План обеспечения непрерывности бизнес процессов

Бизнес в XXI веке немыслим без информационных технологий. Это мощный двигатель экономики, но в то же время и источник рисков. Непрерывность бизнес-процессов «завязана» на бесперебойности работы ИТ-сервисов. Их отказ грозит в лучшем случае простоями и финансовыми потерями, в худшем — катастрофическими последствиями. Какими средствами обеспечивается информационная безопасность и непрерывность бизнеса, читайте в нашем материале.

Составные элементы кризис-менеджмента: BCM, BCP, DRP

Чем больше используются в бизнесе информационные технологии, тем серьезнее он нуждается в обеспечении бесперебойности процессов. Это касается кредитно-финансовых, телекоммуникационных компаний, высокотехнологичных предприятий непрерывного производственного цикла, например атомных электростанций. Продуманная система кризис-менеджмента востребована в ритейле, электронной коммерции, государственном секторе — словом, практически везде, где критически важна непрерывность деловой активности.

Для ряда отраслей существуют специальные регламенты в отношении непрерывности бизнеса, которые должны соблюдаться для лицензирования деятельности.

Степень риска определяется теми последствиями, которыми грозит сбой в работе ИТ-сервисов. Например, для банков даже непродолжительный перерыв в деятельности чреват колоссальными материальными потерями. А если инцидент произойдет в авиакомпании или на предприятии ТЭК? Здесь уже под угрозой не только деньги — опасности подвергаются жизни людей.

Причины возникновения бизнес-рисков различны. Это и природные бедствия (вспомним ледяной дождь в Москве в 2010 году, экономический ущерб от которого для ОАО «МОЭСК» составил порядка 1,3 млрд рублей[1]), и аварии в энергосистемах, не говоря уже о киберпреступлениях (их количество только в России ежегодно возрастает в три–четыре раза)[2]. В связи с многообразием рисков актуальность обеспечения информационной безопасности (ИБ) не вызывает сомнений.

Опрос, проведенный компанией DEAC в 2019 году, продемонстрировал ситуацию относительно рисков непрерывности бизнеса в российской деловой среде. Согласно результатам решения по обеспечению бесперебойности процессов наиболее востребованы в двух сферах — финансовой и информационной. В случае недоступности ИТ-систем 40% опрошенных смогут продолжать работу не более часа, 24% — не более минуты. Максимальную угрозу непрерывности бизнеса несут риски, связанные с информационной безопасностью и изменениями в законодательстве страны. Причем почти половина респондентов считает, что в ближайшее время эти риски будут только расти.

Существуют инструменты кризис-менеджмента, через которые реализуется общая информационная безопасность предприятия. Это специальные технологические дисциплины — BCM (BCP & DRP). Они «вытекают» из системы ИБ, наследуя ее методологию и следующие основные принципы:

анализ рисков появления и влияния чрезвычайных ситуаций на деловые процессы и функции;
контроль и управление инцидентами;
стратегическое и тактическое планирование непрерывности информационно-коммуникационных технологий (ИКТ).

BCM (BCP & DRP) обеспечивают безопасность бизнеса в целом, что обозначено во многих международных, национальных и отраслевых стандартах. В частности, в ISO/IEC 27001, ISO 22301:2012. Первый международный стандарт посвящен вопросам ИБ в общем, второй касается конкретно применения BCM. Соответствие их требованиям следует учитывать при выборе дата-центра для хранения информации. Если же предполагается задействовать собственные ресурсы предприятия, стоит задуматься о внедрении данных стандартов — это станет залогом безопасности данных и непрерывности бизнес-процессов.

Однако рассматриваемые дисциплины не тождественны управлению ИБ, которое является для них лишь основой. Исторически начавшись с банального резервного копирования информации, система BCM постепенно охватила помимо вопросов ИБ практически все аспекты деловой активности, превратившись в целостную структуру взглядов на методы обеспечения непрерывности бизнеса — устойчивости организации к всевозможным сбоям, разрушениям и потерям, в первую очередь — финансовым.

Для справки

BCM (Business Continuity Management) — управление непрерывностью бизнеса.
BCP (Business Continuity Planning) — планирование непрерывности бизнеса.
DRP (Disaster Recovery Planning) — план восстановления после сбоев.

Основные понятия, цели и задачи управления непрерывностью бизнеса

Приоритетные цели и задачи BCM зависят от масштаба и сферы деятельности. Во главу угла ставится управление определенным типом или классом взаимосвязанных инцидентов.

Incident management (IM), или управление инцидентами, охватывает целый комплекс происшествий высокой и средней вероятности возникновения — человеческий фактор, сбой в работе оборудования и прочее. На этом уровне ущерб бизнесу сравнительно невелик. Задачи и цели IM — обеспечить сохранность, доступность, целостность информации, отказоустойчивость оборудования.
Business continuity & disaster recovery management, или управление непрерывностью бизнеса и аварийным восстановлением, нацелено на предотвращение инцидентов, которые могут привести к приостановке работы всей организации или ее важнейших бизнес-процессов. Вероятность их невелика, но ущерб может оказаться внушительным, вплоть до банкротства. По данным исследования, проведенного компанией Veeam Software в 2019 году, ежегодные мировые потери от простоев приложений превышают 20 млн долларов, по России эта цифра немного ниже — 19,8 млн долларов[3].
Crisis & emergency management, или управление чрезвычайными (кризисными) ситуациями, ставит своей задачей предупреждение крайне редких, но катастрофических по последствиям инцидентов. Возможны экологические и гуманитарные катаклизмы, инфраструктурные разрушения в границах целого региона. Например, высокий уровень обеспечения непрерывности деятельности предприятий необходим в ТЭК (разведка, добыча, переработка углеводородов, производство электроэнергии).

На заметку

Ключевым понятием в управлении непрерывностью бизнеса (BCM) выступает «инцидент», под которым понимается любое незапланированное, внезапное происшествие, событие, ведущее к остановке ключевых, критичных процессов и функций, полной потере контроля над оборудованием.

О том, к каким драматическим последствиям для бизнеса может привести недооценка влияния инцидентов на непрерывность, красноречиво свидетельствуют следующие примеры.

12 мая 2017 года компьютеры по всему миру подверглись атаке вируса-вымогателя WannaCry. Он шифровал файлы на устройстве, а для восстановления доступа к ним требовал выкуп, причем неуплата в течение семи дней приводила к необратимой блокировке. Вредоносная программа атаковала более 200 стран, сильнее всего пострадали Россия, Украина, Индия и Тайвань. WannaCry парализовал работу больниц, аэропортов, заводов, банков, правительственных учреждений. Экономические потери от кибератаки составили около 4 млрд долларов[4]. Есть мнение, что в Агентстве Национальной Безопасности США были данные об уязвимости Windows, которые похитили и использовали злоумышленники. Таким образом, при надлежащем уровне предусмотрительности ущерб можно было предотвратить.

Полтора месяца спустя инцидент повторился, но уже с другой вредоносной программой: печально известный вирус Petya действовал аналогичным образом. Самые масштабные потери от него понесли российские и украинские компании[5].

Внедрение и применение программ BCM позволило бы значительно сократить размеры потерь, а возможно, и вовсе избежать катастрофических происшествий. Управление непрерывностью бизнеса — залог сохранности вложенных владельцами и акционерами средств. Если основная площадка дата-центра в результате сбоя или по другой причине временно выйдет из строя, работа будет в кратчайшие сроки продолжена на резервной площадке.

Статистика

По данным The Impact of Catastrophes on Shareholder Value (Rory J. Knight и Deborah J. Pretty), кумулятивный доход сверх нормы (разница между ожидаемой и реальной стоимостью акций) компаний, успешно восстановивших деятельность после крупномасштабной аварии, через год составляет в среднем 10%. В то же время корпорации, не внедрившие BCM, получают те же 10% и даже 15%, но со знаком минус.

