संदर्भ.आरबीआइ/2004-05/420
बैंपर्य.सीओ.आइएस.ऑडिट.सं.19/31.02.2004-05

15 अप्रैल 2005

सभी अध्यक्ष/प्रबंध निदेशक/मुख्य कार्यपालक अधिकारी
सभी अनुसूचित वाणिज्य बैंक

महोदय

वित्तीय उत्पादों की बढ़ती हुई जटिलता तथा टेक्नोलॉजी के बढ़ते प्रयोग और उसके अत्यधिक परिष्वफ्त रूप की पफ्ष्ठभूमि में, हाल के वर्षों में परिचालन जोखिम (ऑपरेशनल रिस्क) अत्यंत महत्वपूर्ण बन गये हैं। बासल घ्घ् ढांचे में ऋण और बाज़ार जोखिमों के साथ एक अलग श्रेणी के रूप में परिचालन जोखिमों का निरूपण किसी बैंक की जोखिम रूपरेखा को प्रभावित करने में परिचालन जोखिमों द्वारा अदा की जानेवाली महत्वपूर्ण भूमिका की अभिव्यक्ति है। भुगतान प्रणाली जैसे माध्यमों से संक्रामक होने की स्थिति में परिचालन जोखिम व्यापक रूप भी ले सकते हैं और बैंकिंग तंत्र में जनता का विश्वास डगमगा सकते हैं।

2. परिचालन जोखिम के महत्वपूर्ण क्षेत्रों में से एक कारोबार विघटन (डिसरप्शन) और सिस्टम फेल होने के प्रतिकूल असर को कम करने के लिए कारोबार निरंतरता आयोजना (बिसनेस कंटीन्युटी प्लानिंग) एक महत्वपूर्ण पूर्व-शर्त है। भारतीय रिज़र्व बैंक द्वारा हाल ही में किये गये एक अध्ययन से पता लगा है कि कु बैंक अभी भी कारोबार निरंतरता योजना (बीसीपी) तैयार करने की प्रक्रिया में हैं। यह अत्यावश्यक है कि सभी बैंकों में बीसीपी हो और वे गंभीर कारोबारी विघटनों से निपटने के लिए तैयार हो।

3. बीसीपी के संबंध में जिम्मेदारी निदेशक बोड़ और सर्वोच्च प्रबंध तंत्र की है। बोड़ को चाहिए कि वह बीसीपी के संबंध में सर्वोच्च प्रबंध तंत्र को स्पष्ट मार्गदर्शन और दिशा प्रदान करे। बोड़ बीसीपी संबंधी नीति का अनुमोदन, महत्वपूर्ण कारोबारी कार्यों को प्राथमिकता, पर्याप्त संसाधनों के आबंटन, बीसीपी परीक्षण परिणामों की समीक्षा कर तथा बीसीपी की व्यवस्था तथा उसका आवधिक उन्नयन सुनिश्चित करके अपनी जिम्मेदारी पूरी कर सकता

है। इस परिपत्र में उल्लिखित अपेक्षाएं न्यूनतम समझी जानी चाहिए तथा अलग-अलग बैंक की गतिविधियों, सिस्टम्स और क्रियाविधियों के परिप्रेक्ष्य में बीसीपी के विस्तफ्त घटक निर्मित करने का दायित्व बोड़ और सर्वोच्च प्रबंध तंत्र का है। यदि कोई आकस्मिकता पैदा होती है तो इस बीसीपी को निष्पादित करने के लिए सर्वोच्च प्रबंध तंत्र जिम्मेदार है। सर्वोच्च प्रबंध तंत्र को चाहिए कि वह संस्था के कारोबार को पूर्व स्थिति में लाने की क्षमता, आकस्मिकता योजनाओं, परीक्षण परिणामों की वार्षिक समीक्षा करे और बोड़ को प्रस्तुत करे। जब कभी भी महत्वपूर्ण कार्य बाहर से (आउटसोर्स) कराये जायें तब सर्वोच्च प्रबंध तंत्र आकस्मिकता आयोजना की पर्याप्तता तथा सर्विस प्रोवाइडरों द्वारा उनके आवधिक परीक्षण का मूल्यांकन करे।

4. समग्र आइटी परिचालन जोखिम के भाग के रूप में उभरने वाले व्यवधान जोखिमों से निपटने के लिए लागू किये जाने वाले नियंत्रणों से संबंधित पहलुओं पर रिस्क्स एंड कंट्रोल्स इन कम्यूटर एंड टेलीकम्यूनिकेशन सिस्टम्स संबंधी गाइडेंस नोट में चर्चा की गयी है जो 4 फरवरी 1998 के हमारे पत्र डीबीएस.सीओ.आइटीसी.बीसी.10/31.09.001/98 द्वारा भारत में कार्यरत सभी बैंकों के बीच परिचालित किया गया था। बैंकिंग और वित्तीय क्षेत्र के लिए सूचना प्रणाली सुरक्षा संबंधी कार्यकारी दल की रिपोर्ट बैंकों को वर्ष 2001 में भेजी गयी थी और उसमें भी बीसीपी से संबंधित सिफारिशें दी गयी हैं।

5. बदलती हुई कारोबारी क्रियाविधियों (आंतरिक रूप से संस्था में तथा बाहरी रूप से परस्पर निर्भर वित्तीय सर्विस प्रोवाइडरों के बीच) तथा नये खतरे के वातावरण में व्यवहार्य बीसीपी को बनाये रखने की जरूरत है। कारगर बीसीपी में समूचे क्षेत्र को प्रभावित करने वाले व्यापक क्षेत्र वाली आपदाओं तथा उसके परिणामस्वरूप होने वाली हानि या स्टाफ की अगम्यता (इनएक्सेबिलिटी) की संभावना का ध्यान रखा जाना चाहिए। अधिकांश मामलों में, अब रिकवरी टाइम संबंधी लक्ष्य कु वर्ष पहले के मुकाबले काफी अल्प हैं।

6. अतएव, यह सूचित किया जाता है कि यदि बैंकों ने पहले ही कोई बीसीपी कार्यान्वित नहीं की है तो वे एक सुढ़ि सूचना जोखिम प्रबंध प्रणाली सहित बीसीपी का कार्यान्वयन एक निर्धारित समय के भीतर करें। वे ऐसी बीसीपी कार्यान्वित करें और नीति के अनुसार बीच-बीच में अक्सर बदलते परिदृश्य और पूर्वानुमानों के आधार पर इसकी पूरी क्षमता की जांच करने के लिए इसका गहन परीक्षण करें। यह योजना वार्षिक समीक्षा के अधीन होनी चाहिए।

7. इस बीसीपी की कार्य पद्धति में अन्य बातों के साथ-साथ निम्नलिखित का समावेश होना चाहिए :

• महत्त्वपूर्ण कारोबार, सहायक कार्यों सहित अपने और साझा संसाधनों की पहचान (बीसीपी टेंपलेट में आइटी कांटीन्यूटी प्लान टेंपलेट का समावेश होना चाहिए)
• व्यापक कारोबार प्रभाव विश्लेषण के आधार पर सुव्यवस्थित जोखिम आकलन
• कारोबार प्रभाव विश्लेषण के आधार पर रिकवरी टाइम आब्जेक्टिव्स (आरटीओ) तैयार करना और इन्हें उद्योग में अपनाई जाने वाली सर्वोत्तम प्रथाओं के अनुरूप न्यूनतम मानदंड बनाकर आवधिक रूप से ठीक करते रहना चाहिए
• आपदा की दृष्टि से गंभीर और मुश्किल स्थिति की कल्पना की जानी चाहिए ताकि यह ढांचा इतना शक्तिशाली हो कि अत्यंत तनावपूर्ण स्थितियों का निवारण करने में सक्षम रहे
• प्रत्येक महत्त्वपूर्ण प्रणाली के लिए आंकड़ा हानि (डाटा लॉस) विषयक आंकड़ा पुनर्प्राप्ति संबंधी लक्ष्य (आरपीओ) निर्धारित करना और ऐसी आंकड़ा हानि से निपटने की रणनीति
• जिस समय प्रणालियां उपलब्ध न हों उस दौरान वैकल्पिक क्रियाविधियां
• द्वितीयक (सेकेंडरी)/बैंक-अप सिस्टम और साइटों पर जाने के लिए स्पष्ट रूप से प्रलेखित और जांची-परखी प्रक्रियाएं
• बैंक द्वारा स्वीवफ्त आर टी ओज़ और आर पी ओज़ प्राप्त करने के लिए आइ एस डिज़ाइन और आर्कीटेक्चर कार्यान्वित करके जोखिम का प्रबंधन
• तात्कालिक नुकसान और हानियों को न्यूनतम करना
• ग्राहक-उन्मुख प्रणालियों और नकद संवितरण, एटीएम, इंटरनेट बैंकिंग, काल सेंटर, जैसी भुगतान और निपटान प्रणालियों सहित महत्त्वपूर्ण व्यावसायिक कार्यों को बहाल करना
• प्रबंधन का उत्तरोत्तर क्रम और संकटकालीन अधिकारों का संस्थापन
• मानव संसाधन संबंधी मामलों और प्रशिक्षण विषयक पहलुओं का समाधान करना
• आपदा के समय शाखा अथवा स्थान विशेष में मौज़ूद व्यक्तियों की सुरक्षा एवं कल्याण की व्यवस्था
• बाह्य संसाधनों/सहायता का उपयोग
• बैंक के कारोबार की जो गतिविधि बाहर से संचालित (आउटसोस्ड़) हो रही है, उसके महत्त्व की कोटि पर आधारित प्रत्येक बाह्य गतिविधि व्यवस्था के लिए विशिष्ट आकस्मिकता योजनाएं तैयार करना
• बीसीपी व्यवस्था वाले महत्त्वपूर्ण परिचालनों के लिए सेवा प्रदाता सुनिश्चित करना और आवधिक रूप से उसकी जांच करना
• बैंक और उसके सेवा प्रदाताओं दोनों के स्तर पर आकस्मिकता योजनाओं की संगतता और समन्वय
• कार्य योजनाएं, अभ्यास नियम-पुस्तकें और परीक्षण क्रियाविधियां
• बीसीपी की स्वतंत्र लेखा-परीक्षा और समीक्षा तथा जांच परिणाम
• संस्था अथवा इसके सेवा प्रदाताओं में हुए परिवर्तनों को आत्मसात् करने के लिए आवधिक रूप से उन्नयन (अपडेटिंग)।

8. इस बीसीपी में परियोजना प्रबंध क्रियाविधियों, परिवर्तन प्रबंध प्रक्रिया, आंकड़ा केन्द्र प्रक्रिया, बैक-अप और रिकवरी प्रक्रिया को ध्यान में लिया जाना चाहिए। एक सुदृढ़ कार्य प्रणाली के आधार पर डीआरएस/बीसीपी के लिए एक विकास योजना प्रारंभ की जानी चाहिए। जब कभी भी बैंक प्रक्रिया को पुन: निर्मित करने के एक अंग के रूप में अथवा नए उत्पाद और सेवाएं प्रारंभ करने के लिए नए कारोबारी साधनों और क्षेत्रों में जाए तब इस योजना का सतत मूल्यांकन और संशोधन किया जाना चाहिए। अपनाई गई इस बीसीपी का संबद्ध अंश सभी संबंधितों को भी बताया जाए जिसमें ग्राहक भी शामिल हैं, ताकि जागरूकता के कारण वे सकारात्मक और बीसीपी के अनुरूप अपनी प्रतिक्रिया दे सकें। इस योजना का अंश जो पब्लिक डोमेन पर रखा जाए वह सामान्यत: इस संबंध में बैंक की सामान्य तैयारी से संबंधित सूचना तक ही सीमित होना चाहिए और कोई विस्तफ्त ब्योरे नहीं दिये जाने चाहिए।

9. बीसीपी में लागत के निहितार्थ शामिल हैं। जहां बैंक बीसीपी की लागत-प्रभावी रणनीतियों पर विचार कर सकते हैं, वहीं इस प्रकार सोची गई रणनीतियों में पर्याप्त सुगमता और प्रणाली के गंभीर विघटन से निपटने का आश्वासन होना चाहिए। इसके अलावा समस्याओं का हल उनके व्यावसायिक परिचालनों की प्रवफ्ति और जटिलता के अनुसार होना चाहिए।

10. बैंक तीसरी पार्टी को जोखिम अंतरित करने के लिए जोखिम कम करने की रणनीति के रूप में बीमा पर भी विचार कर सकते हैं ताकि व्यवधान की स्थिति में वित्तीय जोखिम कम किया जा सके। तथापि, बीमा के स्वरूप और भुगतान की निश्चितता के संबंध में सचेतन रहने की जरूरत है।

11. इस बात पर जोर देना अनावश्यक है कि सभी बैंकों द्वारा शीघ्र अनुपालन से व्यापक रूप से जनता तथा भुगतान प्रणाली की संस्थाओं का भारतीय बैंकिंग प्रणाली की सशक्तता पर फिर से विश्वास कायम होगा। बोड़ द्वारा अनुमोदित बीसीपी की प्रति अवलोकन के लिए महाप्रबंधक, भारतीय रिज़र्व बैंक, बैंकिंग पर्यवेक्षण विभाग, केंद्रीय कार्यालय, आइएस ऑडिट सेल, तीसरी मंज़िल, वल्ड़ ट्रेड सेंटर, सेंटर-घ्, कफ परेड, कोलाबा, मुंबई-400 005 को भेजी जाए। बीसीपी की सॉफ्ट कॉपी ई-मेल द्वारा म्ुस्व्ेंम्द@ींव.दीु.वह को भेजी जाए।

12. इसके अलावा, बैंक निम्नलिखित प्रस्तुत करें

व) प्रत्येक वित्तीय वर्ष के अंत में एक वार्षिक विवरण जिसमें महत्वपूर्ण सिस्टम्स, उनके आरटीओ तथा उन्हें प्राप्त करने के लिए बैंक की रणनीति दी गयी हो, तथा

वव) जून 2005 से शुरू एक तिमाही विवरण, जिसमें इस अवधि के दौरान महत्वपूर्ण सिस्टम्स की बड़ी खराबियां (फेलियर), इन खराबियों से प्रभावित होने वाली ग्राहक श्रेणी/सेवाएं तथा भविष्य में ऐसी खराबियों से बचने के लिए उठाए गये कदमों की सूचना दी जाए।