Как минимизировать сбои
Компании, работающие в различных областях машиностроения, энергосбережения, связи, аэрокосмического приборостроения, обеспечения безопасности и защиты информации, заинтересованы в том, чтобы выпускаемая ими высокотехнологичная продукция имела стабильно высокое качество, а их уникальные разработки были надежно защищены. Для того чтобы обеспечить качество и защиту информации и производителю, и дистрибьютору, целесообразно внедрить:
-
систему менеджмента качества (СМК) в соответствии с требованиями ИСО 9001:2015 ;
-
систему менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2013 ;
-
систему менеджмента непрерывности бизнеса (СМНБ) в соответствии с ИСО 22301:2012 .
Данные стандарты помогают не только определить и приоритезировать угрозы предприятия с позиции непрерывности бизнеса, но и реализовать концепцию долгосрочного развития и организационной устойчивости. С помощью ИСО 22301 можно подготовить бизнес к самым сложным испытаниям: минимизировать время простоя и максимизировать скорость восстановления, защитить бизнес, людей и репутацию.
Готовимся к аудиту
Лучше всего взаимосвязь данных стандартов разобрать на практическом примере аудита дистрибьютора. Компания А – мировой лидер по производству высокотехнологичной продукцию и ее компонентов. Компания В – ее локальный дистрибьютор, который реализует продукцию в одной стране.
В каждой локации в процессе аудита компания А отслеживает политические риски, экстремальные погодные явления, вопросы безопасности и изменения окружающей среды, которые могут нарушить цепь поставок продукции.
При подготовке к аудиту компания В применяет проактивный стратегический подход к планированию непрерывности бизнеса ( BCP ), который включает в себя:
-
оценку рисков и их постоянный контроль;
-
бизнес-моделирование и анализ воздействия;
-
разработку стратегии и планирование действий в чрезвычайных ситуациях;
-
о обеспечение строгих политик и стандартов;
-
постоянное обучение персонала , актуализацию и тестирование планов;
-
кризисные коммуникации ;
-
внешнюю координацию ;
-
постоянный мониторинг рисков или нарушений производственного процесса.
Комплексные планы непрерывности бизнеса компании В включают лучшие отраслевые практики и определяют:
-
критические бизнес-процессы , которые составляют основу деятельности компании, а также людей, которые несут ответственность за их бесперебойную работу;
-
время восстановления , которое гарантирует эффективное возобновление производства с соответствующими ресурсами;
-
возможные угрозы и риски и их постоянный контроль;
-
стратегии на случай непредвиденных обстоятельств для всех критических бизнес-процессов, которые несут высокий риск для персонала, дохода и репутации;
-
комплексные стратегии восстановления.
Данный план предоставляет компании В возможность:
-
своевременно выявить и устранить существующие и будущие угрозы;
-
обеспечить опережающий подход к минимизации воздействия форс-мажора;
-
обеспечить эффективную работу важнейших функций во время кризиса;
-
минимизировать простои и сократить восстановительный период;
-
продемонстрировать устойчивость бизнеса клиентам.
Минимизацию риска потери бизнеса в случае остановки производственного процесса и продолжение деятельности предприятия в условиях инцидента следует рассматривать как основную цель корпоративных программ управления непрерывностью бизнеса. Данные программы предусматривают моделирование динамических контурных потоков: информационных, финансовых, материальных, энергетических и кадровых.
В фокусе аудитора
Как правило, в центре внимания аудитора оказывается документация, причем не только план обеспечения непрерывности бизнеса , план восстановления бизнеса после аварии, планы и отчеты по учениям, но и ряд других документов.
Аудитор проведет интервью не только с руководством компании, но и с сотрудниками. Находясь на территории предприятия, он проведет визуальную оценку офисных, производственных, технологических, складских и иных помещений, обратит внимание на систему контроля доступа и т.п. Однако, в связи с тем, что у дистрибьютеров нет производственных мощностей, в данном случае аудитора будут интересовать преимущественно складские, технические и офисные помещения.
Аудитор обратит внимание на создание системы менеджмента непрерывности бизнеса относительно цикла Plan-Do-Check-Act (PDCA), а также на вопросы:
-
лидерства для достижения целей системы менеджмента непрерывности бизнеса, мотивации персонала способствовать росту эффективности системы, а также на роли и зоны ответственности в процессе управления непрерывностью бизнеса, отношение к делегированию полномочий;
-
планирования, то есть действий по управлению рисками и возможности их снижения;
-
поддержки, а именно выделения необходимых ресурсов, наличия обмена информацией, и должного документирования;
-
функционирования – наличия стратегии, контроля ее выполнения, анализа влияния на бизнес и оценки рисков;
-
оценки эффективности – внутренний аудит и анализ со стороны руководства;
-
улучшения – выявление несоответствий и корректирующее действие.
Определить подходящую стратегию непрерывности бизнеса непросто. Для грамотной защиты, стабилизации ситуации, восстановления работоспособности предприятия и обеспечения необходимыми ресурсами, а также для смягчения негативных воздействий и разработки ответных мер стоит использовать ИСО/ТУ 22331:2018 .
Меры аварийного восстановления для IT-сервисов и инфраструктурных проектов целесообразно уточнять на основе рекомендаций стандарта COBIT.
Кроме того, существуют значения, которые устанавливаются бизнесом индивидуально, исходя из задач. Например:
-
требуемое время восстановления ;
-
контрольные точки возврата .
Как подготовить сотрудников
Подготовить персонал, менеджмент и собственников бизнеса к проведению аудита можно с помощью практико-ориентированного тренинга, сфокусированного на формировании целевой модели по непрерывности бизнеса. Главное – донести до сотрудников новые подходы к планированию деятельности компании при наступлении инцидента и перечень мероприятий, которые позволят оперативно устранить последствия сбоя.
Задача тренинга – обеспечить системный подход в работе над повышением устойчивости, особенно в отношении ключевых бизнес-процессов, критических инцидентов, опираясь не только на ИСО 22301, но и на лучшие мировые практики, математический аппарат. Для обучения персонала можно использовать руководство ASTM E3159-18 «Стандартное руководство по общим вопросам надежности».
Справка
Для социальной безопасности и устойчивости рекомендуем:
- ИСО 22395:2018 Руководящие указания по оказанию поддержки уязвимым лицам в чрезвычайных ситуациях
-
ИСО 22326:2018 Руководящие указания по мониторингу объектов с идентифицированными опасностями
-
ИСО 22330:2018 Руководящие указания по аспектам непрерывности бизнеса, связанным с персоналом
-
ИСО/ТУ 22331:2018 Руководящие указания по стратегии обеспечения непрерывности бизнеса