программа обучения по плану онивд
План ОНиВД
План ОНиВД – совокупность мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств. Это внутренний документ банка, который определяет комплекс действий по предотвращению или своевременной ликвидации последствий нарушения режима работы финансового учреждения, вызванного возникновением чрезвычайной ситуации или иным событием, препятствующим выполнению кредитной организацией принятых на себя обязательств.
Рекомендации по структуре и содержанию плана, а также по организации проверки возможности его выполнения приведены в приложении 5 к положению ЦБ РФ от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
Работы банка по составлению и поддержке плана ОНиВД в актуальном состоянии можно разделить на три этапа: разработка, которая в себя также включает согласование и утверждение плана, а также пересмотр и проверка.
При разработке плана анализируются следующие факторы:
– виды и характер возможных непредвиденных обстоятельств и степень их воздействия на деятельность кредитной организации;
– перечень критически важных внутренних банковских процессов, а также автоматизированных информационных систем, обеспечивающих их осуществление;
– показатели восстановления внутренних банковских процессов, в т. ч. такие, как срок восстановления, допустимый размер материальных затрат и потерь информации.
В план рекомендуется включать:
– порядок его реализации;
– перераспределение обязанностей и полномочий между подразделениями и служащими банка в случае возникновения непредвиденных обстоятельств;
– перечень установленных в кредитной организации процедур, выполнение которых необходимо для успешной реализации плана ОНиВД, а также очередность и сроки их выполнения. Например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг, обеспечивающих реализацию плана, и т. д.;
– порядок взаимодействия (в т. ч. порядок экстренного оповещения и связи) между органами управления, подразделениями и служащими кредитной организации при возникновении непредвиденных обстоятельств;
– порядок информирования заинтересованных лиц о возникновении чрезвычайных ситуаций и взаимодействия с ними (в т. ч. с Банком России);
– детальные инструкции для подразделений и служащих финансового учреждения, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;
– порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.
Для того чтобы служащие банка были готовы при возникновении непредвиденных обстоятельств действовать согласно плану ОНиВД, нужно проводить обучение, включающее в себя также проведение учений. Тестировать план следует не реже одного раза в год. Для этих целей рекомендуется определить группу наблюдателей, контролирующую выполнение предусмотренных планом ОНиВД мероприятий. По итогам проверки группа составляет протокол и отчет.
План необходимо пересматривать не реже одного раза в два года. При этом надо учитывать недостатки, обнаруженные в ходе его тестирования, а также вновь выявленные факторы, которые могут привести к нарушению повседневного функционирования кредитной организации в случае возникновения чрезвычайных ситуаций.
План онивд: внедрение и тестирование
«Внутренний контроль в кредитной организации», 2010, N 1
Одним из основных вопросов, волнующих банки в ходе разработки планов обеспечения непрерывности и (или) восстановления деятельности, является окупаемость затрат на планируемые мероприятия. В этой связи оказались широко распространенными пренебрежительное отношение к данному процессу и уверенность, что чрезвычайное событие произойти никак не может. Но практика показывает, что от пожара, землетрясения, теракта, сбоев и аварий электроэнергетических сетей и т.д. не может быть застрахован ни один банк.
Разработка и реализация мероприятий по обеспечению непрерывности деятельности, позволяющих участникам финансовой системы выдержать воздействие широкомасштабной катастрофы или событий, влияющих на их способность осуществлять расчетные операции, должны оставаться в числе их важнейших задач.
Удачным примером реализации такого рода мероприятий являются действия руководства и сотрудников американского UnionBank. Утром 11 сентября 2001 г. его руководители находились на конференции в штате Аризона, когда услышали об атаке террористов. К тому времени их офисы на 14-м этаже Всемирного торгового центра в Нью-Йорке уже не существовали. Менеджеры срочно отправились на частном автомобиле (рейсы самолетов были отменены) в отделение UnionBank в Калифорнии за 360 миль, куда согласно плану реагирования были переведены электронные операции в расположенный там аварийный офис банка. В результате слаженных и оперативных действий руководства и ответственных сотрудников, располагающих жизнеспособным планом обеспечения непрерывности деятельности, банк смог восстановить все свои операции к концу того же дня, а служба информационных технологий восстановила свой потенциал уже через неделю. Следует отметить, что по роковому совпадению банк еще в 1993 г. проводил репетицию разрушения Всемирного торгового центра и выхода из строя своего офиса.
