности операций в рамках процесса) и требования законодательства РФ, нормативных актов Банка России.

К показателям восстановления (внутренних банковских процессов, возможности выполнения соглашений, работоспособности совокупностей) смогут быть отнесены: приемлемые сроки восстановления, допустимый размер материальных и/либо трудовых затрат, допустимый размер утрат (к примеру, информации) (см. табл.).

Обеспечение непрерывности деятельности банков: планирование и контроль

По окончании определения влияния разных событий на непрерывность бизнеса банку нужно подробно проработать схему ответственных подразделений и информирования руководства, которую направляться обрисовать в форме метода (последовательных действий). В данном разделе замысла определяются функции и устанавливается ответственность отдельных лиц за принятие мер по устранению операционных нарушений, и находятся указания, касающиеся порядка преемственности управления , если важные лица окажутся не в состоянии делать собственные функции.

Следующий этап процесса планирования ОНиВД — формирование замысла мероприятий по восстановлению бизнес-процессов, подвергшихся нарушениям в следствии какого-либо чрезвычайного события (стратегия восстановления). Банк разрабатывает сценарии восстановления бизнес-процессов, исходя из анализа ситуации и возможной степени тяжести действия конкретного негативного события. К данному разделу банк обязан подойти максимально ответственно, потому, что тут требуется реалистичная оценка собственных возможностей и резервов для нейтрализации последствий чрезвычайных событий.

Разрабатывая сценарии восстановления бизнес-процессов, банк обязан предусмотреть самый эффективный баланс между нужными вложениями в обеспечение непрерывности деятельности и степенью риска. В данной связи принципиально важно подключить к работе по составлению замысла все структурные подразделения — как конкретно связанные с осуществлением банковских иных сделок и операций, так и снабжающие деятельность банка в целом.

При разработке сценариев банку направляться учесть утраты, которые связаны с объектами, оказывающими значительное влияние на бизнес-процессы, например, утрату главного персонала, сбои в транспортных, телекоммуникационных, коммунальных совокупностях либо иных главных инфраструктурных составляющих. Банкам направляться учесть и второй главный элемент — длительность сбоя. При широкомасштабной аварии либо другом событии, затрагивающим большую территорию, инфраструктура банка возможно стёрта с лица земли либо очень сильно повреждена, что потребует продолжительного времени для восстановления непрерывности бизнес-процессов.

Мероприятия и контрольные механизмы, разрабатываемые в ходе составления Замысла ОНиВД, должны быть направлены на предотвращение утрат, смягчение последствий либо оптимизацию реагирования на происхождение ущерба. Мероприятия по восстановлению непрерывности бизнеса должны разрабатываться с учетом того, что их будет реализовывать персонал, что, не обращая внимания на обучение, меньше знаком с тонкостями бизнес-процессов, чем постоянный кадровый состав. Следовательно, главными подходами при проектировании совокупностей для работы в документировании процедур и нештатной ситуации при их наступления должны быть практичность и простота, что разрешит действовать эффективно в условиях форс-мажорных событий.

Главные моменты, подлежащие отражению в Плане ОНиВД

Базельский комитет по банковскому надзору в собственных «Руководящих правилах обеспечения непрерывности деятельности» рекомендует оценивать адекватность разрабатываемых мероприятий по восстановлению по трем ответственным направлениям (9):

1) при происхождении чрезвычайной обстановке, влекущей за собой большие последствия, банк обязан позаботиться о возможности переезда головного офиса в второе помещение. Такое помещение должно быть достаточно удалено от района главного размещения головного офиса и по возможности не должно зависеть от его физической инфраструктуры, а также совокупностей жизнеобеспечения, энергоснабжения, телекоммуникационной сети и т.д. При соблюдении данного условия сводится к нулю риск вывода из строя обеих территорий в следствии наступившего события;

2) кредитной организации направляться решить вопрос об обеспечении наличия информационной и методической платформ на других местах базирования, и систем и необходимого оборудования, дабы вернуть критически серьёзные операции и оказывать услуги в течение достаточно долгого времени, в случае если на главной территории объекты без шуток повреждены либо в том направлении затруднен доступ из-за последствий операционного нарушения;

3) нужно учитывать возможные затруднения с применением персонала главной территории. В плане обеспечения непрерывности бизнеса должны быть предусмотрены меры чтобы задействовать соответствующий по уровню и количеству подготовки персонал. К примеру:

— задействовать персонал самые эффективных филиалов (при наличии у банка филиальной сети);

— разместить персонал головного офиса на других местах базирования на постоянной базе (к примеру, при распределения рабочих функций между двумя территориями);

— совершить обучение смежным профессиям работников, располагающихся на других местах базирования либо приглашаемых из вторых мест;

— обеспечить возможность перемещения с главной территории ведения бизнеса в кратковременный временной отрезок части работников, нужных для исполнения требований по реализации целей восстановления;

— организовать прием на работу сотрудников, каковые живут от главного места размещения организации на предельном для ежедневных поездок расстоянии.

