ОНиВС вимоги регулятора чи необхідність

Останнім часом тема забезпечення безперервності діяльності для українських банків набула особливої ​​актуальності, що пов'язано насамперед із запровадженням Банком України вимог щодо наявності у кредитних організацій планів забезпечення безперервності та відновлення діяльності (план ОНіВС)*

Ці нововведення є невипадковими і є відображенням ініціатив Банку України забезпечити українські банки інструментарієм для постійного та безперервного здійснення фінансових операцій за будь-яких умов, у тому числі за надзвичайних обставин.

Вперше банківська спільнота зіткнулася з загрозою безперебійності банківських операцій через так звану «проблему 2000-го року». Згодом низка терористичних актів у Нью-Йорку, Лондоні, Стамбулі, Мадриді та інших країнах, природні катастрофи, спалахи смертельно небезпечних захворювань призводили до реальної загрози зупинки ділових операцій низки фінансових організацій, продемонструвавши високий рівень ризику великих операційних порушень для діяльності фінансової системи.

У багатьох країнах світу вимоги щодо управління безперервності діяльності банків закріплені на законодавчому рівні, розроблено методики формування відповідних планів, у тому числі за окремими напрямками діяльності, бізнес-процесами. Наприклад, посібник з перевірки планів безперервності діяльності для IT-систем США (Business Continuity Planning. IT-Examination Handbook). На міжнародному рівні найбільш відомими документами в галузі управління безперервністю бізнесу є «Рекомендації зі спостереження за безперервністю діяльності для системно значущих платіжних систем», розроблені ЄЦБ, та «Керівні принципи забезпечення безперервності діяльності»Базельського комітету з банківського нагляду, прийнятих за основу органами банківського регулювання та нагляду багатьох країн світу, у тому числі й України.

Принципи управління безперервністю бізнесу

Управління безперервністю бізнесу є найважливішою частиною системи управління ризиками банку та здійснюється відповідно до характеру супутньої діяльності банку ризику та масштабів операцій. Кінцевою метою управління безперервністю бізнесу є повне відновлення банківських операцій, збої в яких були спровоковані операційними порушеннями різного роду, починаючи від несправностей у роботі комп'ютерів та закінчуючи аваріями у системі енергопостачання та порушеннями у роботі транспорту.

Ефективність системи управління безперервністю діяльності банку залежить від дотримання банком певних умов:

  1. система має бути пов'язана з корпоративною стратегією розвитку банку;
  2. система повинна враховувати специфіку бізнес-процесів банку та оцінювати вплив на них та на бізнес банку в цілому властивих банку ймовірних причин виникнення надзвичайної події;
  3. система повинна визначати суб'єктів фінансового сектора, яким найімовірніше буде завдано збитків від перерви у бізнес-операціях банку;
  4. система управління безперервністю повинна гнучко реагувати на зміни у зовнішньому та внутрішньому середовищі діяльності банку та пропонувати досить докладні та детальні сценарії дій банку при настанні надзвичайної події.
Етапи планування забезпечення безперервності бізнесу

Планування безперервності бізнесу банку є деяким циклом, який може застосовуватися щодо всіх видів планів для планування впливу надзвичайних подій на кожен вид банківського.ризику на кожний бізнес-процес. Першим етапом цього циклу є визначення переліку критично важливих для банку процесів, зобов'язань, систем, об'єктів. Для цього банкам рекомендується провести аналіз документів, описати основні процеси та продукти, у разі потреби, організувати цільові зустрічі з персоналом.

На наступному етапі планування банку необхідно визначити набір можливих негативних подій, надзвичайних ситуацій, обставин форс-мажору, які можуть вплинути на діяльність банку загалом чи одного із його структурних підрозділів. Імовірність виникнення надзвичайних ситуацій можна оцінити на основі конкретних умов розташування об'єктів кредитної організації, особливостей кліматичних зон.

Ще одним кроком розробки плану ОНіВС є оцінка тяжкості наслідків надзвичайних ситуацій для банку. Класифікацій стану банку залежно від негативної дії може бути багато – від застосування бальної системи до аналітичного інструментарію. Для отримання кількісної оцінки загроз бальне значення ймовірності настання надзвичайної події множиться на рейтинг його наслідків. Так, якщо ймовірність урагану оцінюється в 10 балів, а оцінка наслідків дорівнює «3», зважений фактор ризику становитиме 30 балів.

Після визначення впливу різних подій на безперервність бізнесу та ризиків їх виникнення банку необхідно детально опрацювати схему інформування керівництва та відповідальних підрозділів, яку слід описати у формі алгоритму (послідовних дій). Далі Банк формує план заходів щодо відновлення бізнес-процесів, які зазнали порушень внаслідок якоїсь надзвичайної обставини, тобто. розробляє стратегію відновлення.

Світовий досвідсвідчить, що план відновлення бізнес-процесів банку має містити щонайменше три блоки: оперативне реагування, антикризове управління та комунікації, відновлення рівня ділової активності. Оперативне реагування (Emergency Response) - дії, які необхідно зробити в кризовій ситуації насамперед для збереження життя працівників і, якщо можливо, обмеження розміру матеріальних збитків. Антикризове управління та комунікації (Crisis Management and Communications) ґрунтуються на алгоритмі дій, необхідних для зниження негативних наслідків кризової ситуації. Відновлення рівня ділової активності (Business Recovery) включає у собі заходи, створені задля досягнення докризового обсягу операцій банку, якості наданих клієнтам банківських продуктів та послуг.

План ОНіВС також має містити заходи банку та після ліквідації надзвичайної ситуації. Зокрема, банк має передбачити порядок проведення розслідування причин надзвичайної ситуації, розроблення профілактики їх виникнення, визначення обсягу заподіяної шкоди, втрати через невикористані можливості.

Аудит плану ОНіВС

Дуже важливо, щоб реагування на негативні події було оперативним. У зв'язку з цим план ОНіВС ніяк не може бути для банку черговою «цеглою», яку пред'являють органи банківського нагляду в ході чергової перевірки. У той же час визнати план ОНіВС як інструмент відновлення працездатності банку після реалізації зовнішніх і внутрішніх загроз можна ефективним тільки в тому випадку, якщо в його основі як мінімум закладено визначення того, що таке нормальне функціонування банку, як ідентифікувати зміну, що відбулася, оцінювати її, класифікувати. і як потім запускати процесуправління кризовою подією.

Іншими словами, у банку мають бути організовані на постійній основі перевірки плану ОНіВС щодо адекватності поточної ситуації та об'єктивної оцінки здатності банку уникнути суттєвих матеріальних втрат і відновити динаміку проведення своїх операцій. Підрозділам внутрішнього контролю потрібно проводити ревізії цього плану тоді, коли у банку відбуваються зміни бізнесу, процесів лише на рівні банку чи загалом лише на рівні ринку, оскільки з'являються нові загрози та нові бізнес-процеси.

Світовий досвід свідчить, що план відновлення бізнес-процесів банку має містити щонайменше три блоки: оперативне реагування, антикризове управління та комунікації, відновлення рівня ділової активності

Практика показує, що лише деякі українські банки проводять регулярне тестування процедур реагування. Найчастіше про такі плани згадують при наступі чергової надзвичайної події. Причому оскільки плани найчастіше виявляються непрацездатними, банк зазнає суттєвих втрат.

Процес впровадження плану ОНіВС

Впровадження плану ОНиВС вимагає часом істотних фінансових і нефінансових витрат, виправданих тим, що банк, чітко координуючи свої дії при настанні надзвичайної події, може запобігти значній частині супутніх ризиків – кредитних, репутаційних, правових, ризику ліквідності тощо.

Процес введення плану ОНиВС в дію, як правило, включає певну послідовність дій, зокрема: