Управление непрерывностью деятельности банка: подходы ОАО «Банк «Санкт-Петербург»

Управление непрерывностью деятельности банка:
подходы ОАО «Банк «Санкт-Петербург»
Санкт-Петербург, Ассоциация Банков Северо-Запада, декабрь 2013г.
Разрешите представиться
ОАО «Банк Санкт-Петербург»
•
•
•
•
•
основан в 1990 году
капитал - около 46 млрд. руб., 18 место в РФ
активы – более 400 млрд. руб., 13 место в РФ
численность - 2 880 чел.
43 дополнительных офисов и филиалов в
Санкт-Петербурге, Ленинградской области,
Москве, Калининграде и Нижнем Новгороде
обслуживаются
• более 42 тысяч корпоративных и более 1,3
миллиона частных клиентов
2
ОАО «Банк «Санкт-Петербург»
2013
Содержание
1. Составление Плана ОНиВД:
•
•
•
анализ внутренней нормативной базы Банка
возможная иерархия внутренних документов по ОНиВД
структура инструкции по действиям в нештатных ситуациях
2. Всесторонняя оценка угроз бизнесу: что защищаем?
•
•
•
3.
4.
5.
6.
7.
3
определение критичных рабочих мест
стандарт оснащения, бюджет, выбор площадки
план резервирования, реализация плана
Организация резервных площадок Банка
Как часто надо пересматривать План ОНиВД
Тестирование подготовленного Плана ОНиВД
Новые проблемы в рамках Плана ОНиВД
План ОНиВД в мелком и среднем банке
ОАО «Банк «Санкт-Петербург»
2013
1. Составление целостного Плана ОНиВД
1/3
Анализ внутренней нормативной базы Банка
 какие документы по теме уже есть
 разработка иерархии внутренних документов по
ОНиВД
 определение структуры «рамочного» документа по
ОНиВД
 цели и принципы деятельности по ОНиВД
 виды и характер крупномасштабных обстоятельств
и нештатных ситуаций
 субъекты управления непрерывностью
 модули плана (организационно-управленческий,
экономический, информационно-технологический,
административно-хозяйственный)
 общие подходы к управлению в нештатных
ситуациях
 общие подходы к проведению тестирования
 определение перечня инструкций по действиям в
нештатных
ситуациях,
которые
необходимо
разработать
4
ОАО «Банк «Санкт-Петербург»
2013
1. Составление целостного Плана ОНиВД
2/3
Возможная иерархия
внутренних документов
по ОНиВД
 План
ОНиВД
(общие
положения)
«рамочный» документ
 Методические рекомендации по разработке
инструкций по действиям в нештатных
ситуациях
 Инструкции по действиям в нештатных
ситуациях
 Порядок выявления и резервирования
 Порядок
функционирования
резервных
площадок
 План и бюджет резервирования
 План тестирования
 Порядок информирования о нештатных
ситуациях
 Целевое время восстановления критичных
сервисов
 SLA-соглашения об уровне оказания услуг
5
ОАО «Банк «Санкт-Петербург»
2013
1. Составление целостного Плана ОНиВД
3/3
Рекомендуемое содержание инструкции
по действиям в нештатных ситуациях)
Наименование бизнес-процесса (+ критичные рабочие места)
Перечень нештатных ситуаций, которые могут возникнуть в рамках данного бизнес-процесса
Порядок обнаружения (идентификации) нештатных ситуаций
Порядок оценки основных характеристик нештатной ситуации:
• источник угрозы (человеческий, техногенный, природный, природно-техногенный)
• направление угрозы (люди, информация, информационные системы и технические
средства, активы, материальные ресурсы)
• продолжительность нештатной ситуации (кратковременная - до 6 ч., средняя - от 6 до 24 ч.,
длительная - свыше 24 ч.)
5. Цели принимаемых решений в нештатных ситуациях:
• восстановление процесса на месте
• перемещение на резервные рабочие места
6. Ресурсы (человеческие, информационные, материальные, иные), необходимые для
предотвращения значительных последствий нештатной ситуации
7. Описание порядка действий работников в нештатной ситуации
8. Показатели устранения нештатной ситуации:
• необходимый и достаточный срок восстановления (временные интервалы реализации
мероприятий, направленных на устранение нештатных ситуаций)
• допустимый размер материальных затрат
• допустимый размер потерь информации
9. Порядок выхода из режима функционирования в рамках нештатной ситуации
1.
2.
3.
4.
6
ОАО «Банк «Санкт-Петербург»
2013
2. Всесторонняя оценка угроз бизнесу: что защищаем? 1/6
Крупномасштабные обстоятельства
Нештатные ситуации
Критичные бизнес-процессы
Критичные рабочие места
Резервирование критичных рабочих мест
7
ОАО «Банк «Санкт-Петербург»
2013
2. Всесторонняя оценка угроз бизнесу: что защищаем? 2/6
Как мы действовали
• Интервью
 все подразделения Банка с целью выявления критичных
рабочих мест
• Анализ с целью оценки критичности




помещений
оборудования
программного обеспечения
каналов связи
• Оценка критичности рабочих мест
 критерии критичности
 оценка уровня критичности (высокая, низкая, средняя)
 вес критерия в общей оценке критичности
8
ОАО «Банк «Санкт-Петербург»
2013
2. Всесторонняя оценка угроз бизнесу: что защищаем? 3/6
Критерии критичности
• основные критерии:
 максимально допустимое время простоя (не ведущее к
прерыванию деятельности Банка)
 направление деятельности подразделения Банка (значимость
бизнес-процесса)
 наличие
регуляторных
рисков
(санкций
национальных
регуляторов)
 возможные репутационные последствия;
 гарантированная
возможность
восстановления
режима
повседневного функционирования за максимально допустимое
время простоя
• дополнительные критерии:
 требования к специализированным объектам (помещениям)
 требования к специализированному оборудованию
 требования к специализированному программному обеспечению
9
ОАО «Банк «Санкт-Петербург»
2013
2. Всесторонняя оценка угроз бизнесу: что защищаем? 4/6
ИТОГИ: структура критичных рабочих мест
•
•
•
•
•
•
•
•
•
расчеты и платежи
управление ликвидностью
управление активами и пассивами
заключение сделок на рынке
контроль лимитов
Процессинг
инкассация
предоставление отчетности
иные направления деятельности
Итого около 300 КРМ
В том



10
числе - созданы:
специальные РРМ - 56
совмещенные РРМ -135
персонал (без ПК) - 67
ОАО «Банк «Санкт-Петербург»
2013
2. Всесторонняя оценка угроз бизнесу: что защищаем? 5/6
Критерии выбора резервных площадок:
•
•
•
11
территориальная удаленность от основной площадки
наличие возможности оперативного перемещения на резервную
площадку
наличие свободных площадей и мест на предполагаемых
резервных площадках
ОАО «Банк «Санкт-Петербург»
2013
2. Всесторонняя оценка угроз бизнесу: что защищаем? 6/6
Дополнительные бонусы проекта по резервированию:
12
•
оптимизированы отдельные банковские процессы с точки зрения
минимизации операционных рисков
•
пересмотрены договора с поставщиками и подрядчиками с точки
зрения совместного обеспечения непрерывности бизнеса
•
разработан ряд инструкций по действиям в нештатных ситуациях по
конкретным направлениям деятельности
•
доработан ряд документов в рамках обеспечения непрерывности
бизнеса
ОАО «Банк «Санкт-Петербург»
2013
3. Организация резервных площадок Банка
Этапы большого пути
 05.03.2009 - Указание Банка России № 2194-У
(Рекомендации по структуре и содержанию Плана
ОНиВД кредитной организации)
 22.12.2009 - создана рабочая группа по выявлению КРМ
 03.02.2010 - 28.04.2011- интервью с подразделениями
Банка, выявлены все КРМ Банка
 18.05.2011 - утвержден Порядок выявления и
резервирования КРМ
 29.06.2011 - утвержден сводный Бюджет
резервирования КРМ
 30.08.2011 - утвержден План резервирования КРМ
 30.08.2011 - 29.02.2012 – реализация Плана
резервирования КРМ (подготовка помещений,
установка/настройка оборудования)
 10.04.2012 - утвержден Порядок функционирования
резервных площадок.
 21.09.2012 - 08.02.2013 – тестирование РРМ, устранение
выявленных недостатков
 2013 год – анализ вопроса об обеспечении
непрерывности при передаче функции на аутсорсинг;
определение и закрепление целевого времени
восстановления
13
ОАО «Банк «Санкт-Петербург»
2013
4. Как часто надо пересматривать План ОНиВД
Аудит программы
Рекомендации банка России:
• не реже одного раза в два года с целью




обеспечения его соответствия организационной
структуре, характеру и масштабам деятельности
Банка
утвержденной стратегии развития Банка
условиям местонахождения Банка (его
подразделений)
для устранения недостатков, выявленных в ходе
тестирования, и учета вновь выявленных
факторов
Фактически:
•
по мере существенного изменения
бизнес-процессов
по мере изменения перечня критичных
рабочих мест
по результатам тестирования
по мере появления новых технологий (например,
«тонкий» клиент)
•
•
•
14
ОАО «Банк «Санкт-Петербург»
2013
5. Тестирование подготовленного Плана ОНиВД
Как убедиться, что план рабочий?
•
•
•
•
•
15
тестирование (задействование РРМ) осуществляется в
соответствии с приказом по Банку
в
процессе
тестирования
работники
действуют
в
соответствии с инструкциями по действиям в нештатных
ситуациях
в обязательном порядке формируется группа наблюдателей
(контролеров) из заинтересованных подразделений (состав
четко
регламентирован
применительно
к
каждому
банковскому процессу)
по итогам тестирования формируются:
 протокол тестирования
 отчет о проведении тестирования:
 анализ результатов
 конкретные
предложения
по
доработке
инструкций по действиям в нештатных ситуациях
в целях повышения «боеготовности» РРМ проводится
анализ:
 необходимости дополнительного оборудования
 внедрения более совершенных технологий («тонкий
клиент»)
ОАО «Банк «Санкт-Петербург»
2013
6. Новые проблемы в рамках Плана ОНиВД
•




16
Передача отдельных функций на аутсорсинг
предполагает анализ рисков и с точки зрения
непрерывности бизнеса:
Если функция некритичная, то просто определяем
экономическую целесообразность и передаем;
Если
функция
критичная,
то
совместно
с
аутсорсинговой компанией прорабатываем вопросы
обеспечения непрерывности деятельности:
По ее собственным технологиям непрерывности, в
случае наличия таковых;
Распространяем свой опыт на компанию.
•
Определение целевого времени восстановления
сервисов:
ранжирование
по
времени
восстановления, подписание SLA-соглашений об
уровне предоставления сервиса
•
Новые реалии с учетом выхода Письма Банка
России № 193-Т
ОАО «Банк «Санкт-Петербург»
2013
План ОНиВД в маленьком и среднем банке
Методология:
•




Специальный раздел Политики по управлению рисками:
основные участники процедуры (владельцы бизнес-процесса и владельцы риска)
критичные бизнес-процессы, критичные рабочие места, «критичные» сотрудники
ссылка на перечень инструкций по действиям в нештатных ситуациях
подходы к тестированию критичных бизнес процессов
• Инструкции по действиям в нештатных ситуациях
• План проведения тестирования
Организационные вопросы:




Проведение интервью с подразделениями
Выявление «слабых мест»
Устранение выявленных проблем (замена техники, резервное копирование, пр.)
Разработка, утверждение и реализация плана тестирования
Дополнительно:



17
Политика аутсорсинга, список компаний-аутсорсеров
договора с поставщиками и подрядчиками с точки
непрерывности бизнеса
……….
зрения
совместного
обеспечения
ОАО «Банк «Санкт-Петербург»
2013
Спасибо за внимание!
Пожалуйста вопросы!
18
ОАО «Банк «Санкт-Петербург»
2013