Обеспечение непрерывности бизнеса и восстановление после сбоев

Сегодня многие компании начинают задумываться о планировании непрерывности бизнеса (Business Continuity Planning) и восстановлении после сбоев (Disaster Recovery Planning). Эффективная система управления непрерывностью бизнеса позволит минимизировать денежные потери в случае реализации угрозы прерывания бизнеса. Банковским же организациям необходимо выполнять требования Положения 242-П "Об организации внутреннего контроля". В настоящей заметке я рассмотрю основные этапы создания эффективной системы управления непрерывностью бизнеса и ее организационную структуру.

У каждой компании свой путь к эффективной системы управления непрерывностью бизнеса, который зависит от вида деятельности, размера организации, корпоративной культуры и многих других факторов. Рассмотрим основные шаги проекта по внедрению

полноценной системы управления непрерывностью бизнеса.

Первым шагом на пути к обеспечению непрерывности бизнеса является создание в компании процесса по идентификации угроз, которые могут оказать столь негативное влияние на бизнес компании.

Перечень угроз для каждой компании будет индивидуальным, но некоторые угрозы будут актуальны для многих компаний.

Приведу примеры некоторых угроз:

После идентификации угроз, проводится оценка рисков (как правило, с помощью наиболее понятного и удобного способа и в результате мы получаем ТОП N рисков, с которыми нужно бороться в первую очередь.

На этом шаге решается несколько задач, но разбивать его на отдельные шаги, как правило, нецелесообразно.

Задачами данного этапа являются:

Очень часто руководители бизнес-подразделений пытаются завысить критичность процессов своего подразделения. Для того чтобы получить адекватную оценку критичности бизнес-процессов необходимо получить подтверждения оценок от руководителей более высокого уровня.

Также в ходе данного этапа формируются списки критичных сотрудников (20% тех, кто делает 80% работы), что также сталкивается с сопротивлением со стороны руководителей подразделений по понятным причинам.

После того, как мы поняли, какие бизнес-процессы для нас являются критичными и определили требования к информационным системам, необходимо определить, насколько эти требования выполнимы в текущих условиях.

На данном шаге мы получаем информацию о существующих проблемах, что позволит нам в ходе непосредственного планирования определить, какие решения нужно принять для выполнения требований бизнеса.

Для того чтобы наша система управления непрерывностью бизнеса заработала, необходима разработка ряда нормативных документов. На мой взгляд, набор документации по BCP для крупной компании должен содержать:

Детально содержание данных документов я рассмотрю в одной из следующих своих заметок.

Для повышения устойчивости компании принимают различные решения:

В зависимости от требований к целевому времени восстановления может появиться необходимость внедрения различных технических решений, либо настройки существующих в соответствии с требованиями бизнеса.

Обеспечить необходимый уровень устойчивости к сбоям и скорейшее восстановление нам помогут:

Сотрудники должны изучить разработанные планы и знать, что им делать в случае кризисной ситуации.

После того, как мы определились с угрозами прерывания нашего бизнеса и приняли и внедрили в жизнь соответствующие контрмеры, нам необходимо проверить, насколько все то что мы создали, позволит нам противостоять угрозам в действительности. Для этого необходимо тестирование эффективности принятых мер.

Бывают различные виды тестирования. Можно тестировать только планы, тогда сотрудники собираются в одном помещении и имитируют выполнение действий, которые они бы предприняли в соответствии с планами, а можно устроить боевое тестирование – отозвать партию продукции, остановить работу “боевого” сервера и т.п. Объем и вид тестирования выбираются, исходя из необходимости проверить работоспособность решения/плана и не нанести ущерб бизнесу.

Для того, чтобы непрерывность бизнеса обеспечивалась, необходимо иметь соответствующую организационную структуру.

В ходе обычного функционирования компании, как правило, выделяется человек (очень редко отдел), который отвечает за поддержание работоспособности системы управления непрерывностью бизнеса (обновление документации, результатов анализа рисков и т.п.). Такого человека часто называют менеджером по обеспечению непрерывности бизнеса. В каждом критичном бизнес-подразделении также назначается координатор, ответственный за поддержание актуальными планов подразделений.

В случае возникновения кризисной ситуации созывается антикризисный комитет, который берет управление компанией на себя для сокращения времени реакции. Для восстановления деятельности создаются специальные команды восстановления, которые и подчиняются антикризисному комитету.

Цель создания антикризисного комитета понятна: в случае кризисной ситуации очень важна малая скорость реакции, и поэтому необходимо сосредоточивание власти у довольно малой группы руководителей. Таким образом, если обычно компания управляется десятью директорами, то в случае кризисной ситуации, управление может осуществляться 2-3-мя топ-менеджерами. Понятно, что здесь появляются политические вопросы, в которые консультанты не любят вмешиваться, и иногда антикризисный комитет просто полностью дублирует исполнительный орган управления компании, что, на мой взгляд, не оправдано.

Продолжение следует.

Александр Дорофеев (c)