Řízení kontinuity obchodních činností finančních institucí během pandemie COVID-19
Finanční instituce si letos nedobrovolně vyzkoušely, jak reálně vypadá řízení kontinuity činností organizace v době mimořádné události. K čemu lze pandemii COVID-19 v pohotovostním plánování přirovnat a jakým způsobem se s ní finanční sektor z hlediska kontinuity služeb vypořádává?
Standardy pro řízení kontinuity činností organizacím poskytují metodickou pomoc ke zvyšování odolnosti proti předvídaným i nepředvídaným situacím. Nutnost pohotovostního plánování je mimo jiné zakotvena i ve vyhlášce o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry č. 163/2014, kde je této problematice věnováno několik bodů v příloze č. 6. Fungování celého systému pohotovostního plánování je pak zároveň jednou z klíčových oblastí, které jsou posuzovány dohledem ČNB, a to i v rámci kontrol na místě.
Jak se do metodiky řízení kontinuity promítla pandemie COVID-19? Identifikovat můžeme hned několik zajímavých rysů:
- Nešlo o minuty, ale pohotovost byla nutná
Jednou ze základních charakteristik, které určují způsob řešení krize, je její časový náběh. V tomto případě se sice nejednalo o minuty či hodiny (jako například v případě požáru budovy), nicméně i tak se finanční instituce musely velmi pružně vypořádávat s vyhlašovanými opatřeními platnými pro daný časový úsek a lokalitu. Jejich krizové týmy v tomto období řešily situaci průběžně – upřesňovaly zdroje a postupy pohotovostního plánování s ohledem na specifika COVID-19, aby zajistily vhodnou reakci pro konkrétní situaci v daném stupni krize. - Z jednoho rizika vzniklo druhé
Na druhou stranu se však rizika a nebezpečí reálného světa přelila do světa virtuálního. Informační i platební systémy bank byly zatíženy mnohem více než při běžném provozu. Zákazníci komunikovali s bankami jak přes call centra, tak daleko intenzivněji i skrze elektronické kanály. Velká většina zaměstnanců finančních institucí přešla na práci z domova. V nutných případech byli zaměstnanci rozděleni do dvou nebo více týmů nebo umístěni na různých místech s cílem minimalizovat riziko přenosu nákazy a zároveň zachovat nejnutnější zdroje pro fungování kritických procesů instituce.
Dalším aspektem byla skutečnost, že se nejednalo o krizi, která by postihla jen jednu instituci. Zasažena byla celá společnost. Mnoho činností tak bylo utlumeno plošně (především vzhledem k vládním opatřením), a nebylo proto vždy nutné zajistit provoz institucí v plném rozsahu obvyklém pro běžný stav. - Přechod do „zdánlivého normálu“ byl pomalý a opatrnost se vyplatila
Třetím zajímavým faktorem je, že k přechodu do prázdninové uvolněné fáze došlo velmi pomalu a opatrně. Některé instituce po celou dobu nechaly své zaměstnance pracovat z domova a neměly potřebu tento stav měnit. V jiných institucích od března přetrvává rozdělení zaměstnanců do více týmů, mezi kterými nedochází k osobnímu kontaktu. Cílem je zajistit fungování kritických procesů i v případě potenciální infekce.
Pohotovostní plán pro COVID?
Žádná instituce samozřejmě neměla předem připravený pohotovostní plán s názvem „COVID“, kde by bylo přesně popsáno, jak se zachovat v případě celosvětové pandemie. Situace se tak mohla částečně podobat scénáři „ztráta budovy“ a trochu také plánu pro „nedostupnost lidských zdrojů“. Klíčové ale bylo, že pohotovostní plánování vytvářelo záložní zdroje a postupy, které byly okamžitě využitelné. Trvalé vylepšování procesů řízení kontinuity by ve svém důsledku mělo vést k vyšší odolnosti organizace i proti situacím, které nejsou detailně rozpracovány v jednotlivých pohotovostních plánech.
Reakce finančního sektoru
Jakým způsobem finanční instituce na novou situaci reagovaly? V důsledku přechodu na práci z domova finanční instituce rozšiřovaly již existující infrastrukturu pro vzdálenou práci, přičemž musely zajistit požadovanou úroveň informační bezpečnosti. Zaměstnanci finančních institucí i jejich klienti si osvojili virtuální komunikaci, videokonference či elektronickou výměnu informací. Omezení fyzického kontaktu lidí se tak daří dosáhnout bez závažných provozních problémů nebo bezpečnostních incidentů.
Možným rizikem je fungování klíčových dodavatelů finančních institucí v podmínkách omezeného pohybu, zejména pokud se jedná o poskytovatele mimo Českou republiku. Toto riziko se však dosud naštěstí nenaplnilo.
Absence závažnějších dopadů tak v praxi potvrdila oprávněnost požadavků kladených na instituce i dodavatele, a to zejména v oblastech zajištění kontinuity obchodních činností i v oblasti outsourcingu, kde tato krize připomněla mj. význam pohotovostního plánování pro případ selhání významných dodavatelů.
Přístup dohledu ČNB
Česká národní banka situaci finančního sektoru v ČR od samého začátku pandemie monitorovala. V době zhoršování epidemiologické situace a přijímání vládních opatření v rámci „první vlny“ se pak dohled ČNB rozhodl odložit nebo přerušit kontroly na místě, aby institucím umožnil co nejrychleji alokovat dostupné zdroje na činnosti krizového řízení. Po stabilizaci procesů ve finančních institucích se kontrolní činnost na místě obnovila. Forma kontroly je však uzpůsobena situaci a například využívá v maximální možné míře videokonference.
V souvislosti s očekávanými negativními dopady pandemie COVID-19 začaly být v polovině března od většiny finančních institucí vyžadovány pravidelné zprávy o aktuální situaci. Dohled ČNB přijatá opatření k zajištění kontinuity činností institucí monitoroval a vyhodnocoval – zejména pak opatření v oblasti služeb a produktů poskytovaných klientům. S nástupem „druhé vlny“ se využily nastavené komunikační kanály a mohla se tak zintenzivnit přímá jednání s bankami o aktuální situaci.
Čím dalším se dohled ČNB zabýval a co posuzoval?
- Opatření, jejichž cílem bylo zmírnit negativní dopady pandemie na finanční situaci institucí (s důrazem na úvěrové riziko, likviditu, dostatečné kapitálové vybavení, boj proti praní špinavých peněz a odbornou péči)
- Udržování dostatečné úrovně systému řízení rizik u institucí fungujících v pozměněném režimu
- Průběžné hodnocení rizik, kterým byly jednotlivé instituce vystaveny
- Dostatečnost opatření přijímaných finančními institucemi ke zmírňování rizik v oblasti kontinuity obchodních činností v této mimořádné situaci
Pandemie jako příležitost v pohotovostním plánování
Koronavirová krize představuje v kontextu výše uvedeného příležitost s pozitivními dopady. Omezení si vynutily změny v pracovních procesech, které si organizace postupně osvojily. Tyto změny mohou v budoucnu vést k větší odolnosti vůči jiným výjimečným událostem. Například práce z domova se pro některé činnosti ukázala být funkčním modelem. Akcelerátorem pro mnoho inovací může být i větší užití digitálních kanálů. Tyto změny ale finanční instituce musí zapracovat do bezpečnostních politik a prověřit, jestli jsou nová rizika v IT, které tyto změny přináší, identifikována a řízena.
ČNB očekává, že instituce nově nabytých zkušeností využijí a na základě reálných funkčních postupů z doby pandemie přistoupí k revizi svých pohotovostních plánů.