Непрерывность бизнеса (BC) - способность организации продолжать поставку продуктов и услуг в приемлемые сроки с заранее определенной производительностью во время сбоя.

Управление непрерывностью бизнеса (BCM) - целостный процесс управления, идентифицирует все возможные угрозы и риски для организации и их потенциальное влияние на бизнес-процессы. Обеспечивает основу для повышения организационной устойчивости, а также эффективного реагирования, тем самым защищая интересы ее ключевых заинтересованных сторон, репутацию, бренд и деятельность по созданию дополнительной стоимости.

Управление непрерывностью (BCM) и аварийным восстановлением (DRM), в чем разница?
Управление аварийным восстановлением обычно происходит в контексте управления непрерывностью бизнеса. Планы аварийного восстановления часто носят чисто технический характер и сосредоточены на восстановлении определенных операций, функций, сайтов, служб или приложений.
BCM гарантирует, что бизнес может продолжать функционировать, восстанавливаясь после аварии. DRM, между тем, является процессом возвращения бизнеса в нормальное состояние после катастрофического события, и концентрирует внимание на полном восстановлении.

Система управления непрерывностью бизнеса (BCMS) - часть общей системы управления компании, которая устанавливает, внедряет, управляет, контролирует, проверяет, поддерживает и улучшает непрерывность бизнеса.

План непрерывности бизнеса (BCP) - документированные процедуры, выполнение которых помогает организации адекватно реагировать на конкретные сбои, восстанавливать, продолжать и приводить бизнес-процессы к определенному уровню работы после них.

Разница между BCMS и BCP заключается в том, что BCMS - это комплексный подход к организационной устойчивости. Он позволяет обновлять, контролировать и развертывать эффективные планы с учетом непредвиденных обстоятельств, возможностей и потребностей бизнеса (требований к продуктам и услугам).
BCMS - реализуется на основе досконального анализа, регулярно тестируется, требует регулярного осмотра и управления, сопровождается программой осведомленности в масштабах всей организации, а также встроена в культуру и развернута по всему бизнесу.
BCP - создается на основании предположений, требует тестирования, может устареть, не предусматривает организационной осведомленности, может ограничиваться структурным подразделением организации, и не является частью корпоративной культуры.

Стандарт ISO 22301: 2019 Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Требования - это стандарт для систем менеджмента публикуемый Международной организацией по стандартизации, который определяет требования к планированию, созданию, внедрению, эксплуатации, мониторингу, проверке, обслуживанию и постоянному совершенствованию систем управления непрерывностью бизнеcа (BCMS). В свою очередь, такие системы должны обеспечивать цели: защита от сбоев и разрушительных инцидентов, уменьшение вероятности их возникновения, надлежащее реагирование, и последовательное восстановление к полноценному функционированию.

Как бы странно это ни звучало, но непрерывность начинается с проблем. Да-да, именно тогда, когда в компании происходят сбои в работе, все начинают думать как с ними бороться и как избежать их в будущем. Это нормальный процесс, который связан с повышением уровня зрелости бизнеса. Однако, важно учитывать, что в любой момент может произойти инцидент, который в считанные дни, часы или даже минуты, способен разрушить все, что вы так долго и упорно создавали.

Давайте рассмотрим, как выглядит жизненный цикл системы управления и процессы обеспечения непрерывности.
Сначала, обратите внимание на диаграмму слева, созданную Британским Институтом непрерывности Бизнеса (BCI). Она состоит из шести профессиональных практик основанных на стандарте ISO 22301, и показывает этапы деятельности, по которым организация проходит и повторяет с общей целью повысить устойчивость.

Практики управления:

1. Управление политикой и программой - находится в начале жизненного цикла управления непрерывностью бизнеса (BCM). Именно профессиональная практика определяет организационную политику, касающуюся непрерывности бизнеса (BC), и то, как эта политика будет осуществляться, контролироваться и утверждаться с помощью программы BCM (разработка и адаптация политики и программы).
2. Встраивание BC - практика, которая постоянно стремится интегрировать непрерывность в повседневную деловую деятельность и организационную культуру (обучение и программа осведомленности).

Технические практики:

1. Анализ - просмотр и оценка организации с точки зрения ее целей, функционирования и ограничений среды, в которой она работает (анализ влияния на бизнес и оценка рисков).
2. Дизайн - определение и выбор соответствующих стратегий и тактик, необходимых для достижения непрерывности и восстановления после сбоев.
3. Внедрение - практика, которая отвечает за выполнение согласованных стратегий и тактик, а также за процесс разработки планов непрерывности бизнеса BCP (разработка и реализация алгоритмов действий и мер в ответ на конкретные сбои).
4. Валидация - подтверждение, что программа BCM соответствует целям, установленным политикой непрерывности, и планы непрерывности BCP организации соответствуют своему назначению (поддержка, тестирование и просмотр стратегий и планов).

Диаграмма расположенная справа, отображает как BCMS принимает входные данные для управления непрерывностью бизнеса в виде требований заинтересованных сторон, стандарта, нормативов и действующего законодательства, и благодаря необходимым действиям и процессам, создает результаты (то есть управляемую непрерывность бизнеса), которые отвечают этим требованиям.

Процессы BCMS:
Планируй (Установление) - устанавливайте политику, цели, контроли, процессы и процедуры, касающиеся улучшения непрерывности бизнеса, для достижения результатов в соответствии с общей политикой и целями организации.
Делай (Реализация и управление) - реализуйте и управляйте политикой, контролями, процессами и процедурами непрерывности бизнеса.
Проверяй (Мониторинг и ревью) - контролируйте и проверяйте результативность в достижении целей и выполнение политики непрерывности бизнеса, отчитывайтесь о результатах руководству для оценки, а также определяйте и санкционируйте действия по совершенствованию.
Влияй (Поддержка и улучшение) - поддерживайте и совершенствуйте BCMS, применяя корректирующие действия, основанные на результатах ревью руководства и переоценки сферы применения, а также задач BCMS и политики непрерывности бизнеса.

Большинство компаний, которые сталкиваются с необходимостью внедрения BCMS допускают ряд ошибок, которых можно избежать. Мы рассмотрим наиболее частые примеры.

1. Внедрение без надлежащей компетенции.
Наиболее распространенная ошибка, которая может привести к множеству других проблем создавая снежный ком.
Возможные причины:

• в структуре компании нет отдельной группы людей, которые несут ответственность за непрерывность бизнеса или они сочетают эту ответственность с другой работой;
• проблема с непрерывностью или задача по ее обеспечению уже появилась, а времени и ресурсов на обучение специалистов недостаточно. Ситуация может ухудшиться, если менеджер считает, что лучшее обучение это работа в реальных условиях (в продуктиве).

2. Отсутствие осознания важности BCMS и / или проявление лидерской и ресурсной пассивности.
Возможные причины:

• долгое время не сталкиваясь с трудностями, и купаясь в лучах успеха, руководство может не увидеть приближения "айсберга";
• фокус внимания менеджера, может быть смещен на другие аспекты;
• отсутствие необходимой компетенции и опыта, см. п.1.

3. Нецелесообразное форсирование внедрения BCMS, попросту говоря - спешка.
Возможные причины:

• стремление компании скорее добавить преимущество перед конкурентами;
• случился сбой и нужно срочно внедрить систему непрерывности;
• отсутствие у менеджмента или ответственных лиц необходимой компетенции и опыта, см. п.1.

4. Локальная сосредоточенность - слишком малый охват внедрения BCMS.
Возможные причины:

• низкий уровень зрелости бизнеса, компания работает по принципу "решения проблем по мере их поступления";
• отсутствие осознания важности BCMS и / или проявление лидерской и ресурсной пассивности, см. п.2.;
• отсутствие у менеджмента или ответственных лиц необходимой компетенции и опыта, см. п.1.

5. Отсутствие связи между целями компании и целями системы управления непрерывностью.
Возможные причины:

• внедрение без надлежащей компетенции см. п.1.;
• отсутствие осознания важности BCMS и / или проявление лидерской и ресурсной пассивности, см. п.2.;
• низкий уровень зрелости бизнеса, слабость стратегического и оперативного планирования.

Распространенные последствия:

• недостаточность или отсутствие доверия к подрядчику, который помогает / внедряет компании BCMS;
• упущение важных деталей при определении рисков в контексте организации;
• критические ошибки в оценке рисков и их влияния на бизнес-процессы, особенно рисков имеющие низкую вероятность;
• проблемы с разработкой симуляций сбоев и тестированием планов непрерывности;
• упущение проблем связанных с управлением цепочками поставок;
• отсутствие статистики о сбоях, нарушениях и других инцидентах, связанных с непрерывностью;
• отсутствие управляемости проекта, расфокусировки на задачах, срыв дедлайнов, рост бюджета проекта и недостаток ресурсов;
• снижение лояльности персонала и клиентов, потеря репутации и т.д.

В случае сбоя, BCMS помогает организации поддерживать уровень обслуживания своих клиентов. Позволяет топ-менеджменту оценивать потенциальные последствия нарушения работы, быстро принимать правильные решения, разворачивать эффективные меры реагирования и минимизировать общее воздействие на организацию.

Имея эффективную BCMS вы способны обеспечить непрерывность предоставления своих продуктов и услуг, а также выполнять действия, которые имеют решающее значение для успешного продолжения своей деятельности. Эти действия защищают активы, поток доходов и снижают риск дальнейших потерь в результате инцидента или стихийного бедствия.

Соответствие стандарту ISO 22301 может служить доказательством того, что ваша организация сделала необходимые шаги для соблюдения нормативных требований к эффективности программы управления непрерывностью бизнеса. Кроме того, такие нормативные акты как SOX, ISO 27001, GDPR, NIS Directive и HIPAA также являются примерами эффективной непрерывности бизнеса и имеют идентичные или схожие статьи.

BCMS позволяет вам контролировать, тестировать, обновлять и развертывать эффективные планы с учетом непредвиденных обстоятельств и возможностей организации, а также потребностей бизнеса.

Благодаря внедрению BCMS, Вы лучше понимаете реальное влияние потенциального бедствия, что позволяет лучше оценить тип и стоимость страхового покрытия, которое для него требуется.

Клиенты гораздо больше доверяют тем, кто может гарантировать непрерывность в обслуживании, поэтому все больше организаций требуют соответствия или сертификации ISO 22301 от поставщиков, которые хотят с ними сотрудничать. Особенно это касается компаний - лидеров рынка. Для них непрерывность процесса доставки товаров или услуг, является одним из основных требований к партнерам.

Внедрение BCMS включает в себя оценку всех бизнес-процессов, которая выявляет потенциальные недостатки и возможности их улучшения. Помогает организации сосредоточиться на своих целях и поддерживать стратегическое направление.