Вестник цифровой трансформации CIO.RU

Непрерывность бизнеса как необходимость
Непрерывность бизнеса как необходимость

Искандер Конеев, эксперт по непрерывности бизнеса (имеет сертификат Британского института непрерывности бизнеса уровня Member of Business Continuity Institute), авторизованный переводчик методики по непрерывности бизнеса Института.


14:28 24.11.2016  |  0 Комментариев | Искандер Конеев | 2598 просмотров



В некоторых отраслях уже появились регулирующие требования для предприятий в вопросах поддержания бесперебойности функционирования процессов, особенно это характерно для тех организаций, чей бизнес вступил в фазу цифровой трансформации. ИТ-директорам необходимо заблаговременно подготовиться к этим требованиям и уже сейчас подумать о том, где они смогут найти специалистов, обладающих опытом обеспечения непрерывности бизнес-процессов.

РЕКЛАМА

Опубликован атлас

Агентство стратегических инициатив и школа управления «Сколково» разработали и регулярно обновляют «Атлас новых профессий». В этом документе указано, какие профессии в России завершат свое существование к 2030 году, а какие, наоборот, появятся. Этот весьма полезный инструмент может помочь руководителям предприятий понять, к каким потребностям рынка имеет смысл подготовиться и каким направлениям стоит уделить внимание уже сейчас.

Одной из профессий, которые должны появиться после 2020 года, станет «менеджер непрерывности бизнеса». В ее описании указано, что это специалист, который обеспечивает бесперебойность бизнес-процессов при возникновении проблем или отключении ИТ-систем предприятия вследствие кибератак, программных ошибок, техногенных катастроф, влияющих на работу Сети, и других форс-мажорных ситуаций.

Что же на самом деле понимается под непрерывностью бизнеса и как овладеть соответствующей специальностью? К сожалению, сегодня в России нет единства в понимании этого термина, существуют различные его интерпретации и даже указанное в атласе определение не до конца соответствует тому сложившемуся пониманию, которое существует в тех странах, где такая профессия уже существует достаточно продолжительное время.

Россия, следуя мировым технологическим тенденциям, принимает передовые зарубежные практики, положенные в основу международных стандартов (в частности, ISO), формализуя их в виде стандартов ГОСТ. Тут случаются коллизии. Если мы посмотрим на англоязычный термин «business continuity», с которого собственно и начинается данное направление, то в стандарте ГОСТ 22300 «Безопасность в чрезвычайных ситуациях. Термины и определения» он переведен как «непрерывность деятельности». А в стандарте ГОСТ 22301 «Системы менеджмента непрерывности бизнеса. Общие требования» термин переводится как «непрерывность бизнеса». И это, к сожалению, не единственное подобное расхождение.

Теперь посмотрим, как именно определяют оба этих стандарта непрерывность бизнеса. В одном случае это «способность организации продолжать производство продукции или оказание услуг на приемлемом, заранее заданном уровне после инцидента, нарушившего ее деятельность». А во втором – «стратегическая и тактическая способность организации планировать свою работу в случае инцидента и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне».

Несмотря на определенную разницу, оба определения говорят об одном и том же – о важнейшей функции обеспечения устойчивости предприятия в условиях возможного нарушения его деятельности. И тогда становится понятно, что определение профессии менеджера непрерывности бизнеса в атласе дано не совсем верно. Никакой специалист, если он не обладает сверхчеловеческими способностями, не сможет в одиночку «обеспечить» бесперебойность работы предприятия – его задачей будет организация обеспечения такой бесперебойности подразделениями и другими сотрудниками организации.

Специалист широкого профиля

Второй важный момент, на который нужно обратить внимание, – это связь с информационными технологиями. В наше время ИТ-системы – это сердце практически любого предприятия, с ними же обычно связано и большинство инцидентов, нарушающих деятельность организации. Однако менеджеру непрерывности для обеспечения полноценной устойчивости своей организации к сбоям, авариям и катаклизмам придется заниматься и предметами, не связанными с ИТ. Например, создавать условия для устойчивой работы поставщиков и всей цепочки поставок услуг и товаров своему предприятию – от бумаги для принтера до питания сотрудников. Кроме того, чтобы управлять бесперебойностью бизнес-процессов, ему придется понимать эти бизнес-процессы хотя бы на минимальном уровне, то есть погружение в специфику бизнеса тоже неизбежно. А еще есть аспекты управления защитой бренда – ведь торговая марка тоже может пострадать в случае обнародования сведений об аварии или иных неприятностях.

Для понимания того, какие же именно области включает в себя непрерывность бизнеса, можно поискать стандарты по номеру серии ISO 223xx или по термину «business continuity» – и увидеть большой список нормативов. Кроме указанных выше глоссария и общих требований, здесь будут документы по построению системы управления непрерывностью бизнеса, обеспечению устойчивости организации, по непрерывности цепочки поставок, анализу влияния на бизнес, массовой эвакуации, использованию добровольцев, структуре обмена информацией, по проведению тренировок, установлению партнерства, реагированию на инциденты, оповещению общества. А если поискать дополнительные источники, то можно найти еще и руководства по обеспечению управления людьми в критических ситуациях, общему кризисному управлению, обеспечению устойчивости ИТ-систем и многое другое.

Таким образом, очевидно, что наш менеджер должен быть специалистом широкого профиля.

Видимо, если профессия должна начать получать распространение пусть не к 2020 году, а хотя бы к 2025-му, то высшие учебные заведения уже сейчас должны начинать подготовку методической и преподавательской базы по этому направлению, набирать первых студентов. Однако если мы поищем в сети информацию по данному вопросу, то пока мы увидим только предложения по отдельным курсам, которые скорее относятся к переподготовке специалиста, а не к формированию академического направления.

Источники знаний

Куда же обратиться тем, кто хочет развить свою компетенцию в сфере обеспечения непрерывности бизнеса, если упомянутых курсов недостаточно? Хорошо, если человек владеет английским языком на уровне чтения литературы – он может использовать и многообразие перечисленных выше стандартов, и множество литературы от опытных профессионалов, и услуги целых учреждений, работающих в данной области и представленных в Интернете. Среди последних наиболее авторитетными и предоставляющими для изучения большое количество профессиональной информации являются Институт непрерывности бизнеса (Business Continuity Institute, thebci.org) и Международный институт восстановления после катастроф (Disaster Recovery Institute International, drii.org). Эти институты выпустили свои подробные методики построения систем управления непрерывностью бизнеса, они публикуют дополнительные предметные руководства, а также статьи по отдельным вопросам непрерывности бизнеса.

К сожалению, на русском языке доступных материалов гораздо меньше. В первую очередь это, конечно, ГОСТы: те, о которых мы говорили выше, а также некоторые другие, в том числе новые, которые регулярно выходят в связи с выходом или обновлением соответствующих серий международных англоязычных версий.

В тематических и отраслевых журналах встречается некоторое количество более или менее подробных статей по вопросам непрерывности бизнеса, в том числе и в «Директоре информационной службы» (http://www.osp.ru/os/2012/01/13012922). Но нужно понимать, что, читая статью или даже серию статей, невозможно погрузиться в тему настолько, чтобы стать специалистом хотя бы начального уровня. Для сравнения, методики Института непрерывности бизнеса или Международного института восстановления после катастроф, подробно поясняющие все аспекты процессов управления непрерывностью бизнеса, – это книги объемом более 100 страниц текста.

Если же попытаться найти книгу на русском языке, то поиск покажет, что сосчитать их можно по пальцам одной руки. Как мы видим, база для получения знаний по дисциплине непрерывности бизнеса очень ограниченна.

Говоря про непрерывность бизнеса, необходимо упомянуть такой источник получения квалифицированных знаний и опыта, как консультационные услуги в этой области. Несмотря на относительную новизну темы непрерывности, в некоторых отраслях уже появились регулирующие требования для предприятий и организаций по вопросам поддержания бесперебойности функционирования процессов, особенно это характерно для международных компаний или финансовых организаций.

Раз имеются требования, значит формируется и спрос на обеспечение соответствий этим требованиям. К сожалению, в условиях обозначенного выше дефицита специалистов и экспертов в области непрерывности порой вполне разумное требование по обеспечению бесперебойной работы вырождается в формальные мероприятия.

Например, регулятор требует не построения полноценной системы управления ею, а только наличия результирующего артефакта, каковым обычно является «План непрерывности бизнеса». Соответственно, предприятие, у которого требуют наличие такого плана, тоже воспринимает это требование как формальное и заказывает у внешнего консультанта только проработку этого вопроса. Недобросовестный консультант выполняет заказ без подробного анализа и обсуждения всех аспектов непрерывности бизнеса, просто выдавая в итоге красивый, но не соответствующий действительности документ. К реальному обеспечению непрерывности бизнеса это не имеет отношения, и в ситуации разрушительного инцидента предприятие окажется в той же степени неготовности, которая была до разработки такого формального плана.

По этой причине общение с консультирующими компаниями как с источниками знаний по данной теме требует осторожности и предварительной оценки их реальной квалификации.

* * *

Инициативы, связанные с обеспечением непрерывности бизнеса, часто критикуют за высокую затратность соответствующих мероприятий при их неочевидной пользе для организации. Действительно, разрушительный инцидент, возможно, никогда не произойдет, а время и средства для построения системы управления непрерывностью, обеспечения ее ресурсами и проведения различных мероприятий нужно потратить уже сейчас. Однако такое представление обычно складывается из-за неполного понимания специфики и масштаба работы системы, причем нередко как раз по вине недобросовестных консультантов. Полноценно функционирующая система управления непрерывностью бизнеса создает немало инструментов, полезных для предприятия. Карта бизнес-процессов с их приоритизацией, реестр рисков для продуктов и услуг организации, уровни критической потребности персонала, связь ИТ-систем и бизнес-процессов, их использующих, сплачивание коллектива в ходе совместных тренировок – вот только часть полезных результатов, которые можно извлечь в ходе построения эффективной системы.


Теги: Цифровая трансформация