Забезпечення безперервності критичне для бізнесу


Забезпечення безперервності критичне для бізнесу

Коли вдарить криза, банки повинні бути здатні відновити свої операції якомога швидше. У цей момент першу скрипку грають плани забезпечення безперервності та відновлення діяльності. Обов'язкова наявність у банку цих процедур - не тільки вимога регулятора, але й потужна конкурентна перевага.

Не важливо, наскільки хороший ризик-менеджмент в організації або скільки вона витрачає на мінімізацію ризиків, завжди є ймовірність того, що її операційна діяльність буде серйозно порушена протягом деякого часу внаслідок подій, які знаходяться поза сферою її контролю. Простіше кажучи, наявність ефективного процесу забезпечення безперервності та відновлення діяльності (від англ. Business continuity & disaster recovery) зменшить ефект від таких подій і дозволить організації без істотних затримок і втрат забезпечити виконання операцій і критичних функцій.

Позитивним моментом є те, що банки Центральної та Східної Європи почали серйозно ставитися до питання безперервності бізнесу. Історично американські, західноєвропейські та британські банки лідирують у сприйнятті операційних ризиків і питань забезпечення безперервності бізнесу, оскільки США, Франція, Іспанія і Великобританія періодично стикаються з тими чи іншими проявами тероризму. Уважно до цього питання ставляться в Азії, де існує висока ймовірність реалізації ризиків природних катаклізмів.

Управлінням безперервністю зовсім недавно зацікавилися в Україні та Росії, де фінансовий сектор будується з урахуванням кращих закордонних практик та досвіду. Зокрема, українські банки відчувають проблеми з енергоспоживанням і стрибками в електромережах. Це відзначав і Національний банк України в своєму листі № 25-211/2428-17415 від 07.10.2010, натякнувши на необхідність закупівлі банками достатньої кількості джерел безперебійного живлення та дизель-генераторів.

У даний момент флагманами у питаннях впровадження програм управління безперервністю є великі банки з іноземним капіталом: Укрсиббанк (BNP Paribas Group), Укрсоцбанк (UniCredit Group), "Аваль" (Raiffeisenbank Group). Сучасне управління безперервністю - це не просто складання бюджетів витрат на позаурочну роботу, аутсорсинг, консультаційні послуги і піар. Це тривала і копітка робота.

Виживання

Серед основних інцидентів, які стали каталізатором надзвичайних ситуацій у банках, найчастіше називаються втрата IT-систем (у тому числі баз даних), втрата персоналу, втрата інфраструктури (телекомунікацій), відсутність доступу до центрального офісу банку і втрата важливих документів. При цьому критично, щоб бізнес був здатний відновитися і продовжити функціонувати після якого-небудь надзвичайної події якомога швидше.

Статистика, яку наводить дослідницька компанія Gartner Research, говорить про те, що, як правило, дві з п'яти компаній, що відчули на собі вплив кризи, йдуть з бізнесу протягом наступних п'яти років. Якщо додати до цього підсумки дослідження Hitachi Data Systems, за оцінкою якої середня вартість втрати комп'ютерних даних становить близько 1,5 млн євро, то стає очевидним, що до питання забезпечення безперервності варто поставитися дуже уважно.

Але далеко не завжди банк може дозволити собі придбати необхідні ресурси для підстраховки на випадок надзвичайних подій, а страховка не завжди покриває всі ризики. У той же час як багато організацій готові швидко зреагувати під час кризи, щоб:

* визначити критичність бізнес-процесів;

* зрозуміти, які ресурси необхідні для підтримки цих процесів;

* вирішити, хто з працівників може знадобитися і коли;

* забезпечити логістику і транспорт;

* забезпечити наявність вільних приміщень для людей;

* забезпечити обладнання та комп'ютерну техніку;

* замінити і відновити IT-системи;

* переконатися, що банк може легко бути на зв'язку зі своїми клієнтами.

Ключовий елемент процесу забезпечення безперервності - це планування, яке якраз і полягає в підготовці певного плану дій для конкретного сценарію аварійної ситуації, що включає в себе процедури резервного копіювання та підготовку резервного устаткування для подолання НП.

Фінансове питання

Рішення, які приймаються в перші кілька годин після події, яка спричинила за собою порушення в операційній діяльності компанії, особливо критичні, і всі наступні кроки будуть мати значні фінансові наслідки. Іншими словами, якщо щось піде не так, це буде коштувати значну суму грошей.

Мета забезпечення безперервності бізнесу полягає не лише в підтримці мінімального рівня обслуговування клієнтів, але і в обмеженні впливу на фінансову позицію банку за допомогою гарантування того, що критичні функції будуть продовжувати функціонувати протягом кризи, а відновлення інших функцій буде під контролем.

У організації, де є ефективний і добре протестований план забезпечення безперервності, більше шансів приймати правильні рішення в перші кілька годин і зробити коректні дії, щоб обмежити вплив на фінансову позицію. У такому випадку банк має набагато кращі шанси зазнати менше витрат під час будь-яких збоїв і переривань.

Якщо коротко, то відмова від розробки і використання планів безперервності означає прийняття непотрібного ризику, який прямо вплине на майбутнє компанії, її прибутковість.

Конкурентна перевага

Банк, який має підтверджений і протестований план забезпечення безперервності бізнесу, може проінформувати своїх клієнтів про те, що в разі настання будь-яких надзвичайних подій він буде гарантувати безперервність надання продуктів і послуг.

Це служить значною конкурентною перевагою і підтверджує той факт, що впровадження системи управління безперервністю (від англ. bcm - business continuity management) - не просто додаткові адміністративні витрати. Подібна заява робить банк більш привабливим в очах потенційних клієнтів і таким чином створює додаткову вартість.

Крім того, існування планів безперервності стає необхідною умовою для великих компаній, які також розробляють свої плани і оцінюють потенційних постачальників послуг з точки зору уразливості їхнього бізнесу. Великі банки тільки починають стикатися з тим, що мультинаціональні корпорації довідуються про наявність у них планів безперервності й негативна відповідь, як правило, призводить до відмови від підписання партнерських угод.

Якщо говорити про лояльність споживачів, що може трапитися, якщо в банку порушиться нормальний хід роботи? Чи будуть залишатися лояльними клієнти і як довго вони зможуть чекати, перш ніж піти в банк-конкурент? І якщо все-таки підуть, то чи зможе банк коли-небудь їх повернути?

Регулятивні вимоги

"Базель II" вимагає від банків розкриття інформації про те, як вони керують своїми ризиками, і при розрахунку розміру операційного ризику дозволяє частково покривати його страховкою. З іншого боку, страхові компанії вимагають від банків наявності детальних планів організації безперервності та забезпечення діяльності при потенційному настанні кризових ситуацій.

Виявлення критичних процесів, які мають системну значимість, значною мірою є завданням Центрального банку. Наприклад, Нацбанк України вимагає від банків забезпечення безперервності при роботі в системі електронних платежів (СЕП НБУ). У разі неможливості відновити роботу протягом одного дня з моменту збою в платіжному сайті, Національний банк відключає учасника від системи, що тягне за собою повний колапс платіжної функції і ставить існування банку під великий сумнів. А якщо це банк системоутворюючий, то тоді може постраждати і вся банківська система країни.

Одним з ключів до забезпечення безперервності, на думку центральних банків, служать резервування баз даних операційного дня та їх правильне зберігання. Це процес, який вимагає не лише архівування інформації, а й управління даними всередині циклу. Для того щоб використовувати бази даних під час кризи, вони повинні зберігатися в місці, віддаленому від основних офісів компанії. Більшість європейських компаній в даний момент розглядають 10-15 кілометрів від центральних офісів як найбільш прийнятну дистанцію для розташування сховища (дата-центру). Віддалений доступ до баз даних - лише частина випробування: організація повинна бути впевнена в тому, що операційні процеси працюють. Це вимагає регулярного планування і тестування процесів для готовності відновити діяльність у будь-який момент після аварійного відключення систем.

У даний момент НБУ прямо вимагає від банків забезпечити безперервне функціонування автоматизованої банківської системи (АБС банку), каналу зв'язку з СЕП НБУ і формування електронних архівів важливих даних (Постанова № 265). Фактично в більшості банків питання відновлення діяльності перебуває суто в віданні департаменту інформаційних технологій, що є лише частковим вирішенням проблеми. Всі інші питання планування на випадок непередбачених обставин викладені в якості рекомендацій досить бідно (Постанова №271). Однак якщо відчуття нестабільності в організації і в роботі бізнес-процесів поступово наростає, то тоді банк може також зіткнутися з істотними проблемами.

Так чи інакше, вказівки регуляторів дають можливість зробити припущення, що банки - критична ланка для інфраструктури всієї країни, а в разі кризи, якщо обрушиться банківська система, країна може впасти на коліна, якщо не матиме ефективних заходів протидії. Приміром, в одній з африканських держав великий держбанк відповідає за щомісячне проведення платежів для армії. Якщо щось піде не так і він не зможе вчасно відправити платіж, то з великою часткою впевненості можна говорити про нову громадянську війну, тому що армія відмовиться підтримувати порядок в країні. Цей простий приклад наочно демонструє ступінь важливості забезпечення безперервності роботи в банківському секторі.

Розуміння процесів

Одна з вигод, які обіцяє впровадження системи управління безперервністю бізнесу, - це розуміння того, що власне являє собою банк і що є для нього важливим. Такі висновки можна однозначно зробити відразу після проведення оцінки впливу збоїв і переривань на бізнес (від англ. Business impact analysis), потужного інструменту розробки планів безперервності.

Під час оцінки менеджер проекту зазвичай проводить рев’ю всіх бізнес-процесів і намагається (за допомогою власників бізнес-процесів) найбільш вірогідно визначити вплив простою даного процесу на бізнес банку протягом деякого періоду часу (тимчасових інтервалів), але, як правило, до одного місяця.

Отримання цієї інформації дає можливість організації ранжувати процеси за ступенем їх критичності і більш ефективно розподілити ресурси для досягнення основних цілей і вирішення важливих завдань, ніж коли некритичні другорядні процеси можуть якийсь час жити самі по собі, без необхідності їх підтримки. Приміром, за умови функціонування IT-систем деякі підрозділи центрального офісу банку, які підтримують продуктовий ряд, можуть не працювати більше місяця. Іншими словами, організація повинна бути здатна знайти те, що для неї критично, а що може бути передано на аутсорсинг (скажімо, моніторинг застав) або залишено без нагляду (наприклад, відкриття та підтримка кореспондентських відносин).

Управління безперервністю забезпечує розуміння ланцюжка постачальників, а також те, в якому місці він перетинається з виконанням критичних і некритичних функцій. Це допомагає впевнитися, що критичні процеси будуть без будь-яких збоїв і переривань забезпечені постачальниками та провайдерами ключових послуг, а також дає базу для майбутнього рев’ю своїх партнерів.

Деякі банки намагаються максимально підстрахуватися на випадок надзвичайних подій, купуючи дорогі страхові продукти, приміром повне майнове страхування. Однак зі зростанням страхових премій банки не можуть бути впевнені, що вони отримають адекватний захист. Крім цього, страховка, як правило, не покриває втрату потенційних доходів від залучення нових клієнтів, втрату існуючих клієнтів (розрахунок робиться виходячи з доходу, який приносить клієнт протягом усього "терміну життя" у банку), втрату репутації, втрату вартості бренду.

ЗБіВД - річ витратна

Звичайно, імплементація планів забезпечення безперервності і відновлення діяльності - дуже дороге задоволення для банку. Але не тільки це стає каменем спотикання для розробників програм забезпечення безперервності. Складними для виконання можуть бути вимоги щодо обладнання віддаленого резервного пункту для АРМ СЕП, АРМ НБУ та спеціаліста IT-безпеки. Проблему також становить поточна процедура генерації та використання секретних ключів на резервному майданчику в разі знищення або недоступності приміщення банку.

Артем Румянцев

  • i

    Якшо Ви помітили помилку, виділіть необхідну частину тексту й натисніть Ctrl+Enter, щоб повідомити про це нам.

Також з цієї теми: Казна та Політика
Дивись також
Рейтинг популярності матеріалу «Забезпечення безперервності критичне для бізнесу» на Finance.ua - 2.2
Топ новини
Обговорюють

Читають

В Контексті Finance.ua