Casual
РЦБ.RU

Обеспечение непрерывности деятельности организации

Август 2008

Каждую секунду в мире происходит множество негативных событий. Некоторые из них прямо или косвенно касаются нас с вами. С чем-то мы уже научились справляться, какие-то решения приходится принимать, опираясь на интуицию. Однако когда мы сталкиваемся с проблемами, то неизменно исходим из собственного представления о причинах, которые могли привести к их возникновению, и задумываемся об их возможных последствиях.

ВСТУПЛЕНИЕ

При управлении организацией даже незначительные сбои могут приостановить бизнес-процессы и повлиять на достижение корпоративных целей, поэтому действовать интуитивно здесь уже не получится. Большое число участников каждого бизнес-процесса, используемые системы и процедуры, факторы, влияющие на исход ситуации, — все это говорит о том, что процесс возврата к нормальному режиму работы необходимо четко регламентировать, назначая ответственных лиц, разрабатывая схемы действий и методы контроля. В последнее время идет активная популяризация методов предупреждения нештатных ситуаций и реагирования на них, или, иными словами, обеспечения непрерывности деятельности организации. Однако количество российских организаций, внедряющих эти методы, по-прежнему невелико.

Что понимается под термином "обеспечение непрерывности деятельности организации"? Прежде всего он обозначает процесс, обеспечивающий возможность поддержания или быстрого восстановления деятельности организации на приемлемом уровне в случае наступления события, имеющего значительные последствия при относительно невысокой вероятности его возникновения (например, серьезной аварии оборудования, пожара, затопления и т. п.).

Для обеспечения непрерывности деятельности организации необходимо:

  • определять ключевые, критически важные для деятельности ресурсы организации;
  • проводить оценку рисков и факторов влияния;
  • разрабатывать на основе информации о рисках стратегические и тактические планы, а также процедуры и методы контроля и определять сферы ответственности;
  • внедрять контрольные процедуры и организовывать эффективное взаимодействие между ответственными сотрудниками;
  • осуществлять мониторинг и оптимизировать процесс обеспечения непрерывности деятельности организации.

Успешное проведение процесса обеспечения непрерывности деятельности организации, как правило, позволяет получить ощутимый положительный результат во многих сферах деятельности. Он может, в частности, выражаться:

  • в обеспечении возможности оказывать клиентам услуги на заявленном уровне качества даже при наличии существенного негативного внешнего воздействия, что является конкурентным преимуществом, повышающим доверие клиентов к организации, позволяющим удержать существующих клиентов и привлечь новых;
  • в укреплении репутации/бренда организации за счет минимизации последствий от наступления негативных событий;
  • в сохранении активов и снижении зависимости организации от ключевых активов;
  • в укреплении рейтинга организации, повышении ее привлекательности для инвесторов (в условиях активизации процессов выхода российских компаний на международные финансовые рынки это может стать преимуществом при проведении первичного размещения акций (IPO)).

ВОССТАНОВЛЕНИЕ ПОСЛЕ АВАРИЙ ИЛИ ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ?

В наши дни большое распространение получила практика внедрения решений по восстановлению работоспособности бизнеса после аварий и катастроф или в других нештатных ситуациях. В большинстве организаций эти решения сводятся к введению процедур регулярного резервного копирования данных, критичных для ведения операционной деятельности организации, а также к дублированию жизненно важных вычислительных и поддерживающих мощностей на случай непредвиденной их остановки. В современных организациях редко можно увидеть серверные помещения, не оснащенные системами пожаротушения и переключения на резервные источники питания. Однако сохранность информационных систем — первый и необходимый шаг к достижению непрерывности бизнес-процессов — вовсе не гарантирует их стабильной работы.

Наглядным примером тому может служить организация, использующая систему промежуточных складов для хранения материалов и незавершенной продукции. Недоступность или временный сбой в работе информационных систем, поддерживающих складские процессы, не остановят работу организации, ведь учет всегда можно вести на бумаге. Однако если нештатная ситуация произойдет на самом складе (например, пожар или изоляция склада из-за погодных условий), то организация может понести убытки от потери не только складских помещений, но и материалов или продукции, хранящихся на складе. Следует учитывать и другие риски, например недоступность персонала, работающего на складе (из-за болезни или даже забастовки), поскольку они препятствуют нормальному осуществлению бизнес-процессов, связанных со складом, и создают угрозу простоя в работе организации.

Именно эффективностью процесса обеспечения непрерывности бизнеса определяется его устойчивость к внешнему и внутреннему негативному воздействию. Непрерывность деятельности организации также подразумевает эффективное восстановление работы после аварий.

Немалую роль в обеспечении непрерывности деятельности организации играют такие составляющие, как независимость от человеческого фактора в части соблюдения важнейших процедур, взаимозаменяемость ключевых ресурсов, а также время принятия решений в тех или иных ситуациях. Так, в случае увольнения сотрудника, имеющего исключительный опыт работы и уполномоченного совершать ответственные действия, необходимо точно знать, сколько времени потребуется для обучения и включения в рабочий процесс нового сотрудника, способного полностью заменить своего предшественника.

Есть и другие вопросы, ответы на которые необходимо знать для обеспечения непрерывности деятельности организации. Например, не будет ли для организации более выгодно и надежно создать кадровый резерв и разработать схему замещения для поддержания основных функций организации в случае недоступности ключевого сотрудника? Аналогичный подход должен применяться в отношении ключевых информационных систем, поддерживающих операционную деятельность организации. Дублирование основных вычислительных мощностей, автоматизированное распределение задач между ними, кластеризация, отказоустойчивость, масштабируемость, централизация основных процессов, соглашения о минимальном уровне сервиса — вот основные элементы процесса обеспечения непрерывности деятельности организации, наличие которых позволяет говорить об устойчивости информационных систем к изменению внешних условий ведения бизнеса, влияющих на непрерывность бизнес-процессов и доступность задействованных в них ресурсов.

ОПРЕДЕЛЕНИЕ КЛЮЧЕВЫХ РЕСУРСОВ

Многие организации, приступающие к внедрению процесса обеспечения непрерывности деятельности организации, обнаруживают, что для эффективного старта им не хватает входящих данных, иными словами, информации о том, с чего начать это внедрение. С информационными системами все достаточно понятно, потому что не вызывает сомнения необходимость обеспечения сохранности данных путем регулярного резервного копирования, бесперебойной подачи электропитания для вычислительных систем, резервирования каналов связи, реализации возможности быстрого переключения на резервные компоненты (например, посредством замены серверов) и осуществления контроля за внесением изменений в вычислительные системы. Однако на практике гораздо более важным фактором может оказаться наличие специалистов, которые будут держать эти информационные системы под контролем, а также согласованность их действий с действиями других участников бизнес-процессов — пользователей. Помимо вопросов, связанных с созданием информационной инфраструктуры и координацией действий персонала, при оценке рисков также необходимо учитывать особенности производственной инфраструктуры (здания, оборудование, транспорт), информацию, содержащуюся в бумажных и электронных документах, данные о поставщиках, клиентах и т. д. Полнота рассмотрения ключевых ресурсов организации — залог успешного планирования обеспечения непрерывности деятельности организации.

ОЦЕНКА РИСКОВ И АНАЛИЗ ИХ ПОСЛЕДСТВИЙ ДЛЯ БИЗНЕСА

Определив ключевые ресурсы организации, необходимо провести оценку вероятности наступления неблагоприятных событий и их потенциальных последствий для этих ресурсов и для организации в целом. Бесспорно, для того чтобы наиболее эффективно отреагировать на риски, желательно располагать материальной (количественной) оценкой потенциальных последствий по каждому виду риска. Однако получить такую оценку иногда бывает затруднительно. Так, например, сложно подсчитать материальный ущерб, нанесенный организации, предоставляющей услуги, при наступлении событий, которые оказывают непосредственное влияние на возможность предоставления этих услуг, потому что прямого ущерба здесь может и не быть. В частности, если организация не сможет должным образом поддерживать пользователей своих ИТ-услуг, то она не ощутит мгновенного ущерба, который мог бы иметь материальное выражение, но это может повредить репутации организации, что в свою очередь негативно отразится на ее будущем финансовом состоянии и доверии к ней со стороны инвесторов.

Существует и обратная зависимость: если риск непредоставления ИТ-услуг на должном уровне затрагивает процессы, непосредственно связанные с получением дохода, то эффект (ущерб) от наступления последующих событий можно выразить в денежном эквиваленте, т. е. оценить его количественно.

Следует отметить, что оценка рисков нарушения непрерывности процессов и доступности ресурсов и анализ влияния этих рисков на бизнес — две принципиально различные процедуры. В то время как оценка рисков позволяет определить вероятность наступления тех или иных событий, при проведении анализа их влияния на бизнес учитывается внутренняя и внешняя взаимозависимость процессов и функций, а также приводится суммарная оценка последствий от наступления рисков для деятельности организации, что в свою очередь дает возможность определить объем ресурсов, необходимых для восстановления деятельности организации. В частности, анализ последствий от наступления рисков для бизнеса дает возможность выбора стратегии реагирования на каждый вид рисков, а также мониторинга этих последствий в динамике. Такой подход позволяет рассчитать размер материального ущерба, который наносится организации спустя какое-то время после реализации этих рисков. В итоге с помощью вышеперечисленных показателей можно определить максимальное время влияния последствий от наступления рисков, допустимое для продолжения нормального функционирования бизнеса.

В общем случае следует рассматривать 3 основных этапа внедрения процесса обеспечения непрерывности деятельности организации:

  • разработка и утверждение плана восстановления после аварий для ключевых информационных систем и определение максимально допустимого времени их недоступности (простоя);
  • оценка рисков нарушения непрерывности основных процессов и доступности ключевых ресурсов и проведение анализа влияния этих рисков на бизнес;
  • разработка и утверждение плана обеспечения непрерывности бизнеса как наиболее полного документа, описывающего процедуру выхода организации из нештатных ситуаций, вызванных появлением рисков.

Необходимо отметить, что успех внедрения процесса обеспечения непрерывности деятельности организации зависит от успешного проведения каждого из этих этапов в равной мере.

СТРАТЕГИЯ РЕАГИРОВАНИЯ

В практике управления рисками, как правило, используются 4 стратегии реагирования на них, объединенные под аббревиатурой TARA (transfer, accept, reduce, avoid).

Стратегия передачи риска (transfer) предполагает вступление в договорные отношения для определения минимального объема услуг в рамках сотрудничества с третьей стороной, осуществляющей бизнес-функцию (аутсорсинг).

Принятие риска (accept) означает признание готовности бизнеса к последствиям от наступления риска и к предполагаемому финансовому ущербу (такая стратегия реагирования на риски может быть выбрана, например, в том случае, если предполагаемый ущерб является несущественным).

Стратегия снижения риска (reduce) предусматривает внедрение механизмов (например, таких как контрольные процедуры), уменьшающих вероятность наступления риска и степень влияния последствий от его наступления. Контрольные процедуры в свою очередь могут предупреждать событие (например, в ситуации, которая будет классифицирована как "пожар в серверном помещении", предупреждающей процедурой станет использование в местах возможного возникновения пожара негорючих материалов и поддержание в них температурного режима, позволяющего избежать перегрева техники) либо своевременно выявлять его, таким образом минимизируя последствия от реализации риска. Наглядным примером использования предупреждающих контрольных процедур является создание кадрового резерва для поддержания бизнес-функций организации или разработка плана действий в случае отсутствия ключевых сотрудников.

Наконец, выбор организацией стратегии избежания риска (avoid) говорит о том, что она не будет осуществлять деятельность, связанную с данным риском. Стратегия реагирования на риски отражена в процедурах обеспечения непрерывности деятельности организации и восстановления после аварий.

ДОКУМЕНТИРОВАНИЕ ПЛАНОВ ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ И ВОССТАНОВЛЕНИЯ ПОСЛЕ АВАРИЙ

Как мы уже говорили, план обеспечения непрерывности деятельности организации является базовым документом, определяющим стратегию реагирования на риски нарушения непрерывности деятельности организации и контрольные процедуры по предотвращению последствий от наступления рисков. План обеспечения непрерывности бизнеса должен содержать анализ влияния рисков на бизнес организации. Кроме того, необходимо учитывать допустимое время простоя основных бизнес-процессов и функций, а также объемы данных, используемых в операционной деятельности, потеря которых не приведет к полной остановке деятельности организации. Желательно, чтобы план обеспечения непрерывности деятельности организации содержал следующие разделы:

  • Общее описание, включая область применения плана, т. е. основные организационные единицы и процессы, а также виды рисков, отражаемые в плане; основные задачи процедур, описанных в плане; допущения и предположения относительно рассматриваемых процессов; определение сферы ответственности; изложение процедур тестирования плана; изложение процедур использования плана и осуществления контроля за изменениями.
  • Критерии и процедуры выполнения плана обеспечения непрерывности деятельности организации.
  • Организация рабочих групп по восстановлению деятельности организации, включая:
    • организацию оперативного штаба для координации действий в чрезвычайных ситуациях;
    • требования к документации оперативного штаба по восстановлению деятельности организации;
    • требования к документации групп по восстановлению операционной деятельности организации;
    • требования к документации группы по восстановлению ИТ;
    • требования к документации по восстановлению систем связи;
    • требования к документации по восстановлению работы пользовательских приложений.
  • Процедуры коммуникации в рамках проведения работ по восстановлению деятельности организации.

План восстановления деятельности организации после аварий включает более специализированную область действий, преимущественно направленных на восстановление информационных систем, поддерживающих операционную деятельность организации.

В частности, в плане восстановления деятельности организации после аварий, как правило, указывается следующая информация:

  • определение понятия "авария" и перечень факторов, наступление которых расценивается как авария;
  • список критически важных для деятельности организации информационных систем и ресурсов данных;
  • максимально допустимое время недоступности каждой информационной системы, поддерживающей деятельность организации, по прошествии которого операционная деятельность организации будет остановлена;
  • регламент резервирования и резервного копирования информационных систем и данных;
  • список рисков, критичных для перечисленных информационных систем организации;
  • список и описание процедур по восстановлению работоспособности оборудования, приложений и баз данных, перечень ответственных за выполнение этих процедур и определение временных норм восстановления работоспособности оборудования, приложений и баз данных;
  • критерии полного и частичного восстановления работоспособности информационных систем организации;
  • процедуры документирования действий в процессе восстановления работы организации и список ответственных за их выполнение.

Планы обеспечения непрерывности деятельности организации и восстановления после аварий должны быть утверждены руководством и доведены до сведения всех ключевых сотрудников. Для координации действий в рамках реализации этих планов должен быть назначен ответственный сотрудник (координатор), который фактически будет выполнять функции менеджера проекта по восстановлению операционной деятельности организации. Координатор будет руководить процессом взаимодействия групп по восстановлению операционной деятельности организации, отчитываться перед оперативным штабом по восстановлению деятельности организации, а также отвечать за проведение регулярного тестирования планов обеспечения непрерывности деятельности организации и восстановления после аварий в отсутствие нештатных ситуаций. Кроме того, полезной практикой будет являться периодическое перераспределение сфер ответственности, перечисленных в планах, между ключевыми сотрудниками для того, чтобы недоступность одного из них не нарушала общего плана действий.

КООРДИНАЦИЯ ДЕЙСТВИЙ ПО ПЛАНИРОВАНИЮ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ

Выработка стратегии и тактики реагирования на риски, как правило, требует независимой оценки значения и приоритетности тех или иных функций в рамках каждого процесса. Иными словами, планирование действий по восстановлению деятельности организации целесообразно поручать специалисту, который не принимает непосредственного участия в осуществлении бизнес-процессов организации и поэтому может уделять внимание постоянной корректировке и развитию процесса обеспечения непрерывности деятельности организации при наличии изменений в этих бизнес-процессах. Более того, координатор процесса обеспечения непрерывности деятельности должен иметь возможность оказывать влияние на владельцев и исполнителей других процессов. Часто процедуры планирования обеспечения непрерывности бизнеса имеют много общего с процедурами внутреннего аудита и управления рисками, что может существенно упростить процесс поиска сотрудника на роль координатора внутри организации.

ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ ПРОЦЕССА ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ

Результативность процесса обеспечения непрерывности деятельности организации напрямую зависит от экономической эффективности разрабатываемых контрольных процедур и степени детализации планов. Под экономической эффективностью контрольных процедур понимается отношение стоимости внедрения процедур к предоставляемому ими "запасу прочности", т. е. снижению риска. Чем выше экономическая эффективность контрольных процедур, тем ниже фактические затраты на восстановление деятельности организации после реализации риска. Степень детализации планов обеспечения непрерывности бизнеса и восстановления деятельности организации после аварий влияет на возможность быстрой адаптации планов к вновь возникающим рискам или изменившимся условиям ведения бизнеса. Излишне подробный план сложнее скорректировать, а исполнение общего плана труднее контролировать, в результате чего он может оказаться неэффективным. Возможным решением этой проблемы может стать составление плана на уровне контрольных процедур и расшифровка контрольных процедур на уровне положений о функциональных обязанностях сотрудников или отделов. В этом случае события рисков в плане будут соотнесены с результатами контрольных процедур с указанием ответственных за их исполнение.

Важная составляющая эффективности процесса обеспечения непрерывности деятельности организации — регулярный пересмотр планов и приведение их в соответствие с изменяющимися условиями ведения бизнеса. Следует отметить, что чем раньше внедряется процесс обеспечения непрерывности бизнеса, тем дешевле обходится его внедрение и дальнейшая поддержка. Чем меньше организация, тем проще внедрить в ней новые процессы, которые впоследствии по мере ее роста можно будет модифицировать и распространить, к примеру, на вновь создаваемые филиалы и дочерние предприятия. Напротив, внедрение процесса обеспечения непрерывности бизнеса в больших корпорациях с функционально и географически распределенной инфраструктурой значительно расширяет поле деятельности для оценки рисков, в связи с чем более рациональным решением может быть привлечение внешнего консультанта, имеющего опыт разработки и оптимизации процессов в таком масштабе.

ЗАКЛЮЧЕНИЕ

Внедрив процесс обеспечения непрерывности бизнеса, организация приобретает значительные конкурентные преимущества, поскольку тем самым страхует свою деятельность на случай даже катастрофических изменений внешних условий. Однако внедрение этого процесса имеет и другие, менее очевидные плюсы: успех его внедрения может многое сказать об общей зрелости организации, степени интегрированности различных подразделений в структуру организации, дисциплине, о том, что в коллективе царит атмосфера сотрудничества и взаимопонимания. Не являясь предметными областями дисциплины обеспечения непрерывности деятельности организации, данные характеристики организации играют, наверное, даже большую роль, когда речь заходит о необходимости приложить усилия коллектива для преодоления возникших проблем.

  • Рейтинг
  • 6
Оставить комментарий
Добавить комментарий анонимно, введите имя:

Введите код с картинки:
Добавить комментарий как авторизованный посетитель: Войти в систему

Содержание (развернуть содержание)
Особенности взаимодействия учетных институтов в процессе реорганизации ОАО РАО "ЕЭС России"
Процесс реорганизации ОАО РАО "ЕЭС России" зависел от доброй воли регистрирующего реорганизацию налогового органа
Создание, ликвидация, присоединение за 1 день - это реально!
Участие Депозитария Сбербанка России в завершающем этапе реорганизации ОАО РАО "ЕЭС России"
Реорганизация ОАО РАО "ЕЭС России": проблемы участников и пути их решения
Роль ЭДО в процессе реорганизации ОАО РАО "ЕЭС России"
Обеспечение непрерывности деятельности организации
Рейтинг рисков депозитариев Восточной Европы
Риски ликвидности по портфелям фондов облигаций
Инвестирование в ценные бумаги Республики Узбекистан
СДЕЛКИ НА РЫНКЕ НЕГОСУДАРСТВЕННЫХ ОБЛИГАЦИОННЫХ ЗАЙМОВ ЗА ПЕРВОЕ ПОЛУГОДИЕ 2008 ГОДА
Новости НДЦ

  • Статьи в открытом доступе
  • Статьи доступны на платной основе
Актуальные темы    
 Сергей Хестанов
Девальвация — горькое лекарство
Оптимальный курс национальной валюты четко связан со структурой экономики и приоритетами денежно-кредитной политики. Для нынешней российской экономики наиболее логичным (и реалистичным) решением бюджетных проблем является девальвация рубля.
Александр Баранов
Управление рисками НПФов с учетом новых требований Банка России
В III кв. 2016 г. вступили в силу новые требования Банка России по организации системы управления рисками негосударственных пенсионных фондов.
Варвара Артюшенко
Вместе мы — сила
Закон синергии гласит: «Целое больше, нежели сумма отдельных частей».
Сергей Майоров
Применение blockchain для развития биржевых технологий и сервисов
Распространение технологий blockchain и распределенного реестра за первоначальные пределы рынка криптовалют — одна из наиболее дискутируемых тем в современной финансовой индустрии.
Все публикации →
  • Rambler's Top100