Источник актуальной информации – для профессионалов

Информационные и коммуникационные технологии: Инновации. Образование. Бизнес. Наука. Соцпроекты.

Суббота, 20 Июль 2019

Курсы валют НБУ

EUR 0
USD 0
RUR 0
Статьи

14 марта 2011

Обеспечение непрерывности критично для бизнеса

Когда ударит кризис, банки должны быть способны восстановить свои операции как можно скорее. В этот момент первую скрипку играют планы обеспечения непрерывности и восстановления деятельности. Обязательное наличие у банка этих процедур – не только требование регулятора, но и мощное конкурентное преимущество.

Неважно насколько хорош риск-менеджмент в организации или сколько организация тратит на минимизацию рисков, всегда есть вероятность того, что ее операционная деятельность будет серьезно нарушена в течение некоторого времени вследствие событий, которые находятся вне сферы ее контроля. Проще говоря, наличие эффективного процесса  обеспечения непрерывности и восстановления деятельности (от англ. business continuity & disaster recovery) убавит эффект от таких событий, и позволит организации без существенных задержек и потерь обеспечить выполнение операций и критических функций.

 Позитивным моментом является то, что банки Центральной и Восточной Европы стали серьезно относиться к вопросу непрерывности бизнеса. Исторически, американские, западноевропейские и британские банки лидируют в восприятии операционных рисков и вопросов обеспечения непрерывности бизнеса, поскольку США, Франция, Испания и Великобритания периодически сталкиваются с теми или иными проявлениями терроризма. Внимательно к этому вопросу относятся в Азии, где существуют высокая вероятность реализации рисков природных катаклизмов.

Управлением непрерывностью совсем недавно заинтересовались украинские и российские банки, где финансовый сектор строится с учетом лучших зарубежных практик и опыта. В частности, украинские банки ощущают проблемы с энергопотреблением и скачками в электросетях. Об этом писал и Национальный банк Украины в своем письме №25-211/2428-17415 от 07-10-2010, намекнув на необходимости закупки банками достаточного количества источников бесперебойного питания и дизель-генераторов. 

В данный момент флагманами в вопросах внедрения программ управление непрерывностью являются крупные банки с иностранным капиталом: Укрсиббанк (BNP Paribas Group), Укрсоцбанк (UniCredit Group), Аваль (Raiffeisenbank Group). Современное управление непрерывностью – это не просто составление бюджетов затрат на внеурочную работу, аутсорсинг, консультационные услуги и пиар. Это длительная и кропотливая работа.

Выживание 

Среди основных инцидентов, которые стали катализатором чрезвычайных ситуаций в банках, чаще всего называются: потеря ИТ-систем (в том числе баз данных), потеря персонала, потеря инфраструктуры (телекоммуникаций), отсутствие доступа к центральному офису банка и потеря важных документов. При этом критично, чтобы бизнес мог восстановиться и продолжить функционировать как можно скорее, после того, как наступит какое-либо чрезвычайное происшествие.

Статистика, которую приводит исследовательская компания Gartner Research, говорит о том, что как правило, две из пяти компаний, ощутившие на себе влияние кризиса, уходят из бизнеса в течение следующих пяти лет. Если добавить к этому итоги исследования Hitachi Data Systems, по оценке которых средняя стоимость потери компьютерных данных составляет около 1,5 миллиона евро, то становится очевидным, что к вопросу обеспечения непрерывности стоит отнестись очень внимательно.

Но далеко не всегда банк может позволить себе приобрести необходимые ресурсы для подстраховки на случай чрезвычайных событий, а страховка не всегда покрывает все риски. В то же время, как много организаций готовы быстро среагировать во время кризиса, чтобы:

* Определить критичность бизнес-процессов;

* Понять, какие ресурсы необходимы для поддержания этих процессов;

* Решить, кто из сотрудников может понадобиться и когда;

* Обеспечить логистику и транспорт;

* Обеспечить наличие свободных помещений для людей;

* Обеспечить оборудование и компьютерную технику;

* Заменить и восстановить ИТ-системы;

* Убедиться, что банк может легко быть на связи со своими клиентами?

Ключевым элементом процесса обеспечения непрерывности является планирование, которое как раз и состоит в подготовке определенного плана действий для конкретного сценария аварийной ситуации, включающего в себя процедуры резервного копирования и подготовку резервного оборудования для преодоления чрезвычайных событий.

Финансовый вопрос 

Решения, которые принимаются в первые несколько часов после события, которое повлекло за собой нарушение в операционной деятельности компании, являются особенно критичными, и все последующие шаги будут иметь значительные финансовые последствия. Иными словами, если что-то пойдет не так, это будет стоить значительную сумму денег.

Цель обеспечения непрерывности бизнеса состоит не только в поддержке минимального уровня обслуживания клиентов, но и в ограничении влияния на финансовую позицию банка с помощью гарантирования того, что критические функции будут продолжать функционировать в течение кризиса, а восстановление остальных функций будет находиться под контролем.

Организация, которая имеет эффективный и хорошо протестированный план обеспечения непрерывности имеет больше шансов принимать правильные решения в первые несколько часов и предпринять корректные действия, чтобы ограничить влияние на финансовую позицию. В таком случае банк имеет гораздо лучшие шансы понести меньше затрат во время каких-либо сбоев и прерываний.

Если коротко, то отказ от разработки и использования планов непрерывности означает принятие ненужного риска, который прямо повлияет на будущее компании, а также ее прибыльность. 

Конкурентное преимущество

Банк, который обладает подтвержденным и протестированным планом обеспечения непрерывности бизнеса, может проинформировать своих клиентов о том, что в случае наступления каких-либо чрезвычайных событий он будет гарантировать непрерывность предоставления продуктов и услуг.

Это является значительным конкурентным преимуществом и подтверждает тот факт, что внедрение системы управления беспрерывностью (от англ. bcm - business continuity management) - не просто дополнительные административные  расходы. Такое заявление делает банк более привлекательным в глазах потенциальных клиентов, и таким образом создает добавочную стоимость. 

Кроме этого, существование планов непрерывности становится необходимым условием для крупных компаний, которые также разрабатывают свои планы и оценивают потенциальных поставщиков услуг с точки зрения уязвимости их бизнеса. Крупные банки только начинают сталкиваться с тем, что мультинациональные корпорации осведомляются о наличии у них планов непрерывности и негативный ответ, как правило, приводит к отказу от подписания партнерских соглашений.

Если говорить о лояльности потребителей, что может случиться, если банк испытает воздействие нарушения нормального хода работы? Будут ли оставаться лояльными потребители, и как долго они смогут ждать, прежде чем уйти к банку-конкуренту? И если все-таки уйдут, то сможет ли банк когда-нибудь их вернуть?

Регулятивные требования

Базель 2 требует от банков раскрытие информации о том, как они управляют своими рисками и при расчете размера операционного риска разрешает частично покрывать его страховкой. С другой стороны, страховые компании требуют от банков наличия детальных планов обеспечения непрерывности и обеспечения деятельности при потенциальном наступлении кризисных ситуаций. 

Выявление критичных процессов, которые имеют системную значимость, в значительной мере является задачей Центрального банка. К примеру, Национальный банк Украины требует от банков обеспечения непрерывности при работе в системе электронных платежей (СЭП НБУ). В случае невозможности возобновить работу в течение одного дня с момента сбоя в платежном узле, Национальный банк отключает участника от системы, что влечет за собой полный коллапс платежной функции и ставит существование банка под большое сомнение. А если этот банк является системообразующим, то тогда может пострадать и вся банковская система страны. 

Одним из ключей к обеспечению непрерывности, по мнению центральных банков, является резервирование баз данных операционного дня и их правильное хранение. Это процесс, который требует не только архивирование информации, но и управление данными внутри цикла. Для того чтобы использовать базы данных во время кризиса, они должны храниться в отдаленном месте от основных офисов компании. Большинство европейских компаний в данный момент рассматривают 10-15 километров от центральных офисов как наиболее приемлемую дистанцию для расположения хранилища (дата-центра). Удаленный доступ к базам данных – только часть испытания: организация должна быть уверена в том, что операционные процессы работают. Это требует регулярного планирования и тестирования процессов для готовности восстановить деятельность в любой момент после аварийного отключения систем.

В данный момент НБУ прямо требует от банков обеспечить непрерывное функционирование автоматизированной банковской системы (АБС банка), канала связи с СЕП НБУ и формирование электронных архивов важных данных (Постановление № 265). Фактически, в большинстве банков вопрос восстановления деятельности лежит сугубо в ведении департамента информационных технологий, что является только частичным решением проблемы. Все остальные вопросы планирования на случай непредвиденных обстоятельств изложены в качестве рекомендаций весьма скудно (Постановление № 271). Однако если ощущение нестабильности в организации и в работе бизнес-процессов постепенно нарастает, тогда банк может также столкнуться с существенными проблемами.

Так или иначе, указания регуляторов дают возможность сделать предположение, что банки являются критичным звеном для инфраструктуры всей страны, а в случае кризиса, если обрушится банковская система, страна может упасть на колени, если не окажется в наличии эффективных мер противодействия. К примеру, в одной из африканских стран, крупный государственный банк является ответственным за ежемесячное проведение платежей для армии. Если что-то пойдет не так и банк не сможет своевременно отправить платеж, то с большой долей уверенности можно говорить о новой гражданской войне, потому что армия откажется поддерживать порядок в стране. Этот простой пример наглядно демонстрирует степень важности обеспечения непрерывности работы в банковском секторе. 

Понимание процессов 

Одна из выгод, которые сулит внедрение системы управления непрерывностью бизнеса - это понимание того, что собственно представляет собой банк и что является для него важным. Такие выводы можно однозначно сделать сразу после проведения оценки влияния сбоев и прерываний на бизнес (от англ. business impact analysis), мощного инструмента  разработки планов непрерывности.

В процессе оценки менеджер проекта, как правило, проводит ревью всех бизнес-процессов и старается (с помощью собственников бизнес-процессов) наиболее достоверно определить влияние простоя данного процесса на бизнес банка в течение некоторого периода времени (временных интервалов), но, как правило, до одного месяца.

Получение этой информации дает возможность организации ранжировать процессы по степени их критичности и более эффективно распределить ресурсы для достижения основных целей и решения важных задач, чем когда некритичные второстепенные процессы могут какое-то время жить сами по себе, без необходимости их поддержания. К примеру, при условии функционирования ИТ-систем, некоторые подразделения центрального офиса банка, которые поддерживают продуктовый ряд, могут не работать больше месяца. Иными словами, организация должна быть способна найти то, что для нее критично, а что может быть передано на аутсорсинг (к примеру, мониторинг залогов) или оставлено без присмотра (к примеру, открытие и поддержка корреспондентских отношений).

Управление непрерывностью обеспечивает понимание цепочки поставщиков, а также то, в каком месте она пересекается с выполнением критических и некритических функций. Это помогает удостовериться, что критические процессы будут без каких-либо сбоев и прерываний обеспечены поставщиками и провайдерами ключевых услуг, а также дает базу для будущего ревью своих партнеров.

Некоторые банки стараются максимально подстраховаться на случай чрезвычайных событий, приобретая дорогостоящие страховые продукты, к примеру, полное имущественное страхование. Однако, с ростом страховых премий, банки не могут быть уверены, что они получат адекватную защиту. Кроме этого, страховка, как правило, не покрывает: утрату потенциальных доходов от привлечения новых клиентов; потерю существующих клиентов (расчет делается исходя из дохода, который приносит клиент на всем «сроке жизни» в банке); потерю репутации; потерю в стоимости бренда. 

ОНиВД – вещь затратная 

Конечно, имплементация планов обеспечения непрерывности и восстановления деятельности – весьма дорогое удовольствие для банка. Но не только это является камнем преткновения для разработчиков программ обеспечения непрерывности. Сложными для выполнения могут быть требования по оборудованию отдаленного резервного пункта для АРМ СЕП, АРМ НБУ и специалиста ИТ-безопасности. Проблему также составляет текущая процедура генерации и использования секретных ключей на резервной площадке в случае уничтожения или недоступности помещения банка.

Артем Румянцев, banki.ua