Управление непрерывностью бизнеса (BCM) гарантирует, что критические функции организации остаются рабочими, чтобы минимизировать влияние сбоев на заинтересованные стороны. Давайте рассмотрим практические шаги по внедрению управления непрерывностью бизнеса в контексте стратегического планирования.
Подход к управлению непрерывностью бизнеса согласно ISO 22301 включает:
- Определение критических бизнес-элементов
- Анализ угроз и рисков
- Создание планов предотвращения и реагирования, включая тренинги и симуляции
- Отслеживание и обучение на инцидентах
Чтобы интегрировать эти элементы в стратегическое планирование:
- Мы будем использовать метод декомпозиции, основанный на ценности
- Квантифицировать стратегии и планы с помощью метрик производительности
- Поддерживать актуальные записи в форме инициатив, рисков и комментариев
Определение критически важных бизнес-элементов
Наша цель — выявить ключевые бизнес-элементы, критически важные для непрерывности бизнеса. Мы используем следующие перспективы в качестве отправной точки:
- Информационные системы
- Объекты и местоположения
- Партнеры и заинтересованные стороны
- Человеческие ресурсы
- Физические активы
- Финансовые ресурсы
После определения элементов и подэлементов мы можем количественно оценить их восприимчивость к рисковым событиям, установив Цели времени восстановления (RTO).
Для Цели времени восстановления мы определяем:
- Единицы измерения (например, часы или дни)
- «Базовый уровень» как катастрофическое время восстановления
- «Цель» как желаемое время восстановления
- Текущее значение, как предполагаемое время восстановления на основе существующих технологий и политик
С этими данными мы можем рассчитать производительность каждого бизнес-элемента с точки зрения восприимчивости или готовности в случае чрезвычайной ситуации.
В этом контексте:
- Низкое значение (например, более быстрое время восстановления) приведет к более высокой производительности
- Функция производительности не должна быть линейной; обширная область рядом с «катастрофическим» базовым уровнем должна быть красной зоной
В BSC Designer:
- Определите необходимый базовый уровень восстановления, цель и текущее значение на вкладке Данные.
- Используйте функцию «Экспоненциальное убывание», чтобы создать функцию производительности с относительно небольшой зеленой зоной для времени восстановления, близкого к цели, и значительной красной зоной для более длительного времени восстановления.
Программа позволяет отслеживать RTO для каждого бизнес-элемента со временем.
Анализ угроз и рисков
Анализируйте потенциальные угрозы, используя эти перспективы в качестве отправной точки:
- Операционная
- Технологическая
- Экономическая
- Рабочая сила
- Безопасность и охрана
- Экологическая
- Репутация
- Юридическая
Для каждой соответствующей угрозы выполните разложение на конкретные риски и проведите Анализ Влияния на Бизнес (BIA).
Например, вы можете разбить технологические угрозы на «Угрозы кибербезопасности» и далее на «Атака программ-вымогателей».
Риск в этом случае может быть количественно оценен с помощью простой формулы оценки риска, такой как вероятность, умноженная на воздействие. Различные способы определения рисков обсуждались в отдельной статье.
Сценарии реагирования
Разработайте сценарии реагирования на угрозы с самыми высокими оценками воздействия риска.
Типичный сценарий будет включать:
- Планы обеспечения непрерывности бизнеса (предотвращение, реагирование, восстановление)
- План коммуникации
- Планы тренинга и тестирования
Эти планы могут быть количественно оценены с помощью:
Метрика регулярного обновления
Охват тренинга
Успешность симуляций / упражнений
Рассмотрим ‘Сценарий 1 — Атака вымогателя’, который разбит на:
- Планы обеспечения непрерывности бизнеса
- Тренинг и тестирование
Раздел ‘Планы обеспечения непрерывности бизнеса’ включает несколько инициатив:
- Стратегия предотвращения
- Стратегия реагирования
- Стратегия восстановления
- Планы коммуникации
В рамках ‘Планов коммуникации’ метрика ‘План регулярно пересматривается’ количественно оценивает частоту обновлений. Владелец метрики получает регулярные напоминания о пересмотре планов коммуникации, обеспечивая актуальность контактных лиц и их данных.
Чтобы подтвердить эффективность инициативы ‘Стратегия реагирования’, мы количественно оцениваем ее с помощью индикатора ‘Симуляции / Упражнения’.
Раздел ‘Тренинг и тестирование’ включает инициативу ‘Тренинг и симуляция фишинговой атаки’, а также две метрики:
- Охват тренинга
- Симуляции / Упражнения
Хотя эти планы непрерывности представлены как инициативы, возможна их дальнейшая декомпозиция. Мы можем разбить их на более конкретные подцели и метрики.
Картирование инцидентов или нарушений
Чтобы картировать активные инциденты, включите детали нарушения и анализ первопричин.
Для количественной оценки воздействия мы можем использовать взвешенный индекс оценки воздействия, состоящий из:
Финансовое воздействие
Воздействие на отношения с клиентами (количественно в процентах пострадавших клиентов)
Воздействие на операции (количественно в процентах критически важных операций, затронутых)
Юридическое и комплаенс воздействие (количественно в виде штрафов и других юридических последствий)
Долгосрочное воздействие на репутацию (количественно в процентах потерянных клиентов в течение 1 года, что связано с кризисом)
После разрешения инцидента:
- Обновите дату завершения в элементе ‘Детали нарушения и анализ’
- Измените его статус на ‘Завершено’
- Картируйте извлеченные уроки и инициативы по улучшению
- Переместите группу ‘Инцидент 1’ в раздел ‘Прошлые инциденты’.
Наследование и интервалы обновления для индикаторов
В зависимости от природы количественной оценки, индикаторы в системе показателей непрерывности бизнеса необходимо настраивать различными способами.
Показатели, использующие предыдущие значения (унаследованные)
Индикаторы, количественно оценивающие RTO (время восстановления), настроены на использование унаследованных значений. На практике это означает, что RTO, определенное для текущего года, будет автоматически применяться в следующем году, если не будет переопределено. Интервал обновления этих индикаторов установлен на ежегодное или полугодовое обновление.
Индикаторы, используемые для количественной оценки BIA (анализ влияния на бизнес), также настроены на использование унаследованных значений. Интервалы обновления в этом случае могут быть скорректированы в зависимости от ожидаемой динамики угрозы, используя ежемесячные для более динамичных угроз и ежеквартальные/ежегодные интервалы для стабильных угроз.
Метрики без повторного использования предыдущих значений (введенные значения)
Метрики, используемые для количественной оценки планов обеспечения непрерывности бизнеса, такие как «планы, пересматриваемые регулярно», «покрытие тренинга» и «имитационные упражнения», настроены на ежеквартальные или ежегодные интервалы обновления. В этом случае опция наследования настроена как «использовать введенные значения,» что означает, что мы не используем предыдущее значение для следующего периода.
Например, если планы отмечены как пересмотренные в текущем году, то на следующий год нам нужно будет пересмотреть планы снова и обновить состояние соответствующей метрики.
Метрики без запланированного обновления
Наконец, интервал обновления метрик, используемых для оценки влияния инцидентов, настроен как ‘Никогда‘, что указывает на наш интерес к фиксированию только текущего состояния индикатора без намерения отслеживать его изменения со временем.
Связь по контексту и данным
Основная концепция управления непрерывностью бизнеса включает установление связей между:
- Критически важными элементами бизнеса
- Угрозами и рисками
- Сценариями
- Реальными инцидентами
Создавая эти связи, мы обеспечиваем нашу команду всеми необходимыми деталями для эффективного реагирования на угрозы и извлечения уроков из инцидентов.
Для реализации этой концепции в стратегическом планировании мы связываем все упомянутые элементы по контексту. Таким образом, мы можем перейти от реальных инцидентов к соответствующим сценариям и, при необходимости, изучить угрозы и анализ рисков.
Чтобы установить контекст в BSC Designer:
- Скопируйте исходный элемент (например, соответствующий сценарий) в буфер обмена.
- Выберите целевой элемент (например, инцидент, охваченный сценарием).
- Вставьте из буфера обмена и выберите ‘Связь по контексту’ или ‘Связь по данным’.
Контекстуальные связи будут доступны на вкладке ‘Контекст’ для обоих элементов.
Для навигации между элементами дважды щелкните на соответствующую связь.
Применяя ту же логику, стратегии реагирования с выделенными стратегическими системами показателей могут быть связаны с инцидентами, оценками рисков и критически важными элементами бизнеса.
Стратегическая система показателей для ответа на кризис: пример использования COVID-19
Стратегия непрерывности бизнеса обеспечивает общую готовность организации к кризисной ситуации. В зависимости от масштаба кризиса может быть разработана конкретная стратегия реагирования. Пандемия COVID-19 была таким примером, когда такая стратегия помогла сосредоточить усилия и обеспечить стратегическую связь.
Давайте рассмотрим стратегию COVID-19 как пример стратегии реагирования на кризис. Стратегическая система показателей следовала классическому подходу сбалