1. مقدمة
1.1 مقدمة الدليل التنظيمي لإدارة استمرارية الأعمال
عمل البنك المركزي على تطوير الدليل التنظيمي لإدارة استمرارية الأعمال (BCM) نظرًا للحاجة إلى توافر عمليات المؤسسات المالية على مدار الساعة وطوال أيام الأسبوع، والذي من شأنه المساهمة في تعزيز المتانة التشغيلية للجهات لضمان استمرارية وتوافر عملياتها وخدماتها. تستند الضوابط الواردة في الدليل التنظيمي إلى متطلبات البنك المركزي السعودي وأفضل الممارسات والمعايير الدولية، على سبيل المثال (ISO 22301) و (ISO 27001) وإرشادات أفضل الممارسات الصادرة عن معهد استمرارية الأعمال (BCI) وإرشادات الممارسات المهنية الصادرة عن المعهد الدولي للتعافي من الكوارث (DRII). يجب على كافة المؤسسات المالية المعنية الالتزام بهذه المتطلبات وإدراجها ضمن برنامج إدارة استمرارية الأعمال الخاص بها.
2.1 التعريفات
- تُعد إدارة استمرارية الأعمال (BCM) عملية متكاملة في تحديد التهديدات المحتملة على المؤسسة وأثرها على الأعمال في حال تحققها. كما توفر إطار لبناء الصمود المؤسسي والقدرة على الاستجابة الفعالة بما يحمي مصالح أصحاب المصلحة الرئيسيين، والسمعة، والهوية المؤسسية، وأنشطة صنع القيمة.
- تُعد إدارة استمرارية الأعمال (BCM) جزءًا من المنظومة الإدارية الشامل، والتي تتضمن الهيكل التنظيمي والسياسات والأنشطة المخطط لها والمسؤوليات والإجراءات والعمليات، والموارد المطلوبة لإنشاء وتنفذ وتشغيل ومراقبة ومراجعة والمحافظة والتحسين على استمرارية الأعمال.
- يُعد التعافي من كوارث تقنية المعلومات (IT DR) جزءًا من إدارة استمرارية الأعمال، ويشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بمتانة البنى التحتية التقنية المطلوبة لتقديم الأعمال الحساسة أو استعادتها أو استمرارها.
- يُعرف الحد الأقصى المقبول للانقطاعِ (MAO) بالفترة الزمنية من الانقطاع التي قد يترتب عنها آثار سلبية غيــر مقبولــة في حال عدم تقديــم منتــج / خدمــة أو عدم تقديم أداء نشــاط معين .
- يُعرف وقت التعافي المستهدف (RTO) بالفترة الزمنية ما بعد وقوع الحادثة والتي يجب أن يتم خلالها استئناف المنتجات أو الخدمات أو الأنشطة أو استعادة الموارد.
- تُعرف نقطة الاسترجاع المستهدفة (RPO) بالنقطـــة المحددة من المعلومات المســـتخدمة فـــي نشـــاط معين والواجب استعادتها لتمكيـــن العمل على النشاط حال استئنافه. بالإضافة إلى التعريف التالي "الحد الأقصى لقبول خسارة البيانات".
3.1 النطاق
يتضمن الدليل التنظيمي لإدارة استمرارية الأعمال تحديد المبادئ والأهداف والضوابط الأساسية لبدء وتطبيق ومراقبة وتحسين والحفاظ على ضوابط استمرارية الأعمال في المؤسسات المالية.
ينطبق الدليل التنظيمي على نطاق المؤسسة المالية بالكامل، ويشمل ذلك الشركات التابعة والموظفين والمقاولين والأطراف الثالثة والعملاء.
تترابط متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال بالسياسات المؤسسية الأخرى في المجالات ذات الصلة، مثل إدارة مخاطر المؤسسية، والصحة والسلامة والبيئة (HSE)، والأمن المادي، والأمن السيبراني (بما في ذلك المتانة السيبرانية وإدارة الحوادث).
4.1 نطاق التطبيق
ينطبق الدليل التنظيمي لإدارة استمرارية الأعمال على ما يلي:
- كافة المؤسسات الخاضعة لإشراف البنك المركزي ("المؤسسات المالية").
- كافة البنوك العاملة في المملكة العربية السعودية.
- كافة الشركات التابعة للبنوك السعودية.
- الشركات التابعة للبنوك الأجنبية والمتواجدة في المملكة العربية السعودية.
5.1 المسؤوليات
تم التعميم بالدليل التنظيمي لإدارة استمرارية الأعمال على المؤسسات المالية من قبل البنك المركزي. ويحتوي الدليل التنظيمي على متطلبات إدارة استمرارية الأعمال لتطبيقها من قبل المؤسسات المالية. يُعد البنك المركزي الجهة المالكة للدليل التنظيمي والمسؤول عن تحديثه دوريًا. وعلى المؤسسات المالية مسؤولية اعتماد وتطبيق المتطلبات المنصوص عليها في الدليل.
6.1 التفسير
تخضع المبادئ والأهداف والضوابط الأساسية الواردة في الدليل التنظيمي لتفسير البنك المركزي بصفته الجهة المالكة للدليل، وفي حال دعت الحاجة.
7.1 الجمهور المستهدف
هذه الوثيقة مخصصة لمجلس الإدارة، والرؤساء التنفيذيين، ومديري المخاطر، والإدارة العليا والتنفيذية، وإدارات الأعمال، ومسؤولي الأصول المعلوماتية، ومديري تقنية المعلومات، ومديري الأمن السيبراني، ومديري استمرارية الأعمال، والمدققين الداخليين والمسؤولين عن تحديد وتنفيذ ومراجعة ضوابط استمرارية الأعمال.
8.1 المراجعة والتغييرات والمحافظة
البنك المركزي هو المعني بمراجعة وتحديث هذه الوثيقة للتأكد من مدى فعالية وكفاية الدليل التنظيمي في مواجهة التهديدات والمخاطر الناشئة في مجال استمرارية الأعمال.
يتطلب على المؤسسات المالية في حال رأت الحاجة إلى تحديث هذه الوثيقة تقديم طلب رسمي إلى البنك المركزي، وذلك بعد الحصول على موافقة مدير إدارة استمرارية الأعمال ولجنة إدارة استمرارية الأعمال ضمن المؤسسة المالية. وللبنك المركزي مراجعة الطلب والنظر في التحديث على الوثيقة في حال الموافقة عليه.
تخضع الوثيقة لإجراءات ضبط الإصدارات للحفاظ، وسيتم التعميم على المؤسسات المالية المعنية في حال تحديث الإصدار السابق.
9.1 دليل القراءة
تمثل المتطلبات الواردة في الدليل التنظيمي لإدارة استمرارية الأعمال الأقسام الفعلية لإدارة استمرارية الأعمال، والأقسام الفرعية، والمبادئ، والأهداف، والضوابط الأساسية.