З метою вдосконалення в банках України процесу планування заходів на випадок виникнення непередбачених обставин Правління Національного банку України

1. Схвалити Методичні рекомендації щодо планування в банках України заходів на випадок виникнення непередбачених обставин, що додаються.

2. Департаменту нормативно-методологічного забезпечення банківського регулювання та нагляду (Н.В.Іваненко) довести зміст цієї постанови до відома структурних підрозділів центрального апарату, територіальних управлінь Національного банку України та банків України для керівництва і використання в роботі.

3. Контроль за виконанням цієї постанови покласти на виконавчого директора - директора Дирекції з банківського регулювання та нагляду О.І.Кірєєва і начальників територіальних управлінь Національного банку України.

4. Постанова набирає чинності з дня її підписання.

1.1. Методичні рекомендації щодо планування в банках України заходів на випадок виникнення непередбачених обставин (далі - Рекомендації) розроблено на підставі Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про Цивільну оборону України", нормативно-правових актів Національного банку України з питань функціонування інформаційних систем та відповідно до положень окремих принципів Базельського комітету з банківського нагляду щодо питань планування заходів на випадок виникнення непередбачених обставин.

1.2. Рекомендації визначають загальні методологічні підходи та принципи організації планування в банках України (далі - банки) заходів на випадок виникнення непередбачених обставин (крім питань організації діяльності банків в особливий період, які визначаються нормативно-правовими актами Національного банку України щодо особливостей функціонування банківської системи України в разі введення особливого періоду).

1.3. Загроза збитків або масштабного припинення банківських операцій вимагає від банку інституційних зусиль з планування заходів на випадок виникнення непередбачених обставин, уключаючи відновлення управління банком.

Мета цих Рекомендацій - надання банкам допомоги в реалізації намірів їх акціонерів і керівництва із забезпечення виконання зобов'язань банку, а також можливості безперебійного надання послуг.

1.4. У цих Рекомендаціях терміни вживаються в такому значенні:

непередбачені обставини - надзвичайна ситуація техногенного, природного, соціально-політичного характеру (1) або інша подія, яка негативно впливає на діяльність банку;

(1) Із переліку надзвичайних ситуацій Державного класифікатора надзвичайних ситуацій, затвердженого наказом Держстандарту України від 19.11.2001 N 552.

планування відновлення функціонування банку - це процес, завдяки якому банк планує проведення або відновлення операцій, уключаючи обслуговування клієнтів у разі таких несприятливих подій, як природні катастрофи, технологічні неполадки, помилки людей або тероризм;

планування заходів на випадок виникнення непередбачених обставин - процес розроблення і впровадження в банку механізмів (процедур) кризового управління до часу настання умов виникнення криз.

Інші терміни та поняття, що вживаються в цих Рекомендаціях, застосовуються в значеннях, визначених Законами України "Про Національний банк України", "Про банки і банківську діяльність", "Про Цивільну оборону України", нормативно-правовими актами Національного банку України.

1.5. Планування заходів на випадок виникнення непередбачених обставин дає змогу зменшити втрати і вірогідність їх виникнення, підвищити швидкість відновлення операцій банку.

1.6. Кожний банк залежно від напрямів діяльності, обсягів операцій, власної структури має самостійно визначати зміст плану заходів на випадок виникнення непередбачених обставин (далі - план заходів).

План заходів має визначати порядок забезпечення виконання банківських операцій у разі виникнення непередбачених обставин, у тому числі:

визначення пріоритетних операцій залежно від їх важливості та часу, за який їх виконання має бути відновлено (окремо визначаються операції/функції, які можуть припинятися або не виконуватися в разі виникнення непередбачених обставин);

особливості виконання банківських операцій під час виникнення непередбачених обставин та в період після їх закінчення протягом часу, потрібного для ліквідації їх наслідків і повернення до штатного режиму роботи;

забезпечення належної матеріально-технічної бази та необхідної чисельності персоналу;

забезпечення безперервного функціонування інформаційних систем банку та його участі в інформаційних системах Національного банку України (далі - Національний банк) відповідно до вимог нормативно-правових актів Національного банку.

Складовими частинами загального плану заходів мають бути план забезпечення безперервної діяльності та дій у разі виникнення надзвичайних ситуацій (2), план подолання кризи ліквідності, план евакуації персоналу та клієнтів у разі загрози вибуху, пожежі та інші плани, спрямовані на забезпечення діяльності банку.

(2) Розроблений відповідно до вимог Положення про забезпечення безперервного функціонування інформаційних систем Національного банку України та банків України, затвердженого постановою Правління Національного банку України від 17.06.2004 N 265.

1.7. Банк має брати участь у випробуваннях, які організовуються Національним банком для відпрацювання взаємодії банків з Національним банком (його інформаційними системами тощо) на випадок виникнення непередбачених обставин, і залучати до них свої відокремлені підрозділи, визначені Національним банком для конкретного виду випробувань.

2.1. Банк має планувати заходи на випадок виникнення непередбачених обставин ризиків (операційного, ринкового, кредитного, ліквідності, репутації тощо).

Рекомендації щодо управління ризиками в банках під час планування заходів на випадок виникнення непередбачених обставин наведено в додатку 1 до цих Рекомендацій.

2.2. Під час планування заходів на випадок виникнення непередбачених обставин має враховуватися вся сфера діяльності банку, відповідні ризики і їх кореляція.

2.3. Банк, плануючи заходи, пов'язані з технічними неполадками, збоями, катастрофами тощо, повинен розробити план забезпечення безперервної діяльності в разі їх виникнення.

2.4. Метою плану заходів є:

мінімізація фінансових втрат банку;

продовження обслуговування клієнтів і учасників ринку;

захист працівників та клієнтів від наслідків надзвичайної ситуації;

організація життєзабезпечення працівників та клієнтів під час надзвичайної ситуації;

оповіщення працівників про загрозу і виникнення надзвичайних ситуацій, інформування про обстановку, що склалася;

зменшення негативних наслідків непередбачених обставин для діяльності банку, зокрема, його репутації, операцій, ліквідності, якості активів, позиції на ринку та спроможності виконувати вимоги законодавства України, у тому числі нормативно-правових актів Національного банку.

2.5. Банк, ураховуючи можливість настання кризи ліквідності в разі виникнення непередбачених обставин, має розробити заходи щодо її припинення або подолання. Для забезпечення цього за результатами проведеного стрес-тестування банку, тобто на основі моделювання виникнення непередбачених обставин, робиться висновок про спроможність банку вистояти в певних ситуаціях, а також розробляються заходи щодо запобігання їм, попередження, недопущення та оперативного реагування, усунення їх наслідків і відновлення функціонування банку.

2.6. Банк має вживати заходів для завчасної ідентифікації непередбачених обставин і планування відповідних дій у разі їх виникнення.

2.7. План заходів на випадок виникнення непередбачених обставин має містити положення щодо відновлення банківської діяльності, контролю за станом зв'язків з громадськістю, стратегії поведінки, пов'язаної із судовими розглядами, реагування на критику з боку регуляторів на ринку фінансових послуг.

2.8. Банки можуть планувати заходи на випадок виникнення непередбачених обставин з урахуванням таких етапів:

ініціювання проекту плану заходів. Створення робочої групи для оцінки обсягу заходів, які плануються, уточнення завдань, узгодження їх параметрів, термінів виконання, визначення відповідальних осіб;

аналіз впливу на банківську діяльність. Визначення наслідків виникнення непередбачених обставин для операцій банку і його фінансових результатів. Проведення аналізу виникнення різних непередбачених обставин, оцінки їх виникнення та оцінки ризиків банківської діяльності;

розроблення стратегії. Визначення стратегії, прийнятної для відновлення роботи та зменшення негативних наслідків непередбачених обставин. Під час розроблення стратегії використовуються висновки, одержані в результаті аналізу виникнення непередбачених обставин, для уточнення витрат, з урахуванням мінімізації часу зупинення банківської діяльності та наслідків цього;

розроблення плану заходів. Уточнення (з деталізацією) переліку заходів, уключаючи відновлення діяльності інформаційних систем, визначення альтернативних постачальників, резервного устаткування, номерів телефонів відповідальних виконавців тощо. Розроблення процедур, яких має дотримуватися персонал в разі виникнення загрози життю людей. Визначення вразливості банківської діяльності та розроблення докладних процедур її відновлення;

тестування і супроводження плану заходів. Забезпечення дієвості цього плану в результаті його тестування і навчання персоналу ефективному управлінню процесом відновлення операцій.

План заходів повинен постійно оновлюватися з урахуванням усіх змін у банківській діяльності, у тому числі кадрових.

Рекомендований порядок планування заходів на випадок виникнення непередбачених обставин наведений у додатку 2 до цих Рекомендацій.

2.9. Під час планування заходів має здійснюватися:

оцінка ризику. Проводиться оцінка наявних систем управління, безпеки і контролю, а також їх адекватності потенційним загрозам банку. Визначаються найбільш значні можливі перебої в роботі за рівнем вірогідності їх виникнення та наслідків, дії на випадок відсутності відповідних працівників, закриття доступу до будівель, виходу з ладу устаткування, зв'язку, баз даних, недоступності або пошкодження програмного забезпечення, втрати зв'язку з постачальниками, відключення живлення. Порівнюється наявний у банку план заходів та результати оцінки часу, необхідного для відновлення діяльності; вивчаються загрози і негативні наслідки для самого банку, його клієнтів, для банківської системи України та фінансових ринків у цілому;

управління ризиком. Забезпечується розроблення плану заходів, у тому числі функції працівників, графік реалізації, умови його впровадження, першочергові заходи в разі виникнення непередбачених обставин визначення шляхів розв'язання проблем для зменшення перебоїв у роботі та фінансових втрат. Усе це стосується кожної функції і кожного напряму банківської діяльності;

моніторинг ризику. Забезпечується щорічне тестування, проведення аудиту, аналіз та оновлення змісту плану заходів.

2.10. План заходів має охоплювати як служби фронт-офісу, так і бек-офісу, що зумовлено необхідністю комплексного розв'язання проблем та неможливістю їх розв'язання в межах одного підрозділу банку або філії.

2.11. Першочерговим завданням планування заходів є захист банку в разі виникнення непередбачених обставин, унаслідок яких всі або частина його операцій будуть припинені та/або інформаційні системи і бази даних зруйновані. Кожна функціональна сфера діяльності банку має бути проаналізована з метою визначення потенційного ризику та наслідків різних потенційних загроз. Слід звернути увагу на всі загрози для діяльності банку, які можуть виникнути з певною вірогідністю. Аналіз ризику повинен охоплювати всі структурні та відокремлені підрозділи банку.

2.12. Виявлені загрози слід оцінювати з урахуванням рівня їх вірогідності (високий, середній, низький). Потрібно також визначити рівень впливу непередбачених обставин на різні функції та підрозділи банку. З цією метою в банку заповнюється така форма (3) (із зазначенням наслідків виникнення непередбачених обставин у балах):

(3) Наведені в цій главі форми таблиць та їх значення є зразком і можуть визначатися банками самостійно.

2.13. Евакуація до резервного пункту не передбачається, якщо наслідки виникнення непередбачених обставин оцінюються за рівнем впливу на різні функції та підрозділи банку в 2 або менше балів.

2.14. Кожен підрозділ банку має визначити оцінку рівня вірогідності потенційної загрози в балах таким чином:

2.15. Для отримання зваженого рейтингу загроз значення рівня їх вірогідності в балах множиться на значення наслідків виникнення непередбачених обставин у балах. Тобто за вірогідності урагану в 10 балів і рівня наслідків 3 бали зважений чинник ризику становитиме: 3 * 10 = 30 балів. За результатами оцінки вірогідності потенційних загроз можна виявити, які саме загрози становлять найбільшу небезпеку.

2.16. Після визначення загроз, які становлять найбільшу небезпеку для банку, потрібно передбачити адекватні додаткові превентивні заходи.

2.17. Оцінка впливу непередбачених обставин на роботу банку повинна ґрунтуватися на ідентифікації потенційної дії цих обставин на діяльність банку і його клієнтів з урахуванням максимально допустимого часу зупинення банківської діяльності та прийнятного рівня втрат інформації, невиконаних операцій і фінансових збитків.

2.18. Оцінка потенційних втрат за кожним напрямом банківської діяльності визначається з урахуванням їх наслідків для фінансового стану банку та обслуговування його клієнтів, а також тривалості часу, протягом якого банк може здійснювати обмежений перелік операцій без значних збитків.

2.19. Можливим є застосовування таких типів заходів щодо попередження непередбачених обставин:

перший тип - це визначення кваліфікованих осіб, які мають відповідати за безпеку, бути уповноваженими на виконання відповідних завдань. Тобто, метою цих заходів є визначення необхідних вимог для запобігання непередбаченим обставинам і забезпечення їх дотримання;

другий тип - це визначення вимог щодо інженерно-технічних робіт під час будівництва приміщень банку, у тому числі спеціальні вимоги до будівель, протипожежних засобів, систем вентиляції, енергозабезпечення, сигналізації і оповіщення, сховищ і архівів тощо.

2.20. Відповідно до вимог законодавства України з питань цивільної оборони та захисту населення і територій від надзвичайних ситуацій, з метою запобігання виникненню надзвичайних ситуацій у банку мають плануватися та здійснюватися заходи щодо:

проведення інженерно-технічних робіт для зменшення ризику виникнення надзвичайних ситуацій і захисту працівників від впливу їх наслідків;

утримання в готовності до негайного застосування засобів оповіщення та інформаційного забезпечення працівників;

створення служб цивільної оборони, призначених для проведення невідкладних робіт у разі виникнення надзвичайних ситуацій, їх відповідної підготовки до дій за призначенням;

забезпечення працівників засобами індивідуального та колективного захисту.

