Внимание к обеспечению непрерывности бизнеса обострилось после трагических событий 11 сентября 2001 г. в США, когда в результате террористического акта возникла угроза остановки деловых операций ряда компаний. Впоследствии ряд террористических актов в Лондоне, Стамбуле, Мадриде и других странах, крупномасштабные природные катастрофы, вспышки смертельно опасных заболеваний только подтвердили необходимость управления, непрерывностью бизнеса, продемонстрировав высокую степень риска крупных операционных нарушений для деятельности финансовой системы.
Разработка рекомендаций, а затем и требований к управлению непрерывностью бизнеса изначально концентрировалась на проблемах национального уровня. По мере решения более масштабных задач (например, обеспечение устойчивости транснациональных банков и сохранение функциональности финансовой системы по регионам их присутствия) вопрос о разработке стандартов по управлению непрерывностью бизнеса переместился на международный уровень. Во многих странах мира на законодательном уровне закреплены требования по управлению непрерывностью деятельности банков, разработаны методики формирования соответствующих планов, в том числе в виде вопросников по отдельным направлениям бизнеса банков для органов надзора, доступных для широкого пользования.
В России тема управления непрерывностью деятельности кредитных организаций получила актуальность в марте 2009 года в связи с внесением Банком России дополнений в Положение ЦБ РФ от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", а именно Приложения 5 "Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения" (далее - план ОНиВД) [15]. Дополнения устанавливают необходимость наличия планов ОНиВД и весьма конкретно определяют требования надзорного органа к их структуре и содержанию.
Непрерывность бизнеса банка определяется, как способность выполнять бизнес-процессы и поддерживать их непрерывное и согласованное взаимодействие, обеспечивая тем самым реализацию целей деятельности банка при любых условиях, включая форс-мажор. План по обеспечению непрерывности деятельности по сути своей является одним из инструментов управления операционным риском в части поддержания бизнес-процессов и, соответственно, обеспечения операционной устойчивости.
Наличие плана по обеспечению непрерывности деятельности важно для любой организации не только в целях соблюдения требований надзорного органа, но и с точки зрения алгоритмизации своих действий по снижению последствий нарушения непрерывности деятельности, которые могут быть операционными, финансовыми, юридическими, репутационными.
План по обеспечению непрерывности деятельности особое внимание уделяет характеру воздействия, а не источникам нарушений. При этом план должен содержать подробные указания по восстановлению деловых операций после их нарушения до уровня, достаточного для того, чтобы обеспечить выполнение обязательств за определенный период времени.
Еще до принятия Банком России дополнений в Положение N 242-П многими российскими банками в той или иной степени продумывался перечень чрезвычайных обстоятельств и, соответственно, план действий при их наступлении.
При этом далеко не всегда это был формализованный документ, а если и был, то покрывал лишь часть рисков, связанных с проблемами, которые руководство банка, исходя из специфики и условий деятельности и собственного опыта ведения бизнеса, а также стратегических целей и задач, считало наиболее вероятными и существенными. Кроме того, зачастую планы действий банка при чрезвычайных обстоятельствах разрабатывались различными подразделениями параллельно, поэтому могли дублировать или даже противоречить друг другу. И самое главное, планы могли и не ориентироваться на восстановление деятельности банка в целом.
В соответствии с рекомендациями Банка России, разработанными с учетом международного опыта, планирование обеспечения непрерывности в банке должно строиться по модульному принципу. Это означает, что кредитная организация не должна ограничиваться одним документом, описывающим процесс обеспечения непрерывности бизнеса банка в целом. Планы должны разрабатываться для отдельных структурных подразделений и отдельных направлений деятельности банка и быть при этом комплексными (в соответствии с Положением N 242-П и с учетом международного опыта, в том числе принципов Базельского комитета по банковскому надзору).
Процесс составления плана по обеспечению непрерывности деятельности следует начать с определения перечня критически важных для банка процессов, обязательств, систем, объектов. Для этого следует провести анализ документов, описать основные процессы и продукты, в случае необходимости организовать целевые встречи с персоналом.
Для большинства кредитных организаций ключевыми являются следующие бизнес-процессы (по степени приоритетности):
обслуживание клиентов;
обработка информации и осуществление платежей;
обеспечение безопасности, в том числе информационной;
финансовый мониторинг и управление рисками;
операции по привлечению и размещению ресурсов и т.д.
Среди объектов, которые оказывают существенное влияние на бизнес-процессы банков, следует рассматривать:
персонал;
средства связи;
технологии;
оборудование;
систему платежей;
достаточность ликвидных средств;
административно-хозяйственные расходы;
операции, в которых используется механический ввод данных, и т.д.
Данные объекты следует принимать во внимание и при оценке существенности события, повлекшего за собой нарушение непрерывности деятельности банка, и при разработке мероприятий по ее восстановлению.
Далее банку следует определить набор возможных негативных событий, чрезвычайных ситуаций, форс-мажорных обстоятельств, которые могут повлиять на деятельность банка в целом или одного из его структурных подразделений. В своих рекомендациях Банк России (Приложение 5 к Положению N 242-П) обращает внимание банков на классификацию рисков, установленную Постановлением Правительства РФ от 21.05.2007 N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера", а также на проявление таких факторов, как выход из строя технических средств, сбои в работе автоматизированных информационных систем банка, нарушение коммунальной инфраструктуры, перебои в электроснабжении, непредвиденный дефицит ликвидности банка, в том числе по причине потери деловой репутации, отказ кредитных организаций-корреспондентов или организаций-контрагентов от исполнения своих обязательств.
Таким образом, Банк России в Приложении 5 к Положению N 242-П предоставляет кредитным организациям, по сути, "шпаргалку" в виде перечня чрезвычайных обстоятельств, которые остается только оценить по степени вероятности наступления для конкретного банка и по тяжести возможных последствий для непрерывности его деятельности.
Вероятность возникновения чрезвычайных ситуаций может быть оценена на основе конкретных условий расположения объектов кредитной организации, особенностей климатических зон. Например, для банка, расположенного на равнине и на приличном расстоянии от природных водоемов, довольно странно указывать в перечне чрезвычайных событий цунами или оползень. При этом такие события, как пожар, аварии систем жизнеобеспечения, веерное отключение электроэнергии и перебои в электроснабжении, являются актуальными для всех банков вне зависимости от места расположения.
В целях обеспечения ясности понимания угроз, которые могут внести перебои в осуществление бизнес-процессов, кредитным организациям следует отразить их в плане в структурированном виде, например: зависящие от человеческого фактора, техногенные, природно-техногенные, природные.
Следующий шаг при разработке плана ОНиВД - построение матрицы, позволяющей оценить тяжесть последствий чрезвычайных ситуаций для банка. Требуется выявить и рассмотреть как внутренние, так и внешние риски и оценить влияние каждого нарушения.
Матрица строится путем сопоставления перечней бизнес-процессов, которые банк выделил в качестве ключевых, и чрезвычайных обстоятельств. При этом банку следует определить для себя критерии непрерывности процессов. Мерилом могут служить условия соответствующих договоров, стандарты и сложившаяся практика (например, последовательности операций в рамках процесса) и требования законодательства РФ, нормативных актов Банка России. К показателям восстановления (внутренних банковских процессов, возможности исполнения договоров, работоспособности систем) могут быть отнесены: приемлемые сроки восстановления, допустимый размер материальных и/или трудовых затрат, допустимый размер потерь (например, информации).
После определения влияния различных событий на непрерывность бизнеса банку необходимо детально проработать схему информирования руководства и ответственных подразделений, которую следует описать в форме алгоритма (последовательных действий). В данном разделе плана определяются функции и устанавливается ответственность отдельных лиц за принятие мер по устранению операционных нарушений, а также содержатся указания, касающиеся порядка преемственности руководства в случае, если ответственные лица окажутся не в состоянии выполнять свои функции.