После опубликования Указания Банка России № 2194-У «О внесении изменений в Положение Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» прошло почти три месяца. В соответствии с Указанием все кредитные организации должны иметь План действий, направленных на обеспечение непрерывности деятельности в случае возникновения непредвиденных обстоятельств.
Ну а на Форуме «Внутренний контроль и аудит» обсуждение такого Плана началось еще в 2003-м. Безотносительно рекомендаций Банка России. И такое, знаете ли, полезное обсуждение...
Поднимаем глобальную тему.
| Есть какие-нибудь соображения по этому вопросу? Ведь наличие этого документа существенно снижает многие риски. Но это при условии, что документ не простая отписка, а действительно действующий образец. Я думаю, что в 99% банков этого документа нет. Пробовали ли Вы поднимать это тему перед руководством? Как они отреагировали? Собираетесь ли Вы писать сей трактат в ближайшем будущем? И вообще, как вы себе этот документ представляете? |
| Документ небольшой, не сильно подробный... но работоспособный - недавно сервер горел (6 дисков потом меняли), так за час подняли резервный. Вопрос, правда, насколько в этом помог наш документ... :) ...боюсь я, что документ этот есть (в той или иной степени) в каждом банке, но вот "реальный сухой остаток" от него - :( Такой план не только существует, его каждый год тестируют, и все сотрудники знают, что делать, например, при пожаре, неработающей системе или другом форс-мажоре. Причем, что самое интересно, во всех критичных случаях, которые были, никто про указанный план даже и не вспомнил. И я думаю, что не только у нас такая ситуация. Поэтому мое мнение, что эти планы "работа для ревизора". Информационный бюллетень, выпущенный Лондонской торговой палатой в 2003 году, приводит следующие статистические данные: 90% компаний, потерявших данные вследствие катастроф, вынуждены закрыться в течение 2-х лет; 80% компаний, не имевших приличного плана восстановления деятельности, закрываются в течение 12 месяцев после пожара и наводнения. ...одна из ведущих мировых финансовых компаний Merril Lynch в результате терактов 11 сентября потеряла свою штаб-квартиру (находилась в одной из башен) и еще несколько зданий, где работало около 9 000 человек. У них заранее были созданы не только планы, но и "аварийные группы", которые 11 сентября сразу же приступили к действиям. В компании погибло 2 человека и 2 считаются пропавшими без вести. К 17 сентября 8 000 сотрудников компании уже вернулись к работе. Видел в одном ООЧЕНЬ крупном Банке план страниц на 200-300. Вот это - План. Главное в нем не запутаться. И понять, кто отвечает за его актуальность. ...такие регламенты - учения нужны (реально так думаю) при пожаре, например, когда нужно людей спасать, чтобы никто в истерику не впал и все организованно и отработанно. ...и самое неприятное, что ломается обычно совсем не там, где планировали, а предусмотреть всё невозможно. Я согласен, что ключевые аспекты должны быть... Но тогда и пишите нормально. Что каждый банк должен обеспечить сохранность того-то и работоспособность того-то. А то деятельность банков стандартизировали до невозможности, а типового плана предложить не смогли. Глупо, впрочем, как обычно. ...если серьезно, то насчет пожаров и прочего - это действительно было есть и будет - и проверяет пожарная инспекция кстати :) техногенные или природные катастрофы - этому вообще в школе надо учить, элементарным правилам выживания но к деятельности банка напрямую это отношения не имеет, поэтому, честно говоря, очень хочется поерничать и сделать документ из одних ссылок - на правила пож. безоп., на ИТ-правила, на ПВК, на договор с архивом, на договор с охраной, с собственником помещения, и проч., и проч.\ ... читал недавно подобный план одной американ. компании. Странички 3, установлены лимиты по заимствованию в %, указаны основные источники финансирования с возможными прогнозами, с переездом или началом работы на новом месте сотрудниками (конечно не всеми), кто возглавляет штаб... В целом ничего особенно конкретного, т.к. в действительности кто может сказать в какой ситуации и его фин состояние на к/л момент времени будет иметь банк. На самом деле - эти планы очень важная вещь. Не в смысле, чтобы были на бумаге, а, чтобы продумать свои действия. Все еще, наверное, помнят пожар в одном из отделений Сбербанка, когда погибли люди. В моем собственном банке был случай, когда загорелся офис, расположенный этажом ниже нашего кредитного управления. Помню, кредитники кредитные досье из окон выбрасывали, а их коллеги внизу, под деревом, их складировали. К счастью, тогда все обошлось, пожар быстро потушили. Но, если подумать: как правильно себя вести люди не знали. Адекватно ли они оценили ситуацию тогда? Вопрос. Может, им жизни свои уже пора было спасать, а они досье... А план, в том числе, должен предусматривать варианты развития событий, исходя из степени критичности ситуации, как и подходы к оценке этого самого уровня критичности ситуации. Кто бы спорил, когда дело касается пожара, взрыва газа, выход из строя сервера ... Но предугадать кризисную ситуацию с ликвидностью в стране, финсостояние банка в тот данный момент, финсостояние акционеров и т.д.? План есть во внутряшке по ликвидности, с указанием основных направлений, кто, что и как, а детализация со штабом, пофамильно, времени.... Кризисы бывают каждые 10 лет. Мы не знаем что будет на следующий год, а через 3 года??? В стары времена на производстве был инженер по технике безопасности, который всю эту работу (что нам предписывают) и вел. Почитайте инормацию по этому вопросу и ведь действительно много вопросов возлагается на этого сотрудника. А наше руководство введет в штат такую единицу, не приносящую дохода? А его загруженность? Вопрос. ...есть три железных постулата, которые работают как законы Мерфи, практически. 1. Сотрудники, занимающиеся ликвидацией последствий аварий начинают смотреть в инструкции когда уже сделали всё, что могли и исправить уже ничего нельзя. 2. Ломается всегда там и так, как вы не могли себе представить при планировании и тестировании. 3. Уверенность в том, что протестированные процессы более надёжны, чем не протестированные, ошибочна. В общем, содержание такое: общие положения основные термины и определения законодательная база цели и задачи плана виды угроз и уязвимостей выбор альтернативных методов управления в чс оценка влияния прерываний и сбоев на бизнес-процессы показатели восстановления основных бизнес-процессов порядок осуществления банковских процессов в чс порядок обучения сотрудников порядок проверки реализации плана порядок резервного копирования порядок утверждения и пересмотра плана Более всего раздражают три аспекта в этой истории с планом: 1. Совершенно очевидно, что целями создания Приложения 5 не является улучшение работы банков. Иначе оно было бы составлено конкретно, имело статус обязательного к исполнению. А так, мы вам рекомендуем, за это с вас спросим и накажем, но на нас ответственности никакой за содержание рекомендаций нет, это же рекомендации. 2. Необходимость предвидеть непредвиденные обстоятельства сама по себе уже маразм. Не говоря о том, что их воздействие на банк может быть абсолютно разным. И именно от воздействия, а не от вида НО будет зависеть программа ликвидации последствий и восстановления деятельности. 3. Сам пришёл к выводу, который впоследствии подтвердили люди, реально занимающиеся ликвидацией последствий аварий и т.п. в банках: когда складываются НО и деятельность банка останавливается последнее о чём думают люди, это инструкции, положения и регламенты. В итоге мы вынуждены тратить время, а особо желающие ещё и деньги на организацию защиты от того, что нам кажется наиболее вероятным. Тогда как крупные банки в период нехватки ликвидности позволяют себе без объяснения причин закрывать ПВН и прекращать работу АТМ на "техническое обслуживание". Собственно "план" должен был быть всегда (в каком-либо виде: в ЧС, при сбоях АС и т.д.) Другое дело, что причесать в соответствие с №2194-У... Ну мы это уже почти осилили. При этом понятно, что есть договоры с резервными провайдерами, есть договоры на дублирующую телефонную связь, есть контакты всех аварийных служб, есть противопожарка по полной программе, есть резервное копирование, резервные сервера и т.п. Это было и будет. Но причём тут новые рекомендации, прибавляющие пустой бумажной работы? |
| Вкратце, это перечень действий в следующих нештатных ситуациях: - при наличии разрушений, повреждений на рабочих местах, нарушений в работе телекоммуникационных систем; - в случае принятия решения об эвакуации из здания; - в случае возникновения локального очага возгорания; - при повреждении баз данных; - в случае выхода из строя основного сервера... ...я в "плане действий по устранению нештатных ситуаций" прописал среди прочих и такой пункт: "Порядок восстановления работоспособности АС Банка при выходе из строя сети электропитания..." (короче, чего делать, если обрубили электричество в разгар опердня). Далее последовательно описываю ход решения этой проблемы: 1. Погасить сервера, и все машины... 2. Достать из склада бензиновый электрогенератор, бензин, масло и т.д. и вытащить все на улицу. 3. Протянуть кабели от него к основным машинам, модемам, серверу ... 4. Завести .... х. Ответственнные лица:... |
| Что касается форс-мажора - наводнения, пожара, войны, и т.д. Тут, конечно, немного сложнее, потому как описать в плане порядок восстановления программных систем в случае, например, наводнения, довольно проблематично. На мой взгляд, для разрешения таких ситуаций, нужно проектировать территориально разспределенную систему хранения критичных данных (хотя, скажем, в моем случае это не представляется возможным). |
| ...такой вопрос - а в своем плане вы про заменяемость персонала тоже написали или нет, и какие вопросы затронули по поводу персонала? Вопросы работы организации в случае ЧП включают в себя и вопросы о работе с персоналом. Американцы, например, к своему немалому удивлению, после событий 11 сентября, обнаружили, что именно персонал является самым слабым звеном в планах действий на случай ЧП. Многие фирмы, несмотря на 100% потерю бумажных документов, не потеряли ни байта информации и смогли очень оперативно возобновить работу при одном условии: если они смогли сохранить большую часть своего персонала. План составляется для того, чтобы оперативно решать вопросы минимизации ущерба и восстановления деятельности после ЧП. Вы спрашиваете про заменяемость. Это тоже важно, но прежде всего, необходимо просто иметь возможность в любой момент связаться с любым сотрудником и клиентом. А для этого потребуется список домашних адресов и телефонов всех сотрудников. причем он должен храниться в бумажном виде и постоянно обновляться. Потому что во время крупного ЧП первое, что отключается - это электричество. Кроме этого, неплохо было бы иметь под рукой "аварийные команды", которые в случае объявления ЧП работали по заранее намеченным планам и отвечали за различные этапы восстановительных работ. Одни могут отвечать за эвакуацию персонала, другие за включение в оперативную работу резервного центра, третьи за поиск нового офисного помещения, а четвертые - за обеспечение этого помещения столами и стульями и т.д. |
| Что касается юридических и финансовых прав ... Кто будет посягать на права большей частью государственной кредитной организации? Посягать не будут. Просто несколько должников Вашего банка просто забудут, что взяли у Вас крупные кредиты, а другие, не менее забывчивые, напрочь забудут, что Ваш банк уже давно вернул ему деньги по депозитному договору. Разбираться придется в суде. А без документов это сложновато будет. |
| Я разговаривала с куратором из нашего местного ТУ... особенно она отметила про ликвидность с указанием КОНКРЕТНЫХ лиц и клиентов, кто РЕАЛЬНО может помочь в случае проблем с ликвидностью. А вот по ликвидности рекомендации Базеля - это хоть что-то к делу и телу. ...внутряшка по Ликвидности - добавьте что будете делать в теч 3 мес (короткий кризис) и длительный - 12 мес. Надо развить в свете указания. Восстановление ликвидности в рамках плана действий на случай непредвиденных ситуаций касается восстановления работы банка до штатного режима, организации работы банка по осуществлению расчетов (фактически же ликвидные средства у банка имеются), и этот план отличается от плана выхода по риску потери ликвидности, при нормальной работе банка, т.е. при обычном функционировании всех банковских служб, но при отсутствии ликвидных средств. ...работа с риском потери ликвидности это одно. А когда непредвиденные обстоятельства (фактически форс-мажор) вызывают проблемы с ликвидностью - это другое. ...я всё это понимаю, но был ответ представителя ЦБ РФ на семинаре, и получается, что регулятор чётко разделяет направления по контролю за ликвидностью... ...возьмите 139-Т и приложение 5 к 242-П. В одном про одно, в другом про другое. ... я хочу разграничить понятия: - или в части требований прил 5 242-П я пишу, ТОЛЬКО о том, как возобновить работу банка по расчетам, при НАЛИЧИИ средств в банке, но при отсутствии технических возможностей, - или в дополнении к этому пишу, о мерах по восстановлению ликвидности, при реальном отсутствии средств в банке, необходимых для расчетов. ...а когда ликвидность упала, ну какой план? по обстоятельствам, так сказать. потому как не может план зависить только от нас. ведь тут , смотря какая ситуация на рынке, в стране, в мире и вообще.... ...про ликвидность: при упоминании в тексте Приложения 5 в п.6 - как объяснил лектор, непредвиденный дефицит ликвидности кредитной организации нужно рассматривать не как фактор риска, а как последствие реализации риска ЧС. Просто в тексте так написали. Таким образом, риски ликвидности, как причины нарушения деятельности, рассматривать не нужно. |
| ...мы решили подготовить приказ, распределяющий обязанности по плану ОНиВД. Так как это работа почти всех подразделений. СВК, конечно же, может все написать и сама (и скорее всего по-любому, мы примем "наибольшее"участие в написании этого дока), но это был бы формальный документ. Если нужно реальный - только всем банком, каждый по своему подразделений, или по бизнес-процессу. 1. для развития имеющегося в наличии плана можно применить введенный в действие с 01.01.09 СТО БР ИББС-1.0-2008 - возложить на автоматизаторов. 2. Виды непредвиденных обстоятельств - много голов лучше. 3. Юристам достанется хороший кусочек. 4. Надежда на наш форум и умные советы коллег. ... в тоже время эти планы ведь часто покупаются у своих аудиторов - как у вас с этим - сами делали аль кто-то помогал поминутно расставлять все детали? Рекламировать можно сколько угодно. Но действенность плана зависит, прежде всего от того, как он учитывает особенности Вашей организации. Поэтому лучше разрабатывать самим. Разработкой плана занимается группа из нескольких человек (назначенных приказом). Для работы консультируются со всеми отделами и подразделениями. Взяли за основу Планы ЧС и Автоматизаторов, слили в одно и долго (2 месяца) причёсывали. Получилась сырая (и объёмная) книженция. Про полезность и ценность данного произведения не говорю - отдельный разговор.:( Банк России своим положительным примером мог бы произвести хорошее впечатление, предоставив как вариант проект ОНиВД на своем сайте... Можно и несколько вариантов, чтобы каждый Банк выбрал себе оптимальный... Мечтаю... |
| ...из ГУ пришло письмо о том, что по мере подготовки планов, нужно представить их в ЦБ. По информации с семинаров автоматизаторов енти планы цб в обязательном порядке будет проверять. Через несколько месяцев и мы их ждем'с. У нас проверка ЦБ. Предложили до конца проверки показать планы приближенные к 2194-У. Раздвинул вширь уже имеющийся (по ликвидности); по % и валютному риску сослался на разделы плана по ликвидности - остались довольны. Остальное в разработке. Пока не пристают. Звонила в МГТУ по поводу 2194-У, сроков на внесение изменений в Положение об СВК не установлено, если будет необходимость - запросят дополнительно... А по поводу Планов в ТУ сказали, что принимать скоропалительно не обязательно.. "а с чувством, толком .." Прошел почти квартал с вступления в силу изменений в 242-П. Как думаете будет ЦБ на 1 июля требовать разработанные Планы ОНиВД и(или) учитывать их наличие/отсутствие при отнесении банка к разным классификационным группам? У нас, к примеру, План ОНиВД еще в процессе разработки. Наше ТУ в мае просило сообщить о планируеммой дате разработки и утверждения Плана ОНиВД. Мы им ответили, что утверждение запланировано на октябрь. |
| ...а проверка может проходить в русле необходимого контроля за функционированием системы, проверка пожарных планов, запасных генераторов, запасных еще чего-нить - всегда есть чем запастись... ... как проверить исполнимость плана при нападении на сеть банка хакеров? или при наводнении? или например как проверить исполнимость плана при программном сбое программного обеспечения или операционной системы? ведь программный сбой имитировать очень сложно... ...если у вас есть сам план, то какие проблемы? Берем и указываем в "Порядке проверки" плана, что необходимо для беспрепятственного и оперативного восстановления систем после нештатной ситуации (если в плане это не описано) и главное как и как часто нужно проверять исполнимость плана действий. Например, если в плане сказано, что есть некая дублирующая система (запасной сервер БД, запасные винты, бензиновый электрогенератор и т.д.), то в "порядке проверки" нужно написать, что, мол, раз в полгода или год необходимо проверять ее наличие, работоспособность и т.д. И так по всем пунктам. ... у нас месяц назад проверка ЦБ была. В Акте целый раздел был посвящен 242-П - внутреннему контролю. Написали нам, в частности, такое вот замечание, что и основной сервер и дублирующий находятся в одном помещении, мол, при наводнении или пожаре всей системе каюк! У нас в плане написано что нужно для беспрепятственного и оперативного восстановления работоспособности банка, но вот как на практике проверить исполнимость плана? То есть как СВК может проконтролировать что план будет выполнен и работоспособность будет восстановлена? Я лично вижу только один способ это сделать.... это искусственно смоделировать нештатную ситуацию и потом устранить её по плану.. или я не прав??? ...в "порядке проверки плана" я "порекомендовал" СВК описать порядок проверки этого пункта следующим образом: "....по такому-то пункту плана проверку необходимо проводить не реже одного раза в квартал] и при этом осуществлять контроль в сл. послед-сти: 1)Наличие источников бесп. питания у каждого критичного к внезапному выключению компьютера. 2)Их исправность. 3)Наличие, исправность Генератора, бензина и т.д. 4)Тестовый запуск .... 5)Проверить ответственных лиц на предмет знания порядка действий при наступлениии данной нешт. систуации. ... х)Проверить беспрепятственность выполнения всех действий, описанных в плане. Например наличие у ответственных лиц ключей от склада и др. ... Проверку проводить совместно с таким то под управлением рук-ля СВК. По окончанию всей проверки должен быть составлен АКТ, подписанный теми-то и теми-то." В моем понимании в плане должны быть прописаны возможные нешт. ситуации и пути их разрешения - здесь и было моделирование ситуаций. А суть "Порядка.." в проверке отсутствия помех на путях разрешения нешт. ситуаций. Если проверка СВК установит, что у меня генератор сломанный или его ... вообще нет, значит план восстановления не сработает. Рассмотрим ситуацию с хакерами. Конечно, если вы в плане описали только гипотетическую ситуацию о возможном нападении хакеров с террористами :) , то смысл, а главное возможность, проверять это - по-моему отсутствует. А вот напИшите в самом плане как вы планируете отражать эти атаки и/или устранять их последствия, тогда будет что написать в "Порядке проверки...". Здесь можно сослаться на "Политику безопасности", "Положении о сети", "Порядок доступа...", "Регламент работы с сетью Интернет" и др. ...а мне интересно, как Вы тестируете указанный план. В нем же должно быть предусмотрено все, включая полную потерю работоспособности основного и stand-by серверов, отключение электроэнергии, телефонов, интра-нета и т.п., причем и в случае выходного дня, когда специалистов автоматизации нет. У нас в плане расписано по минутам, что делается в таких случаях, но пробовать проверить такое... Никто не рискнет. ...можно пригласить внешних хакеров, так собственно некоторые банки и делают, а мы их обслуживаем. Недовольных было мало... План можно, если очень страшно, проверять в выходные, но что же это за план тогда такой??? Фиговый план это. ...у нас так Проверка порядка действий в непредвиденных ситуациях 1. Проверка наличия/отсутствия системы ознакомления служащих с планами действий в непредвиденных ситуациях. 2. Проверка знаний сотрудников о действиях в непредвиденных ситуациях (опрос). 3. Проверка знаний руководителей подразделений о действиях в непредвиденных ситуациях (опрос) 4. Проверка знаний администраторов информационной безопасности о действиях в непредвиденных ситуациях (опрос) |
| 1. Комментарии к Указанию Банка России от 05.03.2009 г. № 2194-У ... в части разработки Плана ОНиВД. 2. Вопросы обеспечения непрерывности деятельности и (или) восстановления деятельности кредитной организации в случае возникновения непредвиденных обстоятельств. Ранее в РФ не было, оказывается, землетрясений, наводнений, эпидемий и пр., а теперь вроде как появилось все, поэтому возникла острая необходимость кредитным организациям разработать планы. И вообще, мы (РФ) в своем регулирующем режиме отстали от многих даже африканских стран, в которых есть НПА + рекомендации по обеспечению непрерывности деятельности и кредитные организации их стараются выполнить. Согласно 2194-У нужны, как минимум, 3 документа: Порядок разработки Плана ОНиВД - кто разрабатывает, кто утверждает, кто ответственный за подготовку и т.д. (п.2 Приложения 5 Положения 2194-У - далее будут указываться просто пункты); Порядок (программы) проверки (тестирования) Плана (п.2); Собственно План ОНиВД (может состоять из нескольких документов + должны быть инструкции для подразделений, как и что делать в чрезвычайных ситуациях (п.9.2.5.).- размещаются во внутренней сети, либо на стендах, либо на стенах. Должны быть известны сотрудникам. Срок разработки в 2194-У не указан. При этом при проверке ЦБ нужно будет объяснять, почему нет, или почему есть, но не соответствует. + Могут быть запросы ЦБ - могут дать предписание, что нужно сделать (доделать). Рекомендует банкам ссылаться на п.12 Положения 2194-У, что: «План ОНиВД рекомендуется не реже одного раза в два года пересматривать с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности кредитной организации, утвержденной стратегии развития деятельности кредитной организации, условиям мест нахождения кредитной организации (ее подразделений), а также для устранения недостатков, выявленных в ходе проверок (тестирования) Плана ОНиВД, и учета вновь выявленных факторов, которые могут привести к нарушению повседневного функционирования кредитной организации»; т.е. - у нас что-то есть, оно не соответствует требованиям 242-П, однако, не наступил еще срок пересмотра (два года не прошло с момента прошлого пересмотра). - При этом, все равно если есть недостатки - будет предписание об устранении, потому как План должен соответствовать характеру и масштабу проводимых операций. Т.е. чем банк крупнее - тем чаще должны пересматриваться Планы. Вообще требование по наличию процедур поддержания непрерывности деятельности было давно уже и в том числе в 139-Т, 76-Т, 2005-У. В 2005-У есть вопрос, например: Разработаны ли в банке планы мероприятий на случай возникновения непредвиденных обстоятельств, способных подорвать его финансовое положение, спровоцировать потерю платежеспособности, оказать существенное негативное влияние на капитал и (или) финансовые результаты деятельности банка? Утверждает План - Совет директоров. План может быть «набором ссылок» на иные документы Банка касательно рассматриваемого вопроса. 3. Обеспечение непрерывности деятельности кредитных организаций в документах международных организаций по банковскому надзору. Основные документы - стандарты по непрерывности деятельности национального уровня. BaselØ Committee on Banking Supervision. ISO 22399:2007 (швейцарская организация, на основе документов которойØ готовятся ГОСТы в РФ); *Я еще видела, что рекомендуют британский стандартØ BS 25999. Все на английском, платное (только с bis.org можно некоторое на анг. скачать бесплатно). Есть некоторые переводы на русский - опять же платные. Российских ГОСТов и т.д. на указанную тему пока нет. Если у нас нет ресурсов на покупку, на перевод этих документов - то это проблемы Банка. 4. Приложение № 5 к Положению Банка России № 242-П. Комментарии к рекомендациям по структуре и содержанию плана действий, организации проверок возможности его выполнения. В разработке плана должны принимать все подразделения банка (в части своих процессов). 4.1. Масштаб и виды непредвиденных обстоятельств. - банки все сами анализируют и составляют перечни («по результатам анализа, проведенного такого-то числа, рабочей группой выявлено, что такие-то непредвиденные обстоятельства нам потенциально грозят»). - можно ориентироваться на законодательство РФ о чрезвычайных ситуациях. - должен быть проведен анализ уязвимости банковских процессов (например, а что будет, если ОПЕРУ не сможет передавать платежи 15 минут, а если 1 час, а если .....? а что будет, если у нас крупнейший клиент уйдет? А если трейдер превысит лимит и введет банк в убыток на половину капитала (Сосьете Женерал). По репликам из зала виды непредвиденных обстоятельств: затопление, пожар, кризис ликвидности, эпидемия, массовые беспорядки, репутационные риски, противоправные действия сотрудников, аварии, сбои и многое другое. Наши действия, например, если о нас недостоверная порочащая инфа: - быстро известить ЦБ; - быстро известить акционеров; - быстро известить крупнейших клиентов; - всем предоставить нашу прекрасную отчетность и иные документы, чтобы все поверили, что у нас все хорошо. * Лектор "задал", несколько интересных с его точки зрения ответов, например, на мой вопрос "неужели нам нужно и про эпидемии писать": "Я не могу за вас все решить, это ваша ответственность, но вот что Банк будет делать, если эпидемия, и никто их сотрудников не вышел на работу?" 4.2. Процессный подход к анализу деятельности кредитной организации. Приоритетные направления и виды деятельности кредитной организации. Процессы, критически важные для деятельности кредитной организации. - Необходимо проанализировать все внутренние процессы на их важность - критерии непрерывности: - критические процессы - восстановление в течение часа; - важные процессы - восстановление в течение дня; - и т.д. 4.3. Система показателей, позволяющих осуществлять управление непрерывностью деятельности кредитной организации. - банки все сами анализируют и составляют перечни и т.д. - ответные меры на непредвиденные обстоятельства (действия в течение часа, действия в течение дня, недели и т.д.).+ кто должен собраться, кто принимает решения, общие меры. 5. Содержание внутренних документов кредитной организации, реализующих план действий, направленных на обеспечение непрерывности деятельности в случае возникновения непредвиденных обстоятельств. По репликам из зала: включаем телефонов с кем созваниваться, телефоны-адреса экстренных служб. 5.1. Чрезвычайный режим и режим повседневного функционирования кредитной организации. 5.2. Управление деятельностью кредитной организации в чрезвычайном режиме функционирования. Должна быть сформирована группа управления в чрезвычайной ситуации (небольшая, 4 -5 человек). В карточке с образцами подписей рекомендуется как минимум две первых и две вторых подписи (взаимозаменяемость). Нужно заранее обеспечить наличие доверенностей на совершение критически важных для банка процессов как минимум на 2 сотрудников и т.д. 6. Проверка выполнимости плана обеспечения непрерывности деятельности кредитной организации. должны проводиться реальные учения (например, на пике деятельности в течение дня, при отправке рейса - перейти на запасного провайдера и т.д.) Тестирование при этом не должно мешать работе Банка. Программы тестирования могут быть разными для каждого направления или процесса. Заметки: П. 9.2.4. - по мнению лектора это может быть: например, предварительные договора с акционерами или третьими лицами о необходимости разместить депозит на крупные суммы, - или, например, на выкуп акций по доп.эмиссии. Рекомендация заключать кредитные договора в 3-х экземплярах, чтобы один клиенту, второй в кредитное досье, третий - в архив (чтобы если пропал наш экземпляр, например, в пожаре - был еще экземпляр договора). Должны быть документы и просто по спасению людей, например, при пожаре, затоплении и т.д., - но это отличные от Плана ОНиВД документы. Резервное помещение - должно быть, если мы не сможем вручную обслужить всех клиентов при сбое-пожаре и т.д. Резервный провайдер - должен быть договор. При этом, если мы посчитаем, что наши затраты на аренду будут больше, нежели затраты после какого- либо непредвиденного обстоятельства - мы можем не заключать договора, при этом должны быть зафиксированы результаты анализа. |
Всем разрабатывающим План действий желаем удачи и терпения, уже написавшим его - респект и уважение.
И поделитесь уже кто-нибудь готовым документом!
Если заметили в тексте опечатку, выделите ее и нажмите Ctrl+Enter
