«Избежать катастрофы может только тот, кто считает ее возможной».
Швебель Вильгельм,
немецкий ученый и публицист
В марте 2009 года Центральный Банк России выпустил указание № 2194 «О внесении изменений в Положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Выход нового указания послужил причиной появления множества вопросов относительно необходимости и глубины внесения изменений в уже имеющуюся документацию в части внутреннего контроля и управления непрерывностью бизнеса (НБ) кредитных организаций, которая требовались ранее в Положении 242-П.
Изменения и рекомендации, которые отражены в 2194-У, преследуют цель обеспечения большей устойчивости финансовой структуры России, призывают к пониманию финансовых функций, которые лежат на каждой конкретной кредитной организации как составной части единой финансовой системы. Центральный Банк сделал шаг на пути развития идеи о защите финансовой системы страны от воздействия чрезвычайных ситуаций крупномасштабного характера, которые наименее предсказуемы, но могут повлечь за собой невосполнимый ущерб.
Пример последствий ЧС Май 2005 г, Москва – Отключение ЭЭ в Москве и ближайших регионах на несколько часов оставило более 2 млн. человек без ЭЭ. 12 января 2009 г, С-П – энергетический коллапс на подстанции «Южная», более 30 тыс. человек остались без света и горячей воды.
Выход любого положения вызывает резонанс среди компаний по поводу достижения соответствия новым требованиям. Можно соответствовать формально, а можно построить действительно полезную и рабочую систему обеспечения непрерывности бизнеса в случае ЧС.
Еще недавно в подобных ситуациях большинство организаций интересовало формальное соответствие требованиям, чтобы иметь «правильно составленные бумаги» для регулирующего органа. Однако сейчас наступает то время, когда многие банки и другие кредитные организации сами, помимо обязательных требований ЦБ, приходят к осознанию реальной пользы от систем обеспечения непрерывности деятельности, когда точно спланированные действия в случае ЧС действительно снижают потери и убытки, когда правильно проведенный анализ рисков позволяет наиболее оптимально распорядиться вложениями в системы жизнеобеспечения организаций.
Сам факт выхода новых рекомендаций, изложенных в 2194-У, является отражением естественной «эволюции» понимания высокой значимости обеспечения непрерывности бизнеса в корпоративной культуре нашей страны.
Однако до сих пор нет единого понимая относительно рекомендации Приложения 2194-У по структуре и содержанию Плана действий, направленных на обеспечение непрерывности деятельности кредитных организаций.
Данная статья посвящена наиболее распространенным вопросам, которые нередко возникают в связи с введенным указанием, а также поиску «золотой середины»: как достичь формального соответствия рекомендациям ЦБ РФ и фактически обеспечить непрерывность ключевых бизнес-процессов кредитных организаций, как экономно распорядиться ресурсами для достижения соответствия рекомендациям 2194-У и получить реальную пользу для бизнеса от проведенного проекта.
Статья подробно рассказывает об изменениях, которые были внесены в требования Указания № 2194 относительно Положения № 242-П, раскрывает само понятие непрерывности бизнеса с точки зрения документации ЦБ РФ, задачи, поставленные перед кредитной организацией, в свете введенных изменений, возможные сложности, которые эти изменения вызвали, а также самые распространенные несоответствия Указанию 2194-У, выделенные специалистами компании «Инфосистемы Джет», исходя из опыта работы с организациями.
Способы решения сложившейся ситуации описаны в контексте подходов, выработанных компанией «Инфосистемы Джет», к разработке и внедрению Планов ОНиВД.
Исследование в области непрерывности бизнеса, проведенное Техасским университетом, представило следующую статистику:
- 85% организаций сильно или полностью зависят от вычислительных систем.
- В среднем на 6 й день перерыва в работе компания теряет 25% ежедневного дохода, а на 25 й день – 40%.
- Спустя две недели после прекращения работы вычислительных систем у 75% компаний потеря функционирования становится критической или полной.
- 43% компаний, испытавших бедствие и не имевших плана обеспечения бесперебойного функционирования, не возобновляют свою деятельность, а спустя два года продолжает функционировать лишь 10% компаний.
- По оценке, потери доходов группы организаций, у которых есть План НБ, были бы в 2,5 раза выше, если бы при возникновении чрезвычайной ситуации они не привели в исполнение соответствующие планы.
В рамках каждого подхода будут раскрыты вопросы управления НД, учитывая специфику ведения бизнеса крупных компаний и более мелких организаций, а также особенности, на которые следует обращать внимание при проведении подобного рода проектов.
Зачастую компании, в случае необходимости соответствовать требованиям и рекомендациям, преследуют две цели: формально подготовить документацию для возможных проверок и вынести максимально возможную пользу из проделанной работы именно с точки зрения бизнеса организации.
Изменения, которые вносит в требования Указание № 2194 относительно Положения № 242-П
Первоначально, для понимания области, с которой предстоит работать, раскроем суть изменений, внесенных Указанием № 2194-У.
В соответствии с Положением № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» кредитная организация должна осуществлять внутренний контроль для того, чтобы обеспечить надлежащий уровень надежности в соответствии с характером и масштабом проводимых операций. Данное Положение предъявляет требования ЦБ РФ в целом к системе внутреннего контроля, к органам внутреннего контроля и непосредственно к службе внутреннего контроля.
Пример последствий ЧС, 10 мая 2009 г – взрыв газопровода в г. Москва на Озерной улице (средний возраст трубопровода около 40 лет). С начала 2009 года – в г. Москва было уже 7 крупномасштабных пожаров.
Положение включает в себя документы отчетности, которые должны быть в обязательном порядке включены в состав годового отчета ЦБ РФ. В состав отчетных документов должен также входить План действий кредитной организации в случае возникновения непредвиденных ситуаций (п. 9 Форма N 0409639).
Какие положения должен содержать данный План действий, было приведено в 2194-У. Указание 2194-У содержит в себе не только изменения относительно требований Положения № 242-П, но и рекомендации по разработке Планов обеспечения непрерывности и восстановления деятельности в случаях чрезвычайных ситуаций.
По прогнозам МЧС на 2009-2010 годы На начало пожароопасного периода прогнозируется превышение среднемноголетних параметров пожарной обстановки (количество очагов, площадь ландшафтных пожаров) на территории Дальневосточного (Приморский, Хабаровский края, Амурская область, Еврейская АО), Сибирского (Алтайский, Забайкальский, Красноярский края, Иркутская, Кемеровская, Новосибирская, Омская, Томская области, Республика Алтай, Бурятия, Тыва, Хакасия), Уральского округов.
Изменения, отраженные в 2194-У, можно разделить на две группы:
- Технические изменения формулировок, в которых упоминается ответственный сотрудник (структурное подразделение) по ПОД/ФТ (ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»).
- Изменения-дополнения к требованиям по обеспечению непрерывности деятельности и (или) восстановления деятельности, нарушенной в результате непредвиденных обстоятельств.
Пример последствий ЧС, 12 марта 2007 – из-за просадки грунта был прорван трубопровод, произошел разлив дизельного топлива в Нижнем Новгороде. Основные изменения технического характера коснулись следующих пунктов Положения Банка России № 242-П:
- п. 2.2.2 – относительно ответственного лица кредитной организации, которое осуществляет внутренний контроль;
- Приложение 1 : абзац 4 – изменения в рекомендациях по осуществлению контроля со стороны органов управления за организацией деятельности Компании;
- п. 3.7 – изменение формулировок Планов действий на случай ЧС;
- п. 4.4.3 – изменение формулировок Планов действий на случай ЧС;
- Приложения 2 – дополнено содержание п. 15.
Технические изменения не требуют пересмотра порядка проведения внутреннего контроля. А вот изменения, которые изложены в Приложении 5 2194-У, носят существенный характер и по сути отражают концепцию обеспечения непрерывности деятельности бизнес-процессов кредитных организаций.
Задачи, поставленные перед кредитной организацией, в свете изменений, изложенных в 2194-У
Изменения, изложенные в 2194-У, ложатся в основу постановки задач внутри кредитной организации. Для того, чтобы учесть в работе своей организации новые рекомендации ЦБ, нужно предпринять следующие действия. Если в организации уже есть планы ОНиВД, соответствующие требованиям 242-П, то их необходимо пересмотреть и улучшить с учетом новых рекомендаций. Если в компании Планов ОНиВД нет, то Планы придется разработать с учетом допустимых затрат на минимизацию операционного риска. Уже на этапе постановки подобных задач в организациях возникают различные сложности с планированием и реализацией работ по обеспечению непрерывности бизнеса.
Сложности для Кредитной Организации на пути реализации задач по НБ
Одной из наиболее распространенных сложностей является общее непонимание, что в себя включает само понятие «обеспечение непрерывности и восстановления деятельности». Эта сложность является корнем других нерешенных вопросов, таких как:
- Какие несоответствия рекомендациям 2194-У есть в уже имеющейся документации?
- Какие шаги нужно сделать, чтобы разработать Планы ОНиВД, удовлетворяющие требованиям ЦБ (иначе говоря, какова методика разработки подобного рода Планов)? Что из себя представляют сами Планы ОНиВД? Кто в Организации должен быть ответственным за поддержание и развитие Планов ОНиВД?
- Какие дополнительные нормативные документы следует учитывать при разработке и модернизации Планов ОНиВД?
- Каким образом внедрять эти Планы в своей организации?
Наши специалисты по опыту работы с кредитными организациями нашли пути решения этих сложностей в зависимости от размера организации и готовности средств для обеспечения непрерывности своего бизнеса, поскольку подход, применимый для крупных компаний, может быть неудобен и даже невозможен в реализации для среднего и мелкого бизнеса.
Пример последствий ЧС, 8 мая 2006, Сбой в Citibank – 275 тыс. ошибочных операций. Крупный сбой произошел в компьютерной системе японских филиалов Citibank. 30 марта 2008, пятый терминал лондонского аэропорта Хитроу – сотни рейсов отменены, 15 тыс. чемоданов потеряны, десятки тысяч человек ожидают возврата багажа.
Далее я постараюсь внести ясность в понятие непрерывности бизнеса с точки зрения 2194-У и дать ответ на эти сложные вопросы.
«Обеспечение непрерывности и восстановления деятельности» с точки зрения 2194-У
Чтобы выполнить поставленные задачи по обеспечению непрерывности бизнеса и разработки Планов ОНиВД, необходимо разобраться, что же стоит за определением «обеспечения непрерывности и восстановления деятельности» с точки зрения 2194-У.
Указание 2194-У написано в довольно общих терминах и вносит больше вопросов, чем ясности в понятие обеспечения непрерывности бизнеса.
Из множества материалов, представленных на семинарах, которые проводят представители Центрального Банка, становится понятно, что ЦБ не рекомендует рассматривать 2194-У и 242-П в отрыве от практики расчета операционных рисков (в соответствии с лучшими мировыми стандартами и рекомендациями в этой области), в том числе от Basel. ЦБ РФ трактует обеспечение непрерывности бизнеса как меру снижения операционных рисков. Речь идет именно об операционных рисках, потому что, исходя из определения операционного риска, под это понятие попадают как риски ИТ, ИБ, так и риски прерывания бизнес-процессов в случае возникновения ЧС, это так называемые крупные операционные нарушения. В связи с этим ЦБ РФ рекомендует рассматривать Планы ОНиВД как меру снижения операционных рисков кредитных организаций, как механизм снижения нагрузки на капитал. При разработке Планов ОНиВД желательно руководствоваться тем уровнем затрат, которые кредитная организация способна выделить из резерва на случай реализации операционных рисков, чтобы в последствии за счет наличия и использования Планов ОНиВД сократить объем данного резерва.
Нормативные документы РФ и ЦБ, которые необходимо учитывать при разработке Плана ОНиВД
Опираясь на рекомендации ЦБ, организация, которая собирается модернизировать или разрабатывать Планы ОНиВД, должна учитывать не только принципы Объединенного форума, но и лучшие мировые практики разработки систем управления непрерывностью бизнеса и операционными рисками. Начать можно с таких известных стандартов, как: PAS 77:2006, PAS 56:2003, BS 25999 (part 1/part 2), а также рекомендаций международного института BCI – Business Continuity Institute. На внешнем Интернет-ресурсе BCI – http://www.thebci.org/ в свободном доступе можно найти разнообразные стандарты и лучшие мировые практики в области обеспечения непрерывности бизнеса. При разработке Планов ОНиВД необходимо также обратить внимание на нормативные документы российского законодательства (см. Приложение 1 ).
Эти сведения не прописаны в явном виде в самом Указании и были получены нашими специалистами на специализированных семинарах ЦБ, которые проходили в течение нескольких месяцев сразу после выхода Указания.
В Объединенный форум вошли:
- Базельский комитет по банковскому надзору
- Международная организация комиссий по ценным бумагам
- Международная ассоциация органов надзора за деятельностью страховых компаний (для Банка международных расчетов)
Из дополнительной информации семинаров также становится понятно, что в основу выданных рекомендаций Приложения 2194-У были положены принципы, выпущенные Объединенным форумом. Эти принципы были изложены в документе «Руководящие принципы обеспечения непрерывности бизнеса», август 2006 года («The Join Forum, High-level principles for business continuity», august 2006). Всего было выделено 7 принципов или 7 фокусов внимания, отраженных в 2194-У:
Принцип 1: Ответственность совета директоров и высшего руководства кредитной организации
Данный принцип возвращает фокус ответственности за управление всеми рисками организации на совет директоров и исполнительные органы управления организацией.
Принцип 2: Крупные операционные нарушения
Из всех возможных аварий, угроз Планы ОНиВД фокусируются на случаях крупного операционного нарушения. Такие нарушения могут привести к затруднению проведения банковских операций участниками деятельности финансового сектора или финансовой системы страны в целом.
Принцип 3: Цели восстановления деятельности
Принцип гласит, что все участники деятельности финансового сектора должны сами сформулировать для себя цели восстановления своей деятельности, отражающие уровень риска для финансовой системы, который может возникнуть со стороны участников в случае ЧС. Для формирования таких целей необходимо отчетливо понимать, какой урон от прекращения деятельности организации может понести финансовая система в целом. Если организация не может самостоятельно сформировать такие цели, то финансовые органы РФ (МинФин, ЦБ РФ и т.п.) обязаны принять необходимое участие в определении подобных целей восстановления.
Принцип 4: Обмен информацией с заинтересованными сторонами
Данный принцип фокусирует внимание на важности своевременного и правильного внутреннего и внешнего обмена информацией в случае крупного операционного нарушения. Должны быть заранее продуманы, спланированы и отработаны процедуры оповещения в случае ЧС, что позволит в момент «Х» минимизировать последствия кризисной ситуации и сохранить доверие населения к организации и финансовой системе.
Принцип 5: Трансграничный обмен информацией
В случае крупного операционного нарушения, которое может проходить в пределах нескольких различных юрисдикций, также необходимо спланировать и разработать процедуры оповещения и обмена информацией о подобном нарушении.
Принцип 6: Аудиты или проверки
Для того, чтобы разработанные Планы ОНиВД могли действительно предупредить и минимизировать последствия ЧС и обеспечить восстановление в требуемое бизнесом время, нужно производить регулярную проверку Планов ОНиВД на актуальность, а также оценивать эффективность и результативность их работы.
Принцип 7: Контроль за управлением непрерывностью бизнеса со стороны финансовых органов
Заключительный принцип гласит о том, что финансовые органы (в нашей стране это ЦБ) обязаны проводить внешнюю независимую оценку участников деятельности финансового сектора.
Пример последствий ЧС, Красноярск, 17 августа – крупная авария произошла в понедельник утром на Саяно-Шушенской ГЭС в Республике Хакасия. Благодаря заранее проведенному анализу рисков, было проведено страхование реализовавшихся рисков. РОСНО выплатит «РусГидро» 200 миллионов долларов на ремонт Саяно-Шушенской ГЭС после расследований причин аварии.
Вероятно, по оценкам ЦБ, реализация данных принципов поможет обеспечить в кредитных организациях управление непрерывностью деятельности с точки зрения успешного функционирования финансовой системы страны в целом.
Несоответствия рекомендациям 2194-У в уже имеющейся документации организации
Разобравшись в сути определения обеспечения непрерывности деятельности с точки зрения 2194-У, можно рассмотреть картину общих недостатков, которые были выявлены специалистами компании «Инфосистемы Джет», исходя из практики работы в области непрерывности бизнеса. Был установлен ряд наиболее распространенных слабых мест систем обеспечения непрерывности деятельности, которые можно расценивать как несоответствия рекомендациям 2194-У. Среди основных недостатков можно выделить следующие:
- В качестве объектов восстановления рассматриваются ИТ-системы и другие ресурсы, а не услуги, предоставляемые клиентам, и бизнес-процессы.
- Неполная структура планов ОНиВД:
- наличие высокоуровневого документа, но отсутствие детальных планов по восстановлению конкретных бизнес-процессов и соответствующих ресурсов;
- наличие низкоуровневых документов по восстановлению ресурсов, но отсутствие единого документа для всех критичных бизнес-процессов.
- Низкоуровневые планы ОНиВД в рамках одного подразделения часто не содержат требования ко времени восстановления со стороны бизнеса.
- Отсутствие описания критичных бизнес-процессов до уровня средств обеспечения НД, ресурсов, ответственных (владельцев бизнес-процессов), временных рамок выполнения процессов, альтернативных способов выполнения процессов.
- Отсутствие планирования регулярного тестирования и проведения обучения персонала в части НД. У сотрудников нет понимания, как им действовать в случае наступления ЧС.
- Отсутствие четкого разделение ответственности и обязанностей по реализации планов восстановления бизнес-процессов и бизнес-операций.
- Планы реагирования не синхронизированы с планами восстановления.
- Не предусмотрен орган чрезвычайного управления в случае ЧС.
- Планы не пересматриваются и устаревают, изменения, которые происходят в организации, в планы не попадают, поэтому они очень быстро становятся неработоспособными.
Данное исследование было проведено специалистами нашей компании самостоятельно, при этом за критерии соответствия были взяты положения самого указания 2194-У. Что, как и с какой тщательностью будет проверено в ходе аудитов ЦБ остается большим вопросом, и тут можно только догадываться о серьезности и глубине проверки.
Приведенная выше информация поможет сотрудникам кредитных организаций сформировать для себя общее представление о сути направления, занимающегося обеспечением непрерывности бизнеса и выполнением положений нововведенного Указания, а также сделать вывод о «масштабе бедствия» с точки зрения обеспечения непрерывности бизнеса в своей компании.
В соответствии с Приложением к письму Банка России от 27 февраля 2006 года № 30Т «О проведении анкетного опроса кредитных организаций о состоянии управления операционным риском» было выявлено, что более 75% всех кредитных организаций России имеют планы обеспечения непрерывности деятельности, однако насколько они в рабочем состоянии и реально могут быть использованы в случае ЧС, определено не было.
На основании такой общей картины происходящего, потребностей и ресурсных возможностей организация может выбрать подход по разработке и внедрению Планов ОНиВД.
Решение задач, стоящих перед организациями в области НБ. Подход компании «Инфосистемы Джет»
Когда руководство организации определило стратегию по снижению операционных рисков посредством разработки ОНиВД, встает вопрос – кому поручить работы проекта по обеспечению непрерывности бизнеса в компании, чтобы решить задачи по НБ наиболее эффективным способом и преодолеть вышеперечисленные сложности.
Можно разрабатывать Планы ОНиВД, а также систему поддержки и управления непрерывностью бизнеса самостоятельно – силами специалистов компании, а можно приглашать внешних консультантов.
Если организация идет первым путем, необходимо грамотно распределить работу между многими подразделениями кредитной организации: операционных рисков, внутреннего контроля, описания бизнес-процессов, управления документацией, департаментами ИТ и ИБ, а также привлечь ответственных специалистов по каждому бизнес-процессу внутри организации. Необходимо изначально определить внутреннюю проектную команду, которая будет включать представителей вышеперечисленных подразделений и в обязательном порядке специалиста по системам управления НБ, который в последствие будет наделен ролью менеджера по НБ в организации. Рынок специалистов по обеспечению непрерывности бизнеса в России до сих пор остается очень узким, поскольку культура данного направления еще не прижилась в большинстве отечественных организаций, как это уже давно практикуется на Западе. Однако тот небольшой процент организаций, который уже дорос до осознания значимости защиты своей компании от ЧС, развивает свои собственные компетенции по обеспечению непрерывности бизнеса. В помощь таким специалистам можно порекомендовать перечень информационных ресурсов и курсов в соответствии с лучшими мировыми практиками и стандартами (см. Приложение 1 ).
Риски разработки системы управления и обеспечения НБ собственными силами заключаются в отсутствии практики реализации подобных проектов и системного подхода у внутренних специалистов, что может изначально заложить большое количество ошибок уже на этапе проектирования системы НБ и планов ОНиВД.
Можно пойти по пути приглашения внешних консультантов для проведения подобного рода работ. В зависимости от финансовых возможностей и потребностей организации специалистами компании «Инфосистемы Джет» по проведению консалтинговых проектов, с точки зрения практических навыков работы, были выделены 3 варианта решений по разработке и внедрению Планов ОНиВД с учетом текущей кризисной ситуации:
- Активный консалтинг. Данный вариант позволяет провести все работы силами внешних консультантов. Работы включают весь цикл разработки Планов и Системы управления Планами НБ (см. выше). Данный вариант работ подходит для организаций, серьезно прорабатывающих вопросы обеспечения непрерывности бизнеса.
- Пассивный консалтинг. Данный вариант позволяет выполнить работы по разработке Планов и Системы управления Планами ОНиВД путем разделения работ между специалистами кредитной организации и внешними консультантами. При этом процент распределения нагрузки между проектными группами Исполнителя и Заказчика сказывается на стоимости проекта. Данный вариант в наибольшей степени приближает нас к той самой «золотой середине» и подходит для организаций, которые нацелены извлечь пользу из работ по достижению соответствия рекомендациям 2194-У.
- Модернизация/разработка Планов ОНиВД и процессов поддержания Планов. Данный вариант позволяет обеспечить экспресс-анализ и разработку необходимой документации Планов ОНиВД и Системы управления Планами ОНиВД в соответствии с лучшими мировыми практиками. Данный вариант применим для организаций, в которых Планы уже существуют, однако необходима их модернизация с учетом 2194-У. Этот метод может быть применим, если сама организация сочтет такой вариант достаточным, исходя из уровня операционных рисков, и идеально подходит для быстрого достижения соответствия 2194-У.
По опыту консалтинговых проектов компании «Инфосистемы Джет» выработка данных вариантов решений позволила уйти от общепринятого представления, что внешние консультанты – это «очень дорого, долго и мучительно», а также сохранить очень высокий уровень качества работ при относительно невысокой их стоимости за счет передачи уникальных знаний специалистам заказчика и использованию внутренних ресурсов. При реализации подобного рода проектов нужно всегда руководствоваться следующими принципами:
- адаптация лучших мировых практик к российской реальности;
- работа единой командой: от технического проектировщика до аналитика бизнес-процессов, использование «мозгового штурма» для решения сложных задач;
- индивидуальный подход с учетом специфики компании, при котором во главу угла ставится удобство работы с решением по НБ.
Как разработать систему обеспечения непрерывности бизнеса качественно и с пользой для бизнеса. Шаги по разработке Планов ОНиВД (схемы работ активного и пассивного консалтинга)
Следуя рекомендациям Приложения 2194-У, организация приходит к пониманию принципов реализации Системы управления непрерывностью бизнеса, а также осознанию того, что обеспечение непрерывности бизнеса – это не проект, это процесс, который необходимо не только выстроить единожды, но поддерживать, улучшать, контролировать и оценивать, как любой другой процесс организации.
Для того, чтобы в организации разработать, внедрить и поддерживать Планы ОНиВД, необходимо следовать основному циклу разработки и внедрения процессов НБ (см. рис. 1 ).
Рис. 1. Цикл реализации, внедрения и совершенствования непрерывности бизнеса
Исходя из цикла внедрения процессов НБ, можно выделить следующие этапы работ по реализации проекта:
- Обследование организации и анализ ее работы с точки зрения НБ, проведение анализа возможного ущерба от воздействия ЧС на бизнес, анализ рисков, определение требований по НБ.
- Выделение и описание критичных бизнес-процессов.
- Разработка Стратегии НБ с выбором способа восстановления.
- Разработка Политики НБ, определение ролевой структуры, разработка процессов обеспечения и управления НБ.
- Разработка решений по НБ (технических и организационных), разработка Планов ОНиВД.
- Внедрение мер по обеспечению НБ в организации (технических и организационных), проведение обучения, тестирования Планов ОНиВД, внедрение процедур обеспечения и управления НБ, автоматизация работы с Планами ОНиВД.
- Поддержка Планов ОНиВД – актуализация, постоянное совершенствование.
Обеспечение непрерывности бизнеса – свойство любой организации независимо от ее масштабов по своевременному возобновлению критичных бизнес-процессов в случае наступления чрезвычайных ситуаций для предотвращения непредвиденных убытков и наступления кризиса. Критичными бизнес-процессами является набор внутренних последовательных работ подразделений организации, в результате которых производится ключевой продукт или оказывается ключевая услуга, потребляемые клиентами и приносящие основную прибыль бизнесу. Чтобы обеспечить непрерывность бизнеса, необходимо гармонично встроить систему управления обеспечением непрерывности деятельности в общую структуру менеджемента организации (см. рис. 2 .) Система разрабатывается в зависимости от потребностей, возможностей организации, ее размеров, количества видов деятельности и работающего персонала.
Основной задачей при планировании непрерывности деятельности становится изучение и спецификация своей организации. Для этого необходимо учесть: продукты и услуги организации, доходность, обеспечиваемая каждой услугой или выпуском продукта, ключевых клиентов, критичные договора и обязательства, нарушение которых может повлечь штрафные санкции, специфику внутренних бизнес-процессов, обеспечивающих выполнение обязательств, их взаимосвязи между собой, а также необходимые ресурсы (в том числе ИТ-системы).
На этапе изучения организации специалисты компании «Инфосистемы Джет» применяют наиболее распространенный и зарекомендовавший себя подход описания бизнес-процессов с использованием инструментария и методологии ARIS, что позволяет легко и быстро обеспечивать проектирование, моделирование и внедрение процессов обеспечения непрерывности бизнеса на практике.
