BUSINESS CONTINUITY PLAN

BUSINESS CONTINUITY PLAN (BCP)

Eastern Caribbean Central Bank

What is a Business Continuity Plan (BCP)? A business continuity plan (BCP) is the first line of defense against any challenge that threatens the core functionalities of the Bank’s operations. When disaster strikes, the BCP should reduce the time it takes to resume critical functions – that is, restore critical functions as quickly as possible. A business continuity plan defines interim measures that allow a degree of normal service during and/or after a disruptive event. The BCP is an output from the Implementation stage of the BC Management Lifecycle:

Purpose of the BCP The purpose of a business continuity plan is to minimize the impact of unexpected disruptive incidents on normal operations.

1

Importance of the BCP

The BCP: 1. Allows the business to c during a crisis. 2. Helps to maintain resiliency ‐ responding quickly to an interruption. 3. Helps to save money, time and reputation, as an extended outage can cause financial, personal and reputational losses. Potential risks covered within the BCP The BCP includes risks that we deem a threat to the Bank. The BCP aims to anticipate the most probable causes of disruption including:  National and regional power outage

 Data protection issue  Supply chain issues  Privacy policy issues  Lawsuits  Pest infestation  Natural disasters  Bomb threats  Collapse of infrastructure  Pandemic  Cyber‐attacks

2

Process Flow of Developing a BCP

The major steps involved in developing a BCP are: 1. Identify potential threats to the business. 2. Determine the level of risk associated with each threat.

3. Develop strategies to mitigate risks. 4. Implement the mitigation strategy. 5. Review the plan periodically.

Key Components of a BCP

The BCP includes the following key components:

1. Resilience – ability of an organization to quickly adapt to disruptions. 2. Recovery – restoring business functions and processes after a disruption. 3. Contingency – course of action to help respond to a disruption

3

In encapsulating these three key components, the BCP covers the following:

 Contact Information and Service Level Agreements (SLAs) to facilitate getting key supplies in reasonable time in the event of a disaster

4

 Risks Assessment: identifying, understanding and evaluating the potential risks to all aspects of an organization’s operations:  Disaster identification – Probability and the magnitude o Fire o Explosion o Natural Disasters

o Terrorism o Pandemic

o Utility Outage o Cyber Attack  Assets at Risk – Vulnerability Assessment o People o Property (buildings, critical infrastructure) o Supply chain o Systems/equipment o Reputation o Business operations o Regulatory and contractual obligations o Environment  Impact Analysis o Casualties o Property damage o Business interruption o Loss of customers o Financial loss o Environmental contamination o Fines and penalties

5

 Business Impact Analysis : identify and predict business disruption consequences and gather information to develop recovery strategies. Analysis may include but not limited to: o An understanding of the changes introduced during unplanned disruption; o Legal or regulatory repercussions of unplanned disruption; o Inventory of all business units required for continuity of operations; o Key personnel as well as staff required to support that personnel; o Pre/post‐disruption dependencies; o Ranking of priorities & order of operations; o Categories of the business impact :  Expenses  Legal  Revenue loss  Customer service  Brand/reputation damage  Recovery Point Objective (RPO) to minimize the overall impact of data loss on the business  Identify acceptable RTO.

Recovery Time Objectives (RTOs) are used to define the preferred timeframe to restore specific functionalities following a major incident. RTOs are typically expressed in hours, days, weeks, months, years, or decades

6

 Identify Critical Functions: An analysis of all critical functions within your business, such as:  Payroll

 Revenue Earning  Physical security  Information security  Core business functions

 Data protection after recovery  Identity & access management

 Communication/Crisis management : When an unplanned disruption occurs, communication with employees, shareholders, users, customers, and key personnel is critical.  What is your crisis communication strategy?  Communication during an event is key to orchestrate personnel, providers, and third‐party vendors if required.  Document lessons learned  Testing and training: It is vital to routinely test, to identify gaps in your plan and anticipate any changes along the process. Having a working test plan will help you:  Identify gaps or weaknesses in your BCP;  Evaluate the organization’s response to different types of disruptive events;  Improve systems and processes based on test results;  Confirm that continuity objectives can be successfully executed against and met;  Update your plan in real time

7

Disaster Recovery as a subset of BC Disaster Recovery is different to business continuity. The main difference is that business continuity guides operations and establish policy that keeps your business going despite the disaster. Disaster recovery guides the restoration of operations after a disruptive incident occurs.

8

Essentially, a Disaster Recovery Plan must address the following: 1. What happens when the disaster occurs? 2. How does the organization react to the disaster? 3. What do we do after the disaster? 4. Who is responsible for what? 5. When will it happen again, if this is an event that is likely to happen again? 6. Is this something the organization can afford? It covers all required resources of the business including people, facilities, technology and supplies. Resources can come from within the business or be provided by third parties. Resources include:  Employees  Office space, furniture and equipment  Technology (computers, peripherals, communication equipment, software and data)  Vital records (electronic and hard copy)  Production facilities, machinery and equipment  Utilities (power, water, telephone, internet, wireless)  Third party services

9

Status of the ECCB Business Continuity and Disaster Recovery Plan As part of the Bank’s Strategic objective – “Strengthen Business Continuity”, the Bank continues to consult with the PwC Jamaica in the finalization of the BCM Programme. The following components of the BCM have been completed to date:  Draft BCP for each department  Draft Disaster Recovery Plan  Draft Crisis Management Plan  Draft Maintenance Training Procedures

Shortly, the OCSRM will enlist the departments’ participation in simulation exercises to ensure that all relevant risks are captured and appropriate mitigation strategies are in place.

10

The Office of Corporate Strategy and Risk Management (OCSRM)

The Bank has adopted the ‘3 Lines of Defence” model for the management of risks across the organization, and the OCSRM is responsible for the activities within the second line of Defence. The four (4) core functional areas of the OCSRM are as follows: operational risk management, business continuity management, strategic risk management and compliance.

In this model, the OCSRM:  Reviews and Challenge the work of the 1st Line of Defence  Oversees the Bank’s risk profile and appetite  Develops risk management and compliance frameworks  Performs independent reporting and escalation of risk events and emerging/potential risk events  Provides specialist advice and training on risk related matters  Manages the Business Continuity Management (BCM) Process

Chief Risk Officer : Ms Sharmyn Powell Telephone Extensions : 3112/3950 Email : ocsrm@eccb‐central‐bank.org

11