NB-BI-I-077-7/06/363 - Zarządzanie ciągłością działania.

W związku z wprowadzaniem przez banki systemowego podejścia do zarządzania ryzykiem operacyjnym oraz wnioskami wynikającymi z badań przeprowadzonych w tym zakresie przez inspektorów GINB zwracam Państwa uwagę na ogólne zasady dotyczące dobrych praktyk bankowych w procesie zarządzania ciągłością działania (Business Continuity Management, BCM), w tym głównie w zakresie tworzenia planów utrzymania ciągłości działania (Business Continuity Planning, BCP).

Obowiązek zarządzania ciągłością działania i tworzenia planów ciągłości działania wynika z konieczności ochrony oszczędności klientów, a także z naturalnej dla każdej odpowiedzialnej organizacji troski o bezpieczeństwo tej organizacji. Podstawowym celem BCM i BCP jest przeciwdziałanie ryzyku związanemu z przerwami występującymi w działalności banku. BCP powinien określać strategię, która uwzględnia cały zakres ryzyka, zapewnia dostępność usług, wiarygodność i przyswajalność zasobów, a jednocześnie równoważy koszty zarządzania ryzykiem z kosztami utraconych korzyści w przypadku niepodjęcia odpowiednich działań.

Wprowadzenie BCM i BCP poza ograniczaniem ryzyka prowadzi do dodatkowych korzyści takich jak np. poprawa efektywności funkcjonowania organizacji, zwiększenie elastyczności procesów, podniesienie poziomu poczucia bezpieczeństwa. Jednorazowe przygotowanie BCP nie daje natomiast gwarancji odpowiedniego przygotowania banku na potencjalne zagrożenia.

Prawidłowe podejście wymaga podejmowania cyklicznych działań, obejmujących regularną analizę występujących procesów i ocenę ich wpływu na działalność banku, a w konsekwencji wpływających m.in. na wybór strategii reagowania, metody oceny ryzyka i budowę planu BCP.

Badania w ramach przeprowadzonych inspekcji wskazują, że niektóre banki nie są odpowiednio przygotowane do przeciwstawienia się przerwom w działaniu. Część zbadanych banków nie posiada planu utrzymania ciągłości działania, a niektóre były jeszcze na etapie ich przygotowywania. Niektóre banki, choć formalnie posiadały BCP, nie opracowały spójnego planu dla całej organizacji. Koncentrują się one głównie na przygotowaniu rozwiązań na wypadek przerwania działania systemów informatycznych i/lub braku możliwości kontynuowania działalności w lokalizacji podstawowej.

Nie wszystkie badane banki, które opracowały BCP, dokonały identyfikacji procesów krytycznych dla swojej działalności. Niektóre zastosowały podejście aplikacyjne do zasobów, tj. tylko pod kątem krytycznych aplikacji, lub podejście równoległe związane z tworzeniem przez poszczególne jednostki organizacyjne własnych planów podjęcia działania w sytuacji utraty lokalizacji.

Wyniki badań inspekcyjnych wskazały również, że nie we wszystkich przypadkach został dokonany podział odpowiedzialności i uprawnień wśród członków zespołu/sztabu kryzysowego.

Ustalenia inspekcyjne wskazały też, że instrukcje BCP nie zawsze są właściwie przechowywane, np. w zasobach sieciowych w banku, co jest często podyktowane brakiem ośrodka zapasowego. Taka sytuacja jest o tyle niebezpieczna, że może utrudnić dotarcie do planu w przypadku utraty dostępu do lokalizacji lub sieci.

Wyniki badań wskazują również na niedostateczny stopień zaangażowania komórki audytu wewnętrznego banku w proces przeglądu planu utrzymania ciągłości działania. W części banków audyt nie badał zagadnień związanych z BCP, a w tych bankach, w których badał, oceniano jedynie wybrane kwestie dotyczące planowania ciągłości działania. Często udział audytu wewnętrznego ograniczał się do opiniowania wstępnej wersji planu.

Należy podkreślić, że planowanie ciągłości działania stanowi istotny element polityki bezpieczeństwa. Odpowiedzialność za organizację tego procesu spoczywa na zarządzie i radzie nadzorczej banku, które powinny zapewnić, aby w proces opracowywania planu ciągłości działania został zaangażowany zespół wysokiej klasy specjalistów, składający się m.in. z pracowników komórek bezpieczeństwa, informatyki i administracji. Ponadto pracownicy banku zaangażowani w krytyczne procesy operacyjne powinni być na odpowiednim etapie włączeni w tworzenie i utrzymywanie skutecznego BCP. Istotną rolę ogrywa audyt wewnętrzny, który powinien oceniać zarówno jakość stosowanych procedur operacyjnych, które wpływają na prawidłowe funkcjonowanie banku, jak i jakość utrzymania ciągłości działania.

Planowanie ciągłości działania jest związane z projektowaniem działań, które należy podjąć, żeby zapobiec przerwom w działalności biznesowej banku przez ochronę krytycznych procesów biznesowych przed skutkami awarii i katastrof. Planowanie takie jest procesem ciągłym i ma na celu wyeliminowanie konsekwencji (m.in. operacyjnych, finansowych i prawnych) powstałych w wyniku zakłócenia działalności banku, a które wpływają na jakość obsługi klientów i reputację banku. W celu uniknięcia efektu domina szczególnie wysokie standardy zarządzania ciągłością działania powinny być zapewnione przez te instytucje, których funkcjonowanie ma wpływ na innych uczestników rynku finansowego. Z uwagi na specyfikę działalności maklerskiej oraz skalę potencjalnych strat związanych z tego typu działalnością wskazane jest, aby dla tych jednostek sporządzane były odrębne plany utrzymania ciągłości działania.

Identyfikacja krytycznych procesów biznesowych

Kluczem do budowy skutecznego planu utrzymania ciągłości działania jest rozpoznanie funkcji biznesowych banku oraz określenie, które z nich są krytyczne (Business Impast Analysis - BIA) i wymagają szybkiego odtworzenia. Identyfikacja i analiza procesów nie powinny zawężać się jedynie do procesów realizowanych przez bank, lecz obejmować także czynności zlecone podmiotom trzecim. Analiza powinna obejmować zarówno czynniki wewnętrzne, np. zakłócenie działalności systemów informatycznych oraz infrastruktury pozainformatycznej, sabotaż, jak i uwarunkowania otoczenia zewnętrznego, np. prowadzenie działalności w rejonach szczególnie narażonych na klęski żywiołowe lub akty terroryzmu. Po zidentyfikowaniu wszystkich procesów biznesowych należy dokonać ich klasyfikacji pod względem istotności dla bezpiecznego funkcjonowania banku. Należy jednak mieć na uwadze, aby grupa procesów wytypowanych jako krytyczne nie była nadmiernie rozbudowana, gdyż obniża to skuteczność planów BCP Do takiej grupy powinny być przypisane wyłącznie procesy, bez których najważniejsze funkcje banku nie mogą być realizowane, tj. te procesy, które w przypadku wystąpienia zakłóceń wymagają przywrócenia w pierwszej kolejności.

Analiza ryzyka

Kolejnym etapem tworzenia planów utrzymania ciągłości działania jest ocena ryzyka poszczególnych procesów biznesowych. W trakcie analizy ryzyka powinno być brane pod uwagę m.in. prawdopodobieństwo występowania poszczególnych zagrożeń, skutki ich wystąpienia, poziom akceptowanego ryzyka oraz wielkość strat mogących powstać na skutek zakłócenia działalności. Na tym etapie istotnym wsparciem dla budowy planów ciągłości działania może być wykorzystanie wyników testów warunków skrajnych.