Этапы внедрения BCM

Управление непрерывностью бизнеса (BCM) начинается с определения стратегии и планирования. Одновременно используются инструменты риск-менеджмента (Risk Management, RM). Таким образом, внедрение системы BCM в организации означает комплексный и многоэтапный подход, подразумевающий освоение технических и программных средств, регламентацию действий, распределение ответственности, обучение персонала. Осуществить все это силами самой компании, мягко говоря, проблематично. Выход — обратиться за помощью к ИТ-экспертам. Они не только грамотно разработают план мероприятий и подберут оптимальные для компании решения, но и помогут воплотить проект системы в жизнь.

Анализ и оценка рисков

Анализ бизнес-процессов (Business Environment Analysis, BEA). Характер рисков для различных организаций зависит от сферы и масштаба их деятельности. Например, в медицинском учреждении отказ системы учета пациентов не будет критичным, чего нельзя сказать о сбое в работе высокотехнологичного реанимационного оборудования. Отказ приложения для автоматизации совместной деятельности рабочих групп в телекоммуникационной компании, вероятно, к кризису не приведет, но вот сбой в системе биллинга, несомненно, обернется существенными финансовыми потерями. Эти примеры демонстрируют, что в разном бизнесе существуют специфичные точки критичности. Анализ бизнес-процессов позволяет выделить эти точки и ранжировать по степени влияния на непрерывность деловой активности компании.
Анализ рисков (Risk Analysis, RA). Сами риски можно разделить на две группы: зависимые и независимые от ИТ (ИКТ). После того, как были проведены выделение и градация бизнес-процессов по важности влияния на бизнес, из этой иерархии необходимо выделить группу ИТ-зависимых бизнес-процессов. Но что может повлиять на их бесперебойность? Для ответа на этот вопрос следует проверить достаточность и действенность технических и организационных механизмов, направленных на предупреждение прерываний бизнес-процессов, выделить и оценить наиболее уязвимые точки и значимые угрозы. В итоге формируются группы рисков, влияющих на ИТ, разделенные по степени важности.
Оценка воздействия на бизнес (Business Impact Analysis, BIA). На основе полученных данных составляется карта ключевых бизнес-процессов с указанием нарушений, способных привести к убыткам. Далее строится модель, иллюстрирующая связь между этими нарушениями и категориями (масштабами) возможных потерь, которые могут быть зафиксированы как количественно, так и качественно. К группам потерь могут относиться: деловая репутация, рыночная стоимость, уровень операционных издержек, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и так далее.
Для аналитиков крайне важно получить достоверную информацию о бизнесе организации, в особенности финансовую, узнать о текущем положении дел в ИТ-комплексе и планах его развития.
Аналогичным образом следует провести детальный анализ информационных сервисов с привязкой к бизнес-процессам и информационным потокам. Результатом оценки возможного ущерба станет полноценная картина бизнеса, показывающая уровень критичности всех бизнес-процессов в целом, а также отдельных нарушений их функционирования в соотношении с величиной потерь.
Все перечисленные выше задачи решаются в процессе аудита, который проводится аналитиками перед началом сотрудничества. В ходе такой всесторонней оценки четко вырисовываются слабые места в системе информационной безопасности клиента и становятся понятны способы укрепления уязвимых точек.
Расчет экономического эффекта (стоимости простоя бизнес-процессов) предполагает наличие справедливых допущений о вероятности наступления тех или иных инцидентов в рассматриваемый период, что в дальнейшем позволяет выбрать наиболее приемлемую стратегию.
В итоге собственники и руководство компании должны совместно с аналитиками определиться с установлением так называемых тайм-аутов и производительной мощности для отдельных бизнес-процессов на случай чрезвычайной ситуации, а именно:
- Допустимого времени восстановления (Recovery Time Objective, RTO), или интервала вынужденного простоя, который технически может быть сведен к секундам, но из-за дороговизны не всегда оправдывает себя экономически.
- Целевой точки восстановления (Recovery Point Objective, RPO), или временного диапазона перед наступлением ЧС, за который все данные могут быть утрачены. Сегодня он может быть сведен к нулю, так как все зависит от частоты и технологии резервного копирования информации.
- Уровня непрерывности бизнеса (Level of Business Continuity, LBC), или допустимого уровня производительности (доли нагрузки) в чрезвычайных ситуациях в процентах от режима штатной работы.