Но время от времени географического разделения возможно не хватает, в особенности в сценариях с терактами. При данных сценариях объекты смогут пострадать независимо от их местонахождения. Предупредительной мерой против теракта есть обеспечение, как быть может, анонимности места передислокации головного офиса.

Эти объекты должны быть всецело работоспособны, достаточно производительны и готовы обрабатывать более высокие количества информации, чем в простой операционный сутки.

Рекомендуемые сроки восстановления деятельности

При определении мероприятий по восстановлению непрерывности конкретного бизнес-процесса и/либо направления деятельности нужно сформулировать ожидаемые время и уровни восстановления. Само собой разумеется, при наступлении чрезвычайного события нельзя гарантировать, что замысел восстановления будет реализован при любых событиях. Вместе с тем он помогает кредитным организациям определенным ориентиром при оценке эффективности управления непрерывностью бизнеса.

Мероприятия по восстановлению непрерывности деятельности разрабатываются в русле заблаговременно намеченной цели по восстановлению конкретной рабочий операции до определенного уровня (уровень восстановления) за определенный период времени по окончании нарушения (время восстановления). Цели восстановления должны быть соразмерными уровню риска.

В большинстве случаев, приоритетной целью для банков есть возобновление и восстановление наиболее значимых функций в тот же расчетный сутки, в который случилась внештатная обстановка, дабы обеспечить завершение всех незавершенных операций в запланированную расчетную дату. В другом случае перед банками появляется угроза денежных рисков.

Требование возобновления наиболее значимых операционных функций не позднее чем через два часа по окончании наступления сбоя предъявляются к денежным организациям государств Европейского союза, причем независимо от тяжести происшествия. В пользовательских требованиях для TARGET2 (10), составленных рабочей группой TARGET Европейской банковской федерации (EBF), указано, что мероприятия при наступления внештатной обстановке «должны обеспечивать обслуживание клиентов на объекте передислокации головного офиса на таком же уровне качества, как в головном офисе».

Для бизнес-процессов, имеющих более низкий приоритет, чем процессы обслуживания клиентов либо проведения платежей, допускаются не столь твёрдые рамки времени восстановления, соответствующие их влиянию на денежную совокупность в целом.

Процедуры информационного сотрудничества

В замысел обеспечения непрерывности бизнеса должны быть включены процедуры, снабжающие возможность обмена информацией на протяжении чрезвычайного события. Важность правильной и точной информации, как внутренней, так и внешней, не подлежит сомнению. На протяжении чрезвычайной обстановке правильная и точная информация оказывает помощь принимать обоснованные ответы и избегать ухудшения неприятностей с погашением и ликвидностью ссудной задолженности.

На начальной стадии нарушений бизнес-процессов действенный обмен информацией жизненно нужен для правильной оценки тяжести события (действия на персонал, операции кредитной организации и на неспециализированную работу совокупности платежей) и принятия ответа о необходимости введения в воздействие замысла обеспечения непрерывности бизнеса.

Свойство вовремя передавать самая важную данные соответствующим сторонам обычно есть критическим причиной при восстановлении операций до обычного уровня функционирования как одного банка, так и всей финансовой системы. Примером может служить цель сохранения доверия населения к конкретному банку и через него к финсектору в целом, которая требует обеспечения четкого и регулярного обмена информацией в течении всего операционного сбоя.

В плане восстановления непрерывности бизнеса банки должны определить список мероприятий по обеспечению внешних и внутренних информационных потоков, обмена информацией. Одним из таких мероприятий есть своевременное информирование заинтересованных сторон (клиентов, провайдеров, надзорных органов, средств массовой информации и т.д.) о любом чрезвычайном его влиянии и событии на проведение платежей.

Каналы распространения информации, применяемые на протяжении чрезвычайного события, должны соответствовать цели и содержанию передачи информации. Помимо этого, нужно оценить зависимость процесса информационного обмена от одного канала распространения информации, к примеру, от телефонной сети неспециализированного пользования, и свести эту зависимость к вероятному минимуму. Банк обязан предусмотреть наличие других каналов обмена информацией, таких как передача информации по радио, через спутник, частные сети телекоммуникации и с применением сети Интернет (email, обмен информацией через веб-сайты и т.д.), и обеспечить работоспособность нужного оборудования при обработке ожидаемых в кризисной обстановке громадных количеств данных.

Замысел обеспечения непрерывности бизнеса обязан содержать протоколы обмена и детальные процедуры информацией в чрезвычайных обстановках. Процедуры обмена информацией между участниками финсектора и денежными органами, в большинстве случаев, включают в себя:

— формирование списка лиц, важных за обмен информацией с внешними пользователями и персоналом.