Strategia reagowania na zagrożenia

Po zidentyfikowaniu krytycznych procesów i przeprowadzeniu związanej z nimi oceny ryzyka bank powinien opracować strategię reagowania na potencjalne zagrożenia. Określając sposób w sytuacji wystąpienia określonych zagrożeń, należy uwzględnić m.in. możliwość ograniczenia tych zagrożeń przez doskonalenie procesów biznesowych, a także możliwość redukcji skutków zagrożeń przez tworzenie zapasowych kopii danych oraz całych ośrodków przetwarzania. Opracowując taką strategię, można również rozważyć ewentualność ograniczenia potencjalnych strat ze względu na wykorzystanie ubezpieczenia działalności banku (lub części jego działania). Należy jednak przy tym pamiętać, że rozwiązanie takie jest jedynie uzupełnieniem działań podejmowanych przez bank i nie zwalnia banku z obowiązku określenia własnej strategii reagowania na potencjalne zagrożenia.

Prace projektowe nad BCP

Kolejnym etapem w procesie BCM jest przygotowanie planu utrzymania ciągłości działania. BCP powinien być sformułowany w sposób łatwy do zastosowania i utrzymania tak, aby był zrozumiały dla wszystkich jego odbiorców. Plan taki powinien szczegółowo opisywać zasady postępowania mające na celu ograniczenie przerw w działalności do minimum, a także w sposób przejrzysty definiować sytuacje, w których powinny zostać uruchomione procedury awaryjne. Szczególnie ważne w procesie zarządzania sytuacjami awaryjnymi jest jednoznaczne ustalenie zadań i zakresu odpowiedzialności dla kierownictwa banku i kluczowego personelu (z uwzględnieniem członków sztabu kryzysowego i osób odpowiedzialnych za centrum zapasowe oraz personelu operacyjnego), a także wskazanie osób odpowiedzialnych za uruchomienie procedur awaryjnych. Pracownicy odpowiedzialni za realizację zadań wynikających z przyjętych planów powinni mieć zapewnione szkolenia dotyczące postępowania w przypadku wystąpienia zakłóceń w działalności banku.

Podczas konstruowania planu utrzymania ciągłości działania należy również określić precyzyjnie zasady komunikowania się banku z klientami, partnerami i przedstawicielami mediów oraz przygotować wzory komunikatów.

Nie należy również zapominać o zaprojektowaniu odpowiednich procedur kontrolnych dotyczących BCM, BCP i DRP.

Plan przywrócenia działania po katastrofie (Disaster Recovery Plan, DRP)

Ważnym elementem jest również potrzeba opracowania procedur postępowania na wypadek konieczności wznowienia działalności po katastrofie. Z uwagi na fakt, że wiele istotnych procesów biznesowych w bankowości jest realizowanych przy użyciu systemów informatycznych, szczególne wysiłki powinny być skierowane na staranne opracowanie planów przywracania działania tych systemów.

Plan przywracania ciągłości zwykle koncentruje się na zapewnieniu alternatywnych procesów i zasobów niezbędnych do przetwarzania transakcji. Zastosowanie DRP powinno zredukować czas potrzebny na przywrócenie możliwości realizowania transakcji oraz wszelkie koszty z tym związane. Prawidłowe planowanie powinno ograniczyć ryzyko i skutki najpoważniejszych katastrof. Za katastrofę można uznać awarię, która powoduje zatrzymanie działania krytycznych systemów informatycznych przez pewien czas, wpływając negatywnie na działalność operacyjną banku. Należy mieć na uwadze, że - podczas gdy DRP ma na celu zapewnienie przywrócenia funkcjonowania systemów informatycznych w jak najkrótszym czasie - BCP powinien zapewnić odporność krytycznych procesów biznesowych na różne sytuacje awaryjne w okresie długoterminowym, tj. przed powstaniem katastrofy, w trakcie występowania zakłóceń działalności oraz po ustąpieniu niekorzystnych zdarzeń. Podczas tworzenia strategii przywracania systemów informatycznych należy brać pod uwagę takie elementy jak: stopień krytyczności procesu biznesowego i aplikacji wspierających, koszt przestoju i przywrócenia działalności, czas niezbędny do przywrócenia działalności oraz bezpieczeństwo banku.

