Критерии непрерывности бизнес процессов

Действующий ГОСТ Р ИСО 22301:2014 содержит основные общие критерии к созданию системы менеджмента непрерывности бизнеса (далее — СМНБ). Все больше компаний обращает внимание на такую модель управления, которая позволяет оптимизировать процессы деятельности в условиях нестабильной рыночной экономики. Использование принципов СМНБ не обязательно для организаций.

Но внедрение и применение системы не только улучшает показатели работы компании, но и повышает ее конкурентоспособность. Специалисты нашего центра помогут разобраться в особенностях разработки и последующего внедрения требований профильного стандарта ISO 22301-2012 или его национального аналога. По результатам аудита СМНБ может быть проведена независимая сертификация и оформлен сертификат.

Цели и преимущества использования принципов ИСО 22301 в работе предприятия

Каждая из компаний в процессе своей деятельности разрабатывает план, который позволяет справиться с внешними факторами опасности. Благодаря использованию принципов, изложенных в указанном стандарте, организации больше не нужно самостоятельно определять необходимые к осуществлению этапы для обеспечения постоянного функционирования.

Обучение аналитиков — залог непрерывности бизнеса

СМНП представляет собой универсальную программу, применяя которую можно обезопасить себя от негативного влияния внешних факторов. Указанный стандарт содержит рекомендации по развитию и продвижению бизнеса.

Стандарт включает нормы аудита предприятий, правила внедрения определенных требований, которые будут обеспечивать непрерывность ведения бизнеса. За счет использования описанных в стандарте принципов предотвращаются непредвиденные ситуации, которые чреваты для компаний любой сферы.

Как уже было сказано выше, руководствоваться в управлении компанией положениями ГОСТ Р ИСО 22301 можно по собственной инициативе. Закон не обязывает это делать. Но внедрение системы менеджмента позволяет получить ряд выгод для бизнеса, среди:

• расширение возможностей компании;
• повышение репутации;
• снижение рисков прерывания непрерывности ведения бизнеса;
• повышение конкурентоспособности фирмы;
• снижение расходов и, как следствие, увеличение прибыли;
• оценка опасных для компании рисков и их своевременное предупреждение;
• возможность работать даже в различных условиях, в том числе и неблагоприятных для заявленной сферы;
• повышение привлекательности для потенциального инвестора;
• участие в государственных заказах.

Условия для внедрения СМНБ

Чтобы внедрить в работу систему управления в рамках ГОСТ Р ИСО 22301, организация должна:

• четко определять цели работы, учитывая и те, которые непосредственно связаны со стабильностью функционирования;
• выявить причины, создающие неоднозначность, что вызывает риски;
• установить критерии опасностей;
• идентифицировать товары и услуги, предоставление/выпуск которых связаны с СМНБ;
• обозначить область использования системы.

Обязанности управленческого состава фирмы

Руководство должно выражать заинтересованность в соблюдении принципов стандарта при помощи:

Обеcпечение непрерывности бизнеса. Часть 1

• определения политики и целей;
• обеспечения присутствия всех условий и ресурсов;
• поддержки персонала;
• оказания содействия непрерывному совершенствованию;
• поддержки руководителей филиалов и подразделений.

Получить консультацию

Также руководство должно способствовать распределению обязанностей с целью осведомленности в перечне необходимых функций при помощи:

• определения допустимого уровня опасных факторов;
• установления критериев принятия опасных факторов;
• активного участия в проводимых учениях, тестированиях;
• анализа СМНБ.

Цели, устанавливаемые в рамках внедрения ИСО

При интеграции системы в работу фирмы обязательным условием является установление целей. Они должны:

• быть соизмеримыми с принятой политикой;
• учитывать допустимый уровень товаров и услуг, приемлемый для компании;
• отвечать установленным нормам и требованиям.

Чтобы достичь поставленных целей, организация должна:

• установить перечень необходимых к осуществлению действий;
• определить перечень достаточных ресурсов;
• установить сроки выполнения;
• выбрать методику оценки полученных результатов.

Михаил Сенаторов, «Банк России»: Непрерывность бизнеса как сумма технологий

Непрерывности бизнеса – что входит в это понятие? Какие метрики, организационные меры могут помочь в ее ее обеспечении? Своими взглядами делится Михаил Сенаторов, заместитель председателя Банка России.

Intelligent Enterprise: Термин «обеспечение непрерывности бизнеса» звучит весьма привлекательно для потребителя услуг, и поэтому поставщики различных ИТ-систем часто по-разному трактуют его, стараясь выгоднее представить собственные продукты. Это, естественно, приводит к некоторой неопределенности. Каковы, по-вашему, корни этого понятия и каким образом менялись представления о непрерывности бизнеса со временем?

Михаил Сенаторов: Лет 20–30 назад, когда еще не было такой сильной вовлеченности ИТ в бизнес-процессы финансовых организаций, резервирование и скорость обработки информации определялись скоростью работы с бумажными документами. Она была вполне фиксированной, зависела от человеческого фактора, и непрерывность бизнеса как таковая не становилась показателем успешности компании.

Когда информационные технологии стали определять значительную долю бизнес-процессов и скорость их выполнения, непрерывность процессов стала зависеть от технологии обработки информации, ее хранения. Возникли требования к резервированию, безопасности ИТ-систем. Так началось приближение к концепции непрерывности бизнеса. Затем оказалось, что ИТ-средства – это дорого, и применять их, не считая рисков, возникающих в бизнесе от каких-либо сбоев, невозможно. Стали появляться более определенные и даже иногда количественно измеримые требования класса «скорость восстановления процесса», «степень защиты ресурсов», «степень защиты торговой марки».

Все эти требования постепенно сложились в современное понятие «непрерывности бизнеса», весьма многодисциплинарное. К нему относятся защита информации, ее резервирование, требования к восстановлению, требования к скорости прохождения бизнес-процессов, защиты торговой марки, репутации на рынке, защиты своих сотрудников, физической защиты зданий и сооружений компании.

Как складываются требования к отдельным системам для обеспечения непрерывности бизнеса?

Их определяет анализ бизнес-процессов. Возьмем наш банк. По закону у нас три направления деятельности: платежная система Банка России, поддержка национальной валюты, укрепление банковской системы.

Остановка платежной системы сразу же воздействует на экономику страны. Платеж завершает большинство бизнес-процессов. Если нельзя его произвести в течение некоторого времени, начинает останавливаться экономика. Поэтому время восстановления платежной системы после сбоев очень короткое, два часа для особо важных процессов. Шесть часов – это максимум.

После этого срока начинаются следствия, для ликвидации которых требуется привлекать органы управления страной, могут понадобиться денежные резервы для выдачи банкам, то есть процесс выходит далеко за пределы управления платежной системой. Вот таким образом параметры восстановления определяет бизнес-процесс.

Система банковского надзора включает множество баз данных, аналитические приложения и отчеты, большие потоки информации. Предположим, произошел сбой одной из систем. Если эта система надзора будет стоять неделю, то в банках могут произойти события, которых ЦБ не увидит, что скажется на финансовом рынке. Но все же временные параметры здесь иные: сроки восстановления исчисляются днями, а не часами.

Таким образом, критерии непрерывности определяются требованиями бизнес-процессов к техническим решениям, их автоматизирующим. Если таких оценок не проводить, неминуемо будут потрачены на ИТ лишние средства, которые можно было бы сэкономить.

Но кроме надежности технологических систем есть и другие области, имеющие самое прямое отношение к непрерывности бизнеса. В том числе защита чести и достоинства своей организации, защита репутационных рисков. Понятие непрерывности бизнеса еще в основном техническое, оно выросло из технических требований, но в этой области имеют значение не столько технические, сколько юридические процедуры, а иногда и политические обстоятельства.

Еще одно направление – защита сотрудников. Сюда можно отнести льготные страховки, дополнительные отпуска и прочие меры, направленные на то, чтобы сотрудники чувствовали себя комфортно. Это позволяет, кроме всего прочего, набирать более качественных специалистов.

Если ваши сотрудники ездят в командировки в районы или города, где складывается угрожающая ситуация, долг компании – предупредить их об опасности. Это может быть сообщение о наводнении, например, и требование, чтобы сотрудник немедленно прервал работу и вылетел домой. Либо, допустим, сотрудник находится на отдыхе и, проводя время на пляже, может не знать, что в соседнем городе уже идет гражданская война. Наш долг – во-первых, быть в курсе событий и их возможных последствий, а во-вторых, сообщить сотруднику об этом, чтобы исключить излишний риск.

Поскольку сложность и связность ИТ-систем все время растет, повышается также важность квалификации и опыта конкретных ИТ-специалистов. Если придется кого-то заменять, то можно, конечно, заменить любого другим толковым профессионалом, но новый человек не будет знать всех связей между системами. Ему не будет ясно, как изменения, вносимые в одну систему, повлияют на другие. Поэтому уже работающих, тем более давно, своих специалистов необходимо защищать, и это одно из требований к непрерывности бизнеса.

Хочу подчеркнуть обстоятельства, которых не было раньше: в непрерывность бизнеса вошли новые элементы. Это и правовые системы защиты, и психологические формы поддержки своей репутации, и маркетинговые действия, направленные на нивелирование проблем, вызванных сбоями в других областях. Здесь уже задействованы далеко не только технологии, но и окружающие области деятельности.

В этом и заключается кумулятивный эффект, который возникает, когда мы переходим от защиты информации, от построения резервных технологических систем к общей концепции обеспечения непрерывности бизнеса. Об этих элементах часто забывают, а они очень важны. Ведь иногда какие-то проблемы проще решить за счет маркетинговых действий, чем за счет перестройки ИТ-систем.

Какие организационные меры могут быть приняты для обеспечения непрерывности бизнеса?

Вопросы обеспечения непрерывности бизнеса, как сложные и комплексные, должны решаться на уровне руководства банка, лучше всего, первым лицом или одним из его заместителей. Формируется комитет, в котором работают представители разных направлений. Они определяют круг важных технологий, процессов, управляющих воздействий, которые могут повлиять на устойчивость организации.

Наш опыт показывает, что все серьезные нештатные ситуации порождаются людьми, а не машинами. Как показывает наша многолетняя статистика, множественные мелкие отказы в технических системах имеют техногенную основу. Но когда к ним добавляются человеческие ошибки – они перерастают в сложные нештатные ситуации, разрулить которые иногда бывает очень непросто.

Как требования непрерывности бизнеса влияют на архитектуру ИТ-систем, управление ими?

Архитектура систем влияет на бизнес-процессы, и они сами влияют на нее, поэтому и требования к непрерывности бизнеса сказываются на архитектуре. Сложность информационных систем возрастает пропорционально квадрату числа взаимодействующих элементов. Увеличение сложности ведет к увеличению рисков возникновения сбоев.

Возникновение рисков оценивается требованиями по резервированию, по развитию систем безопасности. В любом случае процесс постоянно усложняется, а влияние этого процесса на непрерывность бизнеса возрастает. Чем больше вероятность сбоя, тем больше внимания нужно уделять непрерывности бизнеса. Сделать систему «неубиваемой» практически невозможно.

Кроме того, по мере усложнения системы возникают проблемы с ее развитием, изменение одного элемента приводит к сбоям в других. Технологическое обслуживание, включая апгрейды, требует специальных окон, особенно если ваша система эксплуатируется 24х7. Если систему нельзя останавливать, потребуется резервный комплекс, на который можно будет ее переводить в случаях, когда требуется модернизация или внесение исправления в программные продукты.

Поэтому начиная с некоторого уровня сама сложность системы порождает необходимость в ее резервировании, причем даже не для того, чтобы не потерять какие-то данные, а для проведения профилактических работ или ее развития.

В своей практике мы уже столкнулись с тем, что работать с некоторыми нашими ИТ-системами можно только в выходные и праздничные дни. В рабочие дни их невозможно останавливать, например платежную систему. А выходных нам не хватает, чтобы проводить все необходимые регламентные работы. С каждым годом проблема эта усугубляется.

Значит, хотя бы по основным своим комплексам мы должны иметь такое резервирование, чтобы можно было полностью «откатиться» на него, провести нужные работы на основной системе. Эти работы занимают явно больше двух дней в неделю. Затем нужно будет вернуть систему с резервного комплекса на основной. И мы все чаще и чаще прибегаем к такой технологии, чего раньше не делали.

А этот подход означает, что резервные системы должны быть не хуже основных. Если есть требование «не хуже», значит, их нужно проверять, обслуживать наравне с основными.

Видно, что непрерывность бизнеса – кумулятивное понятие. В данное определение вовлекаются все новые элементы, часто взаимосвязанные. И с каждым годом значение его будет расти не только для организаций, работающих в режиме 24х7, но и для всех тех, кому необходимо в течение рабочего дня иметь бессбойный процесс.

Аренда ЦОД – тоже путь, диктуемый потребностью обеспечить непрерывность бизнеса. Небольшим организациям довольно сложно обеспечить свой дата-центр всем необходимым, включая резервирование различных систем. Это задача, требующая много средств и высококвалифицированных специалистов. Аутсорсинг – один из путей ее решения.

Существуют ли метрики, методики оценки условий непрерывности бизнеса?

Осознание самой проблемы обеспечения непрерывности бизнеса еще только начинает формироваться. Хотя есть стандарты, есть определенные требования, но это в основном чисто технические вещи, которые выросли из ИТ.

Единых общепринятых метрик изменения устойчивости бизнеса практически нет. Но в серьезных организациях складываются собственные методы и практика оценки. Вначале это качественные оценки важности тех или иных составляющих. Со временем удается перейти к количественным оценкам, в том числе в материальном и денежном выражении.

Есть бюджет на безопасность, на PR, на ИТ, на что-то еще. Если возникнет сбой в одной из систем, то сколько будет стоить его нивелирование? Оно может быть выполнено по-разному: может быть, через реструктуризацию ИТ-систем, а может быть, и иными способами. Сравнивая расходы, принимают решение закрывать те или иные риски, например, с помощью юридических действий.

Выявляются и такие риски, которые можно снизить лишь единственным путем, в частности изменив ИТ-систему. Из скоординированной работы различных служб и подразделений и складываются со временем общие метрики обеспечения непрерывности бизнеса, на которые можно полагаться при составлении бюджетов. Но задача эта очень сложная, к ее решению наши компании еще только-только приступают.

Необходимо осознать саму проблему управления процессами, связанными с непрерывностью бизнеса. Это сейчас и происходит в нашем банке. Скорей всего, в следующем году у нас появится специальный орган, комитет по непрерывности бизнеса, который возглавит кто-то из первых зампредов Банка России. Комитет объединит представителей разных наших подразделений, чтобы требования, которые они предъявляют к непрерывности бизнес-процессов, были учтены при построении информационных систем, систем защиты информации, деятельности других подразделений.

Законы – прежде всего

Роман Юрченко,
руководитель направления «Индустриально-финансовый сектор» Fujitsu в России и СНГ

«Все серьезные нештатные ситуации порождаются людьми, а не машинами». Мы согласны с этим тезисом, из которого следует логичный вывод: для обеспечения непрерывности бизнеса инвестировать прежде всего необходимо в человеческий капитал.

Что касается именно технологических составляющих, то в интервью подсказан довольно логичный выход – аренда ЦОД и аутсорсинг. Я считаю, что управление сложными технологическими системами надо передавать профессионалам и начинать серьезно думать о модной теме перехода к облачным вычислениям. Однако прежде всего необходимо подготовить законодательную систему. Пока в России законы не позволяют вплотную подойти к теме аутсорсинга в отраслях, связанных с персональными данными, их защитой и ответственностью за нарушение закона о персональных данных.

Статьи по схожей теме

• Исследование цифровизации: главный тормоз — деньги, драйвер — производительность труда
• СберСтрахование жизни внедрит искусственный интеллект в урегулирование убытков уже в начале 2023 года
• Компания «ВсеИнструменты.ру» размещает информационные системы в облаке M1Cloud
• Типография Color Pack на 15% повысила рентабельность заказов с помощью «1С:УНФ 8. Полиграфия 2»

Источник: www.iemag.ru

Создаем план по обеспечению непрерывности бизнеса: ключевые правила

План по обеспечению непрерывности бизнеса сегодня один из обязательных документов в корпоративном управлении. Заранее продуманный перечень действий в условиях кризиса помог многим компаниям избежать операционного коллапса в период первой волны пандемии COVID-19. Если в вашей организации такого документа еще нет, то сейчас самое время его составить. Или пересмотреть. О том, какие элементы должны обязательно войти в план по обеспечению непрерывности бизнеса и на что обратить внимание при его подготовке, рассказывает наш постоянный эксперт Наталья Виноградова.

Одна из главных проблем во время любого кризиса — растерянность и чувство беспомощности, возникающие на всех уровнях организации и мешающие вовремя предпринять необходимые действия. Решить ее — основная задача плана по обеспечению непрерывности бизнеса, или BCP (Business Continuity Plan). Такой план позволяет заранее согласовать и отработать основные антикризисные шаги, поддержать работу компании и быстро возобновить ее в случае любых сбоев. Фактически это свод правил, которым должна следовать вся компания, чтобы обеспечить непрерывность бизнес-процессов и поддержки клиентов, а также сохранить свои активы.

Кроме того, BCP — это возможность для руководителя сконцентрироваться на бизнесе и определить, чему во время кризиса стоит уделить первоочередное внимание («обязательно должно быть»), а что важно, но не в первую очередь («было бы хорошо…»).

Возможные типы рисков

Ваша стратегия будет отличаться в зависимости от того, чем вызван кризис в бизнесе. Можно выделить три основных типа рисков (потерь).

• Утрата офиса или производственного помещения — например, когда из-за природных катаклизмов или пожара невозможна работа офиса, производства или склада.
• Инфраструктурные потери — когда сбой энергоснабжения, компьютерный вирус или любая другая чрезвычайная ситуация нарушила работу критически важных систем: бухгалтерии, IТ-систем и т. п.
• Человеческие потери — какое-либо бедствие (опять-таки глобальная пандемия) лишает ваш персонал возможности выполнять часть функций или участвовать в некоторых процессах.

На случай утраты офиса в плане должны быть прописаны варианты перевода сотрудников на удаленную работу — на дому или на любой другой площадке (например, в коворкинге). При инфраструктурных проблемах, как правило, есть возможность найти альтернативные технические решения для восстановления нормальной работы или поддержать самые критические процессы вручную. Ситуация, когда вы остаетесь без человеческих ресурсов, наиболее сложна, поскольку придется подтягивать новые кадры и заниматься их обучением.

Итак, кризис случился. Что делать?

Три вещи, на которые стоит обратить максимальное внимание, таковы.

Информация и безопасность . Первоочередная задача — обеспечить безопасность организации в целом и сотрудников в частности, а также проинформировать всех о принятых мерах. Обеспечьте закупку средств индивидуальной защиты, позаботьтесь о безопасности рабочих мест, пропишите правила безопасности, которые должен соблюдать персонал. Держите всех в курсе происходящего, чтобы минимизировать слухи, панику и общую тревожность. В случае необходимости откройте горячую линию.

Организация . Многие предприятия в кризис отправляют людей в неоплачиваемые отпуска, сокращают штат и/или заработную плату или начинают работать вне офиса. Составьте план, как поддержать вашу организацию в работоспособном состоянии, невзирая на ограничения, и сфокусировать ее на самых критических процессах. Контроль за соблюдением трудового законодательства в сложившейся ситуации чрезвычайно важен и потребует дополнительной работы от кадровиков.

Финансовые вопросы. Для выживания в кризисе необходим устойчивый денежный поток. В условиях быстрого снижения доходов крайне важно ужесточить контроль за расходами и движением средств. Даже у тех предприятий, которые сами чувствуют себя неплохо, могут быть партнеры, на работу которых негативно повлияет кризис, а это может вызвать эффект домино.

Что работает, когда сталкиваешься с кризисом

— Оперативность и гибкость — это новая норма. Скорее всего, вы не сможете предугадать ни продолжительность, ни масштабы кризисной ситуации. Меры, которые вы предусмотрели в изначальных антикризисных планах, могут оказаться недостаточными, или они потребуют срочной корректировки.

— Понимание и оценка всего спектра рисков: как на вас может повлиять кризис, каковы будут приоритеты и план действий? Что еще может произойти? Могут ли прерваться поставки? Возможны ли проблемы с коллективом? Повлияют ли новые условия на работу IТ-систем?

— Коммуникация — от руководителей до рядовых сотрудников. Общайтесь часто, действуйте решительно, посвящайте людей в свое видение краткосрочных и долгосрочных последствий.

— Контроль денежных потоков — приоритетная задача. Тщательное планирование производственных запасов и кредитных лимитов, заблаговременное обращение к банкам, поставщикам и клиентам помогут смягчить удар кризиса и избежать наихудших последствий.

— Перенимайте чужой опыт — используйте уже опробованные на практике методики и отработанные сценарии действий при аналогичных инцидентах на похожих предприятиях. Не стесняйтесь пользоваться готовыми решениями!

— Поддержка основных долгосрочных партнеров, сохранение цепочек поставок. Каждая организация думает в первую очередь об обеспечении собственной физической и финансовой безопасности, но почти так же важно поддерживать ваших основных поставщиков и клиентов. Поделитесь с ними своими планами, узнайте больше об их положении и планах. Смогут ли они принять ваши новые требования? Будете ли вы соответствовать их требованиям?

— Продолжайте отслеживать ситуацию и корректировать планы. Кризисы и бизнес-риски — дело непредсказуемое; будьте готовы менять план действий в соответствии с обстоятельствами.

Подход к созданию (обновлению) стратегии непрерывности бизнеса

1. Создайте рабочую группу по обеспечению непрерывности бизнеса (антикризисный штаб), возьмите на себя руководство процессом. Добейтесь вовлечения в процесс ключевых лиц. Назначьте ответственных, например за снабжение, финансовое обеспечение, решение технических вопросов.
2. Оцените риски, с которыми может столкнуться ваш бизнес.
3. Разработайте план коммуникаций. Кто первым уведомит организацию о начале реализации антикризисного плана, кто запустит обзвон или рассылку? Что будет в этих сообщениях?
4. Определите критические виды деятельности, а также ресурсы, площадки или системы, которые наиболее важны для вашего бизнеса (или необходимы для поддержания его деятельности) в течение всего кризисного периода.
5. Для каждого из критических видов деятельности установите соответствующие сроки: сколько вы протянете в их отсутствие, прежде чем это повлияет на ваш бизнес и его устойчивость или на предоставление услуг вашему ключевому клиенту? В идеале нужно оценить потенциальные потери на случай, если негативные процессы будут усугубляться в течение дня / нескольких дней / недели и т. д. Эти показатели помогут расставить приоритеты: какой из критических видов деятельности потребует разработки отдельного «плана спасения».
6. Определите, с кем взаимодействуют ваши партнеры (их поставщики, банки-партнеры и т. д.), какие риски для них критичны, каков целевой срок восстановления? Может ли их стратегия повлиять на ваши ключевые виды деятельности?
7. Для каждого критического вида деятельности:

— определите важнейшие инструменты и информацию. Это может быть, например, график налоговых платежей или данные об альтернативных поставщиках. В этот список будут входить безопасный доступ к вашей бухгалтерской системе и счету компании, безопасное интернет-соединение при работе из дома; ноутбуки и т. д.;

— обеспечьте наличие и актуальность всей необходимой документации. Это особенно важно в случае человеческих потерь и привлечения альтернативных ресурсов;

— разработайте и задокументируйте резервный план для каждого типа рисков с учетом ключевых партнеров (например, банков или сторонних обслуживающих организаций);

— протестируйте план действий и оцените его успешность против установленного критерия (например, налоговые отчеты сдаются вовремя и без ошибок):

• разберите план со всеми участниками процесса;
• проведите тестирование плана, чтобы проверить, что все участники понимают свои роли и задачи и готовы к ним;
• устройте неожиданную проверку плана, о которой будут знать заранее лишь несколько человек;
• зафиксируйте результат и посмотрите, удалось ли сработать эффективно и достичь установленных вами показателей. Если нет или не устраивает результат, скорректируйте план;
• устраивайте такие испытания ежегодно.

Источник: sscclub.ru