Реализуйте управление непрерывностью бизнеса в стратегическом планировании

Управление непрерывностью бизнеса (BCM) обеспечивает, чтобы критически важные функции организации оставались операционными для минимизации воздействия сбоев на заинтересованные стороны. Давайте рассмотрим практические шаги по внедрению управления непрерывностью бизнеса в контексте стратегического планирования.

Шаблон для управления непрерывностью бизнеса в BSC Designer. Источник: Business Continuity Management.

Подход к управлению непрерывностью бизнеса согласно ISO 22301 включает:

1. Идентификацию критически важных бизнес-элементов
2. Анализ угроз и рисков
3. Создание планов предотвращения и реагирования, включая тренинги и симуляции
4. Отслеживание и обучение на инцидентах

Чтобы интегрировать эти элементы в стратегическое планирование:

• Мы будем использовать метод декомпозиции на основе ценности
• Квантифицировать стратегии и планы с помощью показателей эффективности
• Поддерживать актуальные записи в виде инициатив, рисков и комментариев

Определение критически важных бизнес-элементов

Наша цель — выявить ключевые бизнес-элементы, критически важные для непрерывности бизнеса. Мы используем следующие перспективы в качестве отправной точки:

• Информационные системы
• Объекты и местоположения
• Партнеры и заинтересованные стороны
• Человеческие ресурсы
• Физические активы
• Финансовые ресурсы

Критически важные бизнес-элементы и их время восстановления. Источник: Business Continuity Management.

После определения элементов и подэлементов мы можем количественно оценить их восприимчивость к рисковым событиям, установив Цели времени восстановления (RTO).

Для Цели времени восстановления мы определяем:

• Единицы измерения (например, часы или дни)
• «Базовый уровень» как катастрофическое время восстановления
• «Цель» как желаемое время восстановления
• Текущее значение, как предполагаемое время восстановления на основе существующих технологий и политик

Цель времени восстановления для пользовательской базы данных Источник: Business Continuity Management.

С этими данными мы можем рассчитать производительность каждого бизнес-элемента с точки зрения восприимчивости или готовности в случае чрезвычайной ситуации.

В этом контексте:

• Низкое значение (например, более быстрое время восстановления) приведет к более высокой производительности
• Функция производительности не должна быть линейной; обширная область рядом с «катастрофическим» базовым уровнем должна быть красной зоной

Цель времени восстановления для пользовательской базы данных Источник: Business Continuity Management.

В BSC Designer:

• Определите необходимый базовый уровень восстановления, цель и текущее значение на вкладке Данные.
• Используйте функцию «Экспоненциальное убывание», чтобы создать функцию производительности с относительно небольшой зеленой зоной для времени восстановления, близкого к цели, и значительной красной зоной для более длительного времени восстановления.

Программа позволяет отслеживать RTO для каждого бизнес-элемента со временем.

Анализ угроз и рисков

Анализируйте потенциальные угрозы, используя эти перспективы в качестве отправной точки:

• Операционная
• Технологическая
• Экономическая
• Рабочая сила
• Безопасность и охрана
• Экологическая
• Репутация
• Юридическая

Для каждой соответствующей угрозы выполните разложение на конкретные риски и проведите Анализ Влияния на Бизнес (BIA).

Анализ угроз и рисков с оценкой риска. Источник: Business Continuity Management.

Например, вы можете разбить технологические угрозы на «Угрозы кибербезопасности» и далее на «Атака программ-вымогателей».

Риск в этом случае может быть количественно оценен с помощью простой формулы оценки риска, такой как вероятность, умноженная на воздействие. Различные способы определения рисков обсуждались в отдельной статье.

Сценарии реагирования

Разработайте сценарии реагирования на угрозы с самыми высокими оценками воздействия риска.

Типичный сценарий будет включать:

• Планы обеспечения непрерывности бизнеса (предотвращение, реагирование, восстановление)
• План коммуникации
• Планы тренинга и тестирования

Эти планы могут быть количественно оценены с помощью:

Метрика регулярного обновления

Охват тренинга

Успешность симуляций / упражнений

Планы обеспечения непрерывности бизнеса, определенные для сценария. Источник: Business Continuity Management.

Рассмотрим ‘Сценарий 1 — Атака вымогателя’, который разбит на:

• Планы обеспечения непрерывности бизнеса
• Тренинг и тестирование

Раздел ‘Планы обеспечения непрерывности бизнеса’ включает несколько инициатив:

• Стратегия предотвращения
• Стратегия реагирования
• Стратегия восстановления
• Планы коммуникации

В рамках ‘Планов коммуникации’ метрика ‘План регулярно пересматривается’ количественно оценивает частоту обновлений. Владелец метрики получает регулярные напоминания о пересмотре планов коммуникации, обеспечивая актуальность контактных лиц и их данных.

Планы обеспечения непрерывности бизнеса, определенные для сценария. Источник: Business Continuity Management.

Чтобы подтвердить эффективность инициативы ‘Стратегия реагирования’, мы количественно оцениваем ее с помощью индикатора ‘Симуляции / Упражнения’.

Раздел ‘Тренинг и тестирование’ включает инициативу ‘Тренинг и симуляция фишинговой атаки’, а также две метрики:

• Охват тренинга
• Симуляции / Упражнения

Хотя эти планы непрерывности представлены как инициативы, возможна их дальнейшая декомпозиция. Мы можем разбить их на более конкретные подцели и метрики.

Картирование инцидентов или нарушений

Для картирования активных инцидентов включите детали нарушения и анализ первопричин.

Для количественной оценки воздействия мы можем использовать индекс взвешенной оценки воздействия, состоящий из:

Финансовое воздействие

Воздействие на отношения с клиентами (количественно в процентах пострадавших клиентов)

Воздействие на операции (количественно в процентах пострадавших критических операций)

Юридическое и комплаенс воздействие (количественно через штрафы и другие юридические последствия)

Долгосрочное воздействие на репутацию (количественно в процентах потерянных клиентов за 1 год, связанных с кризисом)

Оценка воздействия с использованием взвешенного индекса. Источник: Business Continuity Management.

Чтобы автоматизировать этот индекс на платформе BSC Designer, рассмотрите возможность использования функции синхронизации из шаблона, которая позволяет поддерживать критерии количественной оценки воздействия синхронизированными с установленным шаблоном.

После разрешения инцидента:

• Обновите дату завершения в элементе ‘Детали нарушения и анализ’
• Измените его статус на ‘Завершено’
• Сформируйте карту извлеченных уроков и инициатив по улучшению
• Переместите группу ‘Инцидент 1’ в раздел ‘Прошлые инциденты’.

Наследование и интервалы обновления для индикаторов

В зависимости от природы количественной оценки, индикаторы в системе показателей непрерывности бизнеса необходимо настраивать различными способами.

Показатели, использующие предыдущие значения (унаследованные)

Показатели, количественно оценивающие RTO (время восстановления), настроены на использование унаследованных значений. На практике это означает, что RTO, определенное на текущий год, будет автоматически применено на следующий год, если не будет переопределено. Интервал обновления для этих показателей установлен на ежегодные или полугодовые обновления.

Показатели, используемые для количественной оценки BIA (анализа воздействия на бизнес), также настроены на использование унаследованных значений. Интервалы обновления в этом случае могут быть скорректированы в зависимости от ожидаемой динамики угрозы: ежемесячные для более динамичных угроз и ежеквартальные/ежегодные интервалы для стабильных угроз.

Настройка наследования значений для индикатора пересмотра плана. Источник: Business Continuity Management.

Метрики без повторного использования предыдущих значений (введенные значения)

Метрики, используемые для количественной оценки планов обеспечения непрерывности бизнеса, такие как «планы, пересматриваемые регулярно», «покрытие тренинга» и «имитационные упражнения», настроены на ежеквартальные или ежегодные интервалы обновления. В этом случае опция наследования настроена как «использовать введенные значения,» что означает, что мы не используем предыдущее значение для следующего периода.

Например, если планы отмечены как пересмотренные в текущем году, то на следующий год нам нужно будет пересмотреть планы снова и обновить состояние соответствующей метрики.

Метрики без запланированного обновления

Наконец, интервал обновления метрик, используемых для оценки влияния инцидентов, настроен как ‘Никогда‘, что указывает на наш интерес к фиксированию только текущего состояния индикатора без намерения отслеживать его изменения со временем.

Связь по контексту и данным

Основная концепция управления непрерывностью бизнеса включает установление связей между:

• Критическими бизнес-элементами
• Угрозами и рисками
• Сценариями
• Фактическими инцидентами

Создавая эти связи, мы предоставляем нашей команде все необходимые детали для эффективного реагирования на угрозы и извлечения уроков из инцидентов.

Для реализации этой концепции в стратегическом планировании мы связываем все упомянутые элементы по контексту. Таким образом, мы можем переходить от фактических инцидентов к соответствующим сценариям и, при необходимости, изучать угрозы и анализ рисков.

Установка наследования значения для индикатора пересмотра плана. Источник: Business Continuity Management.

/

Чтобы установить контекст в BSC Designer:

1. Скопируйте исходный элемент (например, соответствующий сценарий) в буфер обмена.
2. Выберите целевой элемент (например, инцидент, покрываемый сценарием).
3. Вставьте из буфера обмена и выберите ‘Связать по контексту’ или ‘Связать по данным’.

Контекстуальные связи будут доступны на вкладке ‘Контекст’ для обоих элементов.

Чтобы перейти между элементами, дважды щелкните по соответствующей связи.

Применяя ту же логику, стратегии реагирования с выделенными стратегическими системами показателей могут быть связаны с инцидентами, оценками рисков и критическими бизнес-элементами.

Стратегическая система показателей для реагирования на кризис: Использование COVID-19 в качестве примера

Стратегия обеспечения непрерывности бизнеса гарантирует общую готовность организации к кризисным событиям. В зависимости от масштаба кризиса может быть разработана конкретная стратегия реагирования. Пандемия COVID-19 была одним из таких примеров, когда такая стратегия помогла сфокусировать усилия и обеспечить стратегическую связь.

Давайте рассмотрим стратегию по COVID-19 как пример стратегии реагирования на кризис. Система показателей стратегии следовала классическому подходу Сбалансированной системы показателей:

The Covid-19 response strategy presented across the four perspectives of the Balanced Scorecard. Источник: Covid-19 Strategy Scorecard.

В перспективе обучения и развития мы сосредотачиваемся на навыках и инфраструктуре, необходимых для реализации стратегии обеспечения непрерывности бизнеса:

• Обучение сотрудников о COVID-19 (измеряется индикатором действия «Проникновение программы повышения осведомленности, %» и индикатором результата «% фактически реализованных практик«)
• Проведение глобального сценарного планирования (с некоторыми конкретными инициативами, связанными между собой)
• Связь ИТ-систем с вызовами удаленной работы
• Введение сотрудников в принципы удаленной работы

Во внутренней перспективе мы формулируем цели, связанные с внутренними бизнес-системами, которые помогут эффективно реализовать стратегию обеспечения непрерывности бизнеса:

• Защита рабочего персонала
• Стабилизация цепочки поставок
• Информирование заинтересованных сторон
• Реализация удаленной работы (включая стратегические встречи для распределенной команды)

В перспективе заинтересованных сторон мы сосредотачиваемся на потребностях наших заинтересованных сторон (сотрудников, клиентов, партнеров). Здесь мы определяем такие цели, как:

• Прогнозирование влияния на потребности в здравоохранении
• Прогнозирование влияния на образовательные потребности
• Прогнозирование влияния на повседневные потребности

Другим важным заинтересованным лицом является сообщество и его потребности. Если у вас есть специальная система показателей для некоммерческих организаций, то вы найдете там аналогичную цель.

Шаблон карты стратегии обеспечения непрерывности бизнеса включает несколько инициатив, связанных с целью «Потребности сообщества». Эти инициативы описывают возможные способы, как организация может внести свой вклад:

• Перепрофилирование производственных линий. Например, Inditex, владелец розничной сети Zara, начинает производить больничные халаты.
• Перепрофилирование продуктов и услуг. Например, Decathlon передает маски для сноркелинга в больницы. Splendid от MSC Group был переоборудован в больничное судно.
• Вклад в социальное дистанцирование.  Например, Чешская почта позволяет отправлять бесплатные заказные письма через свою «Datová schránka» в период объявленного чрезвычайного положения.

Из-за ограничений на поездки многие компании перешли с форматов мероприятий в очном режиме на онлайн-мероприятия. Хотя затраты на платформы для потоковой передачи ниже, организациям необходимо бороться за внимание участников. В этой статье мы делимся нашим подходом к онлайн-мероприятиям, который доказал свою эффективность в плане вовлеченности клиентов и долгосрочного воздействия на бизнес.

Наконец, в финансовой перспективе мы определяем соответствующие финансовые цели и ожидаемые результаты. В данном случае речь идет о:

• Влиянии на доходы
• Соответствующих страховых полисах

Используйте шаблон Business Continuity Management

BSC Designer помогает организациям реализовывать их сложные стратегии:

1. Зарегистрируйтесь на бесплатный план на платформе.
2. Используйте шаблон Business Continuity Management в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов.
3. Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.

Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!