Планирование

Планирование — это динамический процесс, а не разовая процедура. Следует поддерживать планы в актуальном и «синхронизированном» состоянии. С этой целью их нужно регулярно тестировать, при необходимости дополняя свежими данными.

Определение стратегии непрерывности бизнеса. Она должна затрагивать такие ключевые аспекты, как безопасность сотрудников, обеспечение их рабочими помещениями, техническими средствами и необходимыми материалами, доступ к критически важной информации, беспрепятственные коммуникации с партнерами, клиентами, поставщиками и подрядчиками. Для каждого направления вырабатывается отдельная подстратегия, призванная «указывать дорогу» к скорейшему восстановлению в соответствии с параметрами, определенными на этапах анализа рисков. Обеспечение непрерывности включает три стадии: реагирование на событие, продолжение выполнения критичных для бизнеса процессов в условиях ЧС, восстановление штатной работы.
Выбор организационных и технических решений определяется стратегией BCM. Разрабатываются политики, которые формализуют приоритетные цели и задачи поддержания непрерывности бизнеса, процедуры реагирования и области распространения системы BCM, устанавливаются кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения (проекта) BCM.
Создание технической и организационной систем BCM. В настоящее время все более широкое распространение приобретают «облачные» услуги. Для защиты информации при помощи облака существует решение — DRaaS (Disaster-Recovery-as-a-Service). Его суть состоит в том, чтобы предоставлять в облачных средах корпоративного уровня услугу аварийного восстановления данных. Это позволяет снизить расходы на обеспечение безопасности, одновременно поддерживая ее на уровне принятых в индустрии стандартов. Предусмотрены разные варианты, но все они основаны на резервном копировании ИТ-инфраструктуры или наиболее критичных ее элементов:
1. Резервные копии ИТ-инфраструктуры создаются по расписанию, заданному в соответствии с нужными RTO и RPO, и помещаются в хранилище. Восстановление занимает до нескольких часов. Такая схема подходит для малого бизнеса, где некритична непрерывность, но важны экономия и надежная сохранность данных. Однако комплексную защиту резервное копирование не обеспечивает.
2. Инфраструктура копируется полностью, изменения в непрерывном режиме переносятся в облако, извлечение и восстановление информации происходит за минуты.
3. Запускается резервная облачная инфраструктура, полностью идентичная основной. Обновления в них происходят синхронно. Восстановление возможно за несколько секунд. Решение актуально для крупных финансовых и ИТ-компаний, госсектора — для любых организаций, где нельзя терять ни минуты на простой.
Построение отказоустойчивых ЦОД. В зависимости от потребностей бизнеса может понадобиться построение энергоэффективных отказоустойчивых центров обработки данных (ЦОДов) или их оптимизация. Решение данной задачи возможно за счет реализации комплекса мероприятий по строительству специализированных зданий, организации инженерной, телекоммуникационной и ИТ-инфраструктуры, их автоматизации, сервисного сопровождения подсистем ЦОДов или создания мобильного ЦОДа. Более простой путь — доверить организацию ИТ-инфраструктуры надежному провайдеру.
Разработка планов BCP и DRP. По мере роста бизнеса, а значит — наращивания вычислительных мощностей и усложнения ИТ-систем компании сталкиваются с тем, что вычислительные центры сами по себе становятся фактором угрозы непрерывности деловой активности, «точкой сбоя». Таким образом, необходим план восстановления системы после инцидента (DRP), являющийся составной частью более крупного плана обеспечения непрерывности бизнеса (BCP). Если DRP призван максимально быстро восстановить работоспособность ИТ-систем, поддерживающих и критичные бизнес-процессы, и обычные операции, то BCP должен обеспечить восстановление бизнес-процессов в целом.
Формирование программы сопровождения и эксплуатации систем BCM. Определение мер по обеспечению нормального функционирования системы, периодичности ее проверок, реагирования обслуживающего персонала на возникновение инцидентов.
Встраивание процессов в корпоративную культуру. На этом этапе необходима разработка мер и осведомление персонала о мерах, предпринимаемых в случае возникновения угроз, а также о мерах по устранению последствий внештатной ситуации. От подготовки компетентного персонала будет напрямую зависеть успех планирования восстановления после происшествия.

Эффективность внедрения системы

Об эффективности внедрения ВСМ на предприятии будут свидетельствовать:

Готовность организации к продолжению работы в случае возникновения аварий в ИТ-системах.
Оцененная вероятность простоя (недоступности) информационных систем в случае возникновения внештатной ситуации и возможные убытки.
Прохождение аудита и соответствие требованиям регулирующих органов.

Разумеется, силами самого предприятия обеспечить создание и эффективное внедрение системы — задача практически невыполнимая. Для этого потребуются огромные финансовые, кадровые и временные ресурсы, которые есть далеко не у каждой компании.

Источник

Наталия Беликова, юридический советник, бизнес-обозреватель

Вплоть до последнего времени Business continuity plan считался неким премиальным аксессуаром больших корпораций и транснациональных компаний — стильным, полезным, но не первой необходимости. Средний и малый бизнес в большинстве своем если и знал о такой опции, не видел необходимости тратить на это внутренние ресурсы, либо не обладал экспертизой, чтобы составить такой план самостоятельно, ни тем более бюджетом на привлечение внешних консультантов. Беспрецедентная ситуация всемирной пандемии стала суровым уроком, который продемонстрировал, что план «Б» нужен любому бизнесу, независимо от его размера и отрасли. Маленьким предприятиям он, возможно, необходим даже больше, так как большие корпорации могут рассчитывать на помощь материнских компаний или государства.

Итак, что такое Business continuity plan и как его разработать?

Business continuity plan — это план непрерывности ведения бизнеса, или антикризисный план компании, который регламентирует и описывает ее действия в типовых кризисных ситуациях. Иногда он включает в себя планирование восстановления после сбоев (Disaster recovery planning), иногда последнее разрабатывается как самостоятельный документ (процедура). Для простоты далее будем называть все это BCP.

Первый вопрос: кто должен отвечать за подготовку такого документа? Как правило, BCP пишется, внедряется и совершенствуется старшим офицером по безопасности при непосредственном участии руководителя организации. На этих лиц также возложены задачи по формированию антикризисной команды из числа сотрудников или путем привлечения внешних специалистов. Если у вас в штате такой позиции нет, то логично поручить составление самого документа, например, юридическому отделу, Если юридического отдела у вас тоже нет, то вы можете поручить этот проект любому, на ваш взгляд, компетентному сотруднику. При этом необходимо понимать: кто бы ни был номинально ответственным за проект, пусть даже привлекались внешние консультанты — ответственным лицом за окончательное содержание будет непосредственный руководитель организации.

BCP можно условно разделить на три основных блока:

I. Выявление и анализ рисков

Для того чтобы выявить все потенциальные риски бизнеса, рекомендуется привлечь все его ключевые подразделения. И в проектной команде должны быть руководители всех подразделений. Юристы, финансисты, главный бухгалтер, руководитель логистики и производства (если оно есть), руководитель HR, коммерческий директор, руководитель IT. Только тот человек, который отвечает за соответствующий сегмент, сможет точно назвать, какие сложности могут возникнуть в зоне его ответственности, а также сделать относительно точную оценку их последствий.

Первый шаг — составление списка всех бизнес-процессов компании и информационных систем, поддерживающих их работоспособность. Это позволит точно определить конечный состав проектной команды.

Следующий шаг — анализ потенциальных угроз, направленных на бизнес-процессы компании. Производится выявление возможных сценариев реализации угроз и проводится их классификация.

Потенциальные угрозы или риски бывают как общие, так и специфичные, для разных видов бизнеса. К примеру, пандемия так или иначе затронула весь бизнес, кого-то больше (полное приостановление деятельности), кого-то меньше (перевод на удаленку и падение спроса). Есть еще ряд менее экзотических негативных сценариев, которые могут произойти у любой компании: внезапное закрытие офиса пожарными или собственно пожар/потоп в офисе либо на складе, арест счетов из-за претензий налоговой, долгосрочное отключение интернета, электричества или воды в офисе. Специфические риски — это, например, отзыв лицензии или иного специального разрешения у предприятия, которое ему необходимо для ведения бизнеса, перекрытие конкретного логистического направления из-за погодных или политических катаклизмов, неурожай культуры у постоянного поставщика сырья и т.п.

После того как список возможных угроз готов, рядом с каждой из них указываются следующие параметры:

Вероятность наступления. Например: маловероятная/незначительная/вероятная/ожидаемая.
Это позволит оценить, во-первых, очередность разработки антикризисных мер, а во вторых — помочь при оценке объемов ресурсов, которые будет целесообразно вложить в превентивные меры.
Возможный урон для бизнеса. Последствия бывают незначительными, ощутимыми, значительными и критическими, т.е. ведущими к ликвидации бизнеса. Также следует учесть, что урон может быть не только финансовым или правовым, но и репутационным. Для бизнесов, сильно зависящих от доверия потребителя (например, детское питание), репутационный урон может иметь гораздо более критическое значение, чем штрафы от государственных органов.
Этот и предыдущий параметр оценки могут меняться в зависимости от модернизации внутренних бизнес-процессов и, конечно, зависят от экономической, политической, эпидемиологической ситуации в регионе. Поэтому их надо пересматривать как минимум раз в год, а в идеале ответственное лицо должно вносить изменения по мере появления новых обстоятельств.
Ответственные лица и их заместители. Здесь указываются руководители подразделений, деятельность которых является триггером для запуска кризисного сценария в компании, и которые квалифицированы для того, чтобы осуществлять действия по минимизации или прекращению такого сценария. Например, долговременное отключение интернета в офисном здании в результате аварии — это задача, которую решают руководители АХО и IT. Когда сценарий затрагивает всю компанию в целом — например, при пандемии, — ответственным является руководитель компании, который должен будет делегировать полномочия по разрешению ситуации руководителям подразделений.

II. Разработка плана минимизации бизнес-рисков и мер реагирования в случае их наступления

Это основной раздел антикризисного плана, включающий в себя описание всевозможных кризисных сценариев, путей их развития и максимально безболезненного закрытия. На этом этапе проводится сравнение возможных потерь с выгодами от предотвращения последствий, оцениваются затраты на предотвращение потерь путем введения в компании комплекса превентивных мер, а также разрабатывается план реагирования при наступлении негативного сценария. На этом этапе план дополняется следующими пунктами по каждому сценарию:

Превентивные меры. Необходимо выделить и внести в план два вида мер: снижающие вероятность наступления данного риска и минимизирующие потери при его наступлении. Например, для риска пожара в офисном здании превентивной мерой, снижающей вероятность наступления, будут противопожарные системы в офисе, а мерами, минимизирующими последствия, — несгораемый шкаф, резервное копирование информации и алгоритм одновременного перевода всего персонала на удаленку. На этом же этапе необходимо оценить расходы на меры, которые являются приоритетными с точки зрения вероятности наступления и возможного урона, определить сроки, стоимость реализации и внести их в бюджет.
Меры, которые должны быть предприняты при наступлении риска. Перечень мер административного, технического или правового характера. В идеале нужно прописать все варианты развития событий — от пожара части офиса с последующим восстановлением и возможностью части персонала вернуться на свои рабочие места до сценария полного уничтожения здания и имущества. Также указываются контакты третьих лиц и организаций, которые должны быть привлечены к разрешению инцидента (представители собственника здания, таможенный брокер, районный участковый или адвокат по уголовным делам). Что касается последних, рекомендуется заранее определить поставщика соответствующих юридических услуг и заключить рамочный договор. Чтобы в случае, к примеру, внеплановой проверки антимонопольных органов не терять время на поиск, обсуждение условий и т.п., а просто сделать один телефонный звонок.

III. Тренинги для персонала и новых сотрудников, внутренние стресс-тесты, а также постоянное обновление BCP с учетом изменения внутренних бизнес-процессов и обновлений законодательства

Тренинги и стресс-тесты позволяют определить, насколько детально разработан план, понятен ли он сотрудникам и менеджменту организации, и как полно он отражает потребности компании в организации планирования непрерывности бизнеса. Если тренинги и тесты покажут какие-то белые пятна или пробелы, технические составляющие плана нужно перепроверить и при необходимости внести уточнения и дополнения.

Организовав тренинги в форме тимбилдинга, можно убить сразу двух зайцев: сплотить команду и отработать кризисный сценарий.

Отдельного упоминания стоит разработка и отработка на тренингах инструкций по коммуникациям с прессой. Как мы уже упоминали выше, операционные риски часто идут рука об руку с репутационными, и сотрудники должны четко понимать, что в случае, например, крупного пожара или несчастного случая предоставление прессе непроверенной или некорректной информации может повлечь серьезный репутационный и правовой ущерб для компании.

Если у вас не было BCP на случай коронакризиса или он не сработал, лидеры консалтинга рекомендуют сфокусироваться на следующих пунктах, специфичных именно для COVID-19. Несмотря на общее улучшение эпидемиологической обстановки, пандемия еще не закончилась, более того, есть вероятность, что осенью она возобновится с новой силой.

Основной приоритет — безопасность и доступность персонала. Необходимо обеспечить постоянную возможность поддерживать гибкий график работы и быстрый перевод на полную удаленку. То есть доступность материальной базы и готовность IT-структуры. Последние месяцы наверняка показали, где в вашей системе слабые места. Самое время их усилить и привести в полную готовность.
Если для определенных категорий сотрудников удаленная работа невозможна, необходимо организовать рабочие места таким образом, чтобы они не только обеспечивали оптимальный уровень защиты от заражения, но и соответствовали всем нормативным требованиям и рекомендациям. Это обезопасит ваших сотрудников и поможет избежать штрафов и дополнительных проверок со стороны госорганов.
Разработать четкий краткосрочный финансовый план, а именно — реалистично оценить состояние дебета и кредита, возможно ли ускорить получение первого и отсрочить или разбить на части второе, то есть рассчитать все возможности для того, чтобы избежать кассовых разрывов.
Согласовать с клиентами и поставщиками график платежей. Если, несмотря на все меры, кассовые разрывы неизбежны, стоит рассмотреть возможность кредитования или другие способы дополнительного финансирования. Также следует постоянно мониторить новости в секторе финансовой поддержки на предмет возможности получения государственной помощи.
Годовой бюджет и бизнес-план: если вы не принадлежите к тем немногим счастливчикам, которых карантин задел только по касательной, стоит пересмотреть и скорректировать годовой бюджет и бизнес-план. В частности, необходимо критически оценить операционные и прочие расходы, снизив их до необходимого для выживания уровня.
Логистика. Если специфика вашего бизнеса зависит от импорта или внутреннего воздушного сообщения, необходимо рассмотреть возможность альтернативных логистических решений или временное увеличение стока и, соответственно, складских площадей с учетом сезонных колебаний спроса.
Из-за особенностей ситуации новые правила, ограничения и льготы выпускаются и озвучиваются практически на ежедневной основе. Чтобы ничего не пропустить, рекомендуем вам подписаться на обновления от ведущих новостных агентств или правовых систем.
Если ваш бизнес еще открыт, значит, все необходимые действия по срочной диджитализации вы уже осуществили. Пора подумать о том, как можно развить и усовершенствовать эти решения, чтобы они стали вашим конкурентным преимуществом.

https://upside.pro/lab/business-continuity-planning-%E2%80%93-plan-%C2%ABb%C2%BB-dlya-vashego-biznesa.html