7 اصل تاب‌آوری عملیاتی بانک‌ها

بانک‌ها و مشتریان آنها تاکنون از کاربرد فناوری در خدمات مالی سود برده‌اند، گرچه افزایش استفاده از فناوری، ریسک‌های جدیدی را معرفی می‌کند. تاکنون، برخی از عمده‌ترین ریسک‌های عملیاتی که بانک‌ها با آنها مواجه شدند ناشی از آسیب‌پذیری‌های مرتبط با پذیرش سریع و افزایش وابستگی به زیرساخت فناوری برای ارائه خدمات مالی و واسطه‌گری، همین‌طور اتکای رو به افزایش بخش‌ها بر خدمات مبتنی بر فناوری ارائه‌شده توسط اشخاص ثالث بوده است. همه‌گیری کووید- ۱۹ این ریسک‌های عملیاتی را تشدید‌کرده و عدم‌اطمینان اقتصادی و تجاری را افزایش داده است. اختلالات مرتبط با همه‌گیری، سیستم‌های اطلاعاتی، کارکنان، امکانات و ارتباطات با اشخاص ثالث ارائه‌دهنده خدمات و مشتریان را تحت‌تاثیر قرار داده است. همچنین تهدیدهای سایبری (حملات باج‌افزار، فیشینگ و غیره) افزایش یافته است و پتانسیل ریسک عملیاتی رویدادها ناشی از مردم، فرآیندها و سیستم‌های ناموفق به‌دلیل اتکای بیشتر بر ترتیبات کاری مجازی افزایش‌ یافته است.

فعالیت‌هایی همچون تشخیص و ارزیابی ریسک، کاهش ریسک (شامل پیاده‌سازی کنترل‌ها) و نظارت بر ریسک‌ها و اثربخشی کنترل‌ها انجام می‌شوند تا اختلالات عملیاتی و آثار آن را به حداقل برسانند. یک بانک تاب‌آور به‌لحاظ عملیاتی، کمتر مستعد تحمل وقفه‌های نابهنگام در عملیات خود و زیان‌های ناشی از اختلالات است، علاوه بر آن، تداوم کسب‌وکار، برون‌سپاری خدمات به اشخاص ثالث و فناوری که بانک‌ها به آن تکیه می‌کنند، عوامل مهمی هستند که بانک‌ها هنگام تقویت تاب‌آوری عملیاتی خود باید در نظر بگیرند.

کمیته بال تاب‌آوری عملیاتی را به‌عنوان توانایی یک بانک برای ارائه عملیات حیاتی در زمان بروز اختلال تعریف می‌کند. این توانایی بانک را قادر می‌سازد تا تهدیدها و شکست‌های احتمالی را شناسایی و از خود در برابر آن محافظت‌کند، نسبت به آن واکنش نشان دهد و با آن سازگار شود و همین‌طور بهبود‌ یابد و به‌منظور به حداقل رساندن تاثیر آنها بر ارائه عملیات حیاتی در زمان اختلال، از رویدادهای مختل‌کننده یاد بگیرد. در بررسی تاب‌آوری عملیاتی، بانک باید فرض‌کند که اختلالات رخ خواهند داد و و اشتهای ریسک کلی و سطح تحمل ریسک خود را برای اختلال مورد توجه قرار‌ دهد. در زمینه تاب‌آوری عملیاتی، کمیته سطح تحمل اختلال در خدمت‌رسانی را به‌عنوان سطحی از اختلال ناشی از هر نوع ریسک عملیاتی تعریف می‌کند که یک بانک با توجه به طیف وسیعی از سناریوهای سخت اما محتمل مایل به پذیرش آن است.

اصول کمیته بال برای تاب‌آوری عملیاتی در هفت طبقه سازمان‌دهی می‌شود: راهبری، مدیریت ریسک عملیاتی، برنامه‌ریزی و آزمون تداوم کسب‌و‌کار، ترسیم ارتباطات و وابستگی‌های متقابل عملیات حیاتی، مدیریت وابستگی به اشخاص ثالث، مدیریت حواث، فناوری اطلاعات و ارتباطات تاب‌آور از جمله امنیت سایبری. این اصول برای انطباق بانک‌ها با دامنه چارچوب بال باید به‌صورت تلفیقی و همسو با اشتهای ریسک عملیاتی بهکار روند.

اصل (۱)، راهبری: بانک‌ها باید از ساختار راهبری موجود خود (هیات‌مدیره و مدیران ارشد اجرایی) برای طراحی، اجرا و نظارت بر یک رویکرد تاب‌آوری عملیاتی موثر استفاده‌کنند تا آنها را قادر بسازد نسبت به رویدادهای مخرب واکنش نشان‌دهند و با آن سازگار شوند، بهبود یابند و به‌منظور به حداقل رساندن تاثیر آنها بر ارائه عملیات حیاتی در زمان اختلال، از رویدادهای مختل‌کننده یاد بگیرند. هیات‌مدیره باید رویکرد تاب‌آوری عملیاتی بانک را با در نظر گرفتن اشتها و سطح تحمل ریسک بانک برای اختلال در عملیات حیاتی، بررسی و تصویب کند. مدیریت ارشد باید تحت نظارت هیات‌مدیره، رویکرد تاب‌آوری عملیاتی بانک را اجرا کند و از تخصیص مناسب منابع مالی، فنی و سایر منابع برای حمایت از رویکرد تاب‌آوری عملیاتی کلی بانک، اطمینان حاصل کند.

مدیریت ارشد باید گزارش‌های به‌موقع درباره تداوم تاب‌آوری عملیاتی واحدهای کسب‌و‌کار بانک را برای انجام اثربخش نظارت هیات‌‌مدیره ارائه‌کند؛ به‌ویژه زمانی که ناکارآمدی قابل‌توجه می‌تواند بر ارائه عملیات حیاتی بانک تاثیر بگذارد. هیات‌مدیره نیز، از طریق اطلاع‌رسانی شفاف اهداف خود به همه گروه‌های مرتبط، از جمله کارکنان بانک، اشخاص ثالث و واحدهای تجاری درون‌گروهی، باید نقش فعالی در ایجاد درک وسیع از رویکرد تاب‌آوری عملیاتی بانک ایفاکند.

اصل (۲)، مدیریت ریسک عملیاتی: بانک‌ها باید از وظایف خود برای مدیریت ریسک عملیاتی استفاده‌ کنند تا تهدیدهای خارجی و داخلی و شکست‌های بالقوه در افراد، فرآیندها و سیستم‌ها را به‌طور مستمر شناسایی‌کنند، آسیب‌پذیری‌ از عملیات حیاتی را به سرعت ارزیابی‌کنند و ریسک‌های ناشی از آن را مطابق با رویکرد تاب‌آوری عملیاتی خود مدیریت‌کنند. بانک‌ها باید کنترل‌ها و دستورالعمل‌های کافی برای تشخیص و ارزیابی تهدیدها و آسیب‌پذیری‌ها و به‌طور کلی‌تر ریسک عملیاتی خود داشته باشند و تا حد امکان و به‌موقع از تاثیرگذاری آنها بر ارائه عملیات حیاتی خود جلوگیری کنند. شرح ‌وظایف مربوطه، باید بطور منظم اثربخشی کنترل‌ها و دستورالعمل‌های اجراشده را ارزیابی کنند. این ارزیابی‌ها همچنین باید در صورت تغییر در هر یک از اجزای اصلی عملیات حیاتی و همین‌طور پس از وقوع حوادث، برای مورد توجه قراردادن درس‌های آموخته‌شده و تهدیدها و آسیب‌پذیری‌های جدیدی که باعث بروز حادثه‌شده‌، انجام می‌شود.

اصل (۳)، برنامه‌ریزی و آزمون تداوم کسب‌و‌‌کار: بانک‌ها باید برنامه تداوم کسب‌وکار داشته باشند و اقدامات تداوم کسب‌وکار را در طیفی از سناریوهای سخت اما محتمل با رویکرد آینده‌نگر انجام ‌دهند تا توانایی خود را در ارائه عملیات حیاتی در زمان اختلال آزمون ‌کنند. یک برنامه تداوم کسب‌وکار موثر باید عملیات حیاتی و وابستگی‌های داخلی و خارجی اصلی را برای ارزیابی ریسک‌ها و تاثیر احتمالی سناریوهای مختلف اختلال بر عملیات حیاتی بانک شناسایی‌ کند.

