Баланс между здравым смыслом и требованиями регулятора при построении системы непрерывности бизнеса

Куликова Н.Е.

Выпускник группы MBA CIO-54

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Целью данной работы является описание внедрения системы непрерывности бизнеса в текущую деятельность страховой компании. Компания входит в международную финансовую группу. В группе в 2018 году была внедрена групповая политика непрерывности бизнеса, что требует от страховой компании при внедрении непрерывности бизнеса  разумного компромисса между соответствием групповой политике, требованиям регулятора, стратегии развития компании.

Для небольшой по численности сотрудников страховой компании (41 человек), не являющейся системно значимой, но работающей с достаточно большим объемом страховой премии (61 место по основным показателям деятельности, отраженным в статистических данных, предоставляемых страховщиками в ЦБ РФ), важна автоматизация бизнес-процессов для обеспечения повседневной деятельности. И отказ ИТ систем является одним из главных рисков. Также компания  сильно зависит от ключевых сотрудников. При выходе компании на рынок онлайн-продаж возрастают требования к непрерывности бизнес-процессов и повышения отказоустойчивости ИТ систем их поддерживающих.

Обеспечение непрерывности деятельности компании является постоянным процессом, учитывающим изменения в законодательстве, ИТ сфере,  бизнесе и других областях, влияющих на деятельность организации. Данный процесс должен помогать организации адаптироваться к этим изменениям.

CNews Analytics совместно с «Инфосистемы джет» и Veritas провели исследование среди представителей финансов, ТЭК, российского ритейла, промышленности, телекома и авиатранспорта с годовым оборотом от 20 млрд руб. и выше. По результатам исследования:

• у 72% компаний в России работают резервные ЦОДы и внедрены планы непрерывности/планы восстановления деятельности (BCP/DRP);
• у 48% компаний процесс обеспечения непрерывности бизнеса (Business Continuity Management, BCM) позволил минимизировать финансовые потери при нештатных ситуациях;
• 90% респондентов телекома подтвердили его наличие в компании;
• 23% опрошенных испытали сложности при восстановлении бизнес-процессов, несмотря на сочетание резервной площадки и плана непрерывности бизнеса;
• наименьший прогресс в области обеспечения непрерывности бизнеса показали страхование, ТЭК и промышленность.

Цифровая трансформация страховых компаний изменяет страховой рынок с точки зрения каналов продаж, управления активами, защиты персональных данных. Участники страхового рынка стремятся к автоматизации своей деятельности, что повышает зависимость бизнес-процессов от ИТ систем. Автоматизация страхового бизнеса должна строиться с особым вниманием к вопросам непрерывности. Система обеспечения непрерывности деятельности должна быть интегрирована в существующие бизнес-процессы компании.

Страховые компании обрабатывают большой объем персональных данных клиентов, что требует соблюдения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах (ИС). Что также увеличивает требования к ИТ системам страховщиков.

Стратегия развития страховой отрасли, разработанная страховым сообществом и утвержденная на общем собрании членов Всероссийского союза страховщиков (ВСС), направлена на расширение страхового рынка, в том числе на развитие электронного страхования. Активное участие в продвижении онлайн-продаж принимает Центральный банк Российской Федерации (ЦБ РФ), который создает собственный цифровой супермаркет финансовых услуг (маркетплейс). Что добавляет для страховых организаций новые информационные риски (киберриски), которые должны быть учтены для обеспечения непрерывности операционных бизнес-процессов.

В ЦБ РФ внедряется риск-ориентированный подход  к регулированию страхового сектора в Российской Федерации. При внедрении данного подхода для страховых организаций произойдет увеличение  регуляторной нагрузки в отношении подготовки отчетности, усовершенствования ИТ-систем, налаживания бизнес-процессов.

ВСС также ведет активную работу по внедрению базовых стандартов, в которых содержатся требования по защите информации и непрерывной деятельности автоматизированных систем страховщика.

Клиенты страховых организаций требуют простого и удобного взаимодействия со страховой компанией. Особенно используя взаимодействие в онлайн режиме.

В части соблюдения требований обеспечения непрерывности бизнеса страховые компании должны:

• следовать рекомендациям положений, изложенных в  документе «Методические рекомендации по обеспечению непрерывности деятельности некредитных финансовых организаций ЦБ РФ от 18 августа 2016 г. N-28MP;
• соответствовать базовым стандартам ВСС с 07.05.2019 г.: «Базовый стандарт защиты прав и интересов физических и юридических лиц –получателей финансовых услуг, оказываемых членами саморегулируемых организаций, объединяющих страховые организации» и «Базовый стандарт совершения страховыми организациями операций на финансовом рынке».

Исходя из описанных выше предпосылок и изменения стратегии в организации, во внедрении системы непрерывности бизнеса активно заинтересовано руководство компании. В связи с чем,  руководством организации было принято решение о начале проекта внедрения процесса обеспечения непрерывности бизнеса.

Цели обеспечения непрерывности бизнеса (ОНБ):

• поддержание способности выполнять принятые на себя обязательства перед клиентами и партнерами, предупреждение и предотвращение возможного нарушения режима повседневного функционирования;
• обеспечение соответствия всех механизмов ОНБ требованиям государственных органов РФ, а также требованиям нормативных правовых актов и принятых в организации политик, процедур и планов;
• снижение тяжести последствий нарушения режима повседневного функционирования организации (в том числе размера материальных потерь, потери информации, потери деловой репутации);
• сохранение уровня управления организацией, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
• обеспечение благоприятных условий труда и безопасности работников, находящихся в помещениях организации;

Основные планируемые этапы по внедрению системы непрерывности бизнеса в организации:

• анализ влияния на бизнес:
  • определение и описание критических бизнес-процессов;
  • определение максимально допустимого времени простоя (MTPD – Maximum Tolerable Period of Disruption), целевого времени восстановления (RTO – Recovery Time Objective), минимально допустимого уровня сервиса (MBCO – Minimum Business Continuity Objective) для критических бизнес-процессов;
  • определение RTO, целевой точки восстановления (RPO – Recovery Point Objective) для ресурсов;
  • определение зависимостей и ресурсов для обеспечения непрерывности и восстановления деятельности.
• оценка риска:
  • определение угроз и их источников;
  • определения вероятности наступления и уровня воздействия для каждого риска;
  • определение методов обработки риска.
• определение стратегии восстановления деятельности - после анализа требований и оценки риска, необходимо выбрать и обосновать возможные технические и организационные решения;
• планы обеспечения непрерывности и восстановления деятельности (ОНиВД);
• тестирование планов, внедрение в повседневную жизнь организации.

В рамках начавшегося проекта были сделаны следующие задачи:

1. Определен перечень критически важных бизнес-процессов. Данные процессы были описаны, выявлены внешние и внутренние зависимости от других процессов, сотрудников, ИТ инфраструктуры, ИТ систем, подрядчиков. Данное описание позволило выявить недостатки и оптимизировать критически важные бизнес-процессы уже на этом шаге.
2. На этапе описания критически важных бизнес-процессов было произведено документирование существующих сервисов и подсистем, обслуживающих бизнес-процессы компании, что позволяет компании иметь четкое представление об архитектуре подсистем компании и об информационных потоках в компании. Данный материал будет полезен сотрудникам компании в их повседневной деятельности и в случае восстановления деятельности компании после ЧС.
3. На этапе описания критически важных бизнес-процессов были составлены подробные инструкции пользователей бизнес-процессов, которые позволяют снизить зависимость компании от ключевых сотрудников.
4. В разработку политики непрерывности бизнеса  были вовлечены все руководители всех подразделений компании, что позволило руководителям осознать в целом структуру бизнес-процессов и внутренних систем компании, степень их важности для бизнеса, значение существующих на текущий момент связей со сторонними организациями, степень зависимости бизнеса.
5. Разработана и утверждена политика непрерывности бизнеса с учетом требований группы и требований регулятора:

• определены цели и задачи ОНБ;
• определена область применения политики ОНБ;
• определены роли и ответственности ОНБ:
  • создан Комитет по ОНБ, который занимается внедрением системы непрерывности бизнеса и руководит организацией в случае ЧС;
  • выделен Куратор ОНБ, который будет курировать внедрение программы со стороны топ-менеджмента на стратегическом уровне;
  • выделен Руководитель направления ОНБ, который будет обеспечивать внедрение программы непрерывности бизнеса на тактическом уровне;
  • выделены Координаторы ОНБ, которые являются владельцами бизнес-процессов и заинтересованы в их поддержке и управлении;
  • выделена Команда по восстановлению деятельности, задача которой в поддержке критически важных бизнес-процессов во время ЧС и восстановление деятельности;
  • все сотрудники  организации будут заниматься деятельностью в области непрерывности бизнеса. Распределение ролей и ответственностей расширяет текущие полномочия сотрудников и позволяет интегрировать обеспечение непрерывности бизнеса в часть работы каждого сотрудника организации.
• определен режим управления в режиме ЧС;
• определены общие принципы внедрения ОНБ:
  • основы анализа воздействия на бизнес и оценки риска;
  • основы стратегии востановления;
  • основы Плана ОНиВД;
• определен Коммуникационный план – для оповещения работников, контрагентов, государственных органов и взаимодействия со СМИ;
• определены процесс поддержки и улучшения ОНБ.

6. В рамках разработки и утверждения политики были принято решение соответствовать требованиям группы в части непрерывности бизнеса, что позволит поддерживать бизнес при его развитии с учетом изменившейся стратегии компании. Для этого в компании запланированы следующие шаги:

Для успешной деятельности компании внедрение системы непрерывности деятельности позволит компании:

• снизить финансовые потери в случае ЧС;
• снизить риск потери репутации;
• восстановить критические бизнес-процессы в согласованное время после ЧС;
• создать инфраструктуру, соответствующую требованиям бизнеса.