С целью совершенствования работы банков в сфере контроля систем управления рисками Центральный банк Российской Федерации Указанием от 05.03.2009 № 2194-У внес дополнения в Положение ЦБ РФ от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение № 242-П) , зарегистрированное Министерством юстиции Российской Федерации 27 января 2004 года № 5489, 22 декабря 2004 года № 6222, 20 марта 2009 года № 13547 ( «Вестник Банка России» от 04.02.2004 № 7, от 31.12.2004 № 74, от 11.04.2009 № 21). Дополнения, включающие «Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее — План ОНиВД) кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения», представлены Приложением 5 к указанному Положению.
План ОНиВД — внутренний документ кредитной организации, определяющий цели, задачи, порядок, способы и сроки осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования кредитной организации, вызванного непредвиденными обстоятельствами. Эти обстоятельства предполагают возникновение чрезвычайной ситуации или иное событие, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению кредитной организацией принятых на себя обязательств.
Подготовленные Банком России рекомендации по подготовке Плана ОНиВД являются продолжением политики внедрения в банковскую практику рекомендаций Базельского комитета, который в течение 2004-2005 годов обобщал практику необходимых требований по обеспечению деловой непрерывности. Требования возникли из складывающейся в мировом масштабе ситуации неопределенности, включающей нарастание угроз терроризма, распространение атипичной пневмонии (и другого рода эпидемий) , природные (климатические) катаклизмы и другие уникальные обстоятельства, которые в условиях глобализации из национальных проблем мгновенно становились проблемами интернациональными, а трудности производственных секторов экономики перераспределялись в страховую, кредитную и финансовую сферы. Деловое планирование непрерывности — процесс детализации планов, покрывающих любой тип нарушения предпринимательской (торговой, банковской и т.д.) деятельности, от простого отключения электричества до более существенных бедствий, и позволяющих обеспечить продолжение бизнеса1. В августе 2006 года Базельский комитет выпустил консультативный документ, посвященный теме непрерывности бизнеса — «Высокоуровневые принципы обеспечения непрерывности деятельности»2.
Семь принципов высокого уровня обеспечения непрерывности деятельности основываются на традиционных понятиях эффективного делового управления непрерывностью.
Принцип 1. Окончательная ответственность за деловое управление непрерывностью, которое мало чем отличается от управления другими рисками, лежит на совете директоров и правлении организации.
Принцип 2. Организации обязательно должны разработать и утвердить мероприятия (план) относительно главных операционных (эксплуатационных) разрушений.
Принцип 3. Все участники финансовых рынков, понимая, что они предлагают услуги повышенного риска, должны иметь более высокие стандарты по обеспечению управления непрерывностью и четкие цели восстановления, чем участники других рынков. Поскольку меры, необходимые для обеспечения устойчивости финансовой системы, могут быть более дорогостоящими, чем те, которые участники в состоянии предпринять самостоятельно, финансовые власти должны участвовать в качестве лидеров в определяющих мероприятиях по восстановлению, которые являются пропорциональными риску, принятому участниками соответствующих рынков, чтобы последовательно достигнуть необходимой устойчивости.
Принцип 4. Деловые планы непрерывности должны быть адресными, описывать полный диапазон внутренних и внешних воздействий, которые могут привести к эксплуатационным разрушениям. Принцип также предусматривает необходимость устойчивой конфиденциальной связи в течение возможного эксплуатационного разрушения для управления кризисом.
Принцип 5 выдвигает на первый план специальные средства международных коммуникаций в течение главного эксплуатационного разрушения. Учитывая углубляющиеся взаимозависимости финансовых систем поверх национальных границ, этот принцип рекомендует всем участникам финансовых и других рынков и финансовым властям заранее утверждать (принимать) протоколы связи, которые используются в ситуациях, когда международная связь необходима.
Принцип 6 определяет необходимость гарантировать, что деловые планы непрерывности эффективны, и идентифицировать необходимые модификации путем мониторинга действенности разработанных планов путем периодических испытаний.
Принцип 7 призывает финансовые власти включать деловые обзоры управления непрерывности в их текущую деятельность для того, чтобы оценить участников финансовых рынков.
Процедуры формирования Плана ОНиВД основываются не только на перечисленных семи высокоуровневых принципах обеспечения непрерывности деятельности Базельского комитета, но и на опыте других стран, в частности США, где рекомендации по обеспечению непрерывности деятельности изложены в пособии Business Continuity Planning Booklet (BCP) , March 2008.
Общая структура этапов работ по плану ОНиВД кредитной организации определяется хронологическим порядком: 1. Разработка > 2. Согласование > 3. Утверждение > 4. Пересмотр > 5. Проверка, с указанием полномочий ее органов управления и подразделений.
Разработка Плана ОНиВД
Разработка Плана ОНиВД проводится с учетом анализа следующих факторов:
— виды и характер возможных непредвиденных обстоятельств и степень их воздействия на деятельность кредитной организации, вплоть до нарушения режима повседневного функционирования кредитной организации и способности выполнения принятых на себя обязательств;
— перечень критически важных с точки зрения обеспечения режима повседневного функционирования кредитной организации внутренних банковских процессов, а также автоматизированных банковских систем (АБС) ;
— показатели восстановления внутренних банковских процессов, в том числе такие как срок восстановления, допустимый размер материальных затрат, допустимый размер потерь информации.
Данные показатели, а также устанавливаемые на их основе критерии непрерывности осуществления внутренних банковских процессов рекомендуется определять с учетом необходимости соблюдения кредитной организацией нормативно-правовых требований и выполнения принятых на себя обязательств. Последний пункт включает в себе гораздо больше, чем просто нормативные требования: необходимо определить перечень видов и характер возможных рисков и угроз непрерывности деятельности, вероятность их наступления, значимость последствий, взаимосвязь внешних и внутренних факторов, а также выявить наиболее критичные бизнес-операции и их зависимость от ресурсов, требуемых для восстановления в случае прерывания деятельности.
Целями Плана ОНиВД могут быть:
— поддержание способности кредитной организации выполнять принятые на себя обязательства перед вкладчиками и кредиторами, в том числе перед Банком России (по кредитам Банка России, уплате процентов по ним и другим денежным обязательствам перед Банком России) ;
— предупреждение и предотвращение возможного нарушения режима повседневного функционирования кредитной организации;
— снижение тяжести последствий нарушения режима повседневного функционирования кредитной организации (в том числе размера материальных потерь, потерь информации, потери деловой репутации) ;
— сохранение уровня управления кредитной организацией, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
— обеспечение способности кредитной организации осуществлять расчеты в соответствии с принятыми на себя обязательствами, в том числе по кредитам Банка России, процентам по ним и другим денежным обязательствам перед Банком России;
— обеспечение информационной безопасности кредитной организации, в том числе ее расчетной системы;
— обеспечение благоприятных условий труда и безопасности служащих кредитной организации, безопасности лиц, находящихся в помещениях (посетителей) кредитной организации.
Таким образом, цели, которые необходимо внести в План ОНиВД в соответствие с Положением № 242-П, различаются как по ресурсам, так и по функциям. Можно рекомендовать кредитным организациям отдельно определить в своих целях сохранение и восстановление функционала за счет сохранения и сбережения ресурсов или целеполагание через ресурсосбережение. Определение целей и задач Плана ОНиВД осуществляется для различных уровней: банка в целом, отдельных структурных подразделений, отдельных направлений деятельности, а также в зависимости от масштабности непредвиденных обстоятельств — формирование матрицы действий и решений для всех «пересечений» (различных уровней событий и процессов) , то есть определение структуры и содержания Плана ОНиВД.
Основными целями Плана ОНиВД (на уровне банка в целом) являются: поддержание способности банка как организации исполнять принятые на себя обязательства (как «внешние» — перед вкладчиками, кредиторами, акционерами, регулирующими органами, так и «внутренние» — в части обеспечения безопасности и благоприятных условий труда сотрудников) и обеспечение функционирования как части системы расчетов; сохранение уровня управления банком, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию, в том числе в части обеспечения информационной безопасности; и, наконец, возможное предупреждение (предотвращение) негативного события и/или нарушения режима повседневного функционирования и/или снижение тяжести последствий (в том числе размера прямых материальных потерь, потерь информации, потери деловой репутации и т.п.).
В целом первый этап включает:
— составление перечня основных (критически важных) банковских процессов, обязательств, систем, объектов (анализ документов, описаний процессов и продуктов, встречи и «интервью» с персоналом и т.п.) ;
— определение круга возможных негативных событий, чрезвычайных ситуаций, обстоятельств форс-мажора, которые могут затронуть (полностью или частично нарушить) деятельность банка в целом или одного из структурных подразделений;
— сопоставление перечней: определение видов и степени воздействия непредвиденных обстоятельств на режим повседневного функционирования банка, его способность выполнять принятые на себя обязательства;
— определение критериев непрерывности процессов (работоспособности систем, исполнения обязательств): очевидно, что мерилом будут служить условия соответствующих договоров, стандарты и сложившаяся практика (например, последовательности операций в рамках процесса) и требования законодательства РФ, нормативных актов Банка России;
— формирование показателей восстановления (внутренних банковских процессов, возможности исполнения договоров, работоспособности систем): приемлемые сроки, допустимый размер материальных и/или трудовых затрат, допустимый размер потерь (например, информации) и пр.;
— участие в процессе всех структурных подразделений — как непосредственно связанных с осуществлением банковских операций и иных сделок, так и обеспечивающих деятельность банка в целом.
Согласование Плана ОНиВД
Разработку и принятие Плана ОНиВД рекомендуется осуществлять с учетом норм Федерального закона от 21.12.1994 № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера», в том числе в рамках мероприятий по выполнению требований статьи 14 указанного Федерального закона. План ОНиВД рекомендуется разрабатывать применительно к крупномасштабным непредвиденным обстоятельствам, сопоставимым по длительности и силе воздействия, размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера или, в зависимости от характера, масштабов и условий деятельности кредитной организации, — межмуниципального, регионального или межрегионального характера в соответствии с классификацией, установленной Постановлением Правительства Российской Федерации от 21.05.2007 № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера».
При этом рекомендуется предусмотреть возможность реализации отдельных модулей (частей) Плана ОНиВД в случае непредвиденных обстоятельств меньшего масштаба, связанных с проявлением (по отдельности или в сочетаниях) таких факторов, как выход из строя технических средств, сбои в работе автоматизированных информационных систем кредитной организации, нарушение коммунальной инфраструктуры, перебои в электроснабжении, непредвиденный дефицит ликвидности кредитной организации, в том числе по причине потери деловой репутации, отказ кредитных организаций-корреспондентов и (или) организаций-контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, от исполнения своих обязательств.
В качестве примера приведем описание организации планирования производительности, непрерывности операций и реагирования на непредвиденные ситуации для интернет-банкинга3:
1) следует идентифицировать и критично оценивать все виды обслуживания и прикладные программы, используемые в области интернет-банкинга, включая те, которые предоставляются сторонними провайдерами услуг;
2) следует осуществлять оценивание рисков для всех критичных видов обслуживания и прикладных программ в части интернет-банкинга, включая потенциальное влияние любых случаев прерывания деловых операций на кредитный, рыночный, правовой, операционный, репутационный риски и риск ликвидности для данного банка;
3) следует установить функциональные критерии для каждого критичного вида обслуживания и программного приложения в рамках электронного банкинга, а также организовать мониторинг уровней обслуживания в сопоставлении с такими критериями. Следует принять должные меры для обеспечения того, чтобы системы интернет-банкинга могли обрабатывать как малые, так и большие объемы транзакций и чтобы функционирование систем и их производительность согласовывались с предположениями данного банка относительно перспективного развития сети Интернет;
4) следует принять во внимание разрабатываемые альтернативные варианты обработки для управления спросом при достижении системами интернет-банкинга установленных заранее номинальных показателей производительности;
5) планы обеспечения непрерывности операций в части интернет-банкинга следует составлять таким образом, чтобы учитывалось все, что возложено на сторонних провайдеров услуг, а также прочие внешние зависимости, связанные с необходимостью применения процедур восстановления работоспособности;
6) в планах реагирования на непредвиденные обстоятельства при осуществлении обслуживания в рамках интернет-банкинга следует определить какие-либо процессы для возобновления или замещения существующих средств обработки в части интернет-банкинга, реконструирования информации в обеспечение выполнения транзакций, а также описать те меры, которые должны быть приняты для восстановления доступности критичных систем и прикладных программ интернет-банкинга в случае прерывания деловых операций.
При разработке Плана ОНиВД рекомендуется уделять внимание вопросам своевременного информирования клиентов, участников (акционеров) , контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, органов государственной власти и местного самоуправления, Банка России, других государственых органов, в пределах своей компетенции осуществляющих функции регулирования и надзора в отношении кредитной организации, средств массовой информации и других заинтересованных лиц о возникновении непредвиденных обстоятельств, а также порядку взаимодействия с заинтересованными лицами по вопросам обеспечения непрерывности и восстановления деятельности кредитной организации.
Утверждение Плана ОНиВД
— порядок реализации Плана, включая порядок принятия решения о переводе деятельности кредитной организации в чрезвычайный режим, а также порядок управления кредитной организацией в этом режиме;
— перераспределение обязанностей и полномочий как между подразделениями, так и между служащими кредитной организации в условиях чрезвычайного режима с учетом взаимозаменяемости служащих в случае отсутствия (недоступности) ответственных и (или) уполномоченных служащих;
— перечень установленных в кредитной организации процедур, выполнение которых в режиме повседневного функционирования кредитной организации необходимо для успешной реализации Плана ОНиВД (например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг (работ) , обеспечивающих реализацию Плана ОНиВД) , а также очередность и сроки их выполнения;
— порядок взаимодействия, в том числе порядок экстренного оповещения и связи, между органами управления, подразделениями и служащими кредитной организации при возникновении непредвиденных обстоятельств;
— порядок информирования заинтересованных лиц о возникновении непредвиденных обстоятельств, порядок взаимодействия с заинтересованными лицами, в том числе с Банком России, по вопросам обеспечения непрерывности и (или) восстановления деятельности кредитной организации;
— детальные инструкции для подразделений и служащих кредитной организации, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;
— порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.
В целях обеспечения способности кредитной организации выполнять принятые на себя обязательства и минимизировать возможные негативные последствия непредвиденных обстоятельств в Плане ОНиВД рекомендуется определить порядок осуществления внутренних банковских процессов в чрезвычайном режиме.
Для каждого внутреннего банковского процесса рекомендуется определить уровень его осуществления, в том числе:
— осуществление на уровне, соответствующем уровню осуществления внутреннего банковского процесса в режиме повседневного функционирования;
— осуществление на заданном (сниженном по сравнению с уровнем режима повседневного функционирования) уровне в течение заданного периода времени;
— прекращение его осуществления (планомерное или максимально быстрое и безопасное).
Для каждого критически важного для деятельности кредитной организации внутреннего банковского процесса рекомендуется дополнительно определить:
— критерии непрерывности осуществления;
— развернутый перечень ресурсов — кадровых, финансовых, материальных, информационных (включая вычислительную технику, другие технические средства, программное обеспечение) , средств связи, необходимых для его поддержания в чрезвычайном режиме;
— помещения, предназначенные для осуществления процесса в чрезвычайном режиме в случае недоступности помещений, используемых в режиме повседневного функционирования. Для этих целей рекомендуется определить запасные помещения, территориально удаленные от мест основного расположения кредитной организации и поддерживаемые в состоянии готовности для использования в чрезвычайном режиме, либо помещения, находящиеся в местах основного расположения кредитной организации (ее филиала или иного территориально обособленного структурного подразделения) , исходя из возможности увеличения интенсивности использования или изменения назначения указанных помещений в чрезвычайном режиме;
— возможность получения услуг, необходимых для осуществления процесса, в случае отказа поставщика указанных услуг (провайдера) кредитной организации от исполнения договорных обязательств, в том числе использование услуг другого поставщика (провайдера) или переход на самообслуживание.
В Плане ОНиВД рекомендуется предусмотреть периодичность и способы создания резервных копий информации, необходимой для осуществления внутренних банковских процессов, с учетом установленных для них критериев непрерывности. Следует определить места хранения и способы доставки резервных копий до мест хранения, а также способы и сроки восстановления информации.
Также в Плане ОНиВД содержатся рекомендации определить порядок хранения документированной информации (в том числе данных бухгалтерского и депозитарного учета, реестров обязательств кредитной организации перед вкладчиками) и порядок восстановления документов в случае утраты их оригиналов.
Согласно Плану ОНиВД представляется целесообразным предусмотреть способы экстренного поддержания ликвидности на случай непредвиденных обстоятельств с указанием лиц, с которыми заключены договоры об оказании финансовой помощи на случай непредвиденных обстоятельств (в том числе участников (акционеров) кредитной организации, организаций банковской группы, кредитных организаций — партнеров) , способов связи с ними.
Содержание данного пункта вызывает больше вопросов, чем все остальные пункты, поскольку если меры по снижению операционного риска в данном документе логичны и естественны, то меры по поддержанию ликвидности скорее можно отнести к работе со слабыми банками, но редко к работе в чрезвычайных обстоятельствах.
Внутрибанковские инструкции должны определять:
— порядок действий при возникновении непредвиденных обстоятельств или появлении реальной угрозы их возникновения;
— процедуры перевода работы в чрезвычайный режим;
— порядок осуществления критически важных для деятельности кредитной организации внутренних банковских процессов в чрезвычайном режиме, описание изменений в технологиях их осуществления;
— порядок доступа к ресурсам, необходимым для работы в чрезвычайном режиме.
В Плане ОНиВД рекомендуется предусмотреть порядок восстановления нарушенных внутренних банковских процессов после ликвидации последствий непредвиденных обстоятельств, критерии, позволяющие принять решение о завершении работы в чрезвычайном режиме, и порядок принятия такого решения, а также порядок возврата в режим повседневного функционирования.
Пересмотр Плана ОНиВД
План ОНиВД рекомендуется пересматривать не реже одного раза в два года с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности кредитной организации, утвержденной стратегии развития деятельности кредитной организации, условиям мест нахождения кредитной организации (ее подразделений) , а также для устранения недостатков, выявленных в ходе проверок (тестирования) Плана ОНиВД, и учета вновь выявленных факторов, которые могут привести к нарушению повседневного функционирования кредитной организации.
В целях реализации Плана ОНиВД и сохранения уровня управления кредитной организацией в условиях непредвиденных обстоятельств при необходимости возможно предусмотреть передачу полномочий по оперативному руководству деятельностью кредитной организации органу чрезвычайного управления.
Для достижения указанной цели также возможно создание резервного центра обработки данных — резервный ЦОД, который обеспечит непрерывность бизнеса кредитной организации (реализацию плана business continuity & disaster recovery) в аварийных и чрезвычайных ситуациях. Это предполагает создание офисного помещения с готовой ИТ-инфраструктурой, соответствующего по функциональности основному офису4.
С учетом определенных кредитной организацией порядка создания органа чрезвычайного управления, его полномочий и сроков их действия в Плане ОНиВД возможно предусмотреть осуществление указанным органом следующих функций:
— определение степени влияния непредвиденных обстоятельств на деятельность кредитной организации, составление перечня потерь, оценку размера нанесенного ущерба;
— координацию работ по обеспечению непрерывности и восстановления деятельности кредитной организации, принятие решений о реализации модулей Плана ОНиВД;
— информирование заинтересованных лиц о ходе восстановления деятельности кредитной организации и мерах, принятых для обеспечения ее непрерывности;
— взаимодействие с Банком России в целях координации совместных действий по обеспечению своевременного проведения расчетов по поручениям клиентов и по обязательствам кредитной организации, а также с другими заинтересованными лицами по вопросам обеспечения непрерывности и (или) восстановления деятельности;
— взаимодействие с правоохранительными органами, аварийными и специализированными службами (в том числе с органами внутренних дел, пожарной охраной, аварийно-спасательными службами, учреждениями здравоохранения, органами, осуществляющими государственный санитарно-эпидемиологический надзор) ;
— взаимодействие с коммунальными службами, в том числе по вопросам обеспечения электро-, тепло- и водоснабжения, с поставщиками услуг телефонной и других видов связи;
— организация необходимой помощи служащим кредитной организации и членам их семей.
Проверка Плана ОНиВД
С целью определения возможности выполнения Плана ОНиВД в случае возникновения непредвиденных обстоятельств рекомендуется предусмотреть проведение службой внутреннего контроля (СВК) проверок (тестирования) Плана ОНиВД с периодичностью не реже одного раза в два года. Для обеспечения постоянной готовности служащих к действиям на случай непредвиденных обстоятельств рекомендуется организовать изучение Плана ОНиВД на регулярной основе всеми служащими кредитной организации в соответствии со специально разработанной для этих целей программой, включающей проведение учений. Учения рекомендуется планировать таким образом, чтобы оценить реальное время, необходимое для выполнения каждого модуля Плана ОНиВД, и степень подготовленности служащих кредитной организации к работе в чрезвычайном режиме.
При проведении СВК проверки необходимо определить:
— программу, форму и сроки проведения проверки (тестирования) Плана ОНиВД;
— перечень подразделений и служащих кредитной организации, участвующих в проверке (тестировании) Плана ОНиВД;
— перечень проверяемых (тестируемых) модулей Плана ОНиВД;
— перечень ресурсов, предполагаемых для использования при проверке (тестировании) Плана ОНиВД;
— состав и обязанности группы наблюдателей (контролеров) ;
— сроки и порядок оформления результатов проверки (тестирования) Плана ОНиВД.
Протокол проверки (тестирования) Плана ОНиВД рекомендуется вести по установленной внутренними документами кредитной организации форме. При этом в протоколе рекомендуется указывать:
— список наблюдателей (контролеров) , присутствующих при проведении проверки (тестирования) с указанием лица, ответственного за ведение протокола;
— перечень всех процедур, выполняемых в рамках тестируемых модулей Плана ОНиВД, с отметками о соответствии результатов их выполнения Плану ОНиВД;
— время, затраченное на завершение промежуточных этапов и реализацию проверяемых (тестируемых) модулей Плана ОНиВД;
— описание выявленных недостатков Плана ОНиВД или подготовки служащих — участников проверки.
Отчет по итогам проведения проверки (тестирования) Плана ОНиВД рекомендуется составлять на основании согласованного протокола проверки (тестирования) Плана ОНиВД. К участию в проверке (тестировании) Плана ОНиВД рекомендуется при необходимости привлекать контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, от деятельности которых зависит непрерывность осуществления критически важных для деятельности кредитной организации внутренних банковских процессов и (или) сроки их восстановления.
Всем кредитным организациям необходимо срочно обеспечить наличие Плана ОНиВД, грамотная разработка и реализация которого позволит минимизировать возможные негативные последствия непредвиденных обстоятельств, включая материальные и кадровые потери, а также ущерб репутации кредитных организаций. Этап внедрения Плана ОНиВД предполагает:
— внесение соответствующих изменений во внутренние регламенты по направлениям деятельности;
— распорядительные и уставные документы, штатное расписание и организационную структуру;
— заключение и пересмотр необходимых договоров с поставщиками услуг, ресурсов и т.п.;
— пересмотр действующих договоров с контрагентами, партнерами, клиентами, трудовых договоров с персоналом, распределение полномочий и ответственности; заключение или пересмотр соглашений о страховании рисков (и/или имущества, и/или жизни и здоровья персонала) ;
— закупку необходимых материальных активов и пр.;
— различные уровни и способы обучения персонала и проверки навыков в зависимости от направления деятельности, взаимосвязей, общих ресурсов и пр.;
— общую проверку на уровне банка как организации в целом;
— информирование всех заинтересованных лиц в рамках их компетенции (или, вернее сказать, в рамках их интересов и/или необходимости в их «правильной» информированности для банка — например, если речь идет о СМИ) ;
— установление способов взаимодействия с государственными (муниципальными) аварийными и специализированными службами (в том числе с органами внутренних дел, пожарной охраной, аварийно-спасательными службами, учреждениями здравоохранения, органами, осуществляющими государственный санитарно-эпидемиологический надзор) , коммунальными службами (электро-, тепло- и водоснабжения, с поставщиками услуг телефонной и других видов связи) и, где применимо и уместно, аналогичными коммерческими организациями.
В заключение необходимо отметить, что имидж банка, обеспечивающего для своих клиентов безусловную надежность, является существенным конкурентным преимуществом;, а План ОНиВД, спроектированный в расчете на серьезную чрезвычайную ситуацию, поможет сохранить жизненно важную для бизнеса инфраструктуру и данные и в необходимые сроки восстановить предоставление услуг клиентам не только при серьезном происшествии, но и при рядовых сбоях, которые случаются в любых организациях достаточно часто.
1 — A Business Continuity Plan (BCP) — деловой план непрерывности идентифицирует ключевые риски, определяет результаты тех рисков, вероятность реализации которых высока, и формирует последовательность действий по минимизации затрат и потери производительности, а в случае остановки гарантирует минимизацию временной задержки деятельности и потери дохода.
2 — High-level Principles for Business Continuity // Basle Committee on Banking Supervision. August 2006.
3 — См. Юденков Ю. Н., Тысячникова Н. А., Сандалов И. В., Ермаков С. Л. Интернет-технологии в банковском бизнесе: перспективы и риски. — М.: КНОРУС, 2009. С. 300.
4 — Резервный ЦОД позволит перейти к сценарию business continuity & disaster recovery в случаях, когда: поврежден основной ЦОД компании (например, вследствие пожара, стихийного бедствия, теракта, чрезвычайных происшествий) ; не функционируют коммуникации в основном центре обработки данных; отключилось электропитание в основном центре обработки данных; произошла потеря данных в основном ЦОД. Непрерывность бизнеса — резервный ЦОД и его составляющие: помещение с готовыми рабочими местами; коммуникации (выделенный канал, основной центр обработки — резервный ЦОД, телефония и доступ в Интернет из резервного ЦОД) ; оборудование (собственное или арендованное) и информационные системы компании, необходимые для реализации плана business continuity & disaster recovery; стойки в дата-центре для размещения информационных систем.
Ю.Н. Юденков, главный редактор журнала «Внутренний контроль в кредитной организации»