В ходе проекта применяются наиболее подходящие для каждой конкретной задачи средства и способы представления результатов:
- ARIS Business Architect – моделирование и анализ архитектуры предприятия;
- ARIS Business Designer – упрощенный инструмент для моделирования архитектуры предприятия;
- ARIS Business Publisher – публикация моделей архитектуры предприятия и их динамическое представление;
- ARIS IT Architect – проектирование ИТ-архитектуры предприятия;
- ARIS IT Inventory – децентрализованное web-ориентированное управление ИТ-ресурсами;
- ARIS Defense Solution – для организационных архитектур по DoDAF/C4ISR;
- ARIS Business Simulator – динамическое моделирование бизнес-процессов (платформа Java).
Когда процессы обеспечения бизнеса уже смоделированы, а планы разработаны, встает вопрос их поддержания в актуальном состоянии, ведь именно наличие в организации актуальных Планов ОНиВД является залогом успеха в случае наступления ЧС. Поддержание планов в актуальном состоянии довольно трудоемкий непрерывный процесс. Для того, чтобы сделать этот процесс наиболее удобным на практике и менее ресурсоемким, существуют современные средства автоматизации этих процессов, такие как, например, продукты от компании Strohl Systems. Для работы с планами и автоматизации процессов обеспечения непрерывности бизнеса могут быть использованы различные решения этого производителя:
- LDRPS 10 (Living Disaster Recovery Planning System) – система для создания и поддержания в актуальном состояния планов обеспечения непрерывности бизнеса/аварийного восстановления. LDRPS 10 позволяет создавать планы, базирующиеся на информации об инфраструктуре компании, бизнес-процессах и приложениях, данных о сотрудниках, контрагентах и т.п. Благодаря своим функциональным возможностям, LDRPS 10 позволяет удовлетворить значительному числу требований основного стандарта по непрерывности бизнеса – BS 25999, касающихся вопросов создания и поддержания планов.
- BIA Professional (Business Impact Analysis Professional) – инструмент для проведения анализа воздействия на бизнес. BIA Professional предоставляет удобный механизм для разработки опросных листов, их распространения, сбора и последующего анализа информации. За счет хранения всей собранной информации BIA Professional существенно ускоряет процесс проведения повторного анализа воздействия на бизнес, который проводится через определенный интервал времени – анкетируемые сотрудники получают возможность просмотреть свои предыдущие ответы и, в случае необходимости, внести изменения. Для компаний с многоуровневой структурой управления BIA Professional предусматривает возможность для руководителей подразделений просмотреть анкеты, заполненные их подчиненными, и либо утвердить, либо направить на доработку (или самостоятельно внести исправления).
- NotiFind – услуга предоставления кризисной коммуникации, обеспечивающая гарантированную доставку сообщений (в том числе, массовую) в случае наступления ЧС. Сообщения могут доставляться в виде записанных заранее голосовых сообщений, текстовых (SMS, e-mail) и графических (факс, e-mail). NotiFind поддерживает все доступные средства связи – телефон, факс, SMS, e-mail, пейджер, blackberry и т.п., обеспечивает гибкую систему эскалации в случае недоступности пользователей. Система обладает достаточной производительностью, чтобы осуществить рассылку в течение часа до 160 тысяч голосовых и 500 тысяч текстовых сообщений. Хостинг NotiFind осуществляется в двух катастрофоустойчивых центрах обработки данных, расположенных в США (Массачусетс и Иллинойс). За счет интеграции с LDRPS 10 NotiFind позволяет автоматически загружать ту часть планов, которая содержит «деревья вызовов» и контактную информацию сотрудников и контрагентов, за счет чего задача поддержания всей информации в актуальном состоянии решается автоматически.
Получив все необходимые сведения об организации, можно оценить потенциальный ущерб от прерывания деятельности в результате наступления ЧС (финансовые потери, потери деловой репутации), проработать конкретные сценарии выявленных угроз и проанализировать вероятность их наступления, оценив риски.
Оценка потенциального ущерба позволяет определить наиболее оптимальный способ обеспечения непрерывности деятельности. Данный способ отражается, как правило, в стратегии обеспечения непрерывности деятельности и позволяет сбалансировать необходимый для выбранного способа бюджет. Стратегия определяет, каким именно образом будет обеспечена непрерывность и порядок восстановления, она отвечает на вопрос «ЧТО?». Если в результате анализа будет установлена необходимость изменять текущую инфраструктуру, разрабатываются эскизные проекты и на основании них проводится внедрение катастрофоустойчивых решений.
Рис. 2. Элементы системы управления и обеспечения НБ
На основании выбранной стратегии и учитывая наиболее значимые сценарии наступления ЧС, разрабатываются Планы антикризисного управления ЧС, планы действий в случае ЧС, планы обеспечения непрерывности и восстановления деятельности. Такая структура планов позволяет эффективно использовать их в организации на всех уровнях управления (см. рис. 3 ).
Рис. 3. Структура планов и уровни полномочий
Планы непосредственно предназначены для реализации выбранного способа восстановления и обеспечения непрерывности на практике, они описывают точные последовательные действия, должны быть четко синхронизированы друг с другом и отвечать на вопрос «КАК?». Именно Планы являются «сердцем» системы обеспечения НБ, от того насколько они правильно составлены, актуальны и доведены до персонала, зависит успех реагирования и восстановления бизнеса. Поскольку около 85% организацией используют информационные технологии в своих бизнес-процессах, то особое внимание нужно уделять планам восстановления ИТ-систем и ИТ-инфраструктуры. Планы также должны содержать порядок обращения с конфиденциальной информацией и способы ее защиты от раскрытия, утраты или искажения в случае ЧС.
Для малого и среднего бизнеса разработка системы управления и обеспечения НБ может носить облегченный характер для того, чтобы быть удобной в использовании и отражать потребности бизнеса. Не нужно разрабатывать множество отдельных документов и создавать искусственную ролевую структуру НБ, достаточно продумать подробный план действий в случае ЧС и четко определить расписание актуализации и тестирования для плана. Так, к примеру, группа экстренного реагирования может включать одного ответственного сотрудника, наделенного соответствующей ролью, вместо строгой структуры планов могут быть разработаны инструкции по действию в каждой конкретной ситуации и приведен порядок информирования о ЧС. Однако при организации непрерывности бизнеса очень важно руководствоваться именно системным подходом при разработке мер НБ.
При этом все работы по разработке и внедрению Планов ОНиВД могут проводиться по схеме «активного или пассивного» консалтинга в зависимости от возможностей самой организации.
Проекты по обеспечению непрерывности бизнеса всегда непросты и очень индивидуальны для каждой компании. Так, например, отличительной особенностью проекта компании «Инфосистемы Джет» «Отправка платежных поручений в рублях в МЦИ» по обеспечению непрерывности бизнес-процесса крупного российского банка явился упор на обеспечение непрерывности выполнения операций процесса с точки зрения доступности всех ресурсов, а не только ИТ-сервисов, как это часто делалось на других проектах по НБ.
Целью проекта было обеспечение непрерывного выполнения процесса отправки платежных поручений в рублях в МЦИ. Работы по проекту специалистами компании «Инфосистемы Джет» были разбиты на 5 этапов: анализ и описание бизнес-процесса; определение требований непрерывности (временные рамки, применяемые технологии, уровень производительности процесса); оценка рисков; выбор способа обеспечения непрерывности бизнес-процесса (задача – обеспечить НБ за счет имеющихся средств в Банке); разработка Плана обеспечения непрерывности бизнес-процесса (Инструкции для персонала); разработка рекомендаций по обеспечению непрерывности деятельности Банка. Все работы были выполнены в течение 2.5 месяцев.
Рис. 4. Формат описания бизнес процесса
Наиболее трудоемким, но одновременно и наиболее полезным для Банка оказался этап анализа и описания бизнес-процесса. Специалистами компании «Инфосистемы Джет» в нотации ARIS были описаны операции выполнения бизнес- процесса, этапы выполнения, события, роли исполнителей, все ресурсы (автоматизированные системы, программные, аппаратные компоненты, помещения и т.д.), временные рамки его выполнения, виды платежей, существующие меры обеспечения бесперебойной работы процесса, а также совместно с сотрудниками банка определены возможные альтернативные способы выполнения процесса в случае ЧС. Для каждой операции были определены ресурсы, роли и результат.
Результатом описания стал отчет, в котором в удобной графической, табличной и текстовой форме были описаны все операции выполнения бизнес-процесса (см. рис.4 ).
После описания бизнес-процесса был проведен анализ влияния на бизнес недоступности бизнес-процесса. В ходе выполнения работ были установлены:
- штрафные санкции от простоя бизнес-процесса в соответствии с договорными обязательствами;
- требуемое время восстановления бизнес-процесса (без потерь составляет 30 минут);
- требуемый объем операций;
- определены требования к применяемым технологиям с точки зрения обеспечения непрерывности деятельности относительно следующих ресурсов:
- персонал;
- офис, помещение;
- серверные компоненты;
- аппаратно-программные компоненты АРМ;
- сетевые компоненты/каналы связи;
- носители информации.
Исходя из полученных показателей, были определены границы возможных потерь, которые может понести банк в случае простоя бизнес-процесса, возможное время простоя бизнес-процесса и стратегии восстановления. Параллельно шла работа по проведению анализа рисков прерывания бизнес-процесса. В ходе выполнения данного этапа специалистами компании «Инфосистемы Джет» были выделены риски невыполнения заданных требований непрерывности бизнес-процесса, основанные на анализе сценариев реализации чрезвычайных ситуаций и действий, которые принимаются в текущих условиях.
Таб. 1. Матрица оценки рисков
Результатом этапа стала матрица критичных и некритичных рисков (см. таб. 1 ), в соответствии с которой была выбрана стратегия обеспечения непрерывности бизнес-процесса. Стратегия, выбранная руководством, не потребовала дополнительных изменений инфраструктуры, а вносила коррективы в штатную структуру и порядок бизнес-процесса. На основании утвержденной стратегии были разработаны План действий в случае ЧС, который позволяет обеспечить восстановление бизнес-процесса не более чем за 30 минут в случае возникновения сбоев ПО, оборудования основного АП или проблем с ЛВС.
По желанию Заказчика они включили в себя низкоуровневые инструкции: План действий Ответственного за отправку-прием платежей в МЦИ в случае нештатных ситуаций и План действий Администратора АП в случае нештатных ситуаций. Так же был описан порядок оповещения, реагирования и восстановления ресурсов и бизнес-процессов в случае наступления ЧС (см. рис. 5 ).
После проведение проекта банку были выданы рекомендации, которые необходимо выполнить для обеспечения работоспособности подготовленных планов, рекомендации по повышению эффективности разработанных планов и снижению риска возникновения нештатных ситуаций; рекомендации по обеспечению непрерывности бизнес-процессов для Банка в целом. На текущий момент ведутся работы по продолжению проекта в связи с успешным положительным опытом работы над одним бизнес-процессом.
Рис. 5. Схема оповещения и реагирования в случае ЧС
Выполнять рекомендации ЦБ является нормальной практикой в любом государстве, где имеется центральный финансовый регулирующий орган. Но кризис вносит свои коррективы в планы и распределение финансовых вложений внутри организаций, поэтому сейчас очень часто перед компанией, в связи с недостатком бюджетирования, встает вопрос достижения формального соответствия рекомендациям ЦБ. Эта задача становится первостепенной, а мера краткосрочной, в то время, когда разработка и внедрение системы НБ откладывается на более поздний срок.
Если основная задача компании добиться формального соответствия требованиям и рекомендациям 2194-У, то специалистами нашей компании проводятся работы по приведению в соответствие имеющейся в компании документации и средств непрерывности бизнеса. Такие работы могут опираться на уже имеющиеся в кредитной организации материалы, разработанные ранее в соответствии с 242-П, тогда схема работ будет проводиться в соответствии с 3-м вариантом решений – «Модернизация/разработка Планов ОНиВД и процессов поддержания Планов».
Выводы
В заключение можно еще раз отметить, что «золотая середина» обеспечения непрерывности бизнеса проходит на стыке пользы от построенной системы и затратами, которые в принципе готова понести организация на ее разработку и внедрение. При этом разработка системы обеспечения непрерывности бизнеса может быть построена с учетом рекомендаций 2194-У или иных требований, которые необходимо выполнить кредитной организации. Если организация заинтересована в работающей системе обеспечения непрерывности бизнеса и заранее заботится о сохранности своих финансовых средств, клиентов, активов и репутации в случае наступления ЧС, следует задуматься о разработке и внедрении полноценной системы обеспечения и управления непрерывностью бизнеса. Данные работы должны быть организованы и проведены с учетом специфики деятельности и ресурсных возможностей организации, используя при этом либо свои собственные силы, либо приглашая внешних специалистов. Если цель – работающая система, то разработка и внедрение, в обязательном случае, должны пройти по циклу, приведенному на рис.1 . Уровень зрелости системы при этом будет постепенно нарастать, а система становиться частью культуры организации. Для этого так же может быть выбрана какая-то конкретная область организации (например, ИТ – инфраструктура), с которой можно начать, постепенно распространяя практику на другие области. Такой подход позволит достичь соответствия различным стандартам, в том числе и рекомендациям 2194-У, поскольку они базируются на общемировой практике, добавляя лишь специфику законодательства РФ. Однако, если организация ставит перед собой цель добиться только формального соответствия, то, возможно, следует задуматься – ведь, скорее всего, достичь формального соответствия можно так же с пользой и выгодой для бизнеса.
Пусть Ваш бизнес будет непрерывным!
Приложение 1
Перечень документов российского законодательства в части, касающейся НБ
- Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Статья 7. Права и обязанности организаций, осуществляющих операции с денежными средствами или иным имуществом (в редакции от 30.10.2002 № 31-ФЗ);
- Приложение 5 к Положению Банка России от 16 декабря 2003 года № 242-П «ОБ организации внутреннего контроля в кредитных организациях и банковских группах»;
- Гражданский кодекс Российской Федерации, статья 401. Основания ответственности за нарушения обязательств;
- Унифицированные правила и обычаи для документарных аккредитивов (публикация Международной торговой палаты № 500, ред. 1993 г., вступила в силу с 1 января 1994 г.), Статья 14. Форс-мажор;
- Федеральный закон от 21 декабря 1994 года № 68-ФЗ «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера» (в частности, Статья 14);
- Постановление Правительства РФ от 21 мая 2007 года № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера»;
- «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008);
- Письмо ЦБ РФ от 24.05.2005 N 76-Т «Об организации управления операционным риском в кредитных организациях» и т.д.
Перечень информационных ресурсов по НБ
- ASIS International Disaster Preparation Guide – www.asisonline.org/newsroom/crisisResponse/disaster.pdf;
- Disaster Recovery Institute International – https://www.drii.org/docs/profprac_details.pdf, http://www.drj.com/GAP/gap.pdf ;
- Business Continuity Institute, Professional Practices & Methodology – http://www.thebci.org/businesscontinuityguides.htm;
- Business Continuity Management Good Practice Guidelines (2008-2) – http://www.thebci.org/;
- Join Disaster Recovery Information Exchange (DRIE) – http://toronto.drie.org/;
- BS 25777 – Information and communication technology (ICT);
- Basel II Accord;
- Bank for International Settlements – High-level Principles for Business Continuity Planning – August 2006;
- European Commission – Markets and Financial Instruments Directive (MiFID);
- BS 25999 – Business Continuity Management – www.bsi-global.com , www.bsi-russia.ru;
- HB221-2004, HB292-2006, HB293-2006;
- NFPA 1600 Standard on Disaster/Emergency and Business Continuity Programs;
- SS 540 – Business Continuity Management;
- Курсы по направлению BS 25999 компании BSI MS.