ББК 65.291.21
О.В. Кожевина
Методические аспекты управления непрерывностью бизнеса в компании
O. V. Kozhevina
Methodical Aspects of Business Continuality Management
Рассматриваются сущность, специфика и процесс управления непрерывностью бизнеса в организации. Данная проблема актуальна, потому что в условиях рынка любая компания должна сохранять конкурентоспособность и устойчивость. В настоящее время обеспечение непрерывности бизнеса является одним из важнейших направлений стратегического и оперативного менеджмента. На основе системного подхода к исследованию данной проблемы сформированы основные принципы управления непрерывностью бизнеса, разработан алгоритм распознавания рисков и формирования превентивных мер, обеспечивающих минимизацию рисков за счет внутренних ресурсов и внешних источников.
Ключевые слова: управление организацией, процесс управления непрерывностью бизнеса, алгоритм управления непрерывностью бизнеса, группы кризисного управления, распознавание рисков компании.
The article considers the essence, specificity and process of Business Continuality Management in organization. The given problem is urgent, because in market conditions any company must keep competitiveness and stability. Now maintenance of Business Continuality Management is one of the major directions in strategic and operative management. On the basis of the system approach to study on the given problem the author formulates the basic principles of Business Continuality Management and develops the algorithm to recognize risks and to make warning measures ensuring risk’s minimization at the expense of internal resources and external sources.
Key words: management of organization, Business Continuality Management, process of Business Continuality Management, algorithm of Business Continuality Management, crisis management groups, risk recognition.
Вопросам управления непрерывностью бизнеса сегодня придается важное значение, особенно актуально это для коммерческих организаций, поскольку даже в весьма успешной компании могут случиться непредвиденные обстоятельства. Готовность организации к возможному варианту развития событий, пусть даже маловероятному, свидетельствует о том, насколько ее руководство заботится о безопасности бизнеса, интересах заинтересованных сторон компании, корпоративной социальной ответственности (КСО). На первый взгляд, возникновение нештатной ситуации (разной по силе и глубине проявления) или сразу нескольких подобных проблем расценивается как драматический оборот событий, однако это не должно парализовать деятельность бизнеса, организации в целом. Для этого необходимо знать, каким образом правильно применять технологию Non-stop управления (управления непрерывностью бизнеса - Business Continuality Management - BCM) (см. рис.) [1].
Такие новые термины управленческой деятельности, как «анализ воздействия на бизнес» (Business Impact Analysis, BIA), «планирование непрерывности бизнеса» (Business Continuity Planning, BCP) и «планирование восстановления» (Disaster Recovery
Planning, DRP), появились сравнительно недавно и сегодня вызывают постоянный интерес у топ-менеджеров отечественных компаний. В настоящее время обеспечение непрерывности бизнеса является одним из важнейших направлений стратегического и оперативного менеджмента. Актуальность обеспечения непрерывности бизнеса обусловлена возможностью сохранения (повышения) устойчивости и стабильности функционирования корпоративной информационной системы и компании в целом в условиях неблагоприятного воздействия внешних и внутренних факторов.
Периодически перед каждой бизнес-организацией возникают следующие ключевые вопросы:
• Какова вероятность возникновения инцидента (нештатной ситуации)?
• Каковы будут негативные последствия?
• Как их минимизировать?
• Как продолжать бизнес во время и после инцидента?
• Каковы приоритеты и временные рамки восстановления?
• Что, как, когда и кому необходимо сделать и делать?
Процесс управления непрерывностью бизнеса
• Какие бизнес-приложения и процессы требуют ежедневной круглосуточной готовности?
• Какие наиболее вероятные разрушительные воздействия для каждой бизнес-единицы компании существуют?
• Какими решениями можно будет воспользоваться в чрезвычайных ситуациях?
• Какие решения по предупреждению и восстановлению бизнеса компании наиболее рентабельны?
Ответы на эти вопросы формируются посредством управления решением проблемы, например, через «метод 8D для командного решения проблем» [2]:
D0 - подготовка к процессу 8D;
D1 - создание команды;
D2 - описание проблемы;
D3 - разработка временных мер по изоляции проблемы от внешних (внутренних) потребителей до момента внедрения корректирующих действий;
D4 - определение и верификация основных причин и точки выхода (точка выхода - это то место в процессе, где надо обнаружить и ограничить влияние основной причины);
D5 - выбор и верификация постоянных корректирующих действий для основной причины и точки выхода;
D6 - внедрение и валидизация (укрепление) постоянных корректирующих действий;
D7 - предотвращение повторного появления проблемы;
D8 - признание вклада команды и отдельных людей.
«Управление непрерывностью бизнеса» - это один из зарубежных подходов к управлению рисками и кризисами, который и позволяет дать ответы на указанные выше вопросы. Данная технология помогает не столько предупредить, сколько локализовать и минимизировать последствия кризиса, особенно кризиса управления. «Менеджмент должен осознавать всю проблемность современного мира и быть готовым к тому, чтобы обеспечить нормальное функционирование компании в любой возможной ситуации» [3]. Деятельность деловой организации, тем более крупной, социально и экономически значимой для региона, подвержена широкому спектру рисков: политическому, криминальному, природно-экологическому, финансовому и пр. В дополнение к этому перечню специфическим риском является недееспособность руководителя, который проявляется, когда руководитель лишается возможности принимать взвешенные решения, актуальные текущей ситуации.
Основными принципами управления непрерывностью бизнеса являются:
1) эффективность использования ресурсов;
2) надежность поддержки бизнес-процессов;
3) гибкость;
4) оперативность;
5) масштабность.
Работа в рамках «non-stop управления» делится на три этапа.
На начальном этапе проводится:
1) распознавание рисков компании и моделирование угрозы бизнесу;
2) экономический анализ влияния этих рисков на бизнес-компании;
3) превентивные меры, обеспечивающие минимизацию рисков доступными средствами.
Первоочередная задача non-stop подхода заключается в сохранении управляемости организацией за счет доступа ко всем рычагам управления, каналам информации, к офису и персоналу. Вторая задача -в максимальной поддержке самоорганизации объекта управления без привлечения внешних агентов (фирм, лиц, организаций). На «крайний» случай в организации должен быть разработан план (с ограниченным кругом доступа), в котором будет предусмотрено перераспределение полномочий между ответственными лицами по принятию решений, координированию, регулированию и контролю. Это позволит переменам в руководстве не отразиться на деятельности организации и целостности ее активов. Целесообразно иметь в виду при разработке плана непрерывности, что при слишком высокой степени его детализации возникают трудности с его поддержкой, внесение изменений в план не будет поспевать за изменениями в бизнесе и технологиях, что в конечном итоге может привести к тому, что план не будет соответствовать бизнесу.
Далее происходит формирование «группы кризисного управления» («группы быстрого реагирования»). В нее обычно входят пять-семь менеджеров высшего звена, которые разрабатывают детальный план-программу по локализации и снижению каждого вида риска. К разработке плана могут привлекаться специализированные фирмы, специалисты, эксперты (полностью или частично). Например, в разделе плана, связанном с директором (администрацией), пофамильно указываются управленцы и называются позиции, которые они займут в случае изменения состава и структуры управления. Отдельный пункт плана - инструкция его хранения. По классической схеме документ должен находиться сразу в трех надежных местах. Прежде всего - в офисе (как правило, в сейфе кабинета руководителя). Каждому из членов группы реагирования следует также иметь копию плана в легкодоступном месте, но не в офисе (с обязательной защищенностью от несанкционированного доступа). Последнее, дополнительное, место хранения может быть в банковской ячейке.
Составленный план быстро устаревает - это неизбежно при изменениях в деловом окружении и кадровом составе команды. Периодически нужны кор рективы, а также тренинги по отработке плана для всех
участников кризисной ситуации. Импровизированные тренинги-тесты позволяют понять, как работает план, насколько точны, оперативны и слажены действия членов группы быстрого реагирования.
Заключительный этап - реакция. При возникновении чрезвычайной ситуации задача группы заключается в том, чтобы определить, какой из планов (либо их комбинацию) целесообразно взять для практического применения, а далее - неукоснительно следовать каждому из прописанных в нем пунктов. План дает ответы на большинство актуальных вопросов: что и как необходимо сделать для сохранности активов и ключевых операционных элементов бизнеса; кто и как должен работать с персоналом компании по его мобилизации; кто будет осуществлять взаимодействие с партнерами, акционерами, СМИ. Все члены организации должны знать, что и почему происходит. Незнание приведет к панике и домыслам, что непременно скажется на снижении управляемости организацией, а в худшем случае, приведет за несколько дней бизнес к разрушению. О каком бы форс-мажорном обстоятельстве ни шла речь, контроль над ситуацией должен быть установлен за считанные минуты, максимум - часы. Затем в пределах трех дней происходит восстановление коммуникаций и информирование сотрудников, после чего в компании начинается кропотливая работа по выходу на прежний уровень бизнеса, т.е. трансформация нештатной ситуации в штатную. Как правило, для восстановления бизнеса в этом случае требуется несколько месяцев.
Таким образом, управление непрерывностью бизнеса - это процессы, методы и техника, направленные на обеспечение непрерывного функционирования критичных бизнес-функций [4; 5].
В свою очередь, планирование непрерывности бизнеса (Business Continuity Planning - BCP) - многогранная деятельность, направленная на снижение рисков прерывания бизнеса, сокращение негативных последствий таких сбоев, восстановление бизнеса до приемлемого уровня в определенной последовательности и установленные сроки (начиная с момента прерывания).
Вопросы обеспечения непрерывности бизнеса являются одними из ключевых основ области информационной безопасности, что непосредственно отражено в разделе 11 международного стандарта ISO 17799 - по управлению информационной безопасностью (Code of practice for information security management):
11.1. Аспекты управления непрерывностью бизнеса.
11.1.1. Процесс управления непрерывностью бизнеса.
11.1.2. Непрерывность бизнеса и анализ влияния.
11.1.3. Разработка и внедрение планов непрерывности.
11.1.4. Компоненты планирования непрерывности бизнеса.
11.1.5. Тестирование, поддержка и переоценка планов непрерывности бизнеса
11.1.5.1. Тестирование планов.
11.1.5.2. Поддержка и переоценка планов. Планирование непрерывности бизнеса может
только начинаться, но не заканчиваться. Кроме того, планирование непрерывности - это одно из конкурентных преимуществ в бизнесе. Поскольку планирование непрерывности бизнеса (разрабатываемое для всей компании) охватывает широкий спектр деятельности организации, то проект разработки плана поможет лучше понять внутренние и внешние процессы деятельности организации, их взаимодействие, выявить и определить наиболее критичные звенья, определить их приоритеты, время, ресурсы и стоимость восстановления до минимально приемлемого уровня. Не менее существенным аспектом становится тот факт, что компания уже сама с начала проекта начинает задумываться о возможных прерываниях и получает соответствующий опыт до того, как случится инцидент. Каждая компания должна сама определить некоторый идеальный баланс между внутренними и внешними составляющими планирования непрерывности бизнеса. Для этого необходимо учесть ряд параметров выбора - возможные риски, оценки эффективности и стоимости предлагаемых решений, а также ответить на вопросы: какие наиболее вероятные разрушительные воздействия для каждой бизнес-единицы; какими решениями можно будет воспользоваться в чрезвычайных ситуациях; какие решения по предупреждению и восстановлению бизнеса компании наиболее рентабельны; какие бизнес-приложения и процессы требуют ежедневной круглосуточной готовности?
Менеджерам процесс обеспечения непрерывности выгоден тем, что повышает управляемость организации, сотрудникам - обеспечивает надежность и уве-
ренность в будущем, поскольку снижается вероятность внезапного исчезновения компании-работодателя. Однако следует отметить еще и то, что преимущества получает не только сама организация. При наличии этого процесса в компании ее клиенты и партнеры приобретают уверенность в том, что продукты или услуги будут получены ими в срок, вне зависимости от обстоятельств. Это становится важным конкурентным преимуществом на современном рынке. Еще одним преимуществом является то, что страховые компании будут назначать цену страхования бизнеса в зависимости от того, есть ли в организации планы аварийного восстановления или нет. Подобная практика широко распространена на Западе и, без сомнения, в скором времени начнет применяться и в России [6].
При внедрении плана управления непрерывностью бизнеса компания получает следующие конкурентные преимущества: а) быстрое и эффективное восстановление бизнеса после прерываний/сбоев;
б) минимальные финансовые убытки, связанные с такими прерываниями/сбоями; в) удовлетворение требований клиентов, акционеров, руководства, аудиторов и других заинтересованных структур;
г) поддержание имиджа и репутации компании;
д) защита доли рынка.
Обеспечение бесперебойной работы - серьезная проблема, требующая разрешения в каждой организации, а управление непрерывностью бизнеса является ключевым элементом системы управления организации, вне зависимости от ее типа и масштаба. Способность организации поддерживать свои критичные операции в процессе и по завершении инцидента, так же как и скорость полного восстановления работоспособности, может стать основным фактором в решении задачи целесообразности продолжения существования бизнеса организации.
Библиографический список
1. Кожевина О.В. Управление развитием организации. -Барнаул, 2008.
2. Кравченко К.А. Организационное проектирование и управление развитием крупных компаний: методология и опыт проектирования систем управления. - М., 2006.
3. Карасюк Е.П. План SOS // Секрет фирмы: технологии успешного бизнеса. - 2005. - №13 (100).
4. Административно-управленческий портал [Электронный ресурс]. - иКЪ: www.aup.ru.
5. Управление непрерывностью бизнеса в России [Электронный ресурс]. - иКЪ: www.bpc.ru.
6. Мусатов К. Непрерывность бизнеса: подходы и решения [Электронный ресурс]. - иКЪ: www.jetinfo.ru.