Управление непрерывностью деятельности как элемент риск-менеджмента
Управление непрерывностью бизнеса следует рассматривать как важную часть системы управления рисками банка, которая включает в себя не только процесс, обеспечивающий восстановление и продолжение хозяйственной деятельности в чрезвычайной ситуации, но и мероприятия по анализу существующих и возможных угроз, позволяющие поддерживать планы обеспечения непрерывности бизнеса в актуальном состоянии.
Примечание. Координация процесса управления непрерывностью деятельности осуществляется подразделением риск-менеджмента (в частности, тем его направлением, которое занимается операционными рисками), контроль за данным процессом традиционно возлагается на службу внутреннего контроля.
Эффективное внедрение системы управления непрерывностью деятельности банка обусловлено рядом ключевых моментов, которые находятся в ведении подразделений внутреннего контроля. Система должна:
Для унификации оценки воздействия негативных событий на банк подразделения системы внутреннего контроля совместно с ответственными подразделениями должны выработать единую классификацию степеней воздействия на компанию, например опираясь на шкалы оценки операционного или других нефинансовых рисков. В мировой практике рекомендуют также определить единые для системы риск-менеджмента и системы управления непрерывностью бизнеса описания средств реагирования на негативные события и требования к эффективности мониторинга.
Business Continuity Management: Good Practice Guidelines // The Business Continuity Institute. Great Britain, 2008.
В этой связи служба ВК должна убедиться в соблюдении банком следующих условий:
Подразделение внутреннего контроля должно обеспечить наличие всех факторов эффективности управления непрерывностью деятельности банка, в частности:
В плане по обеспечению непрерывности деятельности особое внимание уделяется характеру воздействия, а не источникам нарушений. При этом план должен содержать подробные указания по восстановлению деловых операций после их нарушения до уровня, достаточного для того, чтобы обеспечить выполнение обязательств за определенный период времени.
В мировой практике, наряду с планом ОНиВД, в целях алгоритмизации действий по снижению последствий нарушения непрерывности деятельности, которые могут способствовать усилению влияния различных видов рисков банковской деятельности, банки либо разрабатывают ряд самостоятельных плановых документов, либо вносят корректировки в действующие внутрибанковские положения и инструкции. Так, план действий по отказу от инициатив, которые не соответствуют стратегическим целям, разрабатывается с целью нейтрализовать воздействие стратегического риска. План своевременных и эффективных действий в случае ущерба заемщикам банка, вызванного чрезвычайной ситуацией, разрабатывается в рамках управления кредитным риском. Кстати, такие планы должны включать возможность дополнительного вливания капитала, потребность в корректировке кредитных лимитов и т.д.
План управления рыночным риском должен предусматривать мероприятия на случай возникновения чрезвычайных событий как в торговом, так и в неторговом портфелях и других видах бизнеса. Должны быть определены возможные методы смягчения рыночного риска. План на случай кризиса ликвидности должен уделять внимание тому, как будет осуществляться управление ликвидностью в чрезвычайных обстоятельствах. Этот план должен пересматриваться чаще обычного и включать возможные меры, реализуемые в различных временных рамках в зависимости от условий рынка, а также требования к инфраструктуре, необходимой для обеспечения таких действий.
Например, план в отношении секьюритизации кредитного портфеля должен содержать оценку информации, которая требуется для проведения такой секьюритизации, и возможности информационных систем банка предоставлять такую информацию. Если необходимая информация не может быть предоставлена, то руководству банка следует или пересмотреть свой план, или модернизировать свои информационные системы. Также этот план должен идентифицировать изменения в ключевых факторах, которые вызывают изменения в распределении и частоте отчетов высшему руководству. Этот план должен определять ответственность за коммуникации в банке и вне банка, например с рейтинговыми агентствами и регуляторами.
План действий по управлению правовым риском должен обеспечивать готовность банка реагировать на события, связанные с требованиями к внутреннему контролю, правовым или регулятивным нормам, которые могут существенно повлиять на работу банка. План мероприятий по нейтрализации риска потери репутации должен обеспечивать готовность банка реагировать на неожиданные неблагоприятные события. Банк должен считаться с теми инцидентами, которые происходили с другими банками в прошлом. Такие примеры могут использоваться для проверки того, как банк мог бы реагировать в подобных обстоятельствах.
И наконец, планы в области управления операционным риском должны гарантировать клиентам и инвесторам банка его способность немедленно восстанавливать работоспособность своих ключевых систем и процессов, нарушение которой произошло вследствие возникновения чрезвычайных обстоятельств. Этот план охватывает операционные системы, помещения, телекоммуникации и ресурсы.
В соответствии с рекомендациями Банка России, разработанными с учетом международного опыта, планирование обеспечения непрерывности в банке должно строиться по модульному принципу. Это означает, что кредитная организация не должна ограничиваться одним документом, описывающим процесс обеспечения непрерывности бизнеса банка в целом. Планы должны разрабатываться для отдельных структурных подразделений и отдельных направлений деятельности банка и быть при этом комплексными (в соответствии с Положением ЦБ РФ от 16.12.2003 N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» и с учетом международного опыта, в т.ч. принципов Базельского комитета по банковскому надзору).
Этапы составления плана ОНиВД
В свою очередь, план восстановления состоит из четырех взаимосвязанных этапов:
а) определить условия и частоту тестирования:
б) оценить результаты тестирования;
в) принять процедуры для пересмотра и сопровождения плана;
г) провести обучение сотрудников, задействованных в процессе выполнения плана;
Данный структурированный подход к планированию непрерывности бизнеса банка, представляющий собой некий цикл, может применяться в отношении всех видов планов для прогнозирования влияния чрезвычайных событий на каждый вид банковского риска, на каждый бизнес-процесс. При этом каждая кредитная организация может вносить свои коррективы в предлагаемый выше процесс планирования непрерывности деятельности в зависимости от специфики своих операций.
Внедрение плана может сопровождаться:
Процесс введения плана ОНиВД в действие, как правило, включает в себя определенную последовательность действий, которые так же, как и все детали плана, описанные выше, должны быть четко структурированы и сформулированы в плане ОНиВД. К таким действиям относятся:
Введение плана ОНиВД предусматривает работу определенных групп ответственных лиц, которые действуют сообща, руководствуясь целями и задачами, поставленными в плане ОНиВД и в положениях по их созданию. Группы создаются в банке заранее в «благополучный» период времени. К таким группам относятся следующие:
Примечание. При введении Плана ОНиВД параллельно вводятся в действие документы, содержащие такую важнейшую информацию, как схемы коммутации телефонов, процедуры для аварийного отключения питания; организационную структуру, требования к оборудованию и снабжению и конфигурацию центра восстановления; список критически важных приложений, вступающих в действие одновременно с планом ОНиВД, список восстанавливаемого оборудования, а также сводные данные по оценке рисков.
План ОНиВД должен учитываться при стратегическом и бизнес-планировании каждого из направлений деятельности банка. Он должен быть доступен для персонала, инкорпорироваться в должностные инструкции и положения. Кроме того, план должен быть составлен таким образом, чтобы была возможность его пересмотра и обновления в централизованном порядке (координатором процесса планирования непрерывности деятельности (например, подразделением внутреннего контроля), ответственными подразделениями, группами, комитетами банка) в зависимости от развития внешней и внутренней среды деятельности банка. План ОНиВД должен подвергаться периодическому аудиту и стресс-тестированию.
Аудит и тестирование плана ОНиВД
Признать план ОНиВД как эффективный инструмент восстановления работоспособности банка при чрезвычайном происшествии можно только в том случае, если в его основе как минимум заложено определение того, что такое нормальное функционирование банка, как банк намерен идентифицировать произошедшее изменение, оценивать его, классифицировать и как будет запускать процесс управления кризисным событием.
В этой связи чрезвычайно большое значение приобретает организация аудита плана ОНиВД и его тестирования на предмет жизнеспособности. Ключевым подразделением, ответственным за проведение такого аудита, является подразделение внутреннего контроля.
В банке должен быть предусмотрен порядок обновления и регулярной проверки на жизнеспособность самого процесса планирования обеспечения непрерывности деятельности банка. Служба ВК должна проводить внеочередные ревизии этого плана тогда, когда в банке происходят изменения бизнеса, процессов на уровне банка или в целом на уровне рынка, поскольку появляются новые угрозы и новые бизнес-процессы.
Аудит плана ОНиВД должен проходить по заранее разработанной программе, в которой подразделению внутреннего контроля следует учитывать изменения в кадровом составе банка, его политике, процедурах, обеспечении, оборудовании, аутсорсинге и перечне поставщиков.
Аудит плана ОНиВД включает в себя собственно анализ процесса составления, мониторинга и корректировки плана в соответствии с требованием обеспечения его жизнеспособности и тестирование плана ОНиВД.