2.21. Структура плану заходів щодо операційного ризику має бути такою:

кадрове забезпечення (визначення осіб, які ухвалюють рішення і несуть відповідальність за керівництво відповідними службами, за контакти з постачальниками, за безпеку);

технологічні компоненти (устаткування, програмне забезпечення, комунікації, облікові записи);

відновлення баз даних (резервні пункти, збереження даних тощо);

порядок організації роботи персоналу, його робочих місць у функціональних підрозділах та особливості виконання ним своїх функцій в умовах надзвичайної ситуації та після її закінчення до відновлення штатної роботи.

2.22. План заходів щодо операційного ризику повинен ураховуватися під час визначення внутрішньої політики і процедур банку, організації управління новими проектами банку (у разі розроблення відповідного проекту необхідно провести експертизу заходів на випадок виникнення непередбачених обставин), зміни системи контролю в банку. Цей план заходів повинен містити оцінку наслідків виникнення непередбачених обставин для фінансових потоків банку і операцій, які він здійснює. Слід передбачати альтернативні засоби зв'язку з клієнтами, співробітниками, регуляторами, а також альтернативне розміщення персоналу в резервному пункті. У плані заходів мають зазначатися найважливіші постачальники і банки-контрагенти, а також порядок інформування Національного банку про виникнення непередбачених обставин та усунення їх наслідків.

2.23. У плані заходів має передбачатися порядок переходу персоналу на роботу до резервного пункту і відновлення операцій через 72 години (або менше), система сповіщення всіх співробітників (визначаються ключові працівники, які передають сигнали тривоги решті персоналу), створення груп реагування з призначенням відповідальних осіб за евакуацію персоналу, за сповіщення, контакти з Національним банком тощо.

2.24. План заходів повинен передбачати підтримування контактів з клієнтами банку через різні канали: Інтернет-сайт, телефони (у тому числі sms-повідомлення) або філії банку в безпечніших районах.

2.25. План заходів повинен передбачати програму навчання і порядок інформування персоналу (уключаючи проведення навчань, навчальних тривог). Рекомендована структура плану заходів з відновлення функціонування банку наведена в додатку 3 до цих Рекомендацій.

2.26. Банк, визначаючи порядок зв'язків з громадськістю, Національним банком, правоохоронними органами, має передбачати чітку координацію дій з відповідними службами (пожежниками, міліцією, Міністерством України з питань надзвичайних ситуацій та у справах захисту населення від наслідків Чорнобильської катастрофи, зв'язківцями тощо) як під час виникнення надзвичайної ситуації, так і на етапі відновлення його діяльності.

2.27. Правління банку несе відповідальність за забезпечення:

достатнього обсягу ресурсів і кількості фахівців для розроблення плану заходів та робіт з його подальшої реалізації, у тому числі створення, підтримки в актуальному стані й регулярної перевірки інфраструктури, потрібної для його реалізації;

належної політики управління і контролю ризиків;

аналізу результатів тестування плану заходів;

щорічного схвалення плану заходів;

оновлення плану заходів та інформування про внесені зміни, навчання працівників.

2.28. У плані заходів слід передбачити моніторинг постачальників, від яких може залежати забезпечення належного функціонування банку і його спроможність до відновлення діяльності. Для цього потрібно передбачати порядок оцінки і відбір надійних постачальників, моніторинг укладення відповідних договорів, виконавців цих договорів.

2.29. Кожен підрозділ банку повинен нести відповідальність за визначення важливих процесів банківської діяльності у своїй сфері. За кожним процесом мають установлюватися чинники ризику з урахуванням впливу на роботу банку й обслуговування клієнтів. У підрозділах банку мають призначатися особи, які нестимуть відповідальність за виконання плану заходів.

2.30. Банк з метою зваженого прийняття рішень під час планування заходів з відновлення функціонування, ураховуючи потребу залучення керівників усіх рівнів, має створити комітет з питань управління кризою, визначити його повноваження і регламент роботи, а також призначити з його складу відповідальну особу за зв'язки з Національним банком.

2.31. До складу комітету з питань управління кризою повинні входити члени наглядової ради та правління банку, керівники фінансових служб, служби інформатизації і банківської безпеки з метою охоплення всіх ключових напрямів діяльності.

3.1. Банк повинен розробити план подолання кризи ліквідності на випадок виникнення непередбачених обставин. Цей план має визначати процедури відновлення ліквідності банку, зокрема ухвалення рішень щодо мобілізації ліквідних активів, залучення додаткових ресурсів у разі виникнення дефіциту ліквідності.

3.2. План подолання кризи ліквідності в разі виникнення непередбачених обставин для забезпечення збільшення наявної ліквідності за рахунок залучення зовнішніх та внутрішніх джерел має містити такі заходи: