Лучшие практики непрерывности бизнеса

Непрерывность бизнеса: тонкий расчет или надежда на авось

Лучшие практики непрерывности бизнеса

Непрерывность бизнеса: тонкий расчет или надежда на авось

В данном контексте речь идет о форс-мажоре такой силы, когда возникает существенный риск прерывания деятельности организации. Примерами таких реализовавшихся рисков могут стать атака террористов (например, авиатараны на башни-близнецы в США), блэкаут (авария в энергосистеме в 2005 году и ледяной дождь в 2010 году в Москве), землетрясение или цунами (так называемое Великое землетрясение Восточной Японии в 2011 году, ураган «Катрина» в США в 2005 году и т.д.). Понятно, что масштабы бедствий бывают разными, для относительно небольших компаний критичными могут стать и проблемы гораздо меньших масштабов: пожары в офисе или ЦОДе, экскаватор строителей, повредивший кабель связи, или, к примеру, митинги валютных ипотечников у входа в офис банка, парализовавшие работу всей кредитной организации.

Что делать с IT-инфраструктурой во время инцидента?

Наверное, важность вопроса, до какой степени IT-инфраструктура стала критичной для непрерывности банковского бизнеса, впервые стал понятен после атаки на башни-близнецы в Нью-Йорке, в которых было довольно много офисов финансовых организаций. Часть из них сумели восстановить свои сервисы довольно оперативно благодаря резервным площадкам, налаженным технологиям управления непрерывностью бизнеса (Business Continuity Management, BCM) и грамотным планам восстановления IT-систем (Disaster Recovery Plan, DRP).

Как следствие события 11 сентября 2001 года дали мощный импульс к обязательному наличию BCM в финансовой сфере США. Страны Азии, где природные катаклизмы — не редкость, также активно включились в эти процессы.

Надеетесь на авось — получите стандарты

Так каким образом банк может противостоять такого рода воздействиям или, по крайней мере, минимизировать возможный ущерб для бизнеса? При этом в условиях текущей финансовой турбулентности критично важно найти бюджетные пути. Где их искать?

Для начала необходимо обратиться к нормативным актам и лучшим мировым практикам в этой сфере, собранным, например, международной организацией Business Continuity Institute (BCI), которая определяет BCM и значительно расширяет список привычных угроз, вплоть до действий внутренних инсайдеров и взломов информационных систем хакерами. Кроме того, часть методологий содержится в CobiT (Control Objectives for Information and Related Technologies, «Задачи управления для информационных и смежных технологий»), ITIL (IT Infrastructure Library — библиотека инфраструктуры информационных технологий).

Довольно много можно почерпнуть в ISO 27001 — международном стандарте по информационной безопасности. Самого пристального внимания заслуживает стандарт ISO 22301, посвященный практикам BCM. Что касается России, то ЦБ довольно плотно регулирует описываемые практики в Положении 242-П, стандартах безопасности СТО БР ИББС-1.0-2006, ГОСТ Р ИСО/МЭК 27001-2006 и некоторых других.

С больной головы на IT

Кроме того, становится понятно, почему соответствие нормативным актам обходится банкам все дороже: это усиление зависимости бизнеса от информационных технологий, а также усложнение собственных корпоративных IT-инфраструктур. Неудивительно, что в упомянутом исследовании IBM говорится о том, что сегодня уже в 40% случаев обеспечение непрерывности бизнеса «сваливают» на IT-службы банков, забывая при этом о лучших практиках, которые говорят о том, что BCM — комплексный подход, затрагивающий буквально все процессы, происходящие в современном банке.

Таким образом, все чаще можно наблюдать тенденцию, когда инициатива внедрения процессов непрерывности бизнеса от топ-менеджмента переходит к IT. К сожалению, в России всего несколько банков с практически неограниченным IT-бюджетом, остальным же приходится серьезно экономить. Понятно, что люди из IT имеют гораздо более объемное представление о том, какие существуют зависимости между теми или иными бизнес-процессами и приложениями, их обслуживающими, нежели высшие руководители. Обладая этими весьма ценными знаниями, можно попытаться добиться соответствия (как на бумаге, так и реального), сэкономив при этом и так небольшой бюджет. Так какие есть варианты действий?

Экономить за счет оптимизации

Это показывает, что полный процесс включает в себя несколько шагов, на каждом из них можно сэкономить вплоть до игнорирования работ по какому-то пункту. Но чем ближе к высшему уровню максимального соответствия, тем бесполезнее окажутся инвестиции в предыдущие.

«Какие мероприятия действительно нужны, зависит от того, как сам банк оценивает свою стратегию поведения в чрезвычайных ситуациях (в рамках нормативов регулятора), — рассказывает Роман Лукин, руководитель группы IT-аудита и консалтинга компании “Инфосистемы Джет”. — Причем нужно знать, как эта стратегия будет эволюционировать, что в ней должно появиться (или не появиться) в будущем. Имея этот документ на руках, можно на уровне руководства банка строить всеобъемлющую концепцию управления конкретными рисками, а не вкладывать деньги в то, в чем нет необходимости. Кроме того, здесь самое время заняться командой, которая будет решать текущие задачи».

Понятно, что параллельно или чуть раньше необходимо озаботиться аудитом ресурсов, поддерживающих бизнес-процессы организации. Требуется определиться с угрозами, от которых BCM будет защищать на данном шаге внедрения. Например, учитываем только IT-приложения, но не трогаем персонал, работающий с ними.

После этой работы начинается «творческий процесс», а именно выбор того, как именно будут обеспечены BCM и DRP с точки зрения технических решений. Будет ли построен для этого резервный ЦОД или операционный центр для персонала? А может, идти в ногу со временем и использовать виртуальные ЦОДы или облака, а также арендовать в подходящем технопарке временный офис, пока центральная площадка непригодна для работы?

«Не углубляясь в технические подробности, можно сконцентрироваться только на аспекте DRP, что позволит не строить дорогостоящие решения по синхронному резервному копированию, — отмечает Роман Лукин. — Кто-то допускает некоторый уровень потерь информации и(или) уменьшение скорости восстановления. Все зависит от стратегии и уже имеющихся решений. На этом этапе есть масса возможностей для оптимизации — нужно найти свою золотую середину».

Немного бумажной работы, тестов и изменений в корпоративной культуре

Лучшие практики заключаются в том, что все эти бумаги не обязаны появляться одновременно! Первой должна быть разработана небольшая по объему, но «краеугольная» по значению политика непрерывности бизнеса. А вот реестр ролей и должностных обязанностей, служащий для собственного понимания организацией, какие специалисты требуется и что им предстоит делать, может постепенно дополняться по мере необходимости. Концепция управления процессом непрерывности, отвечающая за порядок расширения и сужения рамок BCM, разрабатывается банком с учетом того, что организация может ответить на вопросы самостоятельно, не затрачивая большого количества времени и сил.

Что касается реестра рисков, специалисты советуют выбирать какой-то конкретный риск, а не брать сразу весь их спектр. Построив процесс управления непрерывностью для защиты от него, будет гораздо проще расширить процесс и на другие риски. Аналогичный подход применим и для построении матрицы зависимости бизнеса от IT. На первых порах достаточно разработать только часть матрицы, описывающую один бизнес-процесс.

Не будем углубляться во всю эту бумажную бюрократию, а отметим, что не надо идти «на ура, до победного конца», а стоит использовать народную мудрость «умный в гору не пойдет»: так вот, умный обратится к экспертам-консультантам и «обойдет гору». Иными словами, можно и нужно подготовку документов распределить по этапам и изменять их полноту, минимизируя затраты на их подготовку.

Для того чтобы убедиться в том, что все сделано правильно, существует этап тестирования. Наиболее ресурсоемким видом тестов является «настольный». Он очень полезен для проверки полноты существующих документов, вовлечения сотрудников и руководителей в тематику BCM и DRP, для приобретения драгоценного опыта и выработки практических навыков в нештатных ситуациях.

На «настольных» тестах экономить, как правило, — себе дороже. Но вот совместить проведение тестирования процедур DRP с регулярными регламентными работами, например с установкой обновлений ПО или со сменой версий, можно. Такой вариант выгоден с экономической точки зрения, а навредить бизнесу тестами в это время трудно.

Завершается цикл создания BCM внедрением процессов управления изменениями и непрерывностью в культуру организации. Это не ресурсоемкий этап, но его сложность заключается в том, что данный шаг не может быть единовременным. Усилия по внедрению должны предприниматься на регулярной основе. В рамках процесса должны возникнуть новые должностные обязанности, возложить которые резонно на людей, управляющих рисками, или CIO. Последнее выгодно с той точки зрения, что информационные процессы обычно наиболее полно описаны, кроме того, как ни крути, они являются составной частью бизнес-процессов и их придется включать в процесс управления непрерывностью. Так почему с них не начать?

Делая выводы, необходимо отметить, что внедрение BCM и DRP, безусловно, вещь полезная. К сожалению, автоматизация бизнеса вызывает зависимость от IT, но никому не хочется при любом сбое систем вне зависимости от причины останавливать бизнес-процессы на определенное время с непредсказуемыми эксцессами и потерями данных после восстановления. Стимулируют внедрение и регуляторы рынка.

Да, необходим бюджет. Однако, как показывают лучшие мировые и отечественные практики в виде международных стандартов и положений, есть разные варианты оптимизации расходов при получении достойного результата. Но получить экономию можно только в том случае, когда есть знание, что и как делать, а также при непрерывном, как того и требуют стандарты, цикле работ. Отдельный вопрос: делать ли все самим на свой страх и риск или объединить усилия с независимыми консультантами.

Что такое непрерывность бизнеса и как она связана с облаками

Время чтения: 5 минут

Почему большинство компаний оказались не готовы к кризису несмотря на программы непрерывности бизнеса и как облачные технологии помогут с планированием в эпоху неопределенности

Об эксперте : Евгений Колбин, вице-президент Сбербанка, генеральный директор SberCloud.

Планирование непрерывности бизнеса (Business Continuity Planning) — обязательная практика во всех крупных зарубежных компаниях. Но, согласно опросу Gartner, только 12% из них заявили, что были готовы к кризису во время пандемии. BCP учит ожидать неожиданного, но кто мог предвидеть сложности такого масштаба: внезапно закрыть все офисы и отправить по домам тысячи сотрудников, в том числе и тех, кому нужен постоянный доступ ко всей ИТ-инфраструктуре компании. Коронавирус выявил слабые места в программах Business Continuity по всему миру.

Для российских компаний нынешний кризис, возможно, стал первым важным поводом серьезно задуматься о BCP, особенно в сегменте IT-инфраструктуры. Пострадавшие отрасли — из-за необходимости экономить и сохранить бизнес в условиях падения спроса, взлетевшие — из-за возросших нагрузок на процессы. Компании, в свое время начавшие использовать облако, быстро адаптировались и выиграли в ситуации локдауна, остальные — наверстывают упущенное.

С какими вызовами столкнулся бизнес в пандемию

Онлайн-продажи одной из сетей спортивных магазинов выросли в семь раз и полностью заменили офлайн. Для многих компаний в сфере ретейла такая динамика означала, что они смогут выжить во время кризиса. Но, так как онлайн стал практически единственным источником дохода многих компаний, цена сбоя в ИТ-системах выросла . Положение обостряется высокой конкуренцией в онлайне: покупателю ничего не стоит уйти к другому ретейлеру, если что-то идет не так хотя бы две секунды. Упомяну и репутационные риски: если оператор call-центра не может загрузить информацию о заказе во время разговора с клиентом, последний оставит отрицательный отзыв. А что, если в интернете появляются десятки таких отзывов в день?

Читайте также  Крупный бизнес это определение

Важным фактором в контексте пандемии стало планирование бюджетов в крупных компаниях . Когда происходит нештатная ситуация или резко возрастает нагрузка на ИТ-системы, корпорации в силу внутренних регламентов не могут оперативно выделить средства на закупку и развертывание собственных физических серверов.

Как облака поддерживают непрерывность бизнеса

1. Высокая гибкость

Недавно я говорил с руководителями компаний, которые сказали, что во время пандемии испытали эквивалент трех Черных пятниц за неделю. А на подготовку инфраструктуры к одному такому дню бизнес может тратить до полугода. Если вы попытаетесь справиться с аналогичным ростом спроса с устаревшим хостингом или на голом «железе», то столкнетесь с большими проблемами, которые приведут к потере клиентов. Благодаря облачной инфраструктуре предприятия любого размера могут быстро разворачивать дополнительные ресурсы , учитывая новые требования.

При резком возрастании спроса, бизнес-активности и, соответственно, — нагрузки, увеличение мощности облачной ИТ-системы занимает минуты . Во время менее интенсивной работы можно также быстро снизить потребление вычислительных ресурсов. Особенно повезло тем компаниям, которые до пандемии успели не просто мигрировать в облако, но перейти на модель Cloud Native : им вообще не пришлось тратить время и ресурсы на то, чтобы отслеживать резкие колебания нагрузок — вычислительные мощности масштабировались автоматически.

2. Хранение данных

Объем данных компаний растет в геометрической прогрессии, в том числе из-за цифровизации: оборудование на многих заводах сейчас оснащено датчиками, которые постоянно передают данные. Интернет- и телеком-компании также получают и хранят невероятное количество данных. Эту информацию необходимо где-то хранить для будущего анализа, при этом обеспечив резервные копии. Учитывая сокращения бюджетов, облака становятся оптимальным решением для бэкапа , и нередко это — первые пробы компаний перед дальнейшим использованием облачных технологий. В этом плане крупные предприятия быстро находят общий язык со SberCloud, потому что у них идентичные требования к безопасности и защите персональных данных в рамках федерального законодательства.

В производственных сферах непрерывность бизнеса поддерживают технологии IoT и Digital Twin . Например, исправность оборудования в нефтяной отрасли контролируют тысячи датчиков, которые в режиме реального времени передают данные для анализа. Их нужно оперативно обрабатывать и хранить. Для этого необходимы огромные мощности, а разворачивать ЦОДы самостоятельно очень дорого. К тому же средний срок жизни ЦОДов — около пяти лет, а облачные провайдеры избавляют от необходимости регулярно реинвестировать в инфраструктуру.

3. Резервное копирование и быстрое восстановление

Стоимость отказа ИТ-систем в постковидной экономике стала заметно выше, так что бизнес начал чаще думать о резервном копировании и восстановлении данных. Это опции, которые логичнее и безопаснее реализовать в облаке, даже если вы используете классический On-Prem. Хотя и рекомендуется поддерживать определенный уровень аппаратной избыточности, аварийное восстановление как услуга (DRaaS) использует аппаратно-независимые возможности виртуализации облака . Это обеспечивает беспроблемное, безопасное резервное копирование системы и данных в сочетании с почти мгновенным переключением при сбое и более эффективным восстановлением.

4. Адаптация к новым условиям

Весной этого года на удаленку ушли, по оценкам, до 80% работающих россиян. Притом количество коммуникаций выросло в несколько раз : в кризис компаниям приходится чаще принимать сложные оперативные решения. На помощь пришли облачные сервисы коллективной работы — Zoom, Slack или Microsoft Teams.

Гигантский объем удаленных коммуникаций невозможно было бы обеспечить без адаптирующейся сетевой инфраструктуры . Компания Zoom, чтобы справиться с 30-кратным ростом количества видеозвонков, оперативно перенесла все свои данные и вычисления в облако, а сервис Microsoft Teams изначально размещался в облаке Azure.

5. Безопасность

Облака помогли и тем компаниям, для которых вопросы ИТ-безопасности стоят в приоритете. Современная облачная инфраструктура означает возможность гранулярного доступа для сотрудников : ИТ-менеджмент может контролировать, кто, когда и какими ресурсами воспользовался. Безопасно делиться частью инфраструктуры можно не только с сотрудниками, но и с внешними подрядчиками и партнерами, чтобы не тормозить развитие проектов.

Кроме того, облачные провайдеры берут на себя значительную часть усилий по обеспечению безопасности информационных систем клиентов . Согласно отчету Cloudflare, в марте 2020 года, с началом пандемии, количество онлайн-угроз выросло в шесть раз по сравнению с обычным уровнем. Облачные провайдеры максимально снижают такие риски, так как регулярно и много инвестируют в самые современные решения в области кибербезопасности.

Неизвестно, сколько на самом деле продлится пандемия и сколько «волн самоизоляции» нас еще ждет: прямо сейчас весь бизнес работает в условиях неопределенности. Согласно опросу Gartner, только 2% компаний верят в то, что их бизнес будет работать как раньше. Готовимся и не прерываем начатое.

Что такое непрерывность бизнеса и как ей управлять

Руководство по снижению производственных сбоев

Почему товар или услуга вдруг оказываются некачественными? И по какой причине, несмотря на наличие системы менеджмента по стандарту ИСО 9001, обеспечить стабильность качества получается не всегда и не всем? Для того чтобы уровень качества всегда был на одной высоте, а организацию ждал неминуемый успех, нужно управлять непрерывностью бизнеса. Разбирались, как и зачем это делать.

В фокусе внимания: качество

Несмотря на уникальность каждого предприятия, все они меняются с течением времени. При этом руководство старается поддерживать неизменный уровень качества, невзирая на внутренние и внешние перемены. Это логично, потому что качество – не что иное, как:

ценность, которая важна потребителю и влияет на его лояльность бренду;

безопасность продуктов, работ и услуг;

основа конкурентного преимущества организации.

Клиентоориентированные компании, для того чтобы измерить удовлетворенность своих потребителей, не только реагируют не рекламации, но и мониторят отзывы своих клиентов – положительные и отрицательные. Обязательно выясняют причины возникновения несоответствий (проводят анализ корневых причин) и вырабатывают предупреждающие меры, чтобы ошибка не повторилась.

Проактивный подход позволяет одержать победу в конкурентной борьбе именно тому, кто умеет быстро обрабатывать информацию, исключив при этом так называемые мусорные данные и защитив свою конфиденциальную информацию.

Однако, несмотря на наличие и значимую роль службы качества в работе организации, обеспечить постоянный высокий уровень качества удается не всегда. Все зависит от зрелости системы менеджмента, которая на разных этапах своего существования позволяет руководству обеспечивать качество более или, наоборот, менее эффективно, укрепляя или, напротив, утрачивая лидерство предприятия.

Триумвират стандартов ИСО 9001, ИСО 22301 и ИСО/МЭК 27001

Для повышения конкурентоспособности организации любого размера – от небольших предприятий до транснациональных корпораций и государственных учреждений – внедряют системы менеджмента по международным стандартам. Это проверенный метод повышения эффективности работы. Чаще всего внедряются следующие системы менеджмента:

Это неудивительно, ведь компании-лидеры все чаще выбирают из числа потенциальных поставщиков именно тех, кто внедрил стандарты ИСО 9001, ИСО/МЭК 27001 или ИСО 22301. Кроме того, заказчики требуют соответствия высоким экологическим стандартам и этическим нормам. Однако и этим перечень требований к поставщикам не исчерпывается.

Система менеджмента качества, действительно, помогает предприятию любого размера непрерывно контролировать качество и безопасность, управлять этими параметрами, а также определять области для улучшения. Внедренная система менеджмента – это не только способ рационально использовать финансовые ресурсы, увеличить прибыль, расширить бизнес, обеспечить максимальное удовлетворение требований и ожиданий клиентов, но и возможность эффективно работать с системой поставок, а также учесть интересы всех заинтересованных сторон, продемонстрировав им в том числе и сильное корпоративное управление.

Несомненно, внедренная система менеджмента качества сводит риск сбоев и опасных событий к минимуму. Однако это не панацея. В условиях стремительных технологических изменений и возрастающих требований потребителей к качеству способность организации продолжать работать во время сбоев выходит на первый план.

Обеспечить постоянный уровень качества, информационную безопасность и бесперебойную повседневную деятельность предприятия можно с помощью внедрения системы менеджмента непрерывности бизнеса (СМНБ).

Руководители предприятий не всегда четко осознают, чем именно они управляют. Поэтому при планировании СМНБ необходимо уделить пристальное внимание «чистоте» данных, на основе которых принимаются решения, – минимизировать использование устаревшей и неточной информации. Ведь Big Data уступает место Smart Big Data.

Управление непрерывностью бизнеса: в чем смысл

Четкое следование требованиям стандарту ИСО 22301 поможет организации избежать перебоев в работе, снизить их вероятность и обеспечить быстрое восстановление деятельности. Для обеспечения стабильно высокого уровня качества в первую очередь необходимо определить и приоритезировать угрозы, требующие реакции сотрудников и руководства. Целесообразно использовать различные способы обнаружения и изучения рисков.

Отметим, что управление непрерывностью бизнеса будет эффективным (обеспечит постоянный уровень качества, информационную безопасность и бесперебойность повседневной работы) только если внедренная СМНБ станет частью общей системы управления.

Кроме того, предприятия, которые внедряют системы, обеспечивающие непрерывность бизнеса в обязательном порядке, должны проводить аудит непрерывности бизнеса у своих поставщиков. На практике такое происходит редко. Это обусловлено тем, что многие предприятия до сих пор не смогли выстроить эффективные контрактные отношения со своими поставщиками.

Установление стратегических целей и руководящих принципов системы обеспечения непрерывности бизнес-процессов напрямую связано со стратегией развития предприятия. Руководство должно выработать понимание того, каких ресурсов не хватает для реализации выбранной им стратегии непрерывности бизнеса.

Стоит иметь в виду, что цифровизация постоянно предъявляет новые требования к разработке и реализации стратегии развития предприятия. Это приводит к тому, что стратегии довольно часто пересматриваются и корректируются. Однако игнорировать облачные решения невозможно – по прогнозам экспертов, именно они в ближайшие пять лет позволят значительно сократить расходы компаний на ИТ. Однако мы до сих пор сомневаемся в безопасности облачных сервисов. Поиск наилучшего подхода к их внедрению продолжается. Сегодня наиболее успешные решения, связанные с облачной безопасностью, основаны на ИСО/МЭК 27017 , ИСО/МЭК 27018 , CSA STAR , которые представляют собой практическое руководство по защите персональных данных.

Отметим, что эксперты ряда зарубежных стран уже приступили к разработке политики в области применения цифровых технологий в промышленности (Digital Industrial Policy).

Учитывая, что стандарты ИСО 9001, ИСО 22301 и ИСО/МЭК 27001 гармонизированы, предприятие, внедрившее системы менеджмента на их основе, продолжит эффективно работать несмотря на сбой, тем самым минимизировать его последствия, защитит свою репутацию перед клиентами и контрольно-надзорными органами.

Читайте также  Доступная земля для бизнеса

Внедряя описанные системы менеджмента и проводя аудит поставщиков, можно не на словах, а на деле стимулировать повышение уровня жизнестойкости организации. На макроуровне это приведет к повсеместному повышению культуры производства.

COVID-19: Шаблон стратегии непрерывности бизнеса + 6 лучших практик стратегического планирования

Кризис пандемии коронавируса имеет огромное влияние на весь мир. Как он повлияет на вашу организацию? Каковы вероятные сценарии? Какими будут ваши действия? Используйте этот шаблон как отправную точку для разработки стратегии непрерывности (continuity) работы бизнеса.

COVID-19: шаблон непрерывности работы бизнеса

Шаблон разделён на четыре перспективы. Давайте разберёмся, какие цели они подразумевают.

Перспектива обучения и роста

В этой перспективе мы концентрируемся на навыка и инфраструктуре, неободимы для осуществления стратегии непрерывности работы бизнеса:

  • Информирование сотрудников о COVID-19 (измеряется по индикатору действия «внедрение программы информирования, %» и показателю результата «% фактически внедрённы практик«)
  • Планирование глобального сценария (со связанными инициативами)
  • Приведение ИТ-систем в соответствие с задачами удаленной работы
  • Ознакомление сотрудников с принципами удалённой работы

Перспектива внутренни процессов

В этой перспективе мы формулируем цели, связанные с внутренними бизнес-системами, которые помогут нам эффективно осуществить стратегию непрерывности работы бизнеса:

  • Защита трудовы ресурсов
  • Стабилизация канала поставок (часть стратегии закупок)
  • Информирование заинтересованны лиц
  • Переод на удалённую работу

Перспектива заинтересованны лиц

В этой перспективе мы должны сконцентрироваться на нужда заинтересованны лиц (сотрудников, клиентов, партнёров). Здесь отображаются такие цели, как:

  • Учет возможного влияния на потребности в медицинском уоде
  • Учет возможного влияния на образовательные нужды
  • Учет возможного влияния на ежедневные нужды

В этом аспекте важное значение имеют общество и его нужды. Если у вас есть ССП благотворительности, то в ней вы также найдёте аналогичную цель.

Шаблон стратегии непрерывности работы бизнеса включает несколько инициатив, приведённы в соответствие с целями «Потребностей общества». Эти инициативы описывают, как организация может помочь обществу:

  • Перепрофилирование производственны линий. Например, Inditex, владелец розничной сети Zara, начинает производствомедицински алатов.
  • Перепрофилирование продуктов и услуг. Например, Decathlon безвозмездно передаёт в больницы маски для сноркелинга. Корабль Splendid группы MSC был превращен в больницу.
  • Способствование социальному дистанцированию. Например, почта Чеии позволяет посылать заказные письма бесплатно посредством «Datová schránka» в течение объявленного периода ЧС.

В связи с ограничениями на передвижения многие компании перешли от очны мероприятий к мероприятиям в режиме онлайн. Хотя стоимость стриминговы платформ существенно ниже стоимости организации очного мероприятия, компаниям приодится бороться за внимание потенциальны посетителей. В этой статье мы рассказываем о своём пододе к организации онлайн-мероприятий, который продемонстрировал стабильные результаты с точки зрения привлечения клиентов и долгосрочного воздействия на бизнес.

Финансовая перспектива

Наконец, финансовый аспект отражает соответствующие финансовые цели и ожидаемый результат. В этом случае речь идет о целя:

  • Влияние на доод
  • Применимые договоры страования

Объяснение шаблона «Стратегия непрерывности работы бизнеса»

Обсудим стратегию непрерывности работы бизнеса в условия влияния COVID-19 на организацию.
» alt=»»>

6 лучши практик стратегического планирования во время кризиса коронавируса

Последние рекомендации организаций здравооранения и новые постановления правительств по всему миру вносят значительные изменения в принципы ведения бизнеса. Во время кризиса важно поддерживать эффективность осуществления стратегии и по возможности принимать превентивные меры.

Мы сформулировали несколько эффективны практик стратегического планирования для пользователей BSC Designer. Ещё не стали пользователем? Зарегистрируйтесь по бесплатному плану прямо сейчас.

1. Фокус на обсуждении стратегии

Сегодня как никогда важное значение имеют эффективное лидерство и четкие стратегии. Создайте ССП и стратегические карты, разъясняющие вопросы «почему?» и «каким образом?» в контексте выполнения стратегия. Для создания стратегической карты неободимо выполнить 8 шагов:

Каков следующий шаг?

  • Используйте функцию «Поделиться» для определения прав доступа членов команды
  • Свяжите стратегию разны подразделений, создайте локальные версии стратегической карты.
  • Используйте карту на следующем совещании по обсуждению стратегии

2. Проведите анализ угроз

Проведите внеочередной анализ внешни угроз при помощи шаблона PESTEL-анализа . Пользователи BSC Designer найдут шаблон PESTEL-анализа в Мои проекты> Создать > Новый проект > Дополнительные шаблоны…

Вероятные угрозы бизнесу при COVID-19:

  • Падение потребительски и деловы расодов [1]
  • Воздействие на канал поставок [2]
  • Эксплуатационная устойчивость [3]
  • Воздействие заёмного финансирования [4]
  • Правовое воздействие [5]
  • Влияние удалённой работы

3. Отслеживайте и прогнозируйте KPI

Во время кризиса COVID-19 нам придётся столкнуться с некоторыми непредсказуемыми колебаниями. Узнайте о критически изменения как можно раньше.

  • На какие KPI неободимо обратить внимание? Начните с ключевы KPI.
  • Как найти критические точки? Используйте функцию анализа «Наибольший прирост/потеря» в BSC Designer.
  • Как настроить уведомления? Используйте функцию уведомлений в BSC Designer.

4. Подготовьте планы реагирования

Обсудите в команде идеи, касающиеся колебаний значений KPI:

  • Добавьте комментарии о KPI (просто нажмите «C» на вкладке «KPIs»)

Используйте Инициативы для формулировки плана реагирования:

  • Добавьте бюджеты и временные рамки
  • Назначьте владельца
  • Свяжите с соответствующим регламентом

Убедитесь в том, что планы реагирования соответствуют потребностям конкретны географически локаций:

  • Бюджеты на инициативы могут быть в различны валюта.

5. KPI для удалённой работы

Поощряйте социальное дистанцирование и по возможности переодите на модель удалённой работы. Введите четкую систему управления эффективности удалённой команды. Мы обсудили конкретные KPI удалённы сотрудников здесь.

6. Обновите план обеспечения устойчивости бизнеса

Убедитесь в том, что планы обеспечения устойчивости бизнеса актуальны с точки зрения корпоративного управления.

  • Общая эксплуатационная устойчивость. Последствия для канала поставок, переод на модель удалённой работы.
  • Правовые последствия. Например, возможность провести виртуальную встречу акционеров.
  • Финансовые последствия. Доступ к финансированию и воздействие на доод.

Как и прежде, наша команда поддержки клиентов готова помочь вам с решением задач стратегического планирования.

  • Доступ к шаблонам. Воспользуйтесь бесплатным планом BSC Designer для доступа к 28 шаблонам ССП, включая Стратегия непрерывности работы бизнеса при коронавирусе из этой статьи.
  • Отточите навыки. Запишитесь на тренинг по ССП. Отточите ваши навыки стратегического планирования.
  • Автоматизация. Узнайте что такое софт для ССП и как он может облегчить создания стратегически карт и работу с индикаторами.

Стандарт ISO 22301: системный подход к управлению непрерывностью бизнеса

  • Поделиться в Facebook
  • Поделиться в LinkedIn
  • Поделиться в Twitter
  • Share on VKontakte
  • Отправить по email
  • Печать страницы

Стоит ли стандарт ISO 22301 на системы менеджмента непрерывности бизнеса траты денег, ресурсов и даже времени на прочтение этой статьи? Коронавирус сыграл роль «лакмусовой бумажки» и дал редкую возможность объективно судить о стандарте.

В мае Королевский институт качества CQI (Великобритания) и компания Qualsys опубликовали результаты совместного исследования, которое касалось менеджмента качества в период пандемии. Выяснилось, что:

  • Среди тех организаций, которые внедрили ISO 22301 и прошли сертификацию, 89% сказали «да» на вопрос об успешности «стратегии реагирования» на пандемию. Среди тех, кто не был знаком со стандартом, такой ответ дали лишь 55%.
  • Применение риск-ориентированного подхода к ситуации с COVID-19 оценили положительно 85% опрошенных респондентов из первой группы и лишь 51% из второй.

Примечательно, что в апреле 2020 года Международная организация по стандартизации (ISO) порекомендовала национальным органам по стандартизации открыть бесплатный доступ к ряду стандартов, обосновав это желанием помочь организациям в борьбе с общей угрозой коронавируса. В их число попал и ISO 22301.

Пожалуй, сейчас настало самое время поближе познакомиться с ISO 22301.

ISO 22301 как один из инструментов риск-менеджмента

Менеджмент непрерывности бизнеса – это одна из разновидностей риск-менеджмента, направленная на управление риском прерывания бизнес-процессов внешними факторами. Такими внешними факторами здесь выступают инциденты, чрезвычайные ситуации и катастрофы, вызванные намеренными или ненамеренными человеческими поступками, природными явлениями и техническими сбоями.

Наводнения, землетрясения, ураганы, террористические атаки, пожары, кибератаки, сбои в ИТ-оборудовании, проблемы в цепи поставок, эпидемии и пандемии – вот лишь возможные угрозы для планомерной работы предприятия. Результатом материализации этих угроз может стать остановка работ, ведущая к потери крупного контракта, клиента и даже закрытию бизнеса.

ISO 22301 – это стандарт, помогающий внедрить и поддерживать результативный план непрерывности бизнеса. Последовательное планирование действий на тот случай, если наступит катастрофа, означает более результативное реагирование и оперативное восстановление деятельности. В результате снижается воздействие форс-мажорных обстоятельств на людей, продукцию и финансовые результаты организации.

Суть стандарта ISO 22301

Стандарт предполагает реализацию адаптивных, проактивных и реактивных стратегий на всех стадиях: до, во время и после инцидента, прерывающего бизнес-процесс.
Джеймс Краск, председатель рабочей группы, разрабатывавшей последнюю версию стандарта ISO 22301, опубликованную в 2019 году, так сформулировал три ключевых фактора, позволяющие быстро восcтановить деятельность предприятия после прерывания в его работе:

  • глубокое понимание того, что важно для организации,
  • планы реагирования, которые просты в применении,
  • персонал, который четко знает свою роль при наступлении чрезвычайной ситуации.

Именно на это и «заточен» ISO 22301.

Специфика требований ISO 22301

В ISO принят общий «шаблон» структуры всех стандартов на системы менеджмента (Приложение L к Директивам, ранее известное под названием Приложение SL). Стандарт ISO 22301:2019 также следует этому шаблону.

Помимо знакомых по ISO 9001:2015, ISO 14001:2015 и другим стандартам ISO формулировок о рисках, заинтересованных сторонах и контексте в ней есть и уникальные требования, отражающие специфику системы менеджмента непрерывности бизнеса. Вот некоторые из них:

  • Каждый сотрудник должен понимать свою роль в реагировании на форс-мажорные ситуации. Необходимо обеспечить возможность коммуникации, даже если обычные каналы обмена информации перестали работать в результате инцидента.
  • Организация должна проводить BIA (Business Impact Analysis) – «анализ последствий для деятельности». С его помощью нужно определить: как на организацию влияют потенциальные чрезвычайные ситуации, нарушающие нормальный порядок работы, и как это влияние меняется с течением времени.
  • Организация разрабатывает «Планы непрерывности бизнеса», в которых планирует не только реагирование на инцидент, но и действия по возвращению к нормальному функционированию после того, как проблема устранена.
  • С одной стороны, должны предприниматься шаги по минимизации вероятности наступления чрезвычайной ситуации, с другой – шаги по реагированию на эти ситуации в случае их наступления. Предсказать и предотвратить все инциденты невозможно, поэтому рекомендуется применять принцип «на судьбу надейся, а сам не плошай».
  • Важно предусмотреть четкую структуру по реагированию на инциденты. В случае форс-мажора, действия должны предприниматься своевременно, люди должны обладать полномочиями предпринимать эти действия.
  • Организация должна разработать и проверять готовность к инцидентам с помощью «проверок» (tests) и «учений» (exercises). «Проверка» предполагает действие, после которого можно ответить «да» или «нет» на вопрос о готовности того или иного элемента системы. Например, можно проверить генератор включением, после которого он либо включится, либо – нет. «Учения» – более развернутый инструмент. Они симулируют чрезвычайную ситуацию в целом. «Проверки» могут быть их частью.
Читайте также  Бизнес за 500 000

Аналогично другим системам менеджмента, регулируемым стандартами ISO, cистема непрерывности бизнеса основана на процессном подходе и управляется в соответствии с циклом PDCA (Планируй-Выполняй-Проверяй-Улучшай).

Большая часть обязательной документации обычна для интегрированных систем менеджмента и, скорее всего, уже у организации есть. Например, в ISO 22301:2019 присутствует требование о наличии документированной информации по программам внутренних аудитов (9.2).

Однако с рядом обязательных по стандарту документов при внедрении ISO 22301 компания может столкнуться впервые. Среди них:

  • Политика и цели в области непрерывности бизнеса (5.2 и 6.2),
  • Записи о нарушении нормального течения работы (disruption), предпринятых действиях и принятых решениях (8.4.3.1),
  • Планы и процедуры непрерывности бизнеса (8.4).

Причем документы, ориентированные на пользователя, превалируют над объемными громоздкими документами. Больше пользы принесут короткие сфокусированные на конкретной задаче планы, чем один большой план на все случаи жизни.

Практика внедрения ISO 22301

Всегда полезно учесть опыт компаний, которые уже внедрили стандарт. Издание Continuity Central Archive опубликовало интервью с Ли Мюрреем, управляющим небоскреба CityPoint в Лондоне. CBRE – компания, которая сдает здание в аренду и обслуживает его для клиентов, внедрила и сертифицировала систему менеджмента по ISO 22301. Мюррей возглавлял рабочую группу по внедрению стандарта.

«Обязательно сформируйте сильную рабочую группу, делегируйте и разбейте действия по выполнению различных требований на этапы, – советует Мюррей. — У нас в рабочую группу вошли я, менеджер по непрерывности бизнеса и безопасности Стив Кросли, также мы подключали к ее работе руководителей и ключевых сотрудников семи отделов, формирующих наш сервис по обслуживанию здания: безопасность, инженерное обеспечение, клининг, утилизация отходов, IT, лифтовое хозяйство, телекоммуникации».

По его словам, сложнее всего в процессе внедрения ISO 22301 дались анализ последствий для деятельности (BIA), изменение корпоративной культуры и выбор области применения стандарта. «Мы начали проводить BIA. Пришлось учитывать условия аренды здания и то, как они влияют на сроки восстановления в случае аварии. Появилось столько деталей, что сначала нам показалось важным все!», – цитирует Continuity Central Archive Ли Мюррея.

Было проведено ряд планерок, брифингов и индивидуальных встреч со специалистами. Владельцы бизнеса внесли свою лепту и поделились опытом по ликвидации последствий урагана «Сэнди». В итоге в компании прибегли к такому инструменту, как моделирование ситуаций. Для каждого из семи направлений были проведены свои проверки. Так удалось прояснить, что именно важно, что от чего зависит.

Серьезные усилия были направлены на формирование корпоративной культуры. В CBRE была создана программа осведомленности, в которую входили регулярные инструктажи безопасности, знакомство с документом «Руководство по осведомленности», сессии коллективного анализа с применением метода «Что, если?» и шефство.

«Мы поняли и подчеркиваем это, что каждый сотрудник в организации должен быть вовлечен в обеспечение непрерывности бизнеса», — соглашаются Джордж Хафф и Диана Гильберт из Американской адвокатской ассоциации при описании своего опыта внедрения ISO 22301.

К источникам, в которых можно почерпнуть лучшие практики внедрения ISO 22301, следует отнести стандарт ISO 22313 «Менеджмент непрерывности бизнеса. Руководство по внедрению» (ГОСТ Р ИСО 22313). Он объясняет и излагает более развернуто то, что в ISO 22301 реализовано в виде кратких требований. Сертификация проводится по ISO 22301, а ISO 22313 можно использовать как руководство по внедрению.

Сертифицироваться или не сертифицироваться по ISO 22301?

По данным ежегодного исследования The ISO Survey в 2018 году в мире насчитывалось 1506 действующих сертификатов соответствия ISO 22301. Но пул пользователей стандарта должен быть гораздо шире. Как написал еще в 2012 году Эндрю Хайлз в своей книге Business Continuity Management: Global Best Practices, многие компании заинтересованы в преимуществах внедрения стандарта, а на сертификацию пока не пошли. В книге говорится, что 63% опрошенных организаций собираются сертифицироваться, но и без этого применяют требования стандарта.

К сертификации по стандарту ISO 22301 компании подталкивает желание завоевать конкурентное преимущество в своей отрасли. «У нас уже были предусмотрены меры сохранения непрерывности бизнеса. Выходя на сертификацию, мы хотели проверить себя, протестировать внешним признанием, – рассказал о мотивах CBRE к сертификации Ли Мюррей. — С помощью сертификации, мы хотели выдвинуться в качестве «законодателей», лидеров новых стандартов непрерывности бизнеса в такой отрасли, как управление объектами недвижимости».

Для Международного аэропорта им. Индиры Ганди в Нью-Дели целью сертификации по ISO 22301 было, продемонстрировать путешественникам готовность аэропорта к чрезвычайным ситуациям, приводящим к временному прерыванию критичных процессов, например, сбоям в электропитании или системе регистрации пассажиров. «Пассажиры могут теперь оставить свои беспокойства в стороне каждый раз, когда они путешествуют через аэропорт Дели», — сказал Прабхакара Рао, генеральный директор компании Delhi International Airport Limited, управляющей Международным аэропортом им. Индиры Ганди в Нью-Дели, при получении сертификата ISO 22301.

Сертификат позволяет внушить уверенность клиентам, поставщикам, регуляторам и другим заинтересованным сторонам, что в компании действует система непрерывности, и в случае непредвиденных обстоятельств бизнес-процессы будут должным образом защищены.

«Нет компаний, которым было бы приятно столкнуться с катастрофой, с природной ли или рукотворной. Но если они случаются, компаниям надо быть хорошо подготовленными», — сказал г-н Йен, управляющий United Microelectronics Corporation (UMC), компании-производителя полупроводниковых изделий, сертифицированной по ISO 22301.

Какие преимущества получает компания от внедрения стандарта?

  • Стандарт ISO 22301 включает в себя лучшие практики, помогающие организациям сокращать затраты от чрезвычайных ситуаций и минимизировать их негативное воздействие на бизнес.
  • В случае разветвленной структуры в организации, наличия филиальной сети или различных дивизионов, будет применяться единый логичный подход к чрезвычайным ситуациям.
  • Повышается организационная гибкость, адаптивность к изменениям в окружающей среде, что положительно сказывается на бизнес-показателях.
  • Анализ критических моментов и зон уязвимости, проводимых согласно ISO 22301, дает ясную и детализированную картину того, как работает организация, предоставляя полезные данные для стратегического планирования, риск-менеджмента, управления цепью поставок, трансформации бизнеса и управления ресурсами.

Иными словами, пойдет или нет компания на сертификацию по ISO 22301 – не так важно. Львиную долю преимуществ от работы со стандартом приносит не оценка соответствия, а внедрение его требований, обучение персонала и приобретение навыков управления в сфере непрерывности бизнеса.

ПОНРАВИЛАСЬ ЭТА СТАТЬЯ? ИНТЕРЕСУЮТ СТАНДАРТЫ ISO И СИСТЕМЫ МЕНЕДЖМЕНТА? ПОДПИШИТЕСЬ НА НАШУ РАССЫЛКУ И РЕГУЛЯРНО ПОЛУЧАЙТЕ ПОЛЕЗНУЮ ИНФОРМАЦИЮ ОБ ИЗМЕНЕНИЯХ В СТАНДАРТАХ, РАЗЪЯСНЕНИЯ ОТ АУДИТОРОВ SGS И ПРИМЕРЫ ЛУЧШИХ ПРАКТИК.

О КОМПАНИИ SGS

Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 89 000 сотрудников.

BCM — Business continuity management
Управление непрерывностью бизнеса

Рано или поздно перед каждой организацией встают вопросы: в какой степени критичен для нее тот или иной риск прерывания деятельности, как избежать этого риска или минимизировать его воздействие, что предстоит сделать заранее, как определить «золотую середину» между разумными инвестициями в превентивные меры и возможными потерями. Для решения многих поставленных вопросов предназначена технологическая дисциплина Business continuity managementBCM – управление непрерывностью бизнеса.

Содержание

В условиях сложной взаимозависимой деятельности подразделений в рамках организации, зависимости организаций от контрагентов, доступности систем поддержки деятельности, обеспечение бесперебойной работы является одной из важных задач, стоящих перед руководством многих предприятий. Каждая из организаций сталкивалась, так или иначе, с различными причинами прерывания рабочей деятельности – в результате сбоев в подаче электричества, поставок, функционирования информационных и коммуникационных систем, недоступности офиса, ухода ключевых сотрудников, преднамеренных действий или ошибок персонала, а также пожаров, техногенных катастроф и т. п.

BCM — подход комплексный

BCM — это комплексный подход в управлении, направленный на определение потенциальных угроз для организации, проведение анализа их влияния на бизнес в случае реализации. Он обеспечивает основу для удержания организации в стабильном состоянии и возможности для эффективного реагирования на кризисные ситуации с целью защиты интересов собственников и заинтересованных сторон, репутации и наиболее существенных сфер бизнеса компании. BCM регулирует процессы восстановления после сбоев, программы обучения, тестирования, процедуры аудита и пересмотра мероприятий, процедур и планов непрерывности бизнеса (Business Continuity Plan — BCP) с целью подтверждения их соответствия текущим условиям и потребностям организации. В настоящее время основные стандарты в области ИТ и информационной безопасности (ИБ), включая CobiT, ITIL, ISO-27001, содержат разделы, связанные с обеспечением непрерывности бизнеса: первые два предназначены для ИТ, третий — ИБ. Имеется также стандарт BS ISO 25999, касающийся управления непрерывностью бизнеса. Среди множества известных в мире стандартов, в том числе NFPA1600 (США), HB221 и HB252 (Австралия), SPRING TR19 (Сингапур) и т. п.

Правильный проект

Примерно так выглядит «правильный» проект BCM одного из бизнес-процессов в ИТ.

Анализируются возможные чрезвычайные ситуации (ЧС) в разделе ИТ, их последствия. Определяется допустимый таймаут. После этого разрабатываются возможные сценарии ЧС, описываются классы важности ИТ-сервисов и стратегия их восстановления. Создается эскиз проекта.

Главный постулат – непрерывность бизнеса, обеспечивается в обязательном порядке.

Составляется план-график реализации проекта, рассчитываются стоимость и время исполнения проекта. Согласно планам производится модернизация служб ИТ, составляются планы аварийного восстановления и тестирования для нескольких систем.

Потом фаза тестирования. Выявлены недочеты – необходимо исправлять и вносить коррективы.

Следом приходит время бизнеса: составляется иерархия реагирования из трех составляющих — штатный, управления инцидентами и уровень восстановления деятельности. По мнению экспертов, в этих планах должны быть прописаны лишь минимально необходимые действия, которые нужно совершить после катастрофы. После создания резервных рабочих мест проводится комплексное тестирование с участием бизнес- и ИТ-подразделений.

Здесь приведен пример реального проекта, осуществленного в России. Он продолжался в течение двух лет. Эксперты считают, риски нужно оценивать, анализировать их влияние на бизнес, определять возможные финансовые потери. Это не простые процессы, но только так можно в дальнейшем оптимизировать затраты на организацию BCM.

Суть стратегии управления не только в определении общих требований — необходим разумный баланс: сколько тратить и от чего защищаться.

Елена Алексеева/ автор статьи

Приветствую! Я являюсь руководителем данного проекта и занимаюсь его наполнением. Здесь я стараюсь собирать и публиковать максимально полный и интересный контент на темы связанные с заработком и оформлением документов для ведения бизнеса, освещением и автоматикой. Уверена вы найдете для себя немало полезной информации. С уважением, Елена Алексеева.

Понравилась статья? Поделиться с друзьями:
Sps-Studio.ru
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: