прочитано
#качество управления #эффективность бизнеса #аудит #внутренний аудит #Лекарство для бизнеса

О необходимости планирования непрерывности бизнеса знают все. И пандемия показала, насколько эффективно этот инструмент антикризисного менеджмента работает в различных организациях. Михаил Чехлов, член ассоциации «Институт внутренних аудиторов», ведущий аудитор отдела методологии, финансового и операционного аудита департамента внутреннего аудита ПАО «Аэрофлот», рассказал о том, что обычно компании понимают под непрерывностью бизнеса и почему они ошибаются, а также о том, как спланировать соответствующие действия в условиях пандемии.

0 4

Быть готовыми ко всему

В ходе планирования деятельности компании оценивают эффективность планов обеспечения непрерывности бизнеса и аварийного восстановления. В свою очередь внутренние аудиторы проводят оценку эффективности этих планов.


План обеспечения непрерывности бизнеса — это документ, который описывает, как организация предполагает функционировать во время и после возникновения кризисной ситуации. Он позволяет восстановить бизнес-процессы компании настолько скоро, насколько это необходимо для продолжения бизнеса.
В различных компаниях по-разному понимают то, каким должен быть процесс обеспечения непрерывности бизнеса:

  • Некоторые считают, что он затрагивает только сегмент ИТ. Если восстановлены информационная инфраструктура и данные, значит непрерывность бизнеса компании обеспечена. Действительно, учитывая возросшую важность ИТ-обеспечения, скорейшее восстановление ИТ-процессов является критическим фактором выживания для многих видов бизнеса. 
  • Другие компании воспринимают непрерывность бизнеса как работу «пожарной команды». В рамках этого процесса они проводят учения. Моделируется  некая неблагоприятная ситуация , которая может повлечь за собой разрушения или жертвы, и в плане предлагается сценарий реагирования на нее. Но упускается само понятие продолжения бизнеса. Например, не учитываются сроки, в течение которых необходимо восстановить критические бизнес-процессы. 

Оба подхода являются лишь составными частями процесса обеспечения непрерывности бизнеса

В случае, если чрезвычайная ситуация затянется, организации придется находить решения по функционированию в долгосрочной перспективе. Текущая ситуация с пандемией — яркий пример. И преимущество здесь имеют организации, сумевшие адаптироваться к непростым условиям.

Пандемия и непрерывность бизнеса

В соответствии с докладом Международного торгового центра (Centre du commerce international (CCI)) от 22 июня 2020 года, из-за глобального сбоя производственно-сбытовых цепочек мировая экономика потеряла по меньшей мере 126 миллиардов долларов. Согласно ежегодному докладу бизнес-омбудсмена Бориса Титова, пандемия COVID-19 в России затронула более 4 млн компаний и ИП из общего числа 6 млн. То есть пострадали до 67% малых, средних и крупных предприятий, а также индивидуальных предпринимателей.
В отличие от природных явлений, техногенных катастроф, намеренного причинения вреда людьми, влияние пандемии определить гораздо труднее из-за ее масштабности и продолжительности. Представим, что перед вами — как перед внутренними аудиторами — стоит задача проанализировать план обеспечения непрерывности деятельности вашей организации в условиях нынешней ситуации.
У такого явления, как пандемия, существуют свои особенности, она отличается от иных сценариев угрозы непрерывности бизнесу. Традиционные планы обеспечения непрерывности деятельности делают акцент на повреждении зданий и сооружений, отказе оборудования, недоступности и потере информации, угрозе жизни людей. В то же время, анализируя сценарий потенциальной пандемии, мы в первую очередь говорим о недоступности персонала в течение продолжительного периода времени.

Следовательно, внутренний аудитор должен убедиться, что план обеспечения непрерывности бизнеса рассчитан на то, что ключевые бизнес-процессы организации будут продолжать эффективно функционировать в течение нескольких недель или месяцев в условиях отсутствия или ограниченного присутствия персонала на рабочих местах.

План должен включать:

  1. Создание рабочей группы для координации действий по обеспечению непрерывности деятельности.
  2. Разработку сценариев дальнейшего ведения бизнеса с учетом невозможности присутствия на рабочих местах. Например:
    • продолжение бизнеса,
    • переход на альтернативные варианты ведения бизнеса (в частности, удаленную работу),
    • частичное или полное приостановление деятельности.
  3. Разработку ряда профилактических мероприятий для сотрудников, остающихся на рабочих местах: выявление признаков заболевания на входе в офис (например, измерение температуры), предоставление средств индивидуальной защиты и дезинфицирующих средств, периодическая обработка предметов и поверхностей.
  4. Актуальный список контактов сотрудников.
  5. Разработку методов альтернативной коммуникации, включая использование интернета, облачных рабочих мест, телефона, видеоконференций посредством Skype, Zoom, и т.д.
  6. Рассмотрение возможности увеличения дистанции между людьми в случае их совместного нахождения в офисе.
  7. Рассмотрение возможности предоставления транспорта для сотрудников, использующих общественный транспорт.
  8. Рассмотрение возможности проведения психологических тренингов с целью помощи в  стрессовых ситуациях .
  9. Рассмотрение возможности переноса или отмены встреч, а также командировок, не являющихся критичными.

Также следует убедиться, что план своевременно обновлялся и был доведен до заинтересованных пользователей

Кейс

Узнаем, к чему может привести выполнение или невыполнение этих действий на примере. Аудиторы крупной производственной компании решили протестировать, как сработает план обеспечения непрерывности бизнеса в одном из подразделений, отвечающих за автоматизированный контроль производственных процессов.
Они изучили документ, в котором описывался порядок взаимодействия подразделений в случае возникновения инцидента на производстве. В этом же документе был приведен список ответственных лиц с необходимыми контактными данными, порядок развертывания ИТ-инфраструктуры, а также описывалось расположение резервных помещений, куда следовало перевести сотрудников в случае недоступности основных.
В назначенный момент один из аудиторов привел процесс в действие, позвонив менеджеру, отвечающему за инициацию процесса непрерывности деятельности, объявив «происшествие на объекте».
Менеджер немедленно связался с руководителем тестируемого подразделения и дал команду начать эвакуацию подразделения, после чего связался с менеджером по логистике. Точнее, попытался связаться, так как мобильный телефон, указанный в списке срочных контактов, был отключен. Как выяснилось впоследствии, данный номер принадлежал предыдущему менеджеру. Контактная информация не была своевременно актуализирована.
Около получаса ушло на то, чтобы найти менеджера по логистике. Еще какое-то время понадобилось на  объяснение концепции : что от него требуется. В результате на подачу транспорта сотрудникам тестируемого подразделения было затрачено больше полутора часов рабочего времени. Еще минут сорок заняла дорога до резервного помещения. В итоге прошло более двух часов, прежде чем сотрудники приступили к своим обязанностям.
Надо отдать должное четко сработавшему ИТ-подразделению. В довольно короткий срок было установлено оборудование с необходимым набором информационных систем. Сотрудникам тестируемого подразделения осталось только сесть на рабочие места, организованные в резервном помещении, и авторизоваться под своими учетными записями. Результаты теста были задокументированы и отражены в аудиторском отчете, посвященном оценке эффективности процесса непрерывности.

В данной ситуации речь не шла о плохом или хорошем опыте. Когда дело касается непрерывности бизнеса, любой опыт ценен

Это можно назвать термином из английского языка — lessons learned — который следует интерпретировать как «приобретенный опыт», «усвоенные уроки».
Вероятность возникновения пандемии и необходимости разработки сценариев обеспечения непрерывности деятельности уже поднималась в прошлом в иностранных источниках. Сегодня мы видим, как подобная ситуация реализовалась на практике, когда свою готовность к работе в условиях жестких ограничений компаниям пришлось «обкатывать» практически в боевой обстановке. Это следует рассматривать именно как приобретенный опыт и сделать соответствующие выводы. Например, при разработке планов обеспечения непрерывности бизнеса рассматривать сценарии не с точки зрения «если произойдет событие», а задаваясь вопросом «когда?».