منشور دوري رقم (2) لسنة 2011م
المقدمة:
حرصاً من البنك المركزي على ضمان استمرارية العمل لدى البنوك في حالات الطوارئ والتوقف المفاجئ لتشغيل البنك والتي قد تحدث في أي وقت وتطبيقاً للمبادئ الأساسية لاستمرارية الأعمال الصادرة عن لجنة بازل للرقابة المصرفية واستناداً لورقة العمل الصادرة عن اللجنة العربية للرقابة المصرفية بعنوان (استمرارية الأعمال في مواجهة الطوارئ)، وبناءً على توجيهات الأخ المحافظ تقرر العمل بما يلي:
أولاً: المبادئ العامة لإعداد وتطوير خطة استمرارية العمل: –
أ- التعاريــــــــف:
1- خطة استمرارية العمل: هي الخطة التي تزود البنك بالأدوات والآليات المناسبة التي تمكنه من التعامل مع مختلف الأزمات والكوارث بفاعلية، بحيث تعمل هذه الخطة على تخزين المعلومات الحساسة واستعادتها في أوقات الأزمات لتجنيب البنك أكبر قدر من الخسارة والانهيار.
2- خطة التصدي للكوارث: هي جزء من خطة استمرارية العمل والتي يتم تفعيلها في حالات الطوارئ الكبرى أو الكوارث والتي ينتج عنها مخاطر عالية.
3- تحليل الأثر على الأعمال: وهي عبارة عن تحديد آثار الأعمال أو فقدانها لعمليات التشغيل وقياسها الكمي والنوعي عند حدوث توقف اضطراري. وتهدف لتحديد أولويات إعادة التشغيل وتساعد في إعداد خطط استمرارية الأعمال.
4- المواقع البديلة: موقع أو مواقع للعمل يتم تجهيزها للاستمرار في الاعمال في حالات التوقف الاضطراري لأي بنك عند حدوث كوارث. ويشمل المصطلح الموقع والأجهزة اللازمة لإدارة الأعمال، ويمكن إدارتها بشكل مباشر أو من خلال الغير.
ب- المبادئ العامة:
المبدأ الأول: مسؤوليات مجلس الإدارة والإدارة العليا:
يعتبر كل من مجلس الإدارة والإدارة التنفيذية العليا لأي بنك مسئولان عن استمرارية الأعمال لهذا البنك. ومن ضمن مسؤولياته ما يلي: –
1- تخصيص الموارد الكافية بما في ذلك العنصر البشري المؤهل والقادر على إعداد وتطوير خطط استمرارية العمل.
2- وضع السياسات المتعلقة بإدارة المخاطر المتعلقة باستمرارية الأعمال بما يكفل تحديد كافة أنواع المخاطر التي قد تنتج عن توقف تشغيل العمليات لتفادي الخسائر الناجمة من التوقيف الاضطراري للتشغيل.
3- المصادقة على خطط استمرارية العمل وتعديلاتها بشكل سنوي على الأقل.
4- التأكد من إجراء الاختبارات والفحوصات اللازمة لفحص خطط استمرارية العمل والتأكد من نتائجها.
5- التأكد من تحديث خطط استمرارية العمل بشكل مستمر كلما دعت الحاجة لذلك.
6- التأكد من تدريب وتأهيل الكوادر البشرية ذات العلاقة بما يمكنهم ن القيام بالمهام المناطة بهم لتنفيذ تلك الخطط.
7- تحديد الأدوار والمسئوليات والسلطات اللازمة للعمل بالإضافة إلى المرونة اللازمة التي قد تحتاجها الإدارة التنفيذية في وضع الخطط المستقبلية وإعادة تحديد الأولويات والموارد وتحديد مواق المسئوليات الخاصة بإدارة استمرارية الأعمال عند حدوث أي توقف اضطراري للتشغيل.
المبدأ الثاني: مراحل إعداد خطط استمرارية العمل:
يجب أن تشمل خطط استمرارية العمل على الأقل المراحل التالية:
أ- تحليل الأثر على الأعمال:
يعتبر تحليل الأثر او الخسائر على الأعمال أو الأنشطة الخطوة الأولى لإعداد خطط استمرارية العمل ويشتمل على ما يلي:
1- تحديد احتمالات الأثر (الخسائر) الناتج عن الحوادث المختلفة المتوقعة وغير المتوقعة على العمليات والأنشطة.
2- أخذ كافة العمليات والأنشطة بعين الاعتبار عند تحليل الأثر ولا يجب أن يقتصر ذلك على الأمور المرتبطة مباشرة بتكنولوجيا وأنظمة المعلومات.
3- تقدير واحتساب زمن الانقطاع أو التوقف المقبول والممكن تحمله وما يرافق ذلك من خسائر محتملة جراء الانقطاع.
ب- تقييم المخاطر:
يعتبر تقييم المخاطر الخطوة التالية في عملية إعداد وتطوير خطط استمرارية العمل، ويشتمل على ما يلي: –
1- ترتيب العمليات والأنشطة المعرضة للتعطل والانقطاع حسب أهميتها آخذاً بالاعتبار احتمالية وتكرار وقوع التعطل والانقطاع.
2- القيام بتحليل الفجوة من خلال مقارنة الزمن اللازم لإعادة التشغيل حسب ما هو وارد في خطط استمرارية العمل وحسب متطلبات تحقيق أهداف العمل.
3- تحديد التهديدات المختلفة الممكن التعرض لها، وتحليل أثر هذه التهديدات من حيث المخاطر التي قد تحدث وتؤثر سلباً على إيرادات وأنشطة وعملاء وكوادر البنك.
ج- تطوير خطة استمرارية العمل:
يجب أن تتسم الخطة بما يلي:
1- تكون مكتوبة وموزعة على المعنيين لضمان معرفتهم بالإجراءات الواجب إتباعها في حالات التعطل والانقطاع المختلفة.
2- تحدد الحالات التي تتطلب تفعيل الخطة بالسرعة المطلوبة.
3- تحدد الخطوات والإجراءات العاجلة الواجب إتباعها لتفعيل الخطة عند حدوث التعطل والانقطاع.
4- تمتاز بالمرونة اللازمة لمواجهة التهديدات غير المتوقعة أو التغيرات التي قد تطرأ على ظروف وآليات العمل.
5- تركز على كيفية إعادة التشغيل واستمرارية الأعمال.
6- تكون فعالة بحيث تعمل على تقليل أثر التعطل والانقطاع وتقليل الخسائر إلى أدنى حد ممكن.
د- استمرارية فحص ومراجعة وتحديث خطة استمرارية العمل:
يجب التأكد من فعالية خطة استمرارية العمل من خلال إتباع الأمور التالية:
1- فحص الخطة مرة كل سنة على الأقل.
2- إخضاع الخطة لعملية لمراجعة المستقلة من قبل المراجعة الداخلية والمراجعة الخارجية.
تحديث الخطة وتعديلها بشكل مستمر بناءً على الظروف المحيطة الداخلية والخارجية.
المبدأ الثالث: حالات توقف تشغيل العمليات:
أ- من الضروري أن يتوخى البنك الحذر بشأن اختيار الموقع البديل لتشغيل العمليات عند الطوارئ بعيداً بشكل كافٍ عن الموقع الرئيسي للعمليات، حيث يقلل هذا من حدة المخاطر التي قد يتأثر بها الموقعين نتيجة تعرضهما لنفس الحدث.
ب- يجب على البنك التأكد من مدى كفاية المعلومات الخاصة بالموقع البديل والمعدات والنظم الضرورية لاستعادة تشغيل العمليات الهامة والحفاظ عليها لفترة زمنية كافية في حالة تعرض الموقع الرئيسي للضرر بشكل كبير.
ج- يجب على البنك أن توفر كادر بشري مدرب ومؤهل جيد الخبرة قادر وجاهز لاستعادة التشغيل وكذلك القيام بتوفير دليل عمل إرشادي يساعد البنك على وضع أهداف الاستعادة بما يتلاءم مع المخاطر التي قد يسببه هذا التوقف الاضطراري للتشغيل.
هـ- يجب وضع وحدة تخزين الكترونية تسع لجميع العمليات المصرفية للبنك ويمكن نقلها في حالة الطوارئ.
المبدأ الرابع: الاتصالات على المستوى المحلي والاتصال بالجهات الخارجية:
لابد من وجود خطة لتسهيل الاتصال بإدارة فروع البنك والجهات الخارجية في حال توقف عمليات التشغيل لما لذلك من أهمية في توصيل المعلومات في الوقت المناسب على أن تتضمن الخطة ما يلي:
1- تحديد المسئولين عن إجراء الاتصال والتنسيق.
2- تحديث الشبكة بشكل منتظم.
3- إجراء الاختبارات الدورية عليها والتأكد من فاعليتها.
4- إجراء الاتصال في أحلك الظروف حيث يتم التنسيق مع وزارة الاتصالات وتقنية المعلومات وكذلك تجديد وسائل الاتصال بأحدث الوسائل التكنولوجية والتأكد من مدى فاعليتها بين جميع الأطراف ذات العلاقة.
5- كما يجب الحرص على الاتصالات بالجهات الخارجية حتى يتم التواصل مع الفروع التي تقع خارج البلاد وذلك لتفادي أكبر قدر من الخسارة.
المبدأ الخامس: عمل الاحتياطيات اللازمة في حالات الطوارئ القصوى والتي تتمثل بالآتي:
– التوقف الاضطراري لعمليات المقاصة والتسويات المالية لأي سبب من الأسباب.
– وقوع حريق مفاجئ في البنك أو أحد فروعه مما يتطلب إخطار البنك المركزي والجهات المعنية بالدولة (الدفاع المدني، وزارة الداخلية، وزارة الكهرباء).
– انقطاع التيار الكهربائي الذي يسبب توقف أعمال البنك بالكامل لمدة تزيد عن ساعات العمل اليومية وعدم العودة في الوقت المناسب.
ثانياً: على كافة البنوك إعداد وتطوير خطة استمرارية العمل مع ضرورة الالتزام بالمبادئ العامة الواردة في البد أولاً وعلى كل بنك تزويد قطاع الرقابة بنسخة من خطة استمرارية العمل الخاصة به وذلك خلال شهر من تاريخه مع ضرورة تزويدنا بأي تعديلات مستقبلية قد تطرأ على الخطة في حينه.