Аудит процесса планирования может осуществляться посредством проведения службой ВК самооценки согласно заранее проработанному списку контрольных вопросов, например:
В банке должна быть принята письменная директива правления или совета банка с определением сроков разработки плана ОНиВД. Документ должен быть при этом простым, эффективным, логичным, прогрессивным и приемлемым для специфики данного банка;
Банк должен создать такую группу. В ее состав необходимо включить высших менеджеров и руководителей подразделений с представительством третьих сторон (поставщиков, провайдеров);
Каждая функция должна содержать приоритетные задачи для выполнения и вторичные, которые решаются уже после выполнения приоритетных и т.д.
Для того чтобы удостовериться, осознает ли персонал компании свою роль и понимает ли порядок своих действий при возникновении кризисной ситуации, банкам необходимо провести хотя бы один «прогон» разработанного плана ОНиВД.
Существует множество подходов к тестированию планов, при этом каждый следующий этап тестирования основывается на выводах, сделанных по итогам предыдущих «прогонов». Пошаговое рассмотрение планов позволяет службе ВК получить необходимое представление о том, что же надо усовершенствовать. Уровень стресса среди участников тестирования при проведении такого «прогона» минимален.
Тестирование обычно начинается с презентации и рассмотрения гипотетического сценария развития событий с руководителями ответственных подразделений. Как правило, подразделение внутреннего контроля ответственно за координацию данного процесса. Каждую из потенциальных проблем обсуждают отдельно, а участники решают их путем «мозгового штурма». Подобный вид тестирования получил название имитационного моделирования. Участники процесса тестирования плана ОНиВД собираются и тестируют план в условиях, максимально приближенных к действительности, чтобы выяснить, насколько слаженно работает команда под ограниченным давлением. В ходе такой своеобразной «игры» участники управляют фиктивным инцидентом, информационными потоками, принимают решения, протоколируют свои действия, а также учатся решать нетривиальные задачи и слаженно работать в команде.
Имитационное моделирование с участием нескольких команд (можно привлечь также работников филиала банка, в который планируется перенести основной офис после возникновения чрезвычайного происшествия) расширяет предыдущую версию «прогона» за счет динамики их взаимодействия. В этом случае основное внимание уделяется координации действий, эффективной передаче информации и контролю. Такие «прогоны» часто помогают выявить элементы общего плана, которые не были затронуты на предыдущих этапах или поручены нескольким командам одновременно.
Полномасштабные прогоны планов (в них задействованы все работники банка) проводятся после того, как все предыдущие формы тестирования были успешно пройдены. В результате тестирования может оказаться, что составленные планы требуют более детальной проработки. Поэтому-то и необходимо создать систему непрерывного обновления планов. Следует отметить, что такой вид тестирования позволяет сотрудникам внутреннего контроля наглядно убедиться в жизнеспособности планов ОНиВД банка.
В зарубежной практике помимо имитационного моделирования применяются также такие виды тестирования плана ОНиВД, как:
Примечание. К участию в разработке плана ОНиВД и его тестировании целесообразно допускать и внешних консультантов, которые не только способны со стороны оценить эффективность такого плана, но и предложить для адаптации лучшую практику управления рисками. В этом случае задачей службы внутреннего контроля становится оценка применимости таких рекомендаций по отношению к банку.
Круг участников тестирования должен постоянно расширяться, чтобы в него оказалось вовлечено как можно большее число менеджеров и специалистов. Службе ВК следует проводить анализ результатов тестирования и представлять отчетность о результатах, предложения по изменению плана высшему руководству банка.
Прежде чем приступить к тестированию плана ОНиВД, подразделение внутреннего контроля банка должно разработать специальную программу.
В зарубежной практике разработка программы тестирования планов ОНиВД строится на основе определенного набора принципов :
Примечание. Программа тестирования должна включать в себя роли и обязанности сотрудников банка, которые им надлежит исполнять в процессе тестирования, стратегию и план тестирования, ожидаемые результаты тестирования, методы оценки результатов и отчетность, независимость подразделения, производящего оценку результатов, порядок внесения изменений в план ОНиВД по результатам тестирования.
Программа тестирования должна быть разработана таким образом, чтобы охватить все возможные угрозы непрерывности деятельности банка в случае непредвиденных обстоятельств и дать гарантию, что банк будет в состоянии обеспечить скорейшее восстановление критических банковских операций, включая поддержание в рабочем состоянии инфраструктуры, основных систем обеспечения деятельности банка.
Тестирование плана ОНиВД должно проводиться по заранее составленному плану, в соответствии с возможными сценариями развития событий, которые также должны быть запланированы. Сценарии обычно включают в себя все виды недостатков и возможностей различных методов тестирования, которые планируются банком. Менеджмент банка должен предусмотреть также потребности и затраты, необходимые для тестирования плана ОНиВД.
Примечание. Подразделению внутреннего контроля рекомендуется разработать список контрольных вопросов по оценке качества управления непрерывностью деятельности банка и необходимую шкалу его оценки.
В западной практике в план тестирования включают:
Методы тестирования, используемые банком, фокусируются на восстановлении деловых операций и банковских объектов, подвергшихся внешнему воздействию в результате чрезвычайного события. Каждый из методов тестирования содержит определенные характеристики, цели, задачи и ресурсы, требуемые для его проведения.
Тестирование делового восстановления предполагает восстановление банком своих операций за минимально определенные периоды времени. В этой связи тестирование включает в себя определение надежности и возможности оперативного восстановления банковских технологий и систем. Проводится проверка, какие именно рабочие места способны будут обеспечить оперативный доступ к критическим (клиентоориентированным) операциям банка и бизнес-процессам. Исчерпывающий тест включает в себя обработку информации по нагрузке и возможностям рабочих мест банка и профессионализму его сотрудников. Данные тесты позволяют банку грамотно расставить кадры, перераспределить ресурсы, нагрузку на рабочие места и т.д.
По итогам тестирования подразделение внутреннего контроля должно задокументировать сам процесс тестирования с выявлением сильных и слабых сторон плана ОНиВД, проявившихся в процессе испытания, оценить качество выполнения персоналом банка своих функций по направлению восстановления деятельности. Кроме того, подразделению внутреннего контроля следует организовать проверку адекватности самооценки подразделений в выполнении плана ОНиВД, которую они проводили в ходе испытаний.
В частности, проверке подвергаются отчеты, составленные руководителями рабочих групп и подгрупп процесса восстановления бизнеса банка, оценка действий персонала банка. По ее результатам могут быть приняты решения по ротации персонала на позиции, которые в наибольшей степени отвечают его профессиональной подготовке в вопросах восстановления бизнеса банка. Анализу подвергаются также проблемы, выявленные в процессе тестирования, и их оценка.
Все выводы, рекомендации и решения по возможной корректировке плана ОНиВД служба ВК представляет на рассмотрение совету директоров.
Совет директоров может привлекать к тестированию плана ОНиВД также сторонних наблюдателей и сверять затем их данные с данными подразделения внутреннего контроля, что позволяет повысить объективность оценки готовности банка к возможным чрезвычайным происшествиям.
По итогам тестирования, как правило, вносятся необходимые изменения в план ОНиВД, которые также инициируются подразделением внутреннего контроля и утверждаются советом директоров банка.
Приложение 5. Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, а также по организации проверки возможности его выполнения
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в название внесены изменения
Приложение 5
к Положению Банка России
от 16 декабря 2003 года N 242-П
«Об организации внутреннего контроля в
кредитных организациях и банковских группах»
Рекомендации
по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, а также по организации проверки возможности его выполнения
С изменениями и дополнениями от:
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в пункт 1 внесены изменения
2. Кредитной организации рекомендуется определить порядок разработки, согласования, утверждения, пересмотра и проверки (тестирования) Плана ОНиВД с указанием полномочий ее органов управления и подразделений.
3. Разработку Плана ОНиВД рекомендуется проводить с учетом анализа следующих факторов:
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 3.1 внесены изменения
3.1. виды и характер возможных нестандартных и чрезвычайных ситуаций, связанные с ними виды и степени воздействия на деятельность кредитной организации, способные нарушить режим повседневного функционирования кредитной организации и способность выполнять принятые на себя обязательства;
3.2. перечень критически важных с точки зрения обеспечения режима повседневного функционирования кредитной организации внутренних банковских процессов (совокупности последовательных и законченных действий по осуществлению банковских операций и сделок), а также автоматизированных информационных систем, обеспечивающих их осуществление;
3.3. показатели восстановления внутренних банковских процессов, в том числе такие, как: срок восстановления, допустимый размер материальных затрат, допустимый размер потерь информации.
Указанные показатели, а также устанавливаемые на их основе критерии непрерывности осуществления внутренних банковских процессов рекомендуется определять с учетом необходимости соблюдения кредитной организацией требований законодательства Российской Федерации, в том числе нормативных актов Банка России, и выполнения принятых на себя обязательств.
4. Целями Плана ОНиВД рекомендуется определить, в том числе:
поддержание способности кредитной организации выполнять принятые на себя обязательства перед вкладчиками и кредиторами, в том числе перед Банком России (по кредитам Банка России, уплате процентов по ним и другим денежным обязательствам перед Банком России);
предупреждение и предотвращение возможного нарушения режима повседневного функционирования кредитной организации;
снижение тяжести последствий нарушения режима повседневного функционирования кредитной организации (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
сохранение уровня управления кредитной организацией, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
обеспечение способности кредитной организации осуществлять расчеты в соответствии с принятыми на себя обязательствами, в том числе по кредитам Банка России, процентам по ним и другим денежным обязательствам перед Банком России;
обеспечение информационной безопасности кредитной организации, в том числе ее расчетной системы;
обеспечение благоприятных условий труда и безопасности служащих кредитной организации, безопасности лиц, находящихся в помещениях (посетителей) кредитной организации.
5. Разработку и принятие Плана ОНиВД рекомендуется осуществлять с учетом норм Федерального закона от 21 декабря 1994 года N 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 1994, N 35, ст. 3648; 2002, N 44, ст. 4294; 2004, N 35, ст. 3607; 2006, N 50, ст. 5284; N 52, ст. 5498; 2007, N 45, ст. 5418; 2009, N 1, ст. 17), в том числе в рамках мероприятий по выполнению требований статьи 14 указанного Федерального закона.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в пункт 6 внесены изменения
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в пункт 7 внесены изменения
8. Кредитным организациям банковской группы рекомендуется обеспечить единство подходов при разработке Планов ОНиВД и осуществлять совместные действия в целях обеспечения непрерывности своей деятельности и (или) ее восстановления.
9. Содержание Плана ОНиВД.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 9.1 внесены изменения
9.1. В План ОНиВД рекомендуется включать:
перераспределение обязанностей и полномочий как между подразделениями, так и между служащими кредитной организации в условиях чрезвычайного режима с учетом взаимозаменяемости служащих в случае отсутствия (недоступности) ответственных и (или) уполномоченных служащих;
перечень установленных в кредитной организации процедур, выполнение которых в режиме повседневного функционирования кредитной организации необходимо для успешной реализации Плана ОНиВД (например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг (работ), обеспечивающих реализацию Плана ОНиВД), а также очередность и сроки их выполнения;
порядок взаимодействия, в том числе порядок экстренного оповещения и связи, между органами управления, подразделениями и служащими кредитной организации при возникновении нестандартных и чрезвычайных ситуаций;
порядок информирования заинтересованных лиц о возникновении нестандартных и чрезвычайных ситуаций, порядок взаимодействия с заинтересованными лицами, в том числе с Банком России, по вопросам обеспечения непрерывности и (или) восстановления деятельности кредитной организации;
детальные инструкции для подразделений и служащих кредитной организации, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;
порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 9.2 внесены изменения
9.2. В целях обеспечения способности кредитной организации выполнять принятые на себя обязательства и минимизировать возможные негативные последствия нестандартных и чрезвычайных ситуаций в Плане ОНиВД рекомендуется определить порядок осуществления внутренних банковских процессов в чрезвычайном режиме.
9.2.1. Для каждого внутреннего банковского процесса рекомендуется определить уровень его осуществления, в том числе:
осуществление на уровне, соответствующем уровню осуществления внутреннего банковского процесса в режиме повседневного функционирования;
осуществление на заданном (сниженном по сравнению с уровнем режима повседневного функционирования) уровне в течение заданного периода времени;
прекращение его осуществления (планомерное или максимально быстрое и безопасное).
9.2.2. Для каждого критически важного для деятельности кредитной организации внутреннего банковского процесса рекомендуется дополнительно определить:
критерии непрерывности осуществления;
помещения, предназначенные для осуществления процесса в чрезвычайном режиме в случае недоступности помещений, используемых в режиме повседневного функционирования. Для этих целей рекомендуется определить запасные помещения, территориально удаленные от мест основного расположения кредитной организации и поддерживаемые в состоянии готовности для использования в чрезвычайном режиме, либо помещения, находящиеся в местах основного расположения кредитной организации (ее филиала или иного территориально обособленного структурного подразделения), исходя из возможности увеличения интенсивности использования или изменения назначения указанных помещений в чрезвычайном режиме;
возможность получения услуг, необходимых для осуществления процесса, в случае отказа поставщика указанных услуг (провайдера) кредитной организации от исполнения договорных обязательств, в том числе использование услуг другого поставщика (провайдера) или переход на самообслуживание.
9.2.3. В Плане ОНиВД рекомендуется предусмотреть периодичность и способы создания резервных копий информации, необходимой для осуществления внутренних банковских процессов, с учетом установленных для них критериев непрерывности. Рекомендуется определить места хранения и способы доставки резервных копий до мест хранения, а также способы и сроки восстановления информации.
В Плане ОНиВД рекомендуется определить порядок хранения документированной информации (в том числе данных бухгалтерского и депозитарного учета, реестров обязательств кредитной организации перед вкладчиками), а также порядок восстановления документов в случае утраты их оригиналов.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 9.2.4 внесены изменения
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 9.2.5 внесены изменения
9.2.5. В инструкциях для подразделений и служащих кредитной организации рекомендуется определять:
порядок действий при возникновении нестандартных и чрезвычайных ситуаций или появлении реальной угрозы их возникновения;
процедуры перевода работы в чрезвычайный режим;
порядок осуществления критически важных для деятельности кредитной организации внутренних банковских процессов в чрезвычайном режиме, описание изменений в технологиях их осуществления, если Планом ОНиВД предусмотрены такие изменения;
порядок доступа к ресурсам, необходимым для работы в чрезвычайном режиме.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 9.2.6 внесены изменения
9.2.6. В Плане ОНиВД рекомендуется предусмотреть порядок восстановления нарушенных внутренних банковских процессов после ликвидации последствий нестандартных и чрезвычайных ситуаций, критерии, позволяющие принять решение о завершении работы в чрезвычайном режиме, и порядок принятия такого решения, а также порядок возврата в режим повседневного функционирования.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в пункт 10 внесены изменения
10. В целях реализации Плана ОНиВД и сохранения уровня управления кредитной организацией в условиях нестандартных и чрезвычайных ситуаций при необходимости возможно предусмотреть передачу полномочий по оперативному руководству деятельностью кредитной организации органу чрезвычайного управления.
С учетом определенных кредитной организацией порядка создания органа чрезвычайного управления, его полномочий и сроков их действия, Планом ОНиВД возможно предусмотреть осуществление указанным органом следующих функций:
определение степени влияния нестандартных и чрезвычайных ситуаций на деятельность кредитной организации, составление перечня потерь, оценка размера нанесенного ущерба;
координация работ по обеспечению непрерывности и (или) восстановления деятельности кредитной организации, принятие решений о реализации модулей Плана ОНиВД;
информирование заинтересованных лиц о ходе восстановления деятельности кредитной организации и (или) мерах, принятых для обеспечения ее непрерывности;
взаимодействие с Банком России в целях координации совместных действий по обеспечению своевременного проведения расчетов по поручениям клиентов и по обязательствам кредитной организации, а также с другими заинтересованными лицами по вопросам обеспечения непрерывности и (или) восстановления деятельности;
взаимодействие с правоохранительными органами, аварийными и специализированными службами (в том числе с органами внутренних дел, пожарной охраной, аварийно-спасательными службами, учреждениями здравоохранения, органами, осуществляющими государственный санитарно-эпидемиологический надзор);
взаимодействие с коммунальными службами, в том числе по вопросам обеспечения электро-, тепло- и водоснабжения, с поставщиками услуг телефонной и других видов связи;
организация необходимой помощи служащим кредитной организации и членам их семей.
11. Порядок проверки (тестирования) и пересмотра Плана ОНиВД.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 11.1 внесены изменения
11.1. С целью определения возможности выполнения Плана ОНиВД в случае возникновения нестандартных и чрезвычайных ситуаций рекомендуется предусмотреть проведение проверок (тестирования) Плана ОНиВД с периодичностью не реже одного раза в два года. При проверке (тестировании) отдельных модулей Плана ОНиВД рекомендуется обеспечить проверку (тестирование) каждого из них с соблюдением периодичности, установленной для Плана ОНиВД в целом.
Для обеспечения постоянной готовности служащих к действиям на случай нестандартных и чрезвычайных ситуаций рекомендуется организовать изучение Плана ОНиВД на регулярной основе всеми служащими кредитной организации в соответствии со специально разработанной для этих целей программой, включающей проведение учений. Учения рекомендуется планировать таким образом, чтобы оценить реальное время, необходимое для выполнения каждого модуля Плана ОНиВД, и степень подготовленности служащих кредитной организации к работе в чрезвычайном режиме.
При подготовке проверки (тестирования) Плана ОНиВД в форме учений рекомендуется учитывать возможные проблемы, в том числе психологического характера, связанные с необычностью ситуации, ставить перед участниками учений цели по выявлению недостатков Плана ОНиВД и мотивировать их на его совершенствование.
11.2. Решение о проведении проверки (тестирования) Плана ОНиВД рекомендуется оформлять в соответствии с установленным в кредитной организации порядком. При этом рекомендуется определить:
программу, форму и сроки проведения проверки (тестирования) Плана ОНиВД;
перечень подразделений и служащих кредитной организации, участвующих в проверке (тестировании) Плана ОНиВД;
перечень проверяемых (тестируемых) модулей Плана ОНиВД;
перечень ресурсов, предполагаемых для использования при проверке (тестировании) Плана ОНиВД;
состав и обязанности группы наблюдателей (контролеров);
сроки и порядок оформления результатов проверки (тестирования) Плана ОНиВД.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 11.2.1 внесены изменения
11.2.1. Проверку (тестирование) Плана ОНиВД рекомендуется проводить по заранее разработанной и утвержденной исполнительным органом кредитной организации программе, предусматривающей вводные данные (описание сценариев возникновения нестандартных и чрезвычайных ситуаций и связанных с ними факторов нарушения режима повседневного функционирования), подробное описание действий служащих в соответствии с проверяемым (тестируемым) Планом ОНиВД или модулем Плана ОНиВД, требования по срокам завершения промежуточных этапов выполнения Плана ОНиВД.
Информация об изменениях:
Указанием Банка России от 24 апреля 2014 г. N 3241-У в подпункт 11.2.2 внесены изменения
11.2.2. Для проведения проверки (тестирования) Плана ОНиВД рекомендуется определить группу наблюдателей (контролеров), на которую возложить контроль выполнения предусмотренных Планом ОНиВД мероприятий, составление протокола проверки (тестирования) и отчета о проведении проверки (тестирования) Плана ОНиВД.
Для работы в составе группы наблюдателей (контролеров) рекомендуется привлекать служащих кредитной организации, ответственных за разработку Плана ОНиВД, служащих службы внутреннего аудита, а при необходимости, независимых специалистов из организаций, специализирующихся на оказании консультационных услуг в сфере обеспечения непрерывности деятельности и информационной безопасности кредитных организаций.
11.2.3. Протокол проверки (тестирования) Плана ОНиВД рекомендуется вести по установленной внутренними документами кредитной организации форме. При этом в протоколе рекомендуется указывать:
список наблюдателей (контролеров), присутствующих при проведении проверки (тестирования) с указанием лица, ответственного за ведение протокола;
перечень всех процедур, выполняемых в рамках тестируемых модулей Плана ОНиВД, с отметками о соответствии результатов их выполнения Плану ОНиВД;
время, затраченное на завершение промежуточных этапов и реализацию проверяемых (тестируемых) модулей Плана ОНиВД;
Протокол проверки (тестирования) Плана ОНиВД рекомендуется согласовывать с руководителями задействованных в проверке (тестировании) Плана ОНиВД подразделений кредитной организации.
11.2.4. Отчет по итогам проведения проверки (тестирования) Плана ОНиВД рекомендуется составлять на основании согласованного протокола проверки (тестирования) Плана ОНиВД. В отчет рекомендуется включать анализ результатов проверки (тестирования) Плана ОНиВД, предложения по устранению выявленных недостатков и совершенствованию Плана ОНиВД.
11.3. К участию в проверке (тестировании) Плана ОНиВД рекомендуется, при необходимости, привлекать контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, от деятельности которых зависит непрерывность осуществления критически важных для деятельности кредитной организации внутренних банковских процессов и (или) сроки их восстановления.
12. План ОНиВД рекомендуется не реже одного раза в два года пересматривать с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности кредитной организации, утвержденной стратегии развития деятельности кредитной организации, условиям мест нахождения кредитной организации (ее подразделений), а также для устранения недостатков, выявленных в ходе проверок (тестирования) Плана ОНиВД, и учета вновь выявленных факторов, которые могут привести к нарушению повседневного функционирования кредитной организации.