В группу важных лиц смогут быть включены: представители высшего управления, подразделения по связям с общественностью, советники по юридическим и вторым вопросам, и важные лица за процедуры по обеспечению непрерывности бизнеса в данной кредитной организации. Ээта несколько должна иметь возможность обмена информацией с сотрудниками, размещенными на изолированных территориях, рассредоточенными по разным участкам либо удаленными от территории проведения главных банковских операций; составление разных протоколов обмена информацией, каковые уже существуют в банковской совокупности и содержат сведения о контактах, предназначенные для местных надзорных органов и коммерческих банков в целях координации упрочнений по восстановлению операций.

Такие протоколы обмена информацией смогут включать номера телефонов, адреса электронной адреса и почты фактической дислокации представителей надзорных органов, организаций и официальных лиц, действующих в чрезвычайных обстановках; рассмотрение неприятностей, каковые смогут появиться на протяжении операционного нарушения, к примеру, список действий штатных сотрудников при нарушении работы главных совокупностей обмена информацией.

В частности, для лиц, важных за восстановление бизнес-процессов, эти действия смогут включать применение средств прямого обмена информацией (к примеру, использование наземных линий цифровой и аналоговой телефонной связи, сотовых телефонов, спутниковой телефонной связи, обмен текстовыми сообщениями, применение веб-сайтов, переносных средств беспроводной связи и т.д.); возможность применения при необходимости прямого обмена информацией с национальными и службами безопасности и региональными спецслужбами, и вторыми соответствующими национальными органами.

При организации для того чтобы обмена информацией может потребоваться применение закрытых каналов связи с применением особых защищенных телефонов, адресов и факсов электронной почты; меры по регулярному обновлению других элементов и списка контактов прямого обмена информацией, и периодическая проверка каналов связи.

Замысел по восстановлению непрерывности бизнес-процессов обязан отражать вероятные действия банка по восстановлению и нейтрализации деятельности по окончании каждого из тех чрезвычайных событий, каковые были отмечены банком как самые вероятные и значительные.

К примеру, теракт, эпидемия вирусного заболевания, сбой в совокупностях жизнеобеспечения, в информационной совокупности банка. В качестве содержания плана и иллюстрации структуры действий банка по восстановлению и нейтрализации деятельности

по окончании одного из чрезвычайных событий приводится методика (11) составления для того чтобы замысла при перебоях подачи электричества.

содержание плана и Примерная структура действий кредитной организации при перебоях подачи электричества (12)

1. Определение чрезвычайного события.

Перебои подачи энергии — чрезвычайное событие, обусловленное технологическими обстоятельствами, которое подразумевает временную приостановку либо остановку подачи электричества по обстоятельствам, а также не связанным с выполнением кредитной организацией собственных договорных обязательств перед поставщиками электричества.

2. Описание чрезвычайного события (виды):

— авария либо перегрузка трансформаторной подстанции или автоматов, установленных в помещениях на местной электросети по обстоятельствам выхода из строя аппаратуры…

1 — Financial Stability Forum.

2 — Business Continuity Oversight Expectations for Systemically Important Payment Systems (SIPS) // European Central Bank. June 2006.

3 — High-level Principles for Business Continuity // Basle Committee on Banking Supervision. August 2006.

4 — Business Continuity Planning. IT-Examination Handbook // Federal Financial Institutions Examination Council. March 2008.

5 — Указание ЦБ РФ от 05.03.2009 № 2194-У «О внесении трансформаций в Положение Банка России от 16 декабря 2003 г. № 242-П “Об организации внутреннего контроля в банковских группах и кредитных организациях“».

6 — IT Examination Handbook // Federal Financial Institutions Examination Council, March 2008.

7 — Перечень чрезвычайных событий, равно как и бизнес-процессов, значительных для кредитных организаций, не есть исчерпывающим и обязан составляться каждым банком в соответствии со спецификой собственной деятельности.

8 — Шкала оценки последствий приводится как пример и может служить основой для собственных разработок банков по оценке последствий ЧС.

9 — High-level Principles for Business

Автоматический обмен информацией


Увлекательные записи:

Похожие статьи, которые вам, наверника будут интересны:

Андрей тищенко: «на проекты по обеспечению непрерывности бизнеса кризис практически не повлиял»

Успешный бизнес должен быть не только действенным, но и устойчивым. Это утверждение полностью относится к участникам денежного рынка, кредитным…

  • Построение системы управления непрерывностью деятельности в кредитных организациях

    Задачи по обеспечению непрерывности деятельности комплексен . В рамках их исполнения привлекаются ресурсы практически всех структурных подразделений,…

  • Особенности правового обеспечения внутреннего контроля и аудита в банках

    Выступление на конференции «Проблемы правового обеспечения банковской деятельности», совершённой Главным управлением Центробанка РФ по Омской области…

  • Благотворительная деятельность банков распылена

    Интервью начальника комитета по корпоративной социальной ответственности (КСО) Ассоциации менеджеров Игоря Соболева. Какие конкретно факторы воздействуют…