С 1 января 2015 года в Республике Казахстан Pвступает в действиеPПостановление Правления Нацбанка Казахстана 29 « Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня «.PДокумент заслуживает пристального внимания по рядуPпричин.
Во-первых, для объектов регулирования, т.е. казахстанских банков, документ определяет значительное количество обязательных для выполнения требований в различных областях, в т.ч. и в части непрерывности бизнеса.
Во-вторых, это первый отраслевой регулирующий документ в области непрерывности бизнеса (из тех, которые я встречал), который столь подробно и толково описывает требования к предметной области. Не знаю, кто именно был автором документа, и привлекались ли внешние консультанты, но степень проработки однозначно внушает уважение.
Сам текст постановления доступен на сайте Национального банка Казахстана ,Pи представляет собой 168 страниц мелкого текста. Документ затрагивает различные вопросы управления рисками и внутреннего контроля, я же традиционно сфокусируюсь на вопросах непрерывности бизнеса.
В 29 Постановлении определяются все документы системы управления непрерывностью бизнеса, которые должны возникать на различных этапах жизненного цикла, причем для каждого из них определяется уровень утверждения (что исключает необходимость в продолжительных дискуссиях, что должно решаться на каком уровне).
В какой то момент кажется, что документ определяет обязательные требования всего лишь к 4 компонентам СУНБ:
«Система управления непрерывностью деятельности включает, но не ограничивается следующими компонентами:
1) политику управления непрерывностью деятельности банка;
2) процедуры управления непрерывностью деятельности банка;
3) систему управленческой информации;
4) оценку эффективности системы управления непрерывностью деятельности подразделением внутреннего аудита.»P
Но по мере дальнейшего прочтения картина оказывается не такой уж простой, потому что за каждым из этих пунктов стоит большой объем детальных требований.PНапример, второй пункт разворачивается еще в шесть новых:
«Банк управляет непрерывностью деятельности посредством следующих процедур (но, не ограничиваясь ими):
1) анализа влияния на деятельность банка;
2) идентификации критичных видов деятельности;
3) определения ресурсов, необходимых для поддержания критичных видов деятельности;
4) анализа рисков непредвиденных обстоятельств;
5) определения мер управления рисками непредвиденных обстоятельств;
6) разработки плана (планов) по обеспечению непрерывности деятельности.»
Далее, каждый из пунктов также детально раскрывается.
В целом получившийся набор требований даже жестче, чем требования стандарта ISO 22301, т.е. можно ожидать, что банки, которые подойдут неформально к реализации требований Постановления 29, будут подавать на сертификацию и легко проходить сертификационный аудит.
Документ интересный, рекомендуется к прочтению вне зависимости от того, находитесь ли вы в Казахстане, и является ли ваша организация банком.
И в заключение хочется выразить свое почтениеPавторам документа — он сделан очень профессионально и безусловно полезен не только в части формализации требований («что делать»), но и в вопросах внедрения системы («как делать»).
nНадеюсь, через какое-то время у меня будет возможность поделиться опытом построения СУНБ под требования Постановления 29 для кого-нибудь из наших заказчиков. 
