ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
П О С Т А Н О В А
Про схвалення Методичних рекомендацій щодо планування в банках України заходів на випадок виникнення непередбачених обставин
З метою вдосконалення в банках України процесу планування заходів на випадок виникнення непередбачених обставин Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Схвалити Методичні рекомендації щодо планування в банках України заходів на випадок виникнення непередбачених обставин, що додаються.
2. Департаменту нормативно-методологічного забезпечення банківського регулювання та нагляду (Н.В.Іваненко) довести зміст цієї постанови до відома структурних підрозділів центрального апарату, територіальних управлінь Національного банку України та банків України для керівництва і використання в роботі.
3. Контроль за виконанням цієї постанови покласти на виконавчого директора - директора Дирекції з банківського регулювання та нагляду О.І.Кірєєва і начальників територіальних управлінь Національного банку України.
4. Постанова набирає чинності з дня її підписання.
|
В.о. Голови
|
А.В.Шаповалов
|
СХВАЛЕНО
Постанова Правління
Національного банку України
08.09.2008 N 271
МЕТОДИЧНІ РЕКОМЕНДАЦІЇ
щодо планування в банках України заходів на випадок виникнення непередбачених обставин
1. Загальні положення
1.1. Методичні рекомендації щодо планування в банках України заходів на випадок виникнення непередбачених обставин (далі - Рекомендації) розроблено на підставі Законів України "Про Національний банк України" (
679-14)
, "Про банки і банківську діяльність" (
2121-14)
, "Про Цивільну оборону України" (
2974-12)
, нормативно-правових актів Національного банку України з питань функціонування інформаційних систем та відповідно до положень окремих принципів Базельського комітету з банківського нагляду щодо питань планування заходів на випадок виникнення непередбачених обставин.
1.2. Рекомендації визначають загальні методологічні підходи та принципи організації планування в банках України (далі - банки) заходів на випадок виникнення непередбачених обставин (крім питань організації діяльності банків в особливий період, які визначаються нормативно-правовими актами Національного банку України щодо особливостей функціонування банківської системи України в разі введення особливого періоду).
1.3. Загроза збитків або масштабного припинення банківських операцій вимагає від банку інституційних зусиль з планування заходів на випадок виникнення непередбачених обставин, уключаючи відновлення управління банком.
Мета цих Рекомендацій - надання банкам допомоги в реалізації намірів їх акціонерів і керівництва із забезпечення виконання зобов'язань банку, а також можливості безперебійного надання послуг.
1.4. У цих Рекомендаціях терміни вживаються в такому значенні:
непередбачені обставини - надзвичайна ситуація техногенного, природного, соціально-політичного характеру (1) або інша подія, яка негативно впливає на діяльність банку;
---------------
(1) Із переліку надзвичайних ситуацій Державного класифікатора надзвичайних ситуацій, затвердженого наказом Держстандарту України від 19.11.2001 N 552 (
v0552565-01)
.
планування відновлення функціонування банку - це процес, завдяки якому банк планує проведення або відновлення операцій, уключаючи обслуговування клієнтів у разі таких несприятливих подій, як природні катастрофи, технологічні неполадки, помилки людей або тероризм;
планування заходів на випадок виникнення непередбачених обставин - процес розроблення і впровадження в банку механізмів (процедур) кризового управління до часу настання умов виникнення криз.
Інші терміни та поняття, що вживаються в цих Рекомендаціях, застосовуються в значеннях, визначених Законами України "Про Національний банк України" (
679-14)
, "Про банки і банківську діяльність" (
2121-14)
, "Про Цивільну оборону України" (
2974-12)
, нормативно-правовими актами Національного банку України.
1.5. Планування заходів на випадок виникнення непередбачених обставин дає змогу зменшити втрати і вірогідність їх виникнення, підвищити швидкість відновлення операцій банку.
1.6. Кожний банк залежно від напрямів діяльності, обсягів операцій, власної структури має самостійно визначати зміст плану заходів на випадок виникнення непередбачених обставин (далі - план заходів).
План заходів має визначати порядок забезпечення виконання банківських операцій у разі виникнення непередбачених обставин, у тому числі:
визначення пріоритетних операцій залежно від їх важливості та часу, за який їх виконання має бути відновлено (окремо визначаються операції/функції, які можуть припинятися або не виконуватися в разі виникнення непередбачених обставин);
особливості виконання банківських операцій під час виникнення непередбачених обставин та в період після їх закінчення протягом часу, потрібного для ліквідації їх наслідків і повернення до штатного режиму роботи;
забезпечення належної матеріально-технічної бази та необхідної чисельності персоналу;
забезпечення безперервного функціонування інформаційних систем банку та його участі в інформаційних системах Національного банку України (далі - Національний банк) відповідно до вимог нормативно-правових актів Національного банку.
Складовими частинами загального плану заходів мають бути план забезпечення безперервної діяльності та дій у разі виникнення надзвичайних ситуацій (2), план подолання кризи ліквідності, план евакуації персоналу та клієнтів у разі загрози вибуху, пожежі та інші плани, спрямовані на забезпечення діяльності банку.
---------------
(2) Розроблений відповідно до вимог Положення про забезпечення безперервного функціонування інформаційних систем Національного банку України та банків України, затвердженого постановою Правління Національного банку України від 17.06.2004 N 265 (
z0857-04)
.
1.7. Банк має брати участь у випробуваннях, які організовуються Національним банком для відпрацювання взаємодії банків з Національним банком (його інформаційними системами тощо) на випадок виникнення непередбачених обставин, і залучати до них свої відокремлені підрозділи, визначені Національним банком для конкретного виду випробувань.
2. Планування заходів на випадок виникнення непередбачених обставин
2.1. Банк має планувати заходи на випадок виникнення непередбачених обставин ризиків (операційного, ринкового, кредитного, ліквідності, репутації тощо).
Рекомендації щодо управління ризиками в банках під час планування заходів на випадок виникнення непередбачених обставин наведено в додатку 1 до цих Рекомендацій.
2.2. Під час планування заходів на випадок виникнення непередбачених обставин має враховуватися вся сфера діяльності банку, відповідні ризики і їх кореляція.
2.3. Банк, плануючи заходи, пов'язані з технічними неполадками, збоями, катастрофами тощо, повинен розробити план забезпечення безперервної діяльності в разі їх виникнення.
2.4. Метою плану заходів є:
мінімізація фінансових втрат банку;
продовження обслуговування клієнтів і учасників ринку;
захист працівників та клієнтів від наслідків надзвичайної ситуації;
організація життєзабезпечення працівників та клієнтів під час надзвичайної ситуації;
оповіщення працівників про загрозу і виникнення надзвичайних ситуацій, інформування про обстановку, що склалася;
зменшення негативних наслідків непередбачених обставин для діяльності банку, зокрема, його репутації, операцій, ліквідності, якості активів, позиції на ринку та спроможності виконувати вимоги законодавства України, у тому числі нормативно-правових актів Національного банку.
2.5. Банк, ураховуючи можливість настання кризи ліквідності в разі виникнення непередбачених обставин, має розробити заходи щодо її припинення або подолання. Для забезпечення цього за результатами проведеного стрес-тестування банку, тобто на основі моделювання виникнення непередбачених обставин, робиться висновок про спроможність банку вистояти в певних ситуаціях, а також розробляються заходи щодо запобігання їм, попередження, недопущення та оперативного реагування, усунення їх наслідків і відновлення функціонування банку.
2.6. Банк має вживати заходів для завчасної ідентифікації непередбачених обставин і планування відповідних дій у разі їх виникнення.
2.7. План заходів на випадок виникнення непередбачених обставин має містити положення щодо відновлення банківської діяльності, контролю за станом зв'язків з громадськістю, стратегії поведінки, пов'язаної із судовими розглядами, реагування на критику з боку регуляторів на ринку фінансових послуг.
2.8. Банки можуть планувати заходи на випадок виникнення непередбачених обставин з урахуванням таких етапів:
ініціювання проекту плану заходів. Створення робочої групи для оцінки обсягу заходів, які плануються, уточнення завдань, узгодження їх параметрів, термінів виконання, визначення відповідальних осіб;
аналіз впливу на банківську діяльність. Визначення наслідків виникнення непередбачених обставин для операцій банку і його фінансових результатів. Проведення аналізу виникнення різних непередбачених обставин, оцінки їх виникнення та оцінки ризиків банківської діяльності;
розроблення стратегії. Визначення стратегії, прийнятної для відновлення роботи та зменшення негативних наслідків непередбачених обставин. Під час розроблення стратегії використовуються висновки, одержані в результаті аналізу виникнення непередбачених обставин, для уточнення витрат, з урахуванням мінімізації часу зупинення банківської діяльності та наслідків цього;
розроблення плану заходів. Уточнення (з деталізацією) переліку заходів, уключаючи відновлення діяльності інформаційних систем, визначення альтернативних постачальників, резервного устаткування, номерів телефонів відповідальних виконавців тощо. Розроблення процедур, яких має дотримуватися персонал в разі виникнення загрози життю людей. Визначення вразливості банківської діяльності та розроблення докладних процедур її відновлення;
тестування і супроводження плану заходів. Забезпечення дієвості цього плану в результаті його тестування і навчання персоналу ефективному управлінню процесом відновлення операцій.
План заходів повинен постійно оновлюватися з урахуванням усіх змін у банківській діяльності, у тому числі кадрових.
Рекомендований порядок планування заходів на випадок виникнення непередбачених обставин наведений у додатку 2 до цих Рекомендацій.
2.9. Під час планування заходів має здійснюватися:
оцінка ризику. Проводиться оцінка наявних систем управління, безпеки і контролю, а також їх адекватності потенційним загрозам банку. Визначаються найбільш значні можливі перебої в роботі за рівнем вірогідності їх виникнення та наслідків, дії на випадок відсутності відповідних працівників, закриття доступу до будівель, виходу з ладу устаткування, зв'язку, баз даних, недоступності або пошкодження програмного забезпечення, втрати зв'язку з постачальниками, відключення живлення. Порівнюється наявний у банку план заходів та результати оцінки часу, необхідного для відновлення діяльності; вивчаються загрози і негативні наслідки для самого банку, його клієнтів, для банківської системи України та фінансових ринків у цілому;
управління ризиком. Забезпечується розроблення плану заходів, у тому числі функції працівників, графік реалізації, умови його впровадження, першочергові заходи в разі виникнення непередбачених обставин визначення шляхів розв'язання проблем для зменшення перебоїв у роботі та фінансових втрат. Усе це стосується кожної функції і кожного напряму банківської діяльності;
моніторинг ризику. Забезпечується щорічне тестування, проведення аудиту, аналіз та оновлення змісту плану заходів.
2.10. План заходів має охоплювати як служби фронт-офісу, так і бек-офісу, що зумовлено необхідністю комплексного розв'язання проблем та неможливістю їх розв'язання в межах одного підрозділу банку або філії.
2.11. Першочерговим завданням планування заходів є захист банку в разі виникнення непередбачених обставин, унаслідок яких всі або частина його операцій будуть припинені та/або інформаційні системи і бази даних зруйновані. Кожна функціональна сфера діяльності банку має бути проаналізована з метою визначення потенційного ризику та наслідків різних потенційних загроз. Слід звернути увагу на всі загрози для діяльності банку, які можуть виникнути з певною вірогідністю. Аналіз ризику повинен охоплювати всі структурні та відокремлені підрозділи банку.
2.12. Виявлені загрози слід оцінювати з урахуванням рівня їх вірогідності (високий, середній, низький). Потрібно також визначити рівень впливу непередбачених обставин на різні функції та підрозділи банку. З цією метою в банку заповнюється така форма (3) (із зазначенням наслідків виникнення непередбачених обставин у балах):
---------------
(3) Наведені в цій главі форми таблиць та їх значення є зразком і можуть визначатися банками самостійно.
|
N з/п
|
Наслідки виникнення непередбачених обставин
|
Бали
|
|
1
|
2
|
3
|
|
1
|
Без наслідків або призупинення проведення
операцій
|
0
|
|
2
|
Помітні наслідки, призупинення проведення
операцій до 8 годин
|
1
|
|
3
|
Виведення з ладу устаткування або приміщень,
призупинення проведення операцій на
8-48 годин
|
2
|
|
4
|
Втрата устаткування або приміщень, призупинення
проведення операцій більше ніж на 48 годин. У
цьому разі персонал має бути переведено на
роботу до резервних пунктів із забезпеченням
функціонування відповідних інформаційних систем
у цих пунктах
|
3
|
2.13. Евакуація до резервного пункту не передбачається, якщо наслідки виникнення непередбачених обставин оцінюються за рівнем впливу на різні функції та підрозділи банку в 2 або менше балів.
2.14. Кожен підрозділ банку має визначити оцінку рівня вірогідності потенційної загрози в балах таким чином:
|
N з/п
|
Рівень вірогідності потенційної загрози
|
Бали
|
|
1
|
2
|
3
|
|
1
|
Високий
|
10
|
|
2
|
Середній
|
5
|
|
3
|
Низький
|
1
|
2.15. Для отримання зваженого рейтингу загроз значення рівня їх вірогідності в балах множиться на значення наслідків виникнення непередбачених обставин у балах. Тобто за вірогідності урагану в 10 балів і рівня наслідків 3 бали зважений чинник ризику становитиме: 3 * 10 = 30 балів. За результатами оцінки вірогідності потенційних загроз можна виявити, які саме загрози становлять найбільшу небезпеку.
2.16. Після визначення загроз, які становлять найбільшу небезпеку для банку, потрібно передбачити адекватні додаткові превентивні заходи.
2.17. Оцінка впливу непередбачених обставин на роботу банку повинна ґрунтуватися на ідентифікації потенційної дії цих обставин на діяльність банку і його клієнтів з урахуванням максимально допустимого часу зупинення банківської діяльності та прийнятного рівня втрат інформації, невиконаних операцій і фінансових збитків.
2.18. Оцінка потенційних втрат за кожним напрямом банківської діяльності визначається з урахуванням їх наслідків для фінансового стану банку та обслуговування його клієнтів, а також тривалості часу, протягом якого банк може здійснювати обмежений перелік операцій без значних збитків.
2.19. Можливим є застосовування таких типів заходів щодо попередження непередбачених обставин:
перший тип - це визначення кваліфікованих осіб, які мають відповідати за безпеку, бути уповноваженими на виконання відповідних завдань. Тобто, метою цих заходів є визначення необхідних вимог для запобігання непередбаченим обставинам і забезпечення їх дотримання;
другий тип - це визначення вимог щодо інженерно-технічних робіт під час будівництва приміщень банку, у тому числі спеціальні вимоги до будівель, протипожежних засобів, систем вентиляції, енергозабезпечення, сигналізації і оповіщення, сховищ і архівів тощо.
2.20. Відповідно до вимог законодавства України з питань цивільної оборони та захисту населення і територій від надзвичайних ситуацій, з метою запобігання виникненню надзвичайних ситуацій у банку мають плануватися та здійснюватися заходи щодо:
проведення інженерно-технічних робіт для зменшення ризику виникнення надзвичайних ситуацій і захисту працівників від впливу їх наслідків;
утримання в готовності до негайного застосування засобів оповіщення та інформаційного забезпечення працівників;
створення служб цивільної оборони, призначених для проведення невідкладних робіт у разі виникнення надзвичайних ситуацій, їх відповідної підготовки до дій за призначенням;
забезпечення працівників засобами індивідуального та колективного захисту.
2.21. Структура плану заходів щодо операційного ризику має бути такою:
кадрове забезпечення (визначення осіб, які ухвалюють рішення і несуть відповідальність за керівництво відповідними службами, за контакти з постачальниками, за безпеку);
технологічні компоненти (устаткування, програмне забезпечення, комунікації, облікові записи);
відновлення баз даних (резервні пункти, збереження даних тощо);
порядок організації роботи персоналу, його робочих місць у функціональних підрозділах та особливості виконання ним своїх функцій в умовах надзвичайної ситуації та після її закінчення до відновлення штатної роботи.
2.22. План заходів щодо операційного ризику повинен ураховуватися під час визначення внутрішньої політики і процедур банку, організації управління новими проектами банку (у разі розроблення відповідного проекту необхідно провести експертизу заходів на випадок виникнення непередбачених обставин), зміни системи контролю в банку. Цей план заходів повинен містити оцінку наслідків виникнення непередбачених обставин для фінансових потоків банку і операцій, які він здійснює. Слід передбачати альтернативні засоби зв'язку з клієнтами, співробітниками, регуляторами, а також альтернативне розміщення персоналу в резервному пункті. У плані заходів мають зазначатися найважливіші постачальники і банки-контрагенти, а також порядок інформування Національного банку про виникнення непередбачених обставин та усунення їх наслідків.
2.23. У плані заходів має передбачатися порядок переходу персоналу на роботу до резервного пункту і відновлення операцій через 72 години (або менше), система сповіщення всіх співробітників (визначаються ключові працівники, які передають сигнали тривоги решті персоналу), створення груп реагування з призначенням відповідальних осіб за евакуацію персоналу, за сповіщення, контакти з Національним банком тощо.
2.24. План заходів повинен передбачати підтримування контактів з клієнтами банку через різні канали: Інтернет-сайт, телефони (у тому числі sms-повідомлення) або філії банку в безпечніших районах.
2.25. План заходів повинен передбачати програму навчання і порядок інформування персоналу (уключаючи проведення навчань, навчальних тривог). Рекомендована структура плану заходів з відновлення функціонування банку наведена в додатку 3 до цих Рекомендацій.
2.26. Банк, визначаючи порядок зв'язків з громадськістю, Національним банком, правоохоронними органами, має передбачати чітку координацію дій з відповідними службами (пожежниками, міліцією, Міністерством України з питань надзвичайних ситуацій та у справах захисту населення від наслідків Чорнобильської катастрофи, зв'язківцями тощо) як під час виникнення надзвичайної ситуації, так і на етапі відновлення його діяльності.
2.27. Правління банку несе відповідальність за забезпечення:
достатнього обсягу ресурсів і кількості фахівців для розроблення плану заходів та робіт з його подальшої реалізації, у тому числі створення, підтримки в актуальному стані й регулярної перевірки інфраструктури, потрібної для його реалізації;
належної політики управління і контролю ризиків;
аналізу результатів тестування плану заходів;
щорічного схвалення плану заходів;
оновлення плану заходів та інформування про внесені зміни, навчання працівників.
2.28. У плані заходів слід передбачити моніторинг постачальників, від яких може залежати забезпечення належного функціонування банку і його спроможність до відновлення діяльності. Для цього потрібно передбачати порядок оцінки і відбір надійних постачальників, моніторинг укладення відповідних договорів, виконавців цих договорів.
2.29. Кожен підрозділ банку повинен нести відповідальність за визначення важливих процесів банківської діяльності у своїй сфері. За кожним процесом мають установлюватися чинники ризику з урахуванням впливу на роботу банку й обслуговування клієнтів. У підрозділах банку мають призначатися особи, які нестимуть відповідальність за виконання плану заходів.
2.30. Банк з метою зваженого прийняття рішень під час планування заходів з відновлення функціонування, ураховуючи потребу залучення керівників усіх рівнів, має створити комітет з питань управління кризою, визначити його повноваження і регламент роботи, а також призначити з його складу відповідальну особу за зв'язки з Національним банком.
2.31. До складу комітету з питань управління кризою повинні входити члени наглядової ради та правління банку, керівники фінансових служб, служби інформатизації і банківської безпеки з метою охоплення всіх ключових напрямів діяльності.
3. Розроблення плану подолання кризи ліквідності
3.1. Банк повинен розробити план подолання кризи ліквідності на випадок виникнення непередбачених обставин. Цей план має визначати процедури відновлення ліквідності банку, зокрема ухвалення рішень щодо мобілізації ліквідних активів, залучення додаткових ресурсів у разі виникнення дефіциту ліквідності.
3.2. План подолання кризи ліквідності в разі виникнення непередбачених обставин для забезпечення збільшення наявної ліквідності за рахунок залучення зовнішніх та внутрішніх джерел має містити такі заходи:
ті, яких слід ужити банку для збільшення ліквідності балансових активів;
ті, яких мають ужити акціонери банку для підвищення його ліквідності (збільшення статутного капіталу банку, надання субординованих позик (кредитів));
для забезпечення отримання кредитів від інших банків;
для виконання вимог Національного банку щодо отримання кредиту на підтримку ліквідності в разі реальної загрози стабільності банківської системи;
спеціальну програму повернення позик;
для забезпечення наявності готівки з метою її ефективного використання;
для скорочення видатків у сфері капітальних інвестицій, управлінських видатків тощо.
3.3. Під час розроблення плану подолання кризи ліквідності в разі виникнення непередбачених обставин банки мають дотримуватися принципів Базельського комітету з питань ефективного управління ліквідністю, у тому числі щодо складання антикризового плану, викладених у документі Базельського комітету з банківського нагляду "Належна практика управління ліквідністю в банківських установах" (4) (витяг з цього документа щодо розроблення плану наведено в додатку 4 до цих Рекомендацій).
---------------
(4) Sound Practices for Managing Liquidity in Banking Organizations, Базель, лютий 2000 р.
4. Тестування плану заходів
4.1. План заходів має регулярно доопрацьовуватися з метою забезпечення його спрямованості на обґрунтовано вірогідні події, які можуть негативно вплинути на діяльність банку. План заходів слід піддавати тестуванню на предмет адекватності реагування, способів комунікації та впливу на інші компоненти діяльності банку.
4.2. У банку повинен бути передбачений порядок оновлення і регулярного тестування плану заходів. Позачерговий перегляд цього плану потрібен, якщо відбуваються зміни напрямів діяльності банку.
Банк повинен ураховувати те, що на деякі послуги попит в умовах виникнення непередбачених обставин може різко зрости.
4.3. У програмі тестування плану заходів слід ураховувати кадрові зміни і зміни політики банку, відповідних процедур, програмного забезпечення, банківського обладнання, постачальників. Особливу увагу слід приділяти тестуванню інформаційних систем банку, яке має здійснюватися не менше одного разу на рік або після їх модернізації.
4.4. Доцільно розширювати коло учасників тестування з метою залучення якомога більшої кількості керівників і фахівців, проводити аналіз результатів тестування та подавати відповідну звітність, а також пропозиції щодо внесення змін до плану заходів на розгляд вищого керівництва банку.
4.5. До участі в розробленні плану заходів можна залучати зовнішніх консультантів, які зможуть не тільки оцінити ефективність плану, а й внести вагомі пропозиції щодо управління ризиками.
4.6. План заходів має періодично підлягати аудиту, що здійснюється службою внутрішнього аудиту або незалежним експертом не менше одного разу на рік.
5. Вимоги до планування заходів
5.1. Планування заходів - це визначення важливих інформаційних систем і функцій банківської діяльності, розроблення відповідних планів, що дасть змогу цим системам і функціям відновлюватися в разі виникнення непередбачених обставин. Таке планування включає також тестування планів заходів з метою гарантування їх дієвості. Під час тестування керівництво банку повинно також перевірити, наскільки плани заходів підрозділів доповнюють плани відновлення роботи інформаційних систем.
5.2. Метою ефективного планування заходів з відновлення функціонування банку є забезпечення відновлення банківської діяльності після виходу з ладу інформаційних систем та тимчасового припинення здійснення банківських операцій.
5.3. План заходів має сприяти забезпеченню:
мінімізації перерви в обслуговуванні банку та його клієнтів;
своєчасному відновленню операцій;
зниженню втрат доходів і капіталу.
5.4. Банкам потрібно регулярно оцінювати ризики, пов'язані із втратою доходів або тривалою перервою в проведенні операцій, а також схильність до таких ризиків. У зв'язку з цим керівництво банку несе відповідальність за:
оцінку ризиків, розроблення відповідної стратегії щодо управління ризиками;
обов'язкове врахування в плані заходів усіх найважливіших функцій та операцій, що включає також оцінку здатності постачальників послуг реагувати на виникнення непередбачених обставин, зокрема готовність постачальника надати приміщення для резервного пункту, збереження і транспортування резервних даних між сховищем інформації, резервним пунктом та банком;
узгодження плану заходів із підрозділами, які здійснюють оброблення інформації в інформаційній системі та її обслуговування;
проведення регулярного тестування плану заходів;
аналіз результатів тестування і відповідних рекомендацій;
оновлення плану заходів.
5.5. Правління банку несе відповідальність за ухвалення політики і процедур, пов'язаних із плануванням заходів на випадок виникнення непередбачених обставин, затвердженням витрат на резервування необхідного устаткування та планування заходів, призначення відповідальних осіб, відображення рішень з цих питань у протоколах його засідань.
5.6. Національний банк під час планування банком заходів на випадок виникнення непередбачених обставин має оцінювати:
відповідальність керівництва банку за розроблення плану заходів, його оновлення на постійній основі та охоплення ним усіх підрозділів, що здійснюють банківські операції;
участь керівництва банку в розробленні та схваленні плану заходів;
адекватність стратегії щодо забезпечення банку альтернативними засобами комунікації.
Якість плану заходів оцінюється за такими параметрами:
урахування характеру операцій банку, його готовності до функціонування в разі виникнення непередбачених обставин (наприклад, наявність резервних пунктів, резервування інформаційних систем, значущість продовження операцій банку для фінансових ринків та платіжних систем);
адекватність узгодженого порядку альтернативного розміщення ключових працівників й устаткування;
відповідність вимогам нормативно-правових актів Національного банку.
Адекватність тестування плану заходів оцінюється з урахуванням періодичності проведення тестів, охоплення тестуванням основних напрямів діяльності банку, висновків, зроблених за результатами цього тестування.
|
Директор Департаменту
нормативно-методологічного
забезпечення банківського
регулювання та нагляду
|
Н.В.Іваненко
|
Додаток 1
до Методичних рекомендацій
щодо планування в банках
України заходів
на випадок виникнення
непередбачених обставин
РЕКОМЕНДАЦІЇ
щодо управління ризиками в банках під час планування заходів на випадок виникнення непередбачених обставин
|
N
з/п
|
Вид ризику
|
Рекомендації
|
|
1
|
2
|
3
|
|
1
|
Операційний
ризик
|
План заходів повинен:
забезпечувати спроможність банку
в прийнятний термін відновлювати
функціонування ключових систем і процесів;
охоплювати операційні процеси та дії
персоналу, інформаційні й телекомунікаційні
системи, приміщення і ресурси
|
|
2
|
Ризик
ліквідності
|
План заходів у разі виникнення кризи
ліквідності має:
визначати можливі альтернативні джерела
фінансування на випадок
погіршення фінансового стану банку або
негативного впливу інших обставин на його
ліквідність;
переглядатися якомога частіше;
містити можливі заходи, що реалізовуються в
різних часових межах залежно від умов ринку, а
також вимоги до інфраструктури, необхідної для
забезпечення їх виконання;
визначати відповідальність за належне
функціонування комунікацій у банку і поза ним
(наприклад, для зв'язку з Національним
банком України, пресою тощо)
|
|
3
|
Стратегічний
ризик
|
План заходів має передбачати відповідні дії в
разі відмови від ініціатив, які не
відповідають стратегічним цілям
|
|
4
|
Кредитний
ризик
|
План заходів має забезпечувати своєчасні та
ефективні дії в разі виникнення істотних змін,
що стосуються кредитного ризику, передбачати
можливість додаткового надходження капіталу,
потребу в коригуванні кредитних лімітів тощо
|
|
5
|
Ринковий
ризик
|
План заходів має передбачати відповідні дії в
разі істотних несприятливих змін щодо вартості
фінансових інструментів із визначенням
можливих методів зменшення ризику
|
|
6
|
Юридичний
ризик
|
План заходів повинен забезпечувати готовність
банку реагувати на події, пов'язані з вимогами
до внутрішнього контролю, правовими або
регулятивними нормами, які можуть істотно
вплинути на діяльність банку
|
|
7
|
Ризик
репутації
|
План заходів має бути прийнятий і періодично
перевірятися для забезпечення готовності банку
реагувати на несприятливі, неочікувані події.
Банк повинен брати до уваги ті непередбачені
обставини, які відбувалися з іншими банками в
минулому (можуть використовуватися для
перевірки того, як банк міг би реагувати в
подібних обставинах)
|
Додаток 2
до Методичних рекомендацій
щодо планування в банках
України заходів
на випадок виникнення
непередбачених обставин
РЕКОМЕНДОВАНИЙ ПОРЯДОК
планування заходів на випадок виникнення непередбачених обставин
1. Розроблення плану заходів на підставі письмового розпорядження правління або ради банку з визначенням термінів його розроблення.
2. Створення управлінської групи для нагляду за розробленням і впровадженням плану заходів. До складу такої групи повинні включатися керівники банку та за потреби представники постачальників послуг, які несуть відповідальність за управління процесом відновлення діяльності банку, із зазначенням у плані заходів їх посад, прізвищ та ініціалів. Крім того, слід зазначати, хто саме в правлінні та раді банку виконуватиме відповідні функції в разі відсутності керівників підрозділів банку.
3. Проведення оцінки ризику:
3.1. Аналіз можливості виникнення таких загроз:
природних катаклізмів (пожежі, повені, землетруси тощо);
техногенних катастроф (вихід з ладу техніки, програмного забезпечення, відключення електроенергії, зв'язку тощо);
з урахуванням людського чинника (заворушення, страйки, пограбування тощо).
3.2. Оцінка негативних наслідків втрати інформації та зупинення банківських операцій для:
фінансового стану банку;
конкурентної позиції банку;
довіри з боку клієнтів;
регулятивних вимог.
3.3. Аналіз витрат на зменшення ризиків з оцінкою найважливіших потреб щодо:
функціональних операцій;
відповідальних працівників та необхідного обладнання їх робочих місць;
інформації;
інформаційних систем;
документації;
облікових записів;
політики і процедур.
4. Установлення пріоритетів у відновленні діяльності банку, виходячи з найважливіших потреб.
5. Визначення стратегії щодо відновлення:
приміщень;
устаткування;
необхідної чисельності персоналу;
програмного забезпечення;
засобів зв'язку;
баз даних;
обслуговування клієнтів;
операцій користувачів;
системи управлінської інформації;
інших інформаційних систем.
6. Укладення договорів про резервування:
приміщень;
устаткування;
програмного забезпечення;
постачальників (обслуговуючих фірм).
7. Визначення в плані заходів:
відповідальних осіб;
підпорядкованості комітетів, робочих груп, працівників;
стратегії і процедури щодо виконання плану заходів;
пріоритетів для банківських операцій;
порядку переміщення працівників до резервного пункту;
необхідних ресурсів (людських, фінансових, технічних, баз даних, приміщень, постачальників).
8. Визначення критеріїв для проведення тестування і супроводження плану заходів.
Визначення умов і частоти тестування плану заходів з урахуванням вимог щодо часу відновлення операцій.
Оцінка результатів тестування.
Затвердження процедур для перегляду і супроводження плану заходів.
Проведення навчання працівників, задіяних у роботі з виконання плану заходів.
9. Подання плану заходів на розгляд і схвалення правління банку з надсиланням після його схвалення відповідальним працівникам.
Додаток 3
до Методичних рекомендацій
щодо планування в банках
України заходів
на випадок виникнення
непередбачених обставин
РЕКОМЕНДОВАНА СТРУКТУРА
плану заходів з відновлення функціонування банку
1. Вступна частина.
2. Аналіз непередбачених обставин, які впливають на банківську діяльність.
3. Розподіл обов'язків працівників банку з метою забезпечення виконання плану заходів.
4. Порядок забезпечення працівників банку необхідною для роботи документацією, приміщенням, офісною технікою, банківським обладнанням тощо.
5. Порядок резервування інформаційних систем та формування архівів особливо важливих даних.
6. Порядок відновлення функціонування банку, уключаючи організацію роботи віддалених резервних пунктів.
7. Процедури відновлення банківських операцій після настання непередбачених обставин у вигляді переліку необхідних дій і відповідальних працівників, уключаючи визначення пріоритетності і часу відновлення операцій та/або функціональних підрозділів.
8. Додаток із зазначенням телефонних номерів відповідальних працівників і місця збору працівників у разі прийняття рішення про евакуацію до віддаленого резервного пункту.
9. Опис посадових функцій відповідальних працівників банку з відновлення функціонування банку після настання непередбачених обставин.
10. Порядок ознайомлення працівників банку з планом заходів.
11. Навчання осіб, відповідальних за відновлення функціонування банку.
12. Тестування плану заходів.
13. Оцінка результатів тестування плану заходів.
14. Порядок супроводження плану заходів.
Додаток 4
до Методичних рекомендацій
щодо планування в банках
України заходів
на випадок виникнення
непередбачених обставин
ВИТЯГ
з документа Базельського комітету з банківського нагляду "Належна практика управління ліквідністю в банківських установах", Базель, лютий 2000 р.
У цьому додатку наведено неофіційний переклад принципу 9 та пунктів 61-68 документа Базельського комітету з банківського нагляду "Належна практика управління ліквідністю в банківських установах".
D. План дій за непередбачуваних обставин
Принцип 9: Банк повинен мати плани на випадок непередбачуваних обставин, що передбачають стратегію подолання кризи ліквідності та включають процедури компенсації дефіциту грошових потоків у надзвичайних ситуаціях.
61. Здатність банку вчасно долати тимчасові або тривалі труднощі з фінансуванням деяких або всіх видів своєї діяльності за прийнятного рівня витрат може залежати від адекватності його офіційних планів на випадок непередбачуваних обставин. Оскільки банки все менше покладаються на основні депозити як стабільне джерело фінансування і все більше покладаються на другорядні джерела фінансування, необхідність розроблення планів на випадок непередбачуваних обставин стає ще більш нагальною. Ефективні плани на випадок непередбачуваних обставин мають давати відповідь на два основні питання:
чи є в керівництва стратегія подолання кризи?
чи є в керівництва процедури оцінки коштів у надзвичайній ситуації?
Вище керівництво має підходити до вирішення цих питань реалістично, щоб визначити, як банку забезпечувати стабільну діяльність за несприятливих обставин. Крім того, керівництво має визначати та розуміти типи подій, унаслідок яких може виникнути необхідність реалізації планів подолання кризи ліквідності.
(a) Стратегія
62. План на випадок непередбачуваних обставин, орієнтований на подолання проблем з ліквідністю, повинен складатися з декількох компонентів. Найбільш важливими є ті, що передбачають управлінську координацію. В плані на випадок непередбачуваних обставин повинні описуватися процедури забезпечення вчасності та безперервності інформаційних потоків і надання вищому керівництву точної інформації для термінового прийняття потрібних рішень. Слід чітко розподілити обов'язки, щоб усі співробітники знали, що вони зобов'язані робити в разі виникнення проблемної ситуації.
63. Ще одним важливим елементом плану має бути стратегія вжиття певних заходів з метою зміни поведінки активів та зобов'язань. Оскільки існує можливість робити припущення щодо того, як той чи інший актив або зобов'язання буде змінюватися за певних умов (про що йшлось вище), банк має змогу певним чином впливати на їхні характеристики. Наприклад, на основі своїх припущень щодо майбутніх грошових надходжень від ліквідних активів та щодо відпливу грошових коштів у зв'язку з достроковим вилученням депозитів, банк може дійти висновку, що він матиме дефіцит ліквідності під час кризи. Однак, під час такої кризи банк може отримати можливість більш агресивно просувати свої активи на ринку або продавати ті активи, що, як правило, не були б реалізовані за звичайних умов, і таким чином збільшити свої грошові надходження.
64. Іншими компонентами плану на випадок непередбачуваних обставин є збереження клієнтських відносин із держателями зобов'язань, позичальниками, а також торговими та позабалансовими контрагентами. У разі зростання інтенсивності проблем банки мають вирішувати, яких активів позбуватися. Як правило, банки переглядають баланс і вибирають ті активи, реалізація яких найменше позначиться на ділових відносинах та громадському сприйнятті надійності банку (наприклад, державні цінні папери). У той же час, відносини з держателями зобов'язань стають більш важливими за несприятливих умов. Якщо стратегією банку передбачено, що менеджери зобов'язань повинні підтримувати міцні постійні зв'язки з контрагентами та великими держателями зобов'язань протягом періодів відносного спокою, то банк, швидше за все, буде в кращому становищі щодо забезпечення джерел коштів за непередбачуваних обставин.
(b) Резервна ліквідність
65. Плани на випадок непередбачуваних обставин також повинні містити процедури компенсування дефіциту грошових потоків у несприятливих ситуаціях. Банки мають у розпорядженні декілька джерел таких коштів, уключаючи раніше невикористані кредитні лінії. Залежно від серйозності проблем з ліквідністю банк може вирішити (або може бути змушеним) скористатися одним або декількома з цих джерел. У плані необхідно якомога чіткіше визначити суму коштів, яку банк може отримати із цих джерел, і те, за яких сценаріїв він може скористатися ними. Банки повинні бути обережними і не покладатися надмірно на резервні лінії, а також повинні враховувати різноманітні умови, такі як період, за який потрібно попередити про намір скористатись кредитною лінією, що можуть вплинути на здатність банку отримати швидкий доступ до таких ліній. Насправді, банки повинні мати плани дій і на той випадок, коли їхні резервні лінії стануть недоступними.
66. Банки повинні передбачати, за яких обставин і для яких цілей їм необхідно відкривати підтверджені лінії фінансування, за які з них стягуватиметься плата та які будуть доступними за непередбачених обставин, коли непідтверджені кредитні лінії стануть недоступними.
(c) Програми сек'юритизації активів
67. Наявність застережень щодо права регресу під час продажу активів, надання інструментів забезпечення ліквідності для програм сек'юритизації та умови дострокового погашення для певних операцій із сек'юритизації активів можуть бути пов'язані із значним ризиком ліквідності для установ, що здійснюють цю кредитну діяльність на вторинному ринку. Установи повинні піклуватися про те, щоб їх плани щодо подолання кризи ліквідності повністю враховували потенційний ризик, пов'язаний з їхньою кредитною діяльністю на вторинному ринку. Під час емісії нових забезпечених активами цінних паперів, банківська організація-емітент має визначити потенційний вплив на її ліквідність на початку кожної операції та протягом періоду до строку погашення цінних паперів з метою кращого визначення своїх майбутніх потреб у фінансуванні.
68. Плани установи на випадок непередбачуваних обставин повинні враховувати потребу отримання альтернативного фінансування та передбачати можливі додаткові джерела фінансування на випадок дострокового погашення забезпечених активами цінних паперів в обігу. Слід визнати, що дострокове погашення забезпечених активами цінних паперів банківської організації може перешкоджати її здатності фінансувати себе - завдяки повторній емісії або іншим запозиченням - через негативний вплив на репутацію установи серед інвесторів та кредиторів.