Непрерывность бизнеса
к.т.н., Генеральный директор ООО «Профконсалт ИСМ», представитель SSA в странах таможенного союза
Как сохранить устойчивость и непрерывность бизнеса в условиях изменений?
Изменение курса валют, смена партнеров, изменения законодательства, срывы контрактов, изменение каналов сбыта может привести к перебоям в бизнесе, потере клиентов, доходов и репутации. Отсутствие системы менеджмента непрерывности бизнеса в компании свидетельствует о неготовности к быстрому восстановлению деятельности и несоответствии международному уровню. Компаниям необходимо сохранять устойчивость к инцидентам любой природы и направленности и быстро восстанавливать работоспособность до нормального уровня, чтобы избежать невосполнимых потерь.
Отчет BCI Horizon Scan. Анализ рисков и угроз, который поможет вам подготовиться и повысить устойчивость
В новом отчете BCI раскрываются ключевые проблемы, которые преобладали в сфере рисков организаций за последний год, и те, которые, как ожидается, будут доминировать в ближайшие годы.
Согласно BCI Horizon Scan:
• главной причиной нарушения деятельности за последний год были инциденты, связанные со здоровьем сотрудников (13,9%);
• кибератаки остаются негативным фактором (11,2%), но организации сводят их воздействие к минимуму, планируя достигнуть уровня 6,4 %;
основными угрозами устойчивого развития компаний в 2023 году по-прежнему считаются кибератаки, экстремальные погодные условия и перебои в работе IT-систем и телекоммуникаций;
• наибольшие финансовые потери организаций связаны с изменением законодательства
Обновление ISO 22301 “Системы менеджмента непрерывности бизнеса”: основные изменения
Основные изменения в ISO 22301:2019 “Системы менеджмента непрерывности бизнеса” связаны с:
· изменением порядка требований в пункте 8
· упрощением и унификацией терминологии
· удалением ссылок на определение объемов риска
· повышением внимания к планированию изменений в системе менеджмента непрерывности бизнеса
· уменьшению количества предписывающих процедур и требований к документации
· более четким формулированием стратегии непрерывности бизнеса («стратегия непрерывности бизнеса и решения»)
· вводное руководство перенесено в ISO 22313 – руководство по менеджменту непрерывности бизнеса, а планы обеспечения непрерывности бизнеса содержат четкое указание по содействию командам и людям, устраняющим нарушения.
Этот документ определяет требования для внедрения, поддержки и улучшения системы менеджмента для защиты от сбоев, снижения вероятности их возникновения, подготовки, реагирования и восстановления после сбоев, когда они возникают.
Требования ISO 22301 подойдут любой организации, которая хочет обезопасить себя от непредвиденных ситуаций. Степень применения этих требований зависит от операционной среды, типа, размера и характера организации. Этот документ применим ко всем организациям, которые внедряют, поддерживают и улучшают Систему менеджмента непрерывности бизнеса, стремятся обеспечить соответствие заявленной политике непрерывности бизнеса, имеют желание продолжать предоставлять продукты и услуги с приемлемой мощностью во время сбоя, стремятся повысить свою устойчивость. ISO 22301 можно использовать для оценки способности организации выполнять свои собственные потребности и обязательства по обеспечению непрерывности бизнеса.
Для многих предприятий актуальной является задача внедрить систему управления непрерывностью бизнеса, чтобы улучшить показатели бизнеса и иметь отказоустойчивую систему. Напомним, что сертификация является добровольной.
Разработка и внедрение системы менеджмента непрерывностью бизнеса (СМНБ)
(СМНБ) должна учитывать целый комплекс вопросов:
· последствия отзыва продукции
· мотивацию и благополучие сотрудников
· фактор заболеваний, не связанных с работой
· влияние организационной зрелости на подход
· результаты анализа долгосрочных тенденций
· готовность организации к непредвиденным событиям, например, к экстремальным погодным условиям и др.
Система управления непрерывностью бизнеса рассматривается как одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента.
Важно корректно определить цели и задачи управления непрерывностью бизнеса, область применения (основная направленность связана с обеспечением непрерывности деловых операций на установленном приемлемом уровне).
В фокусе внимания компании должно быть:
· Стратегия и планирование непрерывности бизнеса
· Анализ воздействия на бизнес (BIA). Определение RTO (время восстановления) и PRO (точки восставновления).
· Оценка рисков. Модели и сценарии угроз
· План обеспечения непрерывности бизнеса (BCP) и план восстановления бизнеса (DRP)
· Разработка плана, ключевые факторы успеха и внедрение плана.
· Программа повышения осведомленности сотрудников
· Тестирование плана обеспечения непрерывности бизнеса (BCP) и плана восстановления бизнеса (DRP).
· Оценка текущего состояния и разработка дорожной карты для достижения целевого состояния
Выделим ключевые моменты, которые будут способствовать повышению эффективности данной системы менеджмента:
• создание внутренней проектной команды (команда должна быть мотивированной и подготовленной), составление плана внедрения и отслеживание прогресса, адаптация документации, внесение необходимых изменений на основе обновленных требований ISO 22301;
• оценка пробелов (Gap assessment) для выявления сильных и слабых сторон системы управления непрерывностью бизнеса.
Важно взглянуть по-новому на непрерывность своего бизнеса, так как в начале 2020 года появились новые тренды, новые требования регулирующих органов, поставщиков, потребителей. Существенно изменились риски.
Для многих предприятий актуальными стали риски:
· информационной безопасности,в том числе кибератак
· риски возможного нарушения законов, правил, договорных условий, стандартов или внутренних политик
· риски прерывания цепочки поставок.
Актуальные сведения о наиболее опасных угрозах для непрерывности бизнеса в отчете BCI Horizon Scan.
Наблюдается заметный рост числа организаций, которые внедрили системы управления непрерывностью бизнеса в соответствии с ISO 22301 в 2019 году. 71,0% организаций сообщили о сертификации по ISO 22301 или использовании стандарта в качестве основы: самый высокий показатель, зафиксированный в Horizon Scan Report с момента появления стандарта в 2012 году.
Согласно BCI Horizon Scan, результаты сравнительного анализа непрерывности бизнеса представлены следующим образом:
· больше организаций теперь имеют систему менеджмента непрерывности бизнеса, сертифицированную по ISO 22301 (на 6,5% больше, чем в 2018 году);
· организации, которые сообщают о сертификации по ISO 22301, также сообщили о меньшем количестве инцидентов за последние 12 месяцев;
· многие организации предпочитают использовать несколько стандартов, а не пройти сертификацию по одному стандарту.
Например, в области телекоммуникации компании используют несколько стандартов ISO: ISO 38000 для управления, ISO 27031 для получения дополнительных сведений об аварийном восстановлении; ISO 31000 для управления рисками и ISO 20000 для ITIL; ISO 22301 и BCI GPG 2018.. Для промышленных предприятий актуальны международные стандарты: ISO 9001, ISO 14001, ISO 45001, ISO/IEC 27001, ISO 22301.
Разработка и внедрение системы управления непрерывностью бизнеса в соответствии с ISO 22301 позволяет повысить эффективность управления, избежать системных ошибок. Основа этого стандарта гармонизирована с ISO 9001 и ISO/IEC 27001, что особенно важно в условиях цифровизации. Внедрение системы менеджмента непрерывности бизнеса предполагает интеграцию с существующими на предприятии системами менеджмента ISO и соответствие международному уровню.
Последовательность действий при внедрении ISO 22301
После приобретения международного стандарта ISO 22301 необходимо предпринять определенные последовательные действия, желательно с привлечением опытных экспертов.
Защита предприятия от перебоев деятельности, снижение их вероятности и условия для восстановления обеспечиваются посредством:
· определения и приоритезации угроз предприятию, сведения сбоев в работе к минимуму, снижения их вероятности и обеспечения условий для восстановления с учетом отраслевых особенностей;
· применения упреждающего подхода к минимизации воздействия инцидентов;
· обеспечения эффективности важнейших функций в кризисные периоды;
· эффективной работы с заинтересованными сторонами и системой поставок;
· передачи знаний от консультантов к сотрудникам предприятия, в результате чего создается подготовленная команда.
В результате реализации этих действий, укрепляется доверие акционеров и деловых партнеров к инструментам, применяемым для выявления и устранения угроз, минимизации простоев во время инцидентов и сокращения длительности восстановительного периода.
Последовательность действий:
· диагностический аудит, подготовка рабочей группы и плана внедрения
· тренинги
· описание системных процедур и требований
· описание базовых процедур и требований
· корректировка процессов и процедур действующих систем менеджмента
· методическая помощь по разработке/доработке документов
· проведение аудитов, в том числе внутренних по итогам созданной системы менеджмента
· проведение анализа созданной системы менеджмента
· сопровождение сертификационного аудита – в случае необходимости.
Решение по внедрению системы управления непрерывностью бизнеса в соответствии с ISO 22301 включает необходимую документацию, консалтинг, обучение, аудит, подготовку к сертификации. Решение применимо для отдельных предприятий, холдингов, групп компаний.
На основе ISO 22301 можно интегрировать все другие системы менеджмента, которые продиктованы внешним контекстом организации. Для разных отраслей контекст будет различаться и набор применимых международных стандартов так же будет различаться.