Z planami DRP ściśle wiąże się kwestia tworzenia kopii zapasowych (backup). Kopie danych powinny być odpowiednio przechowywane zarówno w lokalizacji podstawowej w celu łatwego dostępu do nich w sytuacjach, które nie uniemożliwiają prowadzenia przez bank działalności w tej lokalizacji, jak i na zewnątrz, na wypadek konieczności kontynuowania działalności poza lokalizacją podstawową, tj. np. w ośrodku zapasowym.

Testowanie BCP

W celu weryfikacji efektywności planu utrzymania ciągłości działania bank powinien przeprowadzić jego okresowe testy. Korzyścią wynikającą z przeprowadzania testów jest niewątpliwie możliwość oceny praktycznego przygotowania banku do podjęcia działań w sytuacji awaryjnej, a także okazja do podniesienia świadomości pracowników w tym zakresie.

Wyniki dotychczas przeprowadzanych inspekcji wskazują, że banki z reguły zakładają coroczne testowanie i aktualizację BCP. Z uwagi na ograniczone zasoby w praktyce testowanie najczęściej obejmuje tylko pojedyncze procedury lub dotyczy aplikacji i systemów dla wybranych departamentów centrali i niektórych oddziałów banku. Należy jednak przy tym zwrócić uwagę, czy testowaniem objęte są właściwe - z punktu widzenia istotności dla działalności banku - procesy, systemy lub jednostki organizacyjne banku.

W przypadku przygotowania testowania pełnego jego realizacja powinna być zaplanowana i wykonana bardzo ostrożnie, aby zminimalizować zakłócenia normalnego funkcjonowania organizacji.

Weryfikacja i aktualizacja BCP

W ramach zarządzania ciągłością działania bank powinien również przeprowadzać okresową weryfikację i aktualizację planu utrzymania ciągłości działania stosownie do zmian zachodzących w banku (np. zmian profilu ryzyka oraz struktury organizacyjnej czy infrastruktury banku) i jego otoczeniu (z uwzględnieniem ryzyka wynikającego z powierzenia czynności), które skutkują zmianą czynników ryzyka lub zmianą hierarchii poszczególnych zagrożeń wpływających na funkcjonowanie banku.

Przypominam, że kwestie dotyczące planów ciągłości działania i planów awaryjnych zostały ujęte w Rekomendacji D Komisji Nadzoru Bankowego dotyczącej zarządzania ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym używanym przez banki oraz Rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym w bankach. Oczekiwania co do stosowania zasad zapewniających zachowanie ciągłości działania zostały również sformułowane w dokumencie konsultacyjnym Bazylejskiego Komitetu ds. Nadzoru Bankowego z grudnia 2005 r.

Pragnę także wskazać, że zagadnienia dotyczące obszaru zarządzania ciągłością działania, w tym wytyczne w zakresie budowy planów ciągłości działania, są określone w międzynarodowych standardach i publikacjach, takich jak m.in.:

* ISO 17799, 13335, 13569 - międzynarodowe standardy opublikowane przez Międzynarodowy Instytut Standaryzacji;

* COBIT i IS Auditing Guideline G32 opublikowane przez Stowarzyszenie ds. Audytu i Kontroli Systemów Informatycznych (ISACA);

* PAS 56:2003 "Guide to Business Continuity Management" opublikowany przez Business Continuity Institute wspólnie z British Standards Institute;

* "Zasady zawodowe dla specjalistów w zakresie planowania ciągłości działania" ("The Professional Practices for Business Continuity Planners") opublikowane przez Disaster Recovery Institute International;

* HB 221-2004 "Zarządzanie ciągłością działania" ("Business Continuity Management") opublikowany przez Standards Australia.

Przekazując powyższe, zwracam się z prośbą o zweryfikowanie przyjętych rozwiązań w zakresie BCM, BCP i DRP w celu zapewnienia wysokiej jakości procesu zarządzania ciągłością działania w banku. Wyrażam przy tym nadzieję, że przekazane uwagi przyczynią się do zwiększenia bezpieczeństwa funkcjonowania banku. Jednocześnie przypominam, że zarządzanie ciągłością działania jest przedmiotem badań i oceny podczas czynności kontrolnych wykonywanych przez inspektorów GINB.