Business Continuity Management Programme

BUSINESS CONTINUITY MANAGEMENT (BCM) PROGRAMME

Eastern Caribbean Central Bank

What is Business Continuity? Business continuity is a combination of processes, procedures, decisions and activities that ensures an organization can continue to function through an operational disruption/disaster.

What would happen if…  Staff was unable to access the Bank?

 Staff was unable to use vital systems such as finance, data, software, etc?  The Bank suffered a cyber‐attack which brought down its website, disrupted communications or resulted in the theft of confidential data?  The Bank lost a key member of staff or critical third party supplier? Business Continuity Management (BCM) Programme The Business Continuity Management Programme specifies requirements to implement, maintain and improve our business continuity management system to protect against, reduce the likelihood of the occurrence of, prepare for, respond to and recover from business disruptions, when they arise.

The BCM conforms to the Business Continuity Management Policy which was developed in accordance with ISO 22301 ‐ Security and resilience — Business Continuity Management Systems — Requirements

1 | P a g e

The BCM Lifecycle The BCM Life cycle framework is used as a guide torespond to and/or recover from business disruptions and safeguard the Bank’s strategic objectives, assets, income and key stakeholder interests. It helps to build and improve the organisational’s resilience.

Resilience is the ability of the organisation to absorb the impact of a business disruption, and continue to provide a mimimum acceptable level of service.

Organisational resilience is the ability of an organisation to absorb and adapt in a changing environment. The major steps involved in developing a BCP are: 1. Identify potential threats to the business. 2. Determine the level of risk associated with each threat.

3. Develop strategies to mitigate risks. 4. Implement the mitigation strategy. 5. Review the plan periodically.

2 | P a g e

Threat: any event that might have an adverse effect on the Bank’s resources and supported processes. Exposure: any business processes/resources subject to the threat. Vulnerability: how readily the Bank can recover from an exposure, based on its resource capacity, planning and culture.

Relationship between different risk management and response methods of the BCM

3 | P a g e

BCM Lifecycle phases A. Policy and

Programme Management: How the BC Policy is implemented and validated through the programme. ( Crisis Management/incident response and Business Continuity response) o Crisis management and incident response requires:  Crisis management framework  Incident response procedures

 Business continuity response procedures

o Business Continuity response requires:  Business impact analysis (BIA)  Risk assessment (RA)  Business continuity Plans  IT Recovery plans  Maintenance and exercise

B. Analysis: Identify, rank critical business functions and resources required to execute key business processes. (Risk assessment and Business impact Analysis)

C. Design: Select appropriate set of strategies to maintain critical business functions. (Business Continuity and Recovery strategies)

D. Implementation: Execute strategies through the process of developing BC plans and recovery procedures.

4 | P a g e

E. Validation : ensure BCM Program meets the objectives set out in the BC Policy and the BC Plans are up to date, exercised and reviewed. F. Awareness: BCM awareness for all ECCB stakeholders, training for all BC staff, integration of BC into organizational culture. Risk and Impact The BCM addresses subsets of operational risks outside of the ECCB’s control and is therefore an integral part of the overall risk management of the Bank Since the sets of threats continuously change, business continuity strategies should be based on impact

5 | P a g e

6 | P a g e

Embedding BCM into the ECCB Culture It is important to ensure that the Bank encourages a culture where all employees are sufficiently aware of everyday risks and their individual responsibility to report, manage and mitigate risks. The process includes everyone: from executive committee right down to the support services staff. Embedding BCM requires:  Senior Management to promote organizational culture to place high priority on BCM;

 Allocation of financial and human resources to implement the BCM program;

 Training and awareness programs;

 Keeping staff informed and prepared on the roles and responsibilities in the BCM Programme;

Change Management Incorporating BCM into the change management process will enable contingency provisions to be established in advance of staff, building and technology changes. Audit of the BCM The audit process is critical for providing the assurance to the Board Audit and Risk Committee (BARC), and by extension the Board, that the BCM process is effective. The Business Continuity Manager should work with the audit department to develop suitable audit criteria to facilitate the audit process.

7 | P a g e

Where we are in the BCM Programme The Bank has employed the services of the PwC Jamaica to assist with the development and implementation of the BCM Programme. We have successfully completed the Analysis and Solution design stages of the project and the OCSRM and the MISD is currently working to implement the business continuity and disaster recovery strategies which were derived from the process.

8 | P a g e

The Office of Corporate Strategy and Risk Management (OCSRM) The Bank has adopted the ‘3 Lines of Defence” model for the management of risks across the organization, and the OCSRM is responsible for the activities within the second line of Defence. The four (4) core functional areas of the OCSRM are as follows: operational risk management, business continuity management, strategic risk management and compliance.

In this model, the OCSRM:  Reviews and Challenge the work of the 1st Line of Defence  Oversees the Bank’s risk profile and appetite  Develops risk management and compliance frameworks  Performs independent reporting and escalation of risk events and emerging/potential risk events  Provides specialist advice and training on risk related matters  Manages the Business Continuity Management (BCM) Process

Chief Risk Officer : Ms Sharmyn Powell Telephone Extensions : 3112/3950 Email : ocsrm@eccb‐central‐bank.org

9 | P a g e