ОНиВД: требования регулятора или необходимость?

В последнее время тема обеспечения непрерывности деятельности для российских банков приобрела особую актуальность, что связано прежде всего с введением Банком России требований по наличию у кредитных организаций планов обеспечения непрерывности и восстановления деятельности (план ОНиВД)*

Эти нововведения неслучайны и являются отражением инициатив Банка России обеспечить российские банки инструментарием для постоянного и непрерывного осуществления финансовых операций в любых условиях, в том числе при чрезвычайных обстоятельствах.

Впервые банковское сообщество столкнулось с угрозой бесперебойности банковских операций в связи с так называемой «проблемой 2000-го года». Впоследствии ряд террористических актов в Нью-Йорке, Лондоне, Стамбуле, Мадриде и других странах, природные катастрофы, вспышки смертельно опасных заболеваний приводили к реальной угрозе остановки деловых операций ряда финансовых организаций, продемонстрировав высокую степень риска крупных операционных нарушений для деятельности финансовой системы.

Во многих странах мира требования по управлению непрерывности деятельности банков закреплены на законодательном уровне, разработаны методики формирования соответствующих планов, в том числе по отдельным направлениям деятельности, бизнес-процессам. К примеру, руководство по проверке планов непрерывности деятельности для IT-систем в США (Business Continuity Planning. IT-Examination Handbook). На международном уровне наиболее известными документами в области управления непрерывностью бизнеса являются «Рекомендации по наблюдению за непрерывностью деятельности для системно значимых платежных систем», разработанные ЕЦБ, и «Руководящие принципы обеспечения непрерывности деятельности» Базельского комитета по банковскому надзору, которые были приняты за основу органами банковского регулирования и надзора многих стран мира, в том числе и России.

Принципы управления непрерывностью бизнеса

Управление непрерывностью бизнеса является важнейшей частью системы управления рисками банка и осуществляется в соответствии с характером сопутствующего деятельности банка риска и масштабами операций. Конечной целью управления непрерывностью бизнеса является полное восстановление банковских операций, сбои в которых были спровоцированы операционными нарушениями различного рода, начиная от неисправностей в работе компьютеров и заканчивая авариями в системе энергоснабжения и нарушениями в работе транспорта.

Эффективность системы управления непрерывностью деятельности банка зависит от соблюдения банком определенных условий:

1. система должна быть связана с корпоративной стратегией развития банка;
2. система должна учитывать специфику бизнес-процессов банка и оценивать влияние на них и на бизнес банка в целом присущих банку вероятных причин возникновения чрезвычайного события;
3. система должна определять субъектов финансового сектора, которым вероятнее всего будет нанесен ущерб от перерыва в бизнес-операциях банка;
4. система управления непрерывностью должна гибко реагировать на изменения во внешней и внутренней среде деятельности банка и предлагать достаточно подробные и детальные сценарии действий банка при наступлении чрезвычайного события.

Этапы планирования обеспечения непрерывности бизнеса

Планирование непрерывности бизнеса банка представляет из себя некий цикл, который может применяться в отношении всех видов планов для планирования влияния чрезвычайных событий на каждый вид банковского риска, на каждый бизнес-процесс. Первым этапом этого цикла является определение перечня критически важных для банка процессов, обязательств, систем, объектов. Для этого банкам рекомендуется провести анализ документов, описать основные процессы и продукты, в случае необходимости, организовать целевые встречи с персоналом.

На следующем этапе планирования банку необходимо определить набор возможных негативных событий, чрезвычайных ситуаций, обстоятельств форс-мажора, которые могут повлиять на деятельность банка в целом или одного из его структурных подразделений. Вероятность возникновения чрезвычайных ситуаций может быть оценена на основе конкретных условий расположения объектов кредитной организации, особенностей климатических зон.

Очередным шагом разработки плана ОНиВД является оценка тяжести последствий чрезвычайных ситуаций для банка. Классификаций состояния банка в зависимости от негативного воздействия может быть много – от применения балльной системы до аналитического инструментария. Для получения количественной оценки угроз балльное значение вероятности наступления чрезвычайного события умножается на рейтинг его последствий. Так, если вероятность урагана оценивается в 10 баллов, а оценка последствий равна «3», взвешенный фактор риска составит 30 баллов.

После определения влияния различных событий на непрерывность бизнеса и рисков их возникновения банку необходимо детально проработать схему информирования руководства и ответственных подразделений, которую следует описать в форме алгоритма (последовательных действий). Далее Банк формирует план мероприятий по восстановлению бизнес-процессов, подвергшихся нарушениям в результате какого-либо чрезвычайного обстоятельства, т.е. разрабатывает стратегию восстановления.

Мировой опыт свидетельствует, что план восстановления бизнес-процессов банка должен содержать как минимум три блока: оперативное реагирование, антикризисное управление и коммуникации, восстановление уровня деловой активности. Оперативное реагирование (Emergency Response) – действия, которые необходимо предпринять в кризисной ситуации прежде всего для сохранения жизни работников и, если возможно, ограничения размера материального ущерба. Антикризисное управление и коммуникации (Crisis Management and Communications) основываются на алгоритме действий, необходимых для снижения негативных последствий кризисной ситуации. Восстановление уровня деловой активности (Business Recovery) включает в себя мероприятия, направленные на достижение докризисного объема операций банка, качества предоставляемых клиентам банковских продуктов и услуг.

План ОНиВД также должен содержать мероприятия банка и после ликвидации чрезвычайной ситуации. В частности, банк должен предусмотреть порядок проведения расследования причин чрезвычайной ситуации, разработку профилактики их возникновения, определения объема причиненного вреда, потери из-за неиспользованных возможностей.

Аудит плана ОНиВД

Очень важно, чтобы реагирование на негативные события было оперативным. В этой связи план ОНиВД никак не может быть для банка очередным «кирпичом», предъявляемым органам банковского надзора в ходе очередной проверки. В то же время признать план ОНиВД как инструмент восстановления работоспособности банка после реализации внешних и внутренних угроз можно эффективным только в том случае, если в его основе как минимум заложено определение того, что такое нормальное функционирование банка, как идентифицировать произошедшее изменение, оценивать его, классифицировать и как затем запускать процесс управления кризисным событием.

Иными словами, в банке должны быть организованы на постоянной основе проверки плана ОНиВД на предмет адекватности текущей ситуации и объективной оценки способности банка избежать существенных материальных потерь и восстановить динамику проведения своих операций. Подразделениям внутреннего контроля требуется проводить ревизии этого плана тогда, когда в банке происходят изменения бизнеса, процессов на уровне банка или в целом на уровне рынка, поскольку появляются новые угрозы и новые бизнес-процессы.

Практика показывает, что лишь некоторые российские банки проводят регулярное тестирование процедур реагирования. В большинстве случаев о таких планах вспоминают при наступлении очередного чрезвычайного происшествия. Причем поскольку планы зачастую оказываются неработоспособными, банк несет существенные потери.

Процесс внедрения плана ОНиВД

Внедрение плана ОНиВД требует подчас существенных финансовых и нефинансовых затрат, которые оправданы тем, что банк, четко координируя свои действия при наступлении чрезвычайного события, может предотвратить значительную часть сопутствующих рисков – кредитных, репутационных, правовых, риска ликвидности и т.д.

Процесс введения плана ОНиВД в действие, как правило, включает в себя определенную последовательность действий, в частности:

•  ввод в действие процедур для чрезвычайных ситуаций;
•  уведомление сотрудников, поставщиков и заказчиков;
•  формирование группы (групп) восстановления;
•  оценка последствий бедствия;
•  принятие решения о реализации плана восстановления деятельности;
•  ввод в действие процедур восстановления деятельности;
•  переезд в альтернативное рабочее помещение (помещения);
•  восстановление функционирования критически важных приложений;
•  восстановление основного рабочего помещения.

При введении плана ОНиВД параллельно вводятся в действие документы, содержащие такую информацию, как схемы коммутации телефонов, процедуры для аварийного отключения питания; организационную структуру, требования к оборудованию и снабжению и конфигурацию Центра восстановления; список критически важных приложений, вступающих в действие одновременно с планом ОНиВД, список восстанавливаемого оборудования, а также сводные данные по оценке рисков.

Даже при беглом просмотре мероприятий, необходимых для создания и поддержания в жизнеспособном состоянии системы непрерывности деятельности, становится очевидно, что их реализация является довольно затратной. Однако как показывает современная практика банковского дела, ни один банк не может быть застрахован от чрезвычайного события – пожара, землетрясения, террористического акта, сбоев и аварий энергосетей и т.д. Это означает, что реализация мероприятий по обеспечению непрерывности деятельности, позволяющих участникам финансовой системы выдержать события, влияющие на их способность осуществлять расчетные операции, должна, тем не менее, оставаться главной задачей.

* - Указание от 5 марта 2009 г. №2194-У «О внесении изменений в Положение Банка России от 16 декабря 2003 г. №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» – введение в Положение ЦБ РФ от 16.12.2003 №242-П Приложения №5 – «Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее – План ОНиВД) кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения».