Что является сценарием прерывания деятельности банка
Перейти к содержимому

Что является сценарием прерывания деятельности банка

  • автор:

Непрерывность деятельности кредитной организации

Подборка наиболее важных документов по запросу Непрерывность деятельности кредитной организации (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

  • Коронавирус:
  • 2182п п13
  • 2182п-п13
  • 26 ум от 23 03 2020
  • 26 ум от 23.03.2020
  • 26-УМ от 23.03.2020
  • Показать все
  • Коронавирус:
  • 2182п п13
  • 2182п-п13
  • 26 ум от 23 03 2020
  • 26 ум от 23.03.2020
  • 26-УМ от 23.03.2020
  • Показать все

Формы документов

Статьи, комментарии, ответы на вопросы

Статья: Информация по вопросам положений Федерального закона от 24.02.2021 N 23-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения ответственности лиц, контролирующих финансовую организацию» и разработанного в целях его реализации нормативного акта Банка России
(«Официальный сайт Банка России», 2021) — утверждение порядка предотвращения конфликтов интересов, плана восстановления финансовой устойчивости в случае существенного ухудшения финансового состояния кредитной организации, плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, утверждение руководителя службы внутреннего аудита кредитной организации, плана работы службы внутреннего аудита кредитной организации, утверждение политики кредитной организации в области оплаты труда и контроль ее реализации;

Нормативные акты

Федеральный закон от 10.07.2002 N 86-ФЗ
(ред. от 24.07.2023)
«О Центральном банке Российской Федерации (Банке России)»
(с изм. и доп., вступ. в силу с 01.10.2023) Статья 57.5. Банк России устанавливает обязательные для кредитных организаций требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.

Обеспечение непрерывности бизнеса в банках Текст научной статьи по специальности «Экономика и бизнес»

БАНКОВСКИЙ БИЗНЕС / СИСТЕМА ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ БИЗНЕСА / ПЛАН ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ И ВОССТАНОВЛЕНИЯ ДЕЯТЕЛЬНОСТИ / BANK BUSINESS / SYSTEM OF PROVIDING CONTINUITY OF BUSINESS / PLAN OF PROVIDING CONTINUITY AND ACTIVITY RESTORATION

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Крымова Ирина Петровна, Дядичко Светлана Павловна

Исследование проведено в контексте взаимосвязи специфики банковского бизнеса с необходимостью обеспечения его непрерывности. Представлен анализ экономической и правовой основ процесса обеспечения непрерывности банковского бизнеса. Выявлена особенность обеспечения непрерывности бизнеса в банках, требующая системного и комплексного подхода.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Крымова Ирина Петровна, Дядичко Светлана Павловна

Методические аспекты управления непрерывностью бизнеса в компании
Особенности системы управления непрерывностью бизнесав период пятого технологического уклада
Организация управления операционным риском в кредитных организациях Ростовской области
Оценка директивного времени восстановления (rto) информационных систем
Спектр угроз информационной безопасности с точки зрения непрерывности бизнеса
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

PROVIDING THE CONTINUITY OF BUSINESS IN BANKS

Research is carried out in a context of interrelation of specifics of bank business with need of providing its continuity. The analysis of economic and legal bases of process of providing a continuity of bank business is presented. Feature of providing a continuity of business in the banks, demanding a system and comprehensive approach is revealed.

Текст научной работы на тему «Обеспечение непрерывности бизнеса в банках»

Крымова И.П., Дядичко С.П.

Оренбургский государственный университет E-mail: osu_bank@mail.ru

ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ БИЗНЕСА В БАНКАХ

Исследование проведено в контексте взаимосвязи специфики банковского бизнеса с необходимостью обеспечения его непрерывности. Представлен анализ экономической и правовой основ процесса обеспечения непрерывности банковского бизнеса. Выявлена особенность обеспечения непрерывности бизнеса в банках, требующая системного и комплексного подхода.

Ключевые слова: банковский бизнес, система обеспечения непрерывности бизнеса, план обеспечения непрерывности и восстановления деятельности.

Деятельность любых организаций подвержена угрозе возникновения различного рода нештатных ситуаций, поэтому для обеспечения ее благополучия и безопасности необходимо наладить процесс управления непрерывностью бизнеса. Избежать чрезвычайных происшествий, возникающих в разных компаниях, невозможно. В экстренной ситуации на планирование и организацию работ соответствующих подразделений обычно уже нет времени, необходимо сразу принимать срочные меры по устранению ее источника и последствий. Поэтому вопросы обеспечения непрерывности бизнеса возникают перед руководителем практически каждой организации, в том числе и банка. Вследствие этого в настоящее время управление непрерывностью бизнеса представляет собой одно из наиболее актуальных и динамично развивающихся направлений банковской деятельности.

Успешная деятельность банков во многом зависит от их возможности гарантировать клиентам, а также акционерам, инвесторам и т. д. выполнение своих обязательств перед ними и готовности в случае наступления чрезвычайных обстоятельств оперативно и без потерь решить все вопросы.

Сущность банковского бизнеса, как особого рода деловой активности заключается в осуществлении банками определенных законодательством операций и сделок на коммерческой основе. Как и в любом другом бизнесе, в банковском основная цель — получение прибыли. Однако его отличительной особенностью является уникальность: ни одна другая финансово-кредитная организация не имеет права осуществлять в совокупности круг операций и сделок, законодательно определенных как банковские, а также не одна другая финансово-кредитная организация не берёт на себя все риски, как это делает банк. Это также обусловлено и тем, что банковский

бизнес играет значительную роль в кредитной системе страны, обеспечивая перераспределение денежных потоков. Кроме того, степень развития национального банковского бизнеса влияет на экономическую систему государства, вследствие этого данный вид предпринимательской деятельности подлежит четкому законодательному определению и гибкому контролю со стороны уполномоченных структур [1, с. 24].

В качестве основных причин, связанных с необходимостью обеспечения непрерывности банковского бизнеса, мы выделяем следующие:

1. Случившийся инцидент.

Не достаточно удачный, но, как показывает практика, имеющий большой движущий потенциал осознания руководством необходимости мероприятий по непрерывности деятельности.

2. Устранение замечаний аудиторов.

Любая внешняя аудиторская проверка обращает внимание на необходимость разработки и внедрения корпоративной программы управления непрерывностью бизнеса.

3. Усиление надзора со стороны регуляторов:

— повышенное внимание к организации внутреннего контроля и использованию банковских информационных технологий в кредитной организации (в частности в связи с принятием Банком России новой редакции Положения №242-П, банки должны иметь план действий, обеспечивающий непрерывность и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств);

— требования Банка России к обеспечению информационной безопасности в кредитных организациях в части обеспечения непрерывности бизнеса и восстановления его после прерывания.

4. Необходимость обеспечения непрерывности и стабильности деятельности бизнеса:

— обеспечение готовности к непредвиденным обстоятельствам (нештатным и чрезвычайным

ситуациям), способным привести к нарушению нормального режима функционирования кредитной организации: своевременное исполнение принятых на себя обязательств (перед клиентами, перед регуляторами, перед другими заинтересованными сторонами и лицами — руководством, акционерами, инвесторами, банками-кор-респондентами, контрагентами, партнерами, СМИ, органами государственной власти). Клиенты и партнеры банка часто желают получить некоторые гарантии того, что их экономически важные бизнес-процессы защищены надлежащим образом. В этом случае политика обеспечения непрерывности бизнеса, стратегия аварийного восстановления являются доказательством предоставления подобных гарантий, так как в корпоративных документах декларируются намерения банка относительно качества обеспечения непрерывности бизнеса и планы действия в чрезвычайных ситуациях;

— снижение потерь в случае непредвиденных обстоятельств;

— создание методологической и технологической основы для управления непрерывностью деятельности, обеспечение единства подходов корпоративного управления кредитной организацией.

5. Повышенный уровень к информационным технологиям:

— требования к обеспечению непрерывного представления ИТ-сервисов, отказоустойчивости и катастрофоустойчивости ИТ-инфра-структуры.

— требования к быстрому восстановлению ИТ-сервисов в случае непредвиденных обстоятельств с учетом требований бизнеса к показателям восстановления (максимально допустимое время простоя, допустимый размер материальных затрат, допустимый размер потерь информации).

Решения, принимаемые банком в первые часы после произошедшего события, которое привело к нарушению его деятельности, важны для принятия последующих шагов ликвидации финансовых последствий.

Цель обеспечения непрерывности бизнеса банка состоит не только в поддержке минимального уровня обслуживания клиентов, но и в ограничении влияния на его финансовое положение с помощью гарантирования того, что банк будет продолжать функционировать в течение

всего кризисного периода, а восстановление остальных функций банка будет находиться под постоянным контролем.

Если у банка есть эффективный и хорошо протестированный план обеспечения непрерывности, больше шансов принимать правильные решения в первые несколько часов и предпринять корректные действия, чтобы ограничить влияние на финансовую позицию. В этом случае банк имеет гораздо больше шансов снизить затраты во время каких-либо сбоев и прерываний.

В соответствии с вышесказанным, банк будет иметь значительные конкурентные преимущества от внедрения системы управления непрерывностью бизнеса, которая позволит защитить его деятельность от риска крупных операционных нарушений. Конечно, внедрение такой системы защиты требует дополнительных административных расходов, но в итоге, данная система сделает банк более привлекательным как в глазах потенциальных клиентов, так и позволит банку создать добавочную стоимость.

Любой, пусть даже небольшой перерыв в деятельности банка, по факту, приводит к значительным потерям доходов, клиентов, а также наносит ущерб деловой репутации банка. Поэтому обеспечение непрерывной работы банка является важной задачей его руководства, как на сегодняшний день, так и на перспективу.

Если рассмотреть, в общем, систему обеспечения непрерывности бизнеса, то она должна в себя включать:

Система должна быть направлена на сокращение потерь среди персонала, сокращение потери активов, предотвращение остановки бизнес-процессов и быстрое восстановление полноценной деятельности банка вне зависимости от характера событий.

Помимо вышеперечисленного, банки также должны создавать вокруг себя и непрерывное многоканальное информационное поле, которое предполагает:

— разработку резервных способов передачи информации и связи с компанией;

— создание дополнительных сайтов поддержки клиентов;

— дублирование критических функций, как на уровне должностных инструкций, так и на уровне персонала.

Если говорить о самой сущности непрерывности бизнеса в банках, то она проявляется в следующих элементах:

1) в анализе бизнес-процессов и аудите рисков, то есть выявлении и анализе вероятности наступления неблагоприятных событий;

2) в разработке сценариев действий в случае наступления неблагоприятного события;

3) в составлении плана мероприятий по обеспечению непрерывности бизнеса.

Вовремя проведённый анализ бизнес-процессов и аудит рисков даст возможность руководству банка успешно сориентироваться в условиях кризисной ситуации. Менеджер, владея детальным описанием бизнес-процессов, ответственный за механизм управления кризисной ситуацией, сможет быстро изменить порядок выполнения того или иного процесса с помощью перераспределения функций вышедшего из строя блока (подразделения, сотрудника, оборудования) между остальными или задействовать альтернативные ресурсы банка.

Результатом проведенного анализа для банка должен стать разработанный сценарий восстановления бизнес-процессов, а если этого требует сложившаяся экономическая ситуация, то не один, а несколько соответствующих сценариев. Составленные сценарии должны в себя обязательно включать механизм прогнозирования возможных негативных событий, чрезвычайных ситуаций, форс-мажорных обстоятельств, которые могут повлиять на деятельность банка в целом или одного из его структурных подразделений. Кроме того, в сценариях должны содержаться и комплекс мер по устранению последствий влияния негативных факторов, а также определены функции и установлена ответственность отдельных лиц за принятие мер по устранению различного рода нарушений [2].

Реализация процесса обеспечения непрерывности банковского бизнеса невозможна без составления соответствующего плана, который должен содержать подробные указания по восстановлению деловых операций после их нарушения, а также мероприятия, способствующие доведению их до уровня, достаточного для того, чтобы обеспечить выполнение банком своих обязательств. Причем мы считаем, что планы

должны носить комплексный характер и разрабатываться не только для отдельно взятых подразделений, но и для всего банка в целом.

Таким образом, ключевым элементом процесса обеспечения непрерывности бизнеса в банках должно стать планирование, которое как раз и состоит в разработке определенного плана действий для конкретного сценария аварийной ситуации, включающего в себя процедуры восстановления деятельности.

Следующим элементом процесса обеспечения непрерывности бизнеса в банках является управление, то есть установление конкретного перечня мероприятий, выполняемых в условиях штатной работы в целях предотвращения возникновения чрезвычайных ситуаций, а также в период реабилитации после происшествий с целью минимизации их последствий и восстановления деятельности.

К основным задачам управления непрерывностью банковского бизнеса мы относим:

— обеспечение устойчивости выполнения банком критичных бизнес-процессов на минимально допустимом уровне в условиях непредвиденной ситуации;

— минимизация рисков финансовых и имиджевых потерь банка в случае реализации угроз непрерывности бизнеса;

— обеспечение безопасности сотрудников банка;

— оптимизацию затрат на создание резервной инфраструктуры, установление баланса между инвестициями, необходимыми для обеспечения бизнеса, и уровнем приемлемого риска;

— выполнение требований регуляторов.

В качестве основных принципов управления можно выделить следующие:

— управление кризисными ситуациями -интегральная часть общей системы управления банком;

— сосредоточение внимания в первую очередь на поддержке бизнес-стратегии и целей кредитной организации;

— организация процесса управления непрерывностью на постоянной основе с возможностью циклического обновления;

— внедрение системы управления непрерывностью — основная часть процесса изменений на всех стадиях развития новых бизнес-операций и организационных инфраструктурных проектов.

Разработанный механизм обеспечения непрерывности бизнеса в банке с учётом вышеперечисленных задач и принципов даст возможность существенно повысить степень готовности кредитной организации к чрезвычайному событию, а также позволит банку избежать паники, неприятных неожиданностей, предусмотреть возможное развитие событий в случае наступления внештатной ситуации.

Процесс обеспечения непрерывности бизнеса в банках имеет не только экономическую, но и правовую основу. В качестве базовых нормативно-правовых документов можно выделить следующие:

— Британский стандарт ВБ 25999, содержащий лучшие мировые практики по обеспечению непрерывности деятельности;

— Указания ЦБ РФ №2194-У «О внесении изменений в положение Банка России от 16 декабря 2003 года №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», включающие рекомендации по обеспечению непрерывности деятельности в организациях Банковской системы РФ;

— Положения Базельского комитета, включающие задачу управления непрерывностью деятельности, как одну из задач управления операционными рисками.

Международная и отечественная законодательная основа управления непрерывностью бизнеса на сегодняшний день обусловливает стратегию успешного и стабильного существования любого банка. Успех банка тесно взаимосвязан с тем, насколько широко он использует современные банковские технологии, и приостановка любой из технологических цепочек в бизнес-процессах банка может

нанести ущерб, исчисляемый миллионами рублей (табл. 1).

Банковская система России также ориентирована на процесс обеспечения непрерывности банковского бизнеса. Опыт использования программ в данном направлении выявил существенные проблемы, в числе которых:

— отсутствие у ряда коммерческих банков вообще какого-либо рода Политик, Стратегий, Планов и процедур непрерывности и восстановления бизнеса в чрезвычайных ситуациях;

— недостаточная системная проработка предметной области, и как следствие акцент на аварийное восстановление ИТ-сервисов и слабое освещение критически важных бизнес-процессов, в том числе сервисов, предоставляемых клиентам и партнерам;

— отсутствие формализованного описания бизнес-процессов с указанием ответственных лиц и как следствие трудности в определении допустимого времени восстановления и оптимальной точки восстановления;

— нерегулярный и/или неполный анализ внешних и внутренних воздействий на критические важные бизнес-процессы, что приводит к тому, что планы непрерывности бизнеса не всегда отвечают целям и задачам банковской деятельности;

— использование морально устаревших методик и подходов к планированию и управлению непрерывностью банковского бизнеса, слабо адаптированных под требования отечественного и международного законодательства;

— недостаточный уровень подготовки сотрудников банка по вопросам управления непрерывностью бизнеса, недостаток соответству-

Таблица 1. Мировая статистика простоев банков с 1996 г. (по данным МВФ) [3, с. 5]

Характер угрозы Доля случаев, % Требования с обеспечением непрерывности

Умышленные нападения (теракты) 17 Катастрофоустойчивость/обеспечение непрерывности

Пожары 17 Катастрофоустойчивость/обеспечение непрерывности

Ураганы 14 Катастрофоустойчивость/обеспечение непрерывности

Землетрясения 11 Катастрофоустойчивость/обеспечение непрерывности

Отключение электроэнергии 10 Отказоустойчивость/обеспечение доступности

Выход из строя программ 9 Отказоустойчивость/обеспечение доступности

Наводнения 7 Катастрофоустойчивость/обеспечение непрерывности

Выход из строя техники 5 Отказоустойчивость/обеспечение доступности

Персонал, прочие риски 10 Политика безопасности, борьба с халатностью

ющих знаний и навыков деятельности в условиях чрезвычайных ситуаций [1, с. 124].

Зачастую на практике в банках реализация механизмов обеспечения непрерывности бизнеса сводится к формальной разработке планов обеспечения непрерывности деятельности. Это связано, во-первых, с финансовыми затратами, во-вторых, с отсутствием необходимых знаний, в-третьих, с нежеланием принимать новые обязанности.

Если речь вести о такой важной характеристике банковского бизнеса, как его финансовая устойчивость, то обеспечение непрерывности напрямую влияет на это.

Так как Банк России по своему статусу ответственен за устойчивость не отдельно взятого банка, а всей Банковской системы России, то он уделяет огромное внимание проведению мероприятий по обеспечению непрерывности банковской деятельности.

Процесс обеспечения непрерывности бизнеса в банках основывается на использовании следующих механизмов:

1) анализе требований к обеспечению непрерывности бизнеса (анализ критически важных бизнес-процессов банка и поддерживающей его инфраструктуры; выявление актуальных угроз и уязвимостей бизнес-процессов; оценка рисков бизнес-процессов; оценка потенциальных финансовых убытков в случае возникновения чрезвычайных ситуаций);

2) планировании непрерывности бизнеса (выработка стратегии и планов обеспечения непрерывности для каждой бизнес-единицы; определение первоочередных мероприятий по обеспечению непрерывности бизнеса; выработка альтернативных решений; выбор оптимальных решений из имеющихся альтернатив);

3) поддержке и сопровождении планов и процедур непрерывности бизнеса (обучение сотрудников банка вопросам обеспечения и управления непрерывностью бизнеса; разработка регламентов сопровождения планов непрерывности бизнеса; разработка контрольных тестов эффективности планов непрерывности бизнеса и графика контрольных проверок; выработка формальных критериев оценивания проводимых проверок; разработка порядка внесения изменений в план).

На практике изложенные выше механизмы реализации процесса обеспечения непрерывно-

сти бизнеса чаще всего сводятся к разработке «Плана обеспечения непрерывности и восстановления деятельности» (План ОНиВД) [3, с. 7].

С экономической точки зрения непрерывность бизнеса банка определяется, как способность выполнять бизнес-процессы и поддерживать их непрерывное и согласованное взаимодействие, обеспечивая тем самым реализацию целей деятельности банка при любых условиях, включая форс-мажор.

Выше обозначенный План по обеспечению непрерывности деятельности по сути своей является одним из инструментов управления операционным риском в части поддержания бизнес-процессов и, соответственно, обеспечения операционной устойчивости.

То, что данный План необходим для успешного банковского бизнеса вполне обосновано -на сегодняшний день в России только в отношении банковской сферы разработано жесткое регулирование в области непрерывности деятельности (Положение ЦБ РФ от 16.12.2003 №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

Построение типового Плана ОНиВД должно основываться на проведении анализа воздействия на банковский бизнес вероятных событий, а также на оценке рисков, учитывающих специфику банковской деятельности [3, с. 8].

i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

В качестве основных моментов, подлежащих отражению в Плане, можно выделить следующие:

1) при возникновении чрезвычайной ситуации, которая влечёт за собой негативные последствия, банк должен позаботиться о возможности переезда головного офиса в другое помещение;

2) наличие необходимого оборудования и информационной и методической систем, способствующее восстановлению критически важных операций и услуг в течение длительного времени;

3) необходимость учитывать вероятные затруднения, которые могут возникнуть у персонала, базирующегося на основной территории.

Наличие Плана по обеспечению непрерывности деятельности даст возможность банку не только выполнить требования надзорного органа, но и предотвратить последствия возникшей внештатной ситуации, связанной с чрезвычайными обстоятельствами (табл. 2).

Рассмотренный нами «План обеспечения непрерывности и восстановления деятельности»

Таблица 2. Общая характеристика «Плана обеспечения непрерывности и восстановления деятельности»

Основные цели Основные задачи

Поддержание способности банка выполнять принятые на себя обязательства Обеспечение готовности к действиям органов управления, сил и средств, предназначенных и выделяемых для предупреждения и ликвидации непредвиденных обстоятельств

Предупреждение и предотвращение возможного нарушения режима повседневного функционирования банка Подготовка сотрудников банка к действиям при возникновении непредвиденных обстоятельств

Обеспечение информационной безопасности банка Организация своевременного оповещения и информирования сотрудников банка о возникновении непредвиденных обстоятельств

Сохранение уровня управления банком Оценка экономических последствий непредвиденных обстоятельств

Обеспечение благоприятных условий труда и безопасности служащих банка Создание резервов необходимых ресурсов для ликвидации последствий непредвиденных обстоятельств и восстановления деятельности

(План ОНиВД) является нужным, но не единственным инструментом процесса обеспечения непрерывности деятельности бизнеса в банках.

Поэтому считаем необходимым продолжить поиск оптимальной модели разработки и реализации процесса обеспечения непрерывности бизнеса в банках, ориентированной на воспроизводственный потенциал современной

российской экономики. Рассмотренные в статье мероприятия, связанные с комплексным подходом будут способствовать выработке в современных российских условиях такого механизма, который позволит либо предотвратить чрезвычайные обстоятельства, либо восстановить работу банковского бизнеса без значительного ущерба для банков.

1. Петренко, С. А. Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться / С. А. Петренко, А. К. Беляков. -М.: ДМК Пресс Компания АйТи, 2011. — 400 с.

2. Об организации внутреннего контроля в кредитных организациях и банковских группах: положение Банка России от 16.12. 2003 №242-П [Электронный ресурс]. — Режим доступа: http://cbr.ru.

3. Тысячникова, Н. А. Обеспечение непрерывности бизнеса является приоритетной задачей кредитной организации и важнейшим фактором финансовой устойчивости банковской системы в целом [Электронный ресурс] // Внутренний контроль кредитной организации. — 2009. — № 3. — Режим доступа: http://baokir.ru.

Сведения об авторах:

Крымова Ирина Петровна, доцент кафедры банковского дела и страхования Оренбургского государственного университета, кандидат экономических наук Дядичко Светлана Павловна, доцент кафедры банковского дела и страхования Оренбургского государственного университета, кандидат экономических наук 460018, г. Оренбург, пр-т Победы, 13, ауд. 6305, тел. (3532) 372471, е-таіі: osu_bank@mail.ru

Krymova I.P., Dyadichko S.P.

Orenburg state university, е-mail: osu_bank@mail.ru

PROVIDING THE CONTINUITY OF BUSINESS IN BANKS

Research is carried out in a context of interrelation of specifics of bank business with need of providing its continuity. The analysis of economic and legal bases of process of providing a continuity of bank business is presented. Feature of providing a continuity of business in the banks, demanding a system and comprehensive approach is revealed.

Key words: bank business, system of providing continuity of business, plan of providing continuity and activity restoration.

План ОНиВД

План ОНиВД – совокупность мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств. Это внутренний документ банка, который определяет комплекс действий по предотвращению или своевременной ликвидации последствий нарушения режима работы финансового учреждения, вызванного возникновением чрезвычайной ситуации или иным событием, препятствующим выполнению кредитной организацией принятых на себя обязательств.

Рекомендации по структуре и содержанию плана, а также по организации проверки возможности его выполнения приведены в приложении 5 к положению ЦБ РФ от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

Работы банка по составлению и поддержке плана ОНиВД в актуальном состоянии можно разделить на три этапа: разработка, которая в себя также включает согласование и утверждение плана, а также пересмотр и проверка.

При разработке плана анализируются следующие факторы:

– виды и характер возможных непредвиденных обстоятельств и степень их воздействия на деятельность кредитной организации;

– перечень критически важных внутренних банковских процессов, а также автоматизированных информационных систем, обеспечивающих их осуществление;

– показатели восстановления внутренних банковских процессов, в т. ч. такие, как срок восстановления, допустимый размер материальных затрат и потерь информации.

В план рекомендуется включать:

– порядок его реализации;

– перераспределение обязанностей и полномочий между подразделениями и служащими банка в случае возникновения непредвиденных обстоятельств;

– перечень установленных в кредитной организации процедур, выполнение которых необходимо для успешной реализации плана ОНиВД, а также очередность и сроки их выполнения. Например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг, обеспечивающих реализацию плана, и т. д.;

– порядок взаимодействия (в т. ч. порядок экстренного оповещения и связи) между органами управления, подразделениями и служащими кредитной организации при возникновении непредвиденных обстоятельств;

– порядок информирования заинтересованных лиц о возникновении чрезвычайных ситуаций и взаимодействия с ними (в т. ч. с Банком России);

– детальные инструкции для подразделений и служащих финансового учреждения, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;

– порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.

Для того чтобы служащие банка были готовы при возникновении непредвиденных обстоятельств действовать согласно плану ОНиВД, нужно проводить обучение, включающее в себя также проведение учений. Тестировать план следует не реже одного раза в год. Для этих целей рекомендуется определить группу наблюдателей, контролирующую выполнение предусмотренных планом ОНиВД мероприятий. По итогам проверки группа составляет протокол и отчет.

План необходимо пересматривать не реже одного раза в два года. При этом надо учитывать недостатки, обнаруженные в ходе его тестирования, а также вновь выявленные факторы, которые могут привести к нарушению повседневного функционирования кредитной организации в случае возникновения чрезвычайных ситуаций.

Материалы Banki.ru по теме:

Время задуматься о непрерывности бизнеса

Борис Шойхет: “Поскольку единого корпоративного плана по поддержанию непрерывности бизнеса в “Ленте” нет, задачи для данного проекта ИТ-департамент ставил себе сам”

Марина Аншина: “Как защититься от того, что мы предвидеть не можем?”

Михаил Сенаторов: “Основная цель BCM — обеспечение устойчивости работы предприятия в целом, а не только его ИТ-инфраструктуры”

“Как защититься от того, что мы предвидеть не можем?”. Пожалуй, именно в этом вопросе, поставленном директором ИТ-департамента компании “СИБУР — Русские шины” Мариной Аншиной в ее выступлении на конференции “BCM: Теория и практика управления непрерывностью бизнеса”, заключена самая сложная проблема дисциплины Business Continuity Management (BCM). Деловая активность предприятия может прерваться по самым разным причинам: из-за аварии систем жизнеобеспечения, проблем с оборотом финансов, катастроф во внешнем по отношению к нему окружении, действий злоумышленников и, наконец, сбоев в работе информационных систем. Мало того, что прогнозировать все возможные сценарии по каждому из указанных направлений практически невозможно, еще труднее предвидеть как на первый взгляд некритичные сбои на каждом из этих направлений в сочетании могут привести к нарушению непрерывности бизнеса. Вот почему при всем уважении к теории особый интерес у участников вызывали именно практические рекомендации и рассказы о том, как реализовать на практике методологии BCM.

Собственно, и международные стандарты BS 25999 (управление непрерывностью бизнеса в целом) и BS 25777 (непрерывность функционирования подсистем ИКТ) в значительной степени обобщают накопленный в мире опыт в области BCM и написаны, по меткому выражению заместителя генерального директора компании КРОК Руслана Заединова, кровью. В них отражены все процедуры жизненного цикла BCM, начиная с описания рисков и формирования планов по их преодолению и заканчивая тестированием и проведением полномасштабных учений с участием персонала. Новость о том, что начал действовать аналогичный российский стандарт ГОСТ Р 53647.1-2009 — “Менеджмент непрерывности бизнеса”, сообщил участникам форума консультант по непрерывности бизнеса компании “Инфосистемы Джет” Константин Мусатов. Впрочем, не обошлось в этом радостном сообщении и без ложки дегтя: хотя сей документ имеет статус действующего, текст его на сайте Федерального агентства по техническому регулированию и метрологии отсутствует.

Это, разумеется, не означает, что реальная работа в данном направлении без ГОСТА или иных нормативных документов вестись не может. Главное, чтобы руководители и собственники предприятия хорошо осознавали, зачем вообще бизнесу нужна непрерывность. Поставив этот вопрос, Марина Аншина привела в качестве ответа весьма красноречивый график, показывающий, как одна компания после серьезного инцидента сумела выйти на прибыльность, а другая так и осталась в минусе. Переводя сказанное на житейский язык, с тем же успехом можно было бы обсудить вопрос: зачем человеку нужна непрерывность его жизни? В такой постановке ответ на него очевиден каждому: не будет непрерывности — не будет и самой жизни. Далеко не все организации задумываются об этом всерьез, но в некоторых отраслях, таких как банковская, наличие плана по обеспечению непрерывности — это нормативное требование ЦБ РФ, закрепленное в Положении № 242-П. Другие предприятия, к примеру “СИБУР — Русские шины”, занимаются указанными вопросами в силу “внутреннего убеждения” относительно их важности.

Хотя на данной конференции, проведенной под эгидой AHConferences, в центре внимания были проблемы, с которыми сталкиваются ИТ-департаменты, ее участники согласились, что при обсуждении бюджета программы BCM айтишникам не следует тянуть одеяло на себя. Непрерывность бизнеса зависит в разной степени от работы всех подразделений компании, и ее нарушение, как правило, обусловлено самым слабым звеном. Как совершенно справедливо отметил директор ИТ-департамента Центрального Банка РФ Михаил Сенаторов, основная цель BCM — обеспечение устойчивости работы предприятия в целом, а не только его ИТ-инфраструктуры. Тем не менее иногда именно ИТ-решение становится критически важным участком. В Центробанке — это платежная система ЦБ РФ, посредством которой проводятся межбанковские безналичные расчеты, осуществляется расчетное обслуживание счетов бюджетной системы и т. д.

Посетовав на то, что спешка вендоров при выводе на рынок новых моделей оборудования и версий ПО служит причиной многочисленных сбоев ИС, Михаил Сенаторов указал на единственный инструмент повышения общей отказоустойчивости — многократное резервирование и избыточность ИКТ-ресурсов. В частности, ИКТ-инфраструктура платежной системы ЦБ РФ имеет восьмикратное резервирование всех компонентов. На самом верхнем уровне оно обеспечивается двумя Коллективными центрами обработки информации (КЦОИ), расположенными в Санкт-Петербурге и Нижнем Новгороде, которые способны обеспечить восстановление работоспособности системы после крупномасштабных катастроф. Наряду с выполнением в каждом КЦОИ операций платежной системы между ними раз в сутки осуществляется полная взаимная репликация данных. Кроме того, оба КЦОИ в Санкт-Петербурге и Нижнем Новгороде помимо основной площадки имеют в своем составе удаленный на десятки километров резервный дата-центр, полностью идентичный по набору оборудования и ПО с основным. Штат резервного дата-центра составляет примерно 10% от численности сотрудников основного: предполагается, что при переключении нагрузки на резервный центр нужные специалисты будут перемещены туда с основной площадки. Ну и наконец, на самом нижнем уровне резервирование обеспечивается дублированием всего оборудования.

По мнению Михаила Сенаторова, о надежности и отказоустойчивости этого решения свидетельствует тот факт, что за 2009 г. не было ни одной нештатной ситуации, которая имела бы реальные последствия для работы платежной системы. Не является ли столь высокая степень резервирования избыточной? Видимо, предполагая, что такой вопрос может возникнуть, докладчик пояснил, что в обосновании используемой здесь ИТ-архитектуры принимали участие научные учреждения РАН. Наряду с решением чисто технологических вопросов не следует забывать о том, что в критических ситуациях основная работа выполняется людьми. А это означает, что в организации должен быть утвержденный план по обеспечению непрерывности бизнеса, который содержит четкие инструкции для персонала. На основе своего исторического опыта в ЦБ РФ пришли к тому, что в случае сбоя нагрузка сразу же передается на резервный дата-центр, и только после этого специалистам разрешается заниматься устранением неполадок на основной площадке.

Относительно всевозможных планов по преодолению нештатных ситуаций мнения участников форума заметно расходились. С одной стороны, в них должны быть предусмотрены действия для всех возможных сценариев, с другой — при этом подобные планы станут столь обширными и необозримыми, что их никто внимательно читать не будет. По мнению Марины Аншиной, следствием этого могут стать всевозможные креативные действия сотрудников, которые, скорее всего, приведут к негативным результатам. Отсюда делается вывод: иногда лучше не иметь никакого плана, чем руководствоваться плохим. Но насколько хорошим он может быть, если, как утверждает эксперт по непрерывности бизнеса и защите информации компании “АйТи” Сергей Петренко, сегодня совершенно отсутствует анализ всего набора сценариев прерывания бизнеса, их структуры и иерархических взаимосвязей? Возможно, есть смысл пойти по пути упрощения планов, оставив в них лишь наиболее важные пункты, которые заведомо будут выучены персоналом и знание которых можно проконтролировать, в том числе и в ходе учебных тренингов и тестов.

Говоря о важности подобных мероприятий, Руслан Заединов отметил, что в КРОКе тренинги персонала в условиях отключения электропитания проводятся ежемесячно. Польза от таких занятий, несомненно, есть, хотя, согласимся, со временем они все больше будут напоминать запланированный известным киногероем на 9 часов утра ежедневный подвиг. В российском филиале крупнейшего индийского частного банка ICICI Bank, как рассказала его менеджер по операционным рискам Айгюль Иксанова, наряду с плановыми учениями практикуются и внезапные тревоги, о которых заранее осведомлен лишь узкий круг высших руководителей кредитного учреждения. Но даже в этих случаях никому не удастся имитировать обстановку реального пожара, затопления или землетрясения с тем, чтобы, с одной стороны, проверить психологическую устойчивость персонала, а с другой — выявить все реальные факторы, способные нарушить работоспособность предприятия. Иногда подобные факторы могут действовать не по отдельности, а в определенных сочетаниях, которые не всегда удается спрогнозировать заранее. Возможно, определенную помощь здесь могли бы оказать средства математического моделирования, но, как посетовал Сергей Петренко, таких инструментов пока еще крайне мало.

Рутинное многократное резервирование всех систем — путь весьма эффективный, но в то же время и чрезвычайно затратный. Все понимают, что в процессе согласования бюджета BCM сам его масштаб может иногда испугать руководство сильнее, чем гипотетические сценарии тех или иных катастроф. По мнению Руслана Заединова, начинать следует с ранжирования всех бизнес-процессов по степени их критичности для деятельности предприятия. После чего надо направить основные усилия на поддержку наиболее важных с этой точки зрения процессов. Самой сложной задачей для ИТ-департамента при этом будет нахождение соответствий между этапами бизнес-процесса и задействованными в них ИТ-сервисами. Очевидно, что такой подход поможет оптимизировать расходы на BCM. Имеет ли смысл поддерживать в критических ситуациях лишь некие упрощенные версии бизнес-процессов? К сожалению, этот весьма разумный вопрос из зала остался без ответа.

Тем не менее в реальной жизни указанный подход применяется далеко не всегда. Пример тому — проект в розничной сети “Лента”, о котором рассказал заместитель ИТ-директора “Ленты” по сервисам Борис Шойхет. Еще недавно ИС этой организации была централизованной, а все серверные помещения размещались в одном здании. Поскольку такая архитектура была крайне уязвима, было принято решение о создании территориально удаленной резервной площадки, призванной поддерживать не главные бизнес-процессы, а задействованные в них корпоративные системы. Таковыми были признаны приложение, обеспечивающее процедуры продаж, электронная почта и система управления персоналом. По словам Бориса Шойхета, в “Ленте” корпоративного плана по поддержанию непрерывности бизнеса нет, а потому задачи для данного проекта ИТ-департамент ставил себе сам. Одним из важных было требование уложиться в весьма ограниченный бюджет. Проект обошелся розничной сети в 14 млн. руб, причем большая часть этой суммы пошла на закупку оборудования IBM (мощность резервного центра составляет 10% от мощности основного).

Было принято решение не строить собственный ЦОД, а арендовать необходимые ресурсы у внешнего провайдера (им стал телекоммуникационный оператор “Вымпелком”). В договоре с провайдером не предусмотрена его финансовая ответственность за реальные последствия сбоев, выходящих за рамки соглашений SLA, поскольку оценить их однозначно в денежной форме будет трудно. Все сводится лишь к стандартным штрафным санкциям за то или иное время простоя. Борис Шойхет упомянул еще один возможный способ оптимизации затрат: заключение договора с вендором о предоставлении оборудования в краткосрочную аренду на время ликвидации аварии. К сожалению, пока что переговоры “Ленты” с вендорами по данной теме успеха не принесли.

Облачные технологии упоминались чуть ли не в каждом докладе, но по большей части лишь как некое светлое будущее. Михаил Сенаторов, к примеру, убежден, что в силу распределенности, присущей облакам, такие технологии будут способствовать повышению надежности ИС. Череда аварий и сбоев, прокатившаяся уже после данной конференции, заставляет усомниться в “безоблачных” перспективах облачных сервисов, предоставляемых, по сути, как коммунальная услуга. Выяснилось, что даже такой, казалось бы, распределенный VoIP-сервис, как Skype, может испытывать сбои планетарного масштаба, затрагивающие множество предприятий. Думается, разработка практик BCM, в полной мере учитывающих все преимущества и риски облачных услуг, еще только предстоит.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *