Бизнес план и непрерывность бизнеса

14.02.2021
0
ГлавнаяБизнес планБизнес план и непрерывность бизнеса
Бизнес план и непрерывность бизнеса thumbnail
Бизнес план и непрерывность бизнеса

План по обеспечению непрерывности бизнеса — сегодня один из обязательных документов в корпоративном управлении. Заранее продуманный перечень действий в условиях кризиса помог многим компаниям избежать операционного коллапса в период первой волны пандемии COVID-19. Если в вашей организации такого документа еще нет, то сейчас самое время его составить. Или пересмотреть. О том, какие элементы должны обязательно войти в план по обеспечению непрерывности бизнеса и на что обратить внимание при его подготовке, рассказывает наш постоянный эксперт Наталья Виноградова.

Одна из главных проблем во время любого кризиса — растерянность и чувство беспомощности, возникающие на всех уровнях организации и мешающие вовремя предпринять необходимые действия. Решить ее — основная задача плана по обеспечению непрерывности бизнеса, или BCP (Business Continuity Plan). Такой план позволяет заранее согласовать и отработать основные антикризисные шаги, поддержать работу компании и быстро возобновить ее в случае любых сбоев. Фактически это свод правил, которым должна следовать вся компания, чтобы обеспечить непрерывность бизнес-процессов и поддержки клиентов, а также сохранить свои активы.

Кроме того, BCP — это возможность для руководителя сконцентрироваться на бизнесе и определить, чему во время кризиса стоит уделить первоочередное внимание («обязательно должно быть»), а что важно, но не в первую очередь («было бы хорошо…»).

Возможные типы рисков

Ваша стратегия будет отличаться в зависимости от того, чем вызван кризис в бизнесе. Можно выделить три основных типа рисков (потерь).

  1. Утрата офиса или производственного помещения — например, когда из-за природных катаклизмов или пожара невозможна работа офиса, производства или склада.
  2. Инфраструктурные потери — когда сбой энергоснабжения, компьютерный вирус или любая другая чрезвычайная ситуация нарушила работу критически важных систем: бухгалтерии, IТ-систем и т. п.
  3. Человеческие потери — какое-либо бедствие (опять-таки глобальная пандемия) лишает ваш персонал возможности выполнять часть функций или участвовать в некоторых процессах.

На случай утраты офиса в плане должны быть прописаны варианты перевода сотрудников на удаленную работу — на дому или на любой другой площадке (например, в коворкинге). При инфраструктурных проблемах, как правило, есть возможность найти альтернативные технические решения для восстановления нормальной работы или поддержать самые критические процессы вручную. Ситуация, когда вы остаетесь без человеческих ресурсов, наиболее сложна, поскольку придется подтягивать новые кадры и заниматься их обучением.

Итак, кризис случился. Что делать?

Три вещи, на которые стоит обратить максимальное внимание, таковы.

Информация и безопасность. Первоочередная задача — обеспечить безопасность организации в целом и сотрудников в частности, а также проинформировать всех о принятых мерах. Обеспечьте закупку средств индивидуальной защиты, позаботьтесь о безопасности рабочих мест, пропишите правила безопасности, которые должен соблюдать персонал. Держите всех в курсе происходящего, чтобы минимизировать слухи, панику и общую тревожность. В случае необходимости откройте горячую линию.

Организация. Многие предприятия в кризис отправляют людей в неоплачиваемые отпуска, сокращают штат и/или заработную плату или начинают работать вне офиса. Составьте план, как поддержать вашу организацию в работоспособном состоянии, невзирая на ограничения, и сфокусировать ее на самых критических процессах. Контроль за соблюдением трудового законодательства в сложившейся ситуации чрезвычайно важен и потребует дополнительной работы от кадровиков.

Финансовые вопросы. Для выживания в кризисе необходим устойчивый денежный поток. В условиях быстрого снижения доходов крайне важно ужесточить контроль за расходами и движением средств. Даже у тех предприятий, которые сами чувствуют себя неплохо, могут быть партнеры, на работу которых негативно повлияет кризис, а это может вызвать эффект домино.

Что работает, когда сталкиваешься с кризисом

— Оперативность и гибкость — это новая норма. Скорее всего, вы не сможете предугадать ни продолжительность, ни масштабы кризисной ситуации. Меры, которые вы предусмотрели в изначальных антикризисных планах, могут оказаться недостаточными, или они потребуют срочной корректировки.

— Понимание и оценка всего спектра рисков: как на вас может повлиять кризис, каковы будут приоритеты и план действий? Что еще может произойти? Могут ли прерваться поставки? Возможны ли проблемы с коллективом? Повлияют ли новые условия на работу IТ-систем?

— Коммуникация — от руководителей до рядовых сотрудников. Общайтесь часто, действуйте решительно, посвящайте людей в свое видение краткосрочных и долгосрочных последствий.

— Контроль денежных потоков — приоритетная задача. Тщательное планирование производственных запасов и кредитных лимитов, заблаговременное обращение к банкам, поставщикам и клиентам помогут смягчить удар кризиса и избежать наихудших последствий.

— Перенимайте чужой опыт — используйте уже опробованные на практике методики и отработанные сценарии действий при аналогичных инцидентах на похожих предприятиях. Не стесняйтесь пользоваться готовыми решениями!

— Поддержка основных долгосрочных партнеров, сохранение цепочек поставок. Каждая организация думает в первую очередь об обеспечении собственной физической и финансовой безопасности, но почти так же важно поддерживать ваших основных поставщиков и клиентов. Поделитесь с ними своими планами, узнайте больше об их положении и планах. Смогут ли они принять ваши новые требования? Будете ли вы соответствовать их требованиям?

— Продолжайте отслеживать ситуацию и корректировать планы. Кризисы и бизнес-риски — дело непредсказуемое; будьте готовы менять план действий в соответствии с обстоятельствами.

Подход к созданию (обновлению) стратегии непрерывности бизнеса

1. Создайте рабочую группу по обеспечению непрерывности бизнеса (антикризисный штаб), возьмите на себя руководство процессом. Добейтесь вовлечения в процесс ключевых лиц. Назначьте ответственных, например за снабжение, финансовое обеспечение, решение технических вопросов.

2. Оцените риски, с которыми может столкнуться ваш бизнес.

3. Разработайте план коммуникаций. Кто первым уведомит организацию о начале реализации антикризисного плана, кто запустит обзвон или рассылку? Что будет в этих сообщениях?

4. Определите критические виды деятельности, а также ресурсы, площадки или системы, которые наиболее важны для вашего бизнеса (или необходимы для поддержания его деятельности) в течение всего кризисного периода.

5. Для каждого из критических видов деятельности установите соответствующие сроки: сколько вы протянете в их отсутствие, прежде чем это повлияет на ваш бизнес и его устойчивость или на предоставление услуг вашему ключевому клиенту? В идеале нужно оценить потенциальные потери на случай, если негативные процессы будут усугубляться в течение дня / нескольких дней / недели и т. д. Эти показатели помогут расставить приоритеты: какой из критических видов деятельности потребует разработки отдельного «плана спасения».

6. Определите, с кем взаимодействуют ваши партнеры (их поставщики, банки-партнеры и т. д.), какие риски для них критичны, каков целевой срок восстановления? Может ли их стратегия повлиять на ваши ключевые виды деятельности?

7. Для каждого критического вида деятельности:

— определите важнейшие инструменты и информацию. Это может быть, например, график налоговых платежей или данные об альтернативных поставщиках. В этот список будут входить безопасный доступ к вашей бухгалтерской системе и счету компании, безопасное интернет-соединение при работе из дома; ноутбуки и т. д.;

— обеспечьте наличие и актуальность всей необходимой документации. Это особенно важно в случае человеческих потерь и привлечения альтернативных ресурсов;

— разработайте и задокументируйте резервный план для каждого типа рисков с учетом ключевых партнеров (например, банков или сторонних обслуживающих организаций);

— протестируйте план действий и оцените его успешность против установленного критерия (например, налоговые отчеты сдаются вовремя и без ошибок):

  • разберите план со всеми участниками процесса;
  • проведите тестирование плана, чтобы проверить, что все участники понимают свои роли и задачи и готовы к ним;
  • устройте неожиданную проверку плана, о которой будут знать заранее лишь несколько человек;
  • зафиксируйте результат и посмотрите, удалось ли сработать эффективно и достичь установленных вами показателей.

Если нет или не устраивает результат, скорректируйте план. Устраивайте такие испытания ежегодно.

Источник

Владимир Безмалый

Как показывает опыт, во многих организациях сегодня отсутствует план непрерывности бизнеса, либо в нем не учтены многие из вопросов, которые сегодня все чаще задает жизнь. Многие со мной не согласятся, но это факт!

Согласно аналитическому исследованию «Непрерывность бизнеса в России», проведенному в марте 2019 года компанией PWC, компании, развивая свои процессы, не планируют проводить сертификацию на соответствие требованиям международного стандарта ISO 22301 «Система управления непрерывностью бизнеса». Только 20% заявили о наличии соответствующих планов.

Что такое план непрерывности бизнеса?

План непрерывности бизнеса (Business Continuity Plan — BCP) – набор документов, позволяющих создать план непрерывности бизнеса вашей компании при возникновении различных происшествий и инцидентов. Результат – достижение такого состояния, при котором не происходит прерывания деятельности в случае наступления события «Ч» работоспособности информационных систем или их компонент в конечные временные рамки.

Выделяют основные составляющие данного процесса:

  1. Управление инцидентами ( Incident Management ) . Это оперативный уровень. На данном уровне рассматривается комплекс управления внутренними и внешними происшествиями высокой и средней вероятности возникновения, например, мошенничество, человеческий фактор, сбой в работе оборудования. Задача управления инцидентами – восстановление минимального функционала в минимальный срок; а еще — своевременная идентификация и классификация инцидента.
  2. Управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Это тактический уровень. Фактически на данном уровне рассматриваем процессы, определяем приоритеты, оцениваем потенциальный ущерб и меры его предотвращения. Несмотря на небольшую вероятность, ущерб может оказаться значительным, вплоть до банкротства.
  3. Управление чрезвычайными (кризисными) ситуациями (Crisis & emergency management) – на данном уровне рассматривается как задействовать планы во время кризиса, и оперативно принимать решения до окончания критической ситуации.
  4. Восстановление бизнеса ( Business recovery ). Возвращение к нормальному функционированию, выполнение задач, отложенных во время кризиса. Компенсация потерь, анализ произошедшего, меры по предотвращению

Результат опроса показывает, что как минимум 40% компаний столкнулись в своей деятельности со значительным инцидентом. Среди причин длительного простоя респонденты в основном отметили сбой в информационной системе, прекращение подачи электроэнергии, обрыв канала связи.

% Причина 22% Сбой в информационной системе 14% Прекращение подачи электроэнергии 9% Обрыв канала связи 6% Сбой со стороны третьих сторон (подрядчики, поставщики и т. д.) 6% Хакерская атака 3% Аварийные ситуации с оборудованием 3% Аномальные погодные условия 1.5% Ложные сигналы о минировании офисов 1.5% Ошибки персонала 1.5% Пожар

Цели и задачи плана BCP

Основными целями BCP являются:

  1. поддержание способности компании выполнять принятые на себя обязательства перед клиентами и партнерами, предупреждение и предотвращение возможного нарушения режима повседневного функционирования компании;
  2. обеспечение соответствия всех механизмов BCP требованиям государственных органов, а также требованиям нормативно-правовых актов и принятым в компании политикам, процедурам и планам;
  3. снижение тяжести последствий нарушения режима повседневного функционирования компании (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
  4. сохранение уровня управления компании, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
  5. обеспечение благоприятных условий труда и безопасности работников, безопасности посетителей, находящихся в помещениях компании;
  6. определение перечня критичных процессов компании и перечня сценариев негативного развития событий, способных привести к остановке бизнес-процессов;
  7. обеспечение непрерывности деятельности критичных бизнес-процессов за счет определения, внедрения и документирования механизмов контроля.

Кроме того, в компании могут устанавливаться дополнительные требования, процедуры, регламенты BCP. Они могут быть более детализированы, предусматривать дополнительные ограничения.

План непрерывности бизнеса включает в себя:

  1. определение областей, в рамках которых организация может быть подвержена рискам непрерывности;
  2. определение рисков, которые могут повлиять на функционирование организации;
  3. рассмотрение и анализ риска возникновения природных, техногенных катастроф, равно, как и других непредвиденных обстоятельств, применимых к офисам местонахождения компании;
  4. рассмотрение рисков, реализация которых наносит существенный ущерб материальным и нематериальным активам компании;
  5. анализ факторов, влияющих на вероятность наступления чрезвычайной ситуации (ЧС);
  6. анализ степени влияния ЧС на:работников;
    инфраструктуру;
    информационные активы.

С целью обеспечения полноценного анализа факторов влияния, анализ должен проводиться для каждого бизнес-процесса во всех структурных подразделениях.

К задачам обеспечения нормальной деятельности в условиях ЧС относятся:

  1. определение перечня процессов и операций, подлежащих дополнительной защите;
  2. обеспечение создания на ежедневной основе резервных копий информации;
  3. разработка и доведение до сведения работников компании плана мероприятий на случай возникновения ЧС, а также проведение периодического обучения работников по вопросам их действий в условиях ЧС;
  4. доведение до сведения всех партнеров информацию о порядке действий в случае возникновения ЧС.

Вместе с тем я ни разу не видел включение в такие планы таких событий как массовые беспорядки, эпидемии с возможностью заключения в карантин целых городов, а, возможно, и областей.

Если еще 10 лет назад такие события считались маловероятными, то сегодня нет. Стоит вспомнить события 2014 года в Донбассе или эпидемию COVID 19 2019-2020 года, распространившуюся по всему миру.

Эпидемия (коронавирус) и ИБ.

Угрозы включают:

  1. влияние на доступность ресурса «ЧЕЛОВЕК»;
  2. деградация (вплоть до краха) инфраструктуры и СЗИ в связи с попытками их трансформации для удаленного доступа и других мероприятий в режиме паники;
  3. запрет массовых мероприятий (для компаний-организаторов мероприятий это может означать банкротство);
  4. Командировки (сотрудники не могут вернуться из зон карантина либо, наоборот, не могут не могут въехать в страну, которая закрыла свои границы в связи с режимом чрезвычайной ситуации. Это может нести дополнительные расходы.
  5. Угрозы туристическим и транспортным компаниям в данной статье не рассматриваются.

Основным решением в данном случае является работа с помощью удаленного доступа и здесь возникает сразу несколько вопросов:

  1. Есть ли у вас инструменты удаленной работы, настроены ли и отлажены ли они?
  2. Знаете ли вы, есть ли компьютерное оборудование у ваших сотрудников дома?
  3. Какое это оборудование?
  4. Разрешат ли ваши сотрудники установку дополнительного программного обеспечения для работы из дома?
  5. Удовлетворяют ли их компьютеры требованиям информационной безопасности и лицензионной чистоты?
  6. Как быть с тем, что на персональном компьютере сотрудника есть и его домашняя информация и корпоративная? Как отследить утечки?

Как видите, вопросов масса. Но подготовиться заранее вы просто обязаны. Что посоветовать?

  1. Заранее провести опрос и определить готовность сотрудников к работе из дома.
  2. Определить готовность аппаратных средств к работе.
  1. Там, где компьютеры поддерживают Windows 10, заранее подготовить флешки (внешние SSD) с Windows To Go и возможностью подключения по USB 3.0. Подробнее этот процесс описан в журнале CIS (Выпуск #4 (10) 2019) https://cismag.ru/ . Статья «Работаем из дома?».
  2. Для других ОС решение будет, безусловно, иным. Основная задача, подготовить ОС на сменном носителе таким образом, чтобы фактически домашний компьютер не имел доступа к своему жесткому диску, а работал как удаленный терминал.
  3. Возможно и другое решение на базе Citrix. Достаточно подключиться к терминальным сервисам и с помощью политик заблокировать доступ к локальным устройствам и проброс их в сессию. В частности, дополнительное решение App Protections это анти-кейлоггер и анти-скринграббер для клиентского рабочего места при установке на него клиентского ПО Citrix. Правда для такого решения необходимо чтобы сотрудник согласился на установку на его домашнем ПК дополнительного ПО. А соглашаются, увы, далеко не все.

Правда стоит отметить, что сделать это нужно заранее , тем более что введение карантина может быть внезапным.

Однако кроме карантина у нас есть масса других вопросов.

Электропитание

Итак, на вашем предприятии предусмотрены действия при отключении электропитания. Попробуйте ответить себе на следующие вопросы:

  1. Как давно вы проверяли свои источники питания (имеются в виду не только ваши ИБП, а и дизель-генераторы, вводы электропитания, возможность автоматического переключения между источниками)?
  2. Существует ли у вас график их проверки?
  3. Ваша компания имеет два входа по электропитанию? С двух питающих ТП?
  4. Есть ли у вас дизель-генератор?

Итак, у вас все есть. И формально все хорошо. А фактически? В моей практике было несколько очень неприятных случаев.

  1. На заводе было заведено две линии электроэнергии. Однако при попытке автоматического переключения переключение не удалось. При более тщательной проверке выяснилось, что две линии подачи электроэнергии подавали электричество в противофазе, в результате автоматическое переключение не срабатывало. Если спросить, является ли это проблемой ИТ? Нет, конечно. Но заодно выяснилось, что за все время такого подключения, а это более 10 лет, никто ни разу этого не проверял.
  2. Второй случай был куда хуже. Если в первом через месяц все же удалось «победить», то во втором победить не удалось, пришлось искать другую подстанцию. Проблема была в том, что подаваемое электричество было различным по частоте. Как и почему? Ответить я не смогу. Одна линия была с частотой 49.5 Гц, а вторая 49.8 Гц. Естественно переключение невозможно. Однако самым страшным был случай третий.
  3. Внезапное отключение электричества сразу на двух входящих линиях потребовало включения резервного дизель-генератора. К несчастью, оказалось, что это невозможно, так как уже два года как уволен дизелист по сокращению штатов, в генераторе нет дизтоплива и вообще, его два года никто не включал.

Ну и как это назвать? Естественно, никакого графика проверки источников питания не было. Более того, никто и никогда не поднимал этот вопрос.

Восстановление после аварии

В компании произошло ЧП, атака шифровальщика. В ночное время. Ситуация типичная? Вполне.

НО! В компании один системный администратор и тот болеет. Как быть? Не знаю.

Хорошо, администратор не один. И тут возникают вопросы:

  1. Знает ли охранник кого вызывать?
  2. Есть ли у него номера телефонов кого вызывать?
  3. Есть ли журнал, в который он должен записать:Время аварии
    Кто заявил про аварию?
    Кто принял заявку?
    Кого вызвали?
  4. Кто заплатит за такси? Вопрос не праздный. Сотрудник не должен сам оплачивать. В идеале должен быть договор со службой такси, а оплата проводится компанией по факту.
  5. Увы, но, как правило, первым всегда приезжает наименее подготовленный сотрудник. Более того, ведь мы не в армии, следовательно, более подготовленный может и не приехать вообще (болезнь, ночует не дома, не может приехать и т.д.). Существует ли инструкция по восстановлению после аварии, причем написанная в виде комикса. Сотрудник не должен задумываться что ему делать. Увы, но в данном случае автоматические действия гарантируют меньшее количество ошибок.
  6. Должен сказать, что чаще всего подобной инструкции просто нет!

Каналы связи

Я надеюсь, в вашей компании минимум два канала связи от двух провайдеров? Как давно проводились учения по переключению? А то не было бы как в одной компании из моей практики. Компания относится к агропромышленному сектору и находится в сельской местности. Однажды у них пропадает интернет по вполне банальной причине. Сельский тракторист копает яму и банально рвет кабель. Тут же идет команда – переключаемся. Однако все хорошо только на бумаге. В сво время с целью экономии оба кабеля от обоих провайдеров уложили под землю … в одной трубе! Вывод? Порвали оба!

Другая история была куда интереснее. Было два кабеля, к двум провайдерам, как положено. Но проблемой оказалось, что они оба были подключены к одному и тому же провайдеру более верхнего уровня и в результате разорвали именно связь между ними и верхним провайдером! При подключении компании этого никто не проверял!

И последнее.

Как давно у вас в компании проводились «действия по тревоге»? А ведь эти операции должны проводиться регулярно, в разное время суток. Безусловно, мы не в армии и не стоит уподобляться нашему командиру полка, проводившему подобные тревоги на следующее утро после зарплаты. Но люди должны понимать, что вызвать их могут в любое время. Естественно, и платить такой тревожной группе нужно дополнительно.

А как давно вы поводили у себя в компании подобные учения и проводили ли вообще?

Другими причинами аварийных ситуаций могут быть:

  1. действия правоохранительных органов (маски-шоу);
  2. действия Роскомнадзора и администраций облачных сервисов;
  3. борьба между собственниками организации (собственниками сервис-провайдера).

Снизить расходы на собственную инфраструктуру, на мой взгляд, позволяет:

  1. размещение оборудования в публичных дата центрах (colocation);
  2. использование облачных сервисов.

Необходимо признать, правда, что в таком случае узким местом является наличие устойчивых каналов Интернет. Вполне возможно, что их потребуется не два, а больше. И тестировать придется их всех и регулярно!

Увы, даже наличие резервных копий с восстановлением в течение рабочего дня может привести к краху финансовой организации.

Сегодня не редкость ситуация когда в банк с численностью персонала (и компьютеров) 60 человек приходят 30 аудиторов (реальная ситуация) с требованием разместить их, выдать компьютеры, подключить их к инф. системам в течение 24 часов. Это ли не аварийная ситуация?

Вместе с тем хотелось бы, чтобы вы понимали, что далеко не все события, описываемые в Плане непрерывности бизнеса будут относиться к информационной безопасности. Но тем не менее, служба ИБ должна подключаться к составлению плана наравне с другими.

Безусловно, это не единственный вопрос. Но начинать с чего-то надо!

Заключение

Как видите, планы восстановления вашего бизнеса нуждаются не просто в создании, а и в постоянном пересмотре. Ведь угрозы в окружающем мире меняются на глазах. Более того, созданные вами планы нуждаются в регулярной проверке. Ведь план, написанный на бумаге, но не проверенный – это абсолютно бесполезное мероприятие.

Источник

Предыдущая статья
Бизнес план по открытию интерната
Следующая статья
Как открыть стоянку бизнес план
@ Бизнес с Сергеем Петропаном