این برنامه‌ها باید شامل تحلیل‌ تاثیر کسب‌وکار و راهبردهای بازیابی و همین‌طور برنامه‌های آزمون، برنامه‌های آموزشی و آگاهی‌بخشی و برنامه‌های ارتباطی و مدیریت بحران باشند. برنامه‌های تداوم کسب‌وکار باید رهنمود دقیقی برای اجرای چارچوب بازیابی از حوادث بانکی فراهم‌ کند. این برنامه‌ها باید نقش‌ها و مسوولیت‌هایی را برای مدیریت اختلالات عملیاتی تعیین ‌کنند و رهنمود شفافی را در ارتباط با جانشینی قدرت در صورت بروز اختلالاتی که بر کارکنان کلیدی تاثیر می‌گذارد، ارائه‌ دهند. همچنین این برنامه‌ها باید فرآیند تصمیم‌گیری داخلی را مشخص‌ کنند و دلایل استنادکردن به برنامه‌های تداوم کسب‌وکار بانک را معین‌ کنند.

اصل(۴)، ترسیم ارتباطات و وابستگی‌های متقابل: هنگامی‌که یک بانک عملیات حیاتی خود را مشخص می‌کند باید ارتباطات داخلی و خارجی و وابستگی‌های متقابلی را ترسیم کند که برای ارائه عملیات حیاتی مطابق با رویکرد خود برای تاب‌آوری عملیاتی ضروری است. وظایف مربوطه باید افراد، فناو‌ری، فرآیندها، اطلاعات، امکانات و ارتباطات و وابستگی‌های متقابل بین آنها را آن‌طورکه برای ارائه خدمات حیاتی بانک ضروری است از جمله آنهایی که به اشخاص ثالث یا ترتیبات درون‌گروهی وابسته هستند، ترسیم کند (یعنی تشخیص و مستند‌سازی).

اصل (۵)، مدیریت وابستگی به اشخاص ثالث: بانک‌ها باید وابستگی خود به روابط با اشخاص ثالث یا واحدهای تجاری درون‌گروهی برای ارائه عملیات حیاتی را مدیریت‌کنند. بانک‌ها باید پیش از ورود به توافق‌ها از جمله با اشخاص ثالث یا واحدهای تجاری درون‌گروهی، ارزیابی ریسک و راستی‌آزمایی را انجام‌دهند که با چارچوب مدیریت ریسک عملیاتی بانک، سیاست برون‌سپاری/مدیریت ریسک اشخاص ثالث و رویکرد تاب‌آوری عملیاتی سازگار باشد. قبل از اینکه بانک به چنین قراردادی ورود کند، باید تایید ‌کند که آیا شخص‌ثالث از جمله واحدهای تجاری درون‌گروهی در این قراردادها، حداقل سطح تعادلی تاب‌آوری عملیاتی برای حفظ عملیات حیاتی بانک هم در شرایط عادی و هم در صورت بروز اختلال را دارند.

بانک‌ها باید دستورالعمل‌های مناسب تداوم کسب‌و‌کار و برنامه‌ریزی اضطراری و راهبردهای خروج را برای حفظ تاب‌آوری عملیاتی خود در صورت ناکامی یا اختلال شخص ثالث توسعه دهند که بر ارائه عملیات حیاتی موثر است. سناریوهای برنامه‌های تداوم کسب‌و‌کار بانک باید قابلیت جایگزینی اشخاص ثالث ارائه‌دهنده خدمات حیاتی بانک و سایر جایگزین‌های متغیر که ممکن است تاب‌آوری عملیاتی را در صورت قطع ارتباط با اشخاص ثالث تسهیل‌کند، ارزیابی‌ کنند؛ مانند انجام‌دادن خدمات توسط کارکنان خود بانک.

اصل(۶)، مدیریت حوادث: بانک‌ها باید برنامه‌های واکنش و بازیابی برای مدیریت حوادثی که می‌توانند ارائه عملیات حیاتی را مختل‌کنند، همسو با اشتهای ریسک بانک و سطح تحمل اختلال عملیات طراحی و اجرا کنند. بانک‌ها باید به‌صورت مستمر برنامه‌های واکنش و بازیابی از حوادث خود را با لحاظ‌کردن درس‌های آموخته‌شده از حوادث قبلی بهبود‌ بخشند. بانک‌ها باید فهرستی از واکنش و بازیابی از حوادث، منابع داخلی و اشخاص ثالث را برای پشتیبانی از قابلیت‌های واکنش و بازیابی بانک نگهداری‌کنند. دامنه مدیریت حادثه باید چرخه عمر یک حادثه را ترسیم‌کند که معمولا شامل موارد زیر است؛ اما به اینها محدود نمی‌شود:

الف. طبقه‌بندی شدت حادثه بر اساس معیارهای از پیش تعیین‌شده (مانند زمان‌ مورد انتظار برای بازگشت به شرایط کسب‌و‌کار معمول) که اولویت‌بندی مناسب و تخصیص منابع برای واکنش به یک حادثه را امکان‌پذیر می‌کند.

ب. دستورالعمل‌های واکنش و بازیابی از حادثه شامل ارتباط آنها با تداوم کسب‌وکار بانک، بازیابی از بلایا و سایر دستورالعمل‌ها و برنامه‌های مدیریتی مرتبط.

ج. اجرای برنامه‌های ارتباطی برای گزارش حوادث به ذی‌نفعان داخلی و خارجی (مانند مقامات قانون‌گذار) از جمله سنجه‌های عملکردی هنگام حادثه و تحلیل درس‌های آموخته‌شده پس از حادثه.

دستورالعمل‌های واکنش و بازیابی از حادثه باید به‌صورت دوره‌ای بازبینی، آزمون و به‌روزرسانی شوند. بانک‌ها باید دلیل اصلی حوادث را تشخیص‌ دهند و بررسی‌ کنند تا از تکرار سریالی آنها جلوگیری کنند یا وقوع آن را به حداقل برسانند.

اصل(۷)، فناوری اطلاعات و ارتباطات شامل امنیت سایبری: بانک‌ها باید از وجود فناوری اطلاعات و ارتباطات تاب‌آور شامل امنیت سایبری اطمینان ‌یابند که مشمول برنامه‌های حفاظت، کشف، واکنش و بازیابی است که به‌طور منظم آزمون می‌شوند، آگاهی‌بخشی موقعیتی مناسب را درنظر می‌گیرند و اطلاعات به‌موقع مربوطی را برای مدیریت ریسک و فرآیندهای تصمیم‌گیری منتقل می‌کنند تا ارائه عملیات حیاتی بانک را به‌طور کامل پشتیبانی و تسهیل‌کنند. بانک‌ها باید خط‌مشی فناوری اطلاعات و ارتباطات مستندشده شامل امنیت سایبری داشته باشند که الزامات راهبری و نظارتی، مالکیت ریسک و پاسخ‌گویی، معیارهای امنیت فناوری اطلاعات و ارتباطات (مانند کنترل‌های دسترسی، حفاظت از دارایی اطلاعات حیاتی، مدیریت شناسایی)، ارزیابی دوره‌ای و نظارت بر کنترل‌های امنیت سایبری، واکنش نسبت به حوادث و همچنین برنامه‌های تداوم کسب‌و‌کار و بازیابی از بلایا را تصریح‌‌کند.

بانک‌ها باید دارایی‌های اطلاعاتی حیاتی خود و زیرساخت‌هایی را که به آن وابسته هستند، تشخیص‌دهند. همچنین باید تلاش‌های خود را برای امنیت سایبری، بر اساس ارزیابی ریسک فناوری اطلاعات و ارتباطات و اهمیت دارایی‌های اطلاعاتی حیاتی برای عملیات اصلی بانک اولویت‌بندی کنند؛ در‌حالی‌که تمام الزامات قانونی و مقرراتی مربوط به حفاظت و محرمانگی داده‌ها را رعایت می‌کنند. بانک‌ها باید برای حفظ یکپارچگی اطلاعات حیاتی، در صورت وقوع یک رویداد سایبری، برنامه‌هایی را طراحی‌ و کنترل‌هایی را اجرا کنند از جمله ذخیره‌سازی امن و پشتیبانی آفلاین در رسانه داده تغییرناپذیر که عملیات حیاتی را پشتیبانی کنند. بانک‌ها باید به‌طور منظم نمایه تهدید دارایی‌های اطلاعاتی حیاتی خود را ارزیابی‌کنند، آسیب‌پذیری‌ها را آزمون‌کنند و از تاب‌آوری خود در برابر ریسک‌های مربوط به فناوری اطلاعات و ارتباطات اطمینان‌یابند.

اخبار مرتبط

۷ اصل تاب‌آوری عملیاتی بانک‌ها

وب گردی

پربازدیدهای سایت خوان

اقتصاد نیوز