Работаем в любых условиях

прочитано

АВТОР: Ксения Темникова

кандидат экономических наук, руководитель Международного центра компетенций по устойчивому развитию (ESG), АСПОЛ

#качество управления #стандарты ИСО #эффективность бизнеса #аналитика

Почему производители требуют, чтобы их дистрибьюторы управляли непрерывностью бизнеса? Дело в том, что каждый из них дорожит своей деловой репутацией и хочет быть уверенным, что влияние производственных сбоев сведено к минимуму, а непредвиденные ситуации не остановят поставки продукции. Именно поэтому аудиторы оценивают потенциальных дистрибьюторов не только по объему продаж, но и по тому, насколько зрелая у них система менеджмента непрерывности бизнеса.

3 25/07/2019

Как минимизировать сбои

Компании, работающие в различных областях машиностроения, энергосбережения, связи, аэрокосмического приборостроения, обеспечения безопасности и защиты информации, заинтересованы в том, чтобы выпускаемая ими высокотехнологичная продукция имела стабильно высокое качество, а их уникальные разработки были надежно защищены. Для того чтобы обеспечить качество и защиту информации и производителю, и дистрибьютору, целесообразно внедрить:

систему менеджмента качества (СМК) в соответствии с требованиями ИСО 9001:2015 ;
систему менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2013 ;
систему менеджмента непрерывности бизнеса (СМНБ) в соответствии с ИСО 22301:2012 .

Данные стандарты помогают не только определить и приоритезировать угрозы предприятия с позиции непрерывности бизнеса, но и реализовать концепцию долгосрочного развития и организационной устойчивости. С помощью ИСО 22301 можно подготовить бизнес к самым сложным испытаниям: минимизировать время простоя и максимизировать скорость восстановления, защитить бизнес, людей и репутацию.

руководителей, которые за последний год активировали меры по обеспечению непрерывности бизнеса, отмечают ощутимый эффект, связанный с сокращением сбоев

Готовимся к аудиту

Лучше всего взаимосвязь данных стандартов разобрать на практическом примере аудита дистрибьютора. Компания А – мировой лидер по производству высокотехнологичной продукцию и ее компонентов. Компания В – ее локальный дистрибьютор, который реализует продукцию в одной стране.

В каждой локации в процессе аудита компания А отслеживает политические риски, экстремальные погодные явления, вопросы безопасности и изменения окружающей среды, которые могут нарушить цепь поставок продукции.

При подготовке к аудиту компания В применяет проактивный стратегический подход к планированию непрерывности бизнеса ( BCP ), который включает в себя:

оценку рисков и их постоянный контроль;
бизнес-моделирование и анализ воздействия;
разработку стратегии и планирование действий в чрезвычайных ситуациях;
о обеспечение строгих политик и стандартов;
постоянное обучение персонала , актуализацию и тестирование планов;
кризисные коммуникации ;
внешнюю координацию ;
постоянный мониторинг рисков или нарушений производственного процесса.

Комплексные планы непрерывности бизнеса компании В включают лучшие отраслевые практики и определяют:

критические бизнес-процессы , которые составляют основу деятельности компании, а также людей, которые несут ответственность за их бесперебойную работу;
время восстановления , которое гарантирует эффективное возобновление производства с соответствующими ресурсами;
возможные угрозы и риски и их постоянный контроль;
стратегии на случай непредвиденных обстоятельств для всех критических бизнес-процессов, которые несут высокий риск для персонала, дохода и репутации;
комплексные стратегии восстановления.

Данный план предоставляет компании В возможность:

своевременно выявить и устранить существующие и будущие угрозы;
обеспечить опережающий подход к минимизации воздействия форс-мажора;
обеспечить эффективную работу важнейших функций во время кризиса;
минимизировать простои и сократить восстановительный период;
продемонстрировать устойчивость бизнеса клиентам.

Минимизацию риска потери бизнеса в случае остановки производственного процесса и продолжение деятельности предприятия в условиях инцидента следует рассматривать как основную цель корпоративных программ управления непрерывностью бизнеса. Данные программы предусматривают моделирование динамических контурных потоков: информационных, финансовых, материальных, энергетических и кадровых.

В фокусе аудитора

Как правило, в центре внимания аудитора оказывается документация, причем не только план обеспечения непрерывности бизнеса , план восстановления бизнеса после аварии, планы и отчеты по учениям, но и ряд других документов.

Аудитор проведет интервью не только с руководством компании, но и с сотрудниками. Находясь на территории предприятия, он проведет визуальную оценку офисных, производственных, технологических, складских и иных помещений, обратит внимание на систему контроля доступа и т.п. Однако, в связи с тем, что у дистрибьютеров нет производственных мощностей, в данном случае аудитора будут интересовать преимущественно складские, технические и офисные помещения.

Аудитор обратит внимание на создание системы менеджмента непрерывности бизнеса относительно цикла Plan-Do-Check-Act (PDCA), а также на вопросы:

лидерства для достижения целей системы менеджмента непрерывности бизнеса, мотивации персонала способствовать росту эффективности системы, а также на роли и зоны ответственности в процессе управления непрерывностью бизнеса, отношение к делегированию полномочий;
планирования, то есть действий по управлению рисками и возможности их снижения;
поддержки, а именно выделения необходимых ресурсов, наличия обмена информацией, и должного документирования;
функционирования – наличия стратегии, контроля ее выполнения, анализа влияния на бизнес и оценки рисков;
оценки эффективности – внутренний аудит и анализ со стороны руководства;
улучшения – выявление несоответствий и корректирующее действие.

Для того чтобы оценить компетенции и уровень развития персонала, используйте ИСО/ТУ 30411:2018 «Менеджмент человеческих ресурсов. Качество найма персонала»

Определить подходящую стратегию непрерывности бизнеса непросто. Для грамотной защиты, стабилизации ситуации, восстановления работоспособности предприятия и обеспечения необходимыми ресурсами, а также для смягчения негативных воздействий и разработки ответных мер стоит использовать ИСО/ТУ 22331:2018 .

Меры аварийного восстановления для IT-сервисов и инфраструктурных проектов целесообразно уточнять на основе рекомендаций стандарта COBIT.

Кроме того, существуют значения, которые устанавливаются бизнесом индивидуально, исходя из задач. Например:

требуемое время восстановления ;
контрольные точки возврата .

Как подготовить сотрудников

Подготовить персонал, менеджмент и собственников бизнеса к проведению аудита можно с помощью практико-ориентированного тренинга, сфокусированного на формировании целевой модели по непрерывности бизнеса. Главное – донести до сотрудников новые подходы к планированию деятельности компании при наступлении инцидента и перечень мероприятий, которые позволят оперативно устранить последствия сбоя.

Задача тренинга – обеспечить системный подход в работе над повышением устойчивости, особенно в отношении ключевых бизнес-процессов, критических инцидентов, опираясь не только на ИСО 22301, но и на лучшие мировые практики, математический аппарат. Для обучения персонала можно использовать руководство ASTM E3159-18 «Стандартное руководство по общим вопросам надежности».

Справка

Для социальной безопасности и устойчивости рекомендуем:

ИСО 22395:2018 Руководящие указания по оказанию поддержки уязвимым лицам в чрезвычайных ситуациях

ИСО 22326:2018 Руководящие указания по мониторингу объектов с идентифицированными опасностями
ИСО 22330:2018 Руководящие указания по аспектам непрерывности бизнеса, связанным с персоналом
ИСО/ТУ 22331:2018 Руководящие указания по стратегии обеспечения непрерывности бизнеса

подробнее