Управление непрерывностью деятельности банка: подходы ОАО «Банк «Санкт-Петербург» Санкт-Петербург, Ассоциация Банков Северо-Запада, декабрь 2013г.

ОАО «Банк «Санкт-Петербург» 2013 Разрешите представиться ОАО «Банк Санкт-Петербург» основан в 1990 году капитал - около 46 млрд. руб., 18 место в РФ активы – более 400 млрд. руб., 13 место в РФ численность чел. 43 дополнительных офисов и филиалов в Санкт-Петербурге, Ленинградской области, Москве, Калининграде и Нижнем Новгороде обслуживаются более 42 тысяч корпоративных и более 1,3 миллиона частных клиентов 2

ОАО «Банк «Санкт-Петербург» 2013 Содержание 1.Составление Плана ОНиВД: анализ внутренней нормативной базы Банка возможная иерархия внутренних документов по ОНиВД структура инструкции по действиям в нештатных ситуациях 2.Всесторонняя оценка угроз бизнесу: что защищаем? определение критичных рабочих мест стандарт оснащения, бюджет, выбор площадки план резервирования, реализация плана 3.Организация резервных площадок Банка 4.Как часто надо пересматривать План ОНиВД 5.Тестирование подготовленного Плана ОНиВД 6.Новые проблемы в рамках Плана ОНиВД 7.План ОНиВД в мелком и среднем банке 3

ОАО «Банк «Санкт-Петербург» Составление целостного Плана ОНиВД 1/3 Анализ внутренней нормативной базы Банка какие документы по теме уже есть разработка иерархии внутренних документов по ОНиВД определение структуры «рамочного» документа по ОНиВД цели и принципы деятельности по ОНиВД виды и характер крупномасштабных обстоятельств и нештатных ситуаций субъекты управления непрерывностью модули плана (организационно-управленческий, экономический, информационно-технологический, административно-хозяйственный) общие подходы к управлению в нештатных ситуациях общие подходы к проведению тестирования определение перечня инструкций по действиям в нештатных ситуациях, которые необходимо разработать 4

ОАО «Банк «Санкт-Петербург» Составление целостного Плана ОНиВД 2/3 Возможная иерархия внутренних документов по ОНиВД План ОНиВД (общие положения) - «рамочный» документ Методические рекомендации по разработке инструкций по действиям в нештатных ситуациях Инструкции по действиям в нештатных ситуациях Порядок выявления и резервирования Порядок функционирования резервных площадок План и бюджет резервирования План тестирования Порядок информирования о нештатных ситуациях Целевое время восстановления критичных сервисов SLA-соглашения об уровне оказания услуг 5

ОАО «Банк «Санкт-Петербург» Составление целостного Плана ОНиВД 3/3 Рекомендуемое содержание инструкции по действиям в нештатных ситуациях) 1.Наименование бизнес-процесса (+ критичные рабочие места) 2.Перечень нештатных ситуаций, которые могут возникнуть в рамках данного бизнес-процесса 3.Порядок обнаружения (идентификации) нештатных ситуаций 4.Порядок оценки основных характеристик нештатной ситуации: источник угрозы (человеческий, техногенный, природный, природно-техногенный) направление угрозы (люди, информация, информационные системы и технические средства, активы, материальные ресурсы) продолжительность нештатной ситуации (кратковременная - до 6 ч., средняя - от 6 до 24 ч., длительная - свыше 24 ч.) 5. Цели принимаемых решений в нештатных ситуациях: восстановление процесса на месте перемещение на резервные рабочие места 6. Ресурсы (человеческие, информационные, материальные, иные), необходимые для предотвращения значительных последствий нештатной ситуации 7. Описание порядка действий работников в нештатной ситуации 8. Показатели устранения нештатной ситуации: необходимый и достаточный срок восстановления (временные интервалы реализации мероприятий, направленных на устранение нештатных ситуаций) допустимый размер материальных затрат допустимый размер потерь информации 9. Порядок выхода из режима функционирования в рамках нештатной ситуации 6

ОАО «Банк «Санкт-Петербург» Всесторонняя оценка угроз бизнесу: что защищаем? 1/6 Крупномасштабные обстоятельства Нештатные ситуации Критичные бизнес-процессы Критичные рабочие места Резервирование критичных рабочих мест 7

ОАО «Банк «Санкт-Петербург» 2013 Как мы действовали Интервью все подразделения Банка с целью выявления критичных рабочих мест Анализ с целью оценки критичности помещений оборудования программного обеспечения каналов связи Оценка критичности рабочих мест критерии критичности оценка уровня критичности (высокая, низкая, средняя) вес критерия в общей оценке критичности 2. Всесторонняя оценка угроз бизнесу: что защищаем? 2/6 8

ОАО «Банк «Санкт-Петербург» 2013 Критерии критичности основные критерии: максимально допустимое время простоя (не ведущее к прерыванию деятельности Банка) направление деятельности подразделения Банка (значимость бизнес-процесса) наличие регуляторных рисков (санкций национальных регуляторов) возможные репутационные последствия; гарантированная возможность восстановления режима повседневного функционирования за максимально допустимое время простоя дополнительные критерии: требования к специализированным объектам (помещениям) требования к специализированному оборудованию требования к специализированному программному обеспечению 2. Всесторонняя оценка угроз бизнесу: что защищаем? 3/6 9

ОАО «Банк «Санкт-Петербург» Всесторонняя оценка угроз бизнесу: что защищаем? 4/6 ИТОГИ: структура критичных рабочих мест расчеты и платежи управление ликвидностью управление активами и пассивами заключение сделок на рынке контроль лимитов Процессинг инкассация предоставление отчетности иные направления деятельности Итого около 300 КРМ В том числе - созданы: специальные РРМ - 56 совмещенные РРМ -135 персонал (без ПК)

ОАО «Банк «Санкт-Петербург» Всесторонняя оценка угроз бизнесу: что защищаем? 5/6 Критерии выбора резервных площадок: территориальная удаленность от основной площадки наличие возможности оперативного перемещения на резервную площадку наличие свободных площадей и мест на предполагаемых резервных площадках 11

ОАО «Банк «Санкт-Петербург» Всесторонняя оценка угроз бизнесу: что защищаем? 6/6 Дополнительные бонусы проекта по резервированию: оптимизированы отдельные банковские процессы с точки зрения минимизации операционных рисков пересмотрены договора с поставщиками и подрядчиками с точки зрения совместного обеспечения непрерывности бизнеса разработан ряд инструкций по действиям в нештатных ситуациях по конкретным направлениям деятельности доработан ряд документов в рамках обеспечения непрерывности бизнеса 12

ОАО «Банк «Санкт-Петербург» Организация резервных площадок Банка Этапы большого пути Указание Банка России 2194-У (Рекомендации по структуре и содержанию Плана ОНиВД кредитной организации) создана рабочая группа по выявлению КРМ интервью с подразделениями Банка, выявлены все КРМ Банка утвержден Порядок выявления и резервирования КРМ утвержден сводный Бюджет резервирования КРМ утвержден План резервирования КРМ – реализация Плана резервирования КРМ (подготовка помещений, установка/настройка оборудования) утвержден Порядок функционирования резервных площадок – тестирование РРМ, устранение выявленных недостатков 2013 год – анализ вопроса об обеспечении непрерывности при передаче функции на аутсорсинг; определение и закрепление целевого времени восстановления 13

ОАО «Банк «Санкт-Петербург» Как часто надо пересматривать План ОНиВД Аудит программы Рекомендации банка России: не реже одного раза в два года с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности Банка утвержденной стратегии развития Банка условиям местонахождения Банка (его подразделений) для устранения недостатков, выявленных в ходе тестирования, и учета вновь выявленных факторов Фактически: по мере существенного изменения бизнес-процессов по мере изменения перечня критичных рабочих мест по результатам тестирования по мере появления новых технологий (например, «тонкий» клиент) 14

ОАО «Банк «Санкт-Петербург» 2013 Как убедиться, что план рабочий? 5. Тестирование подготовленного Плана ОНиВД тестирование (задействование РРМ) осуществляется в соответствии с приказом по Банку в процессе тестирования работники действуют в соответствии с инструкциями по действиям в нештатных ситуациях в обязательном порядке формируется группа наблюдателей (контролеров) из заинтересованных подразделений (состав четко регламентирован применительно к каждому банковскому процессу) по итогам тестирования формируются: протокол тестирования отчет о проведении тестирования: анализ результатов конкретные предложения по доработке инструкций по действиям в нештатных ситуациях в целях повышения «боеготовности» РРМ проводится анализ: необходимости дополнительного оборудования внедрения более совершенных технологий («тонкий клиент») 15

ОАО «Банк «Санкт-Петербург» Новые проблемы в рамках Плана ОНиВД Передача отдельных функций на аутсорсинг предполагает анализ рисков и с точки зрения непрерывности бизнеса: Если функция некритичная, то просто определяем экономическую целесообразность и передаем; Если функция критичная, то совместно с аутсорсинговой компанией прорабатываем вопросы обеспечения непрерывности деятельности: По ее собственным технологиям непрерывности, в случае наличия таковых; Распространяем свой опыт на компанию. Определение целевого времени восстановления сервисов: ранжирование по времени восстановления, подписание SLA-соглашений об уровне предоставления сервиса Новые реалии с учетом выхода Письма Банка России 193-Т 16

ОАО «Банк «Санкт-Петербург» 2013 План ОНиВД в маленьком и среднем банке Методология: Специальный раздел Политики по управлению рисками: основные участники процедуры (владельцы бизнес-процесса и владельцы риска) критичные бизнес-процессы, критичные рабочие места, «критичные» сотрудники ссылка на перечень инструкций по действиям в нештатных ситуациях подходы к тестированию критичных бизнес процессов Инструкции по действиям в нештатных ситуациях План проведения тестирования Организационные вопросы: Проведение интервью с подразделениями Выявление «слабых мест» Устранение выявленных проблем (замена техники, резервное копирование, пр.) Разработка, утверждение и реализация плана тестирования Дополнительно: Политика аутсорсинга, список компаний-аутсорсеров договора с поставщиками и подрядчиками с точки зрения совместного обеспечения непрерывности бизнеса ………. 17

Спасибо за внимание! Пожалуйста вопросы! ОАО «Банк «Санкт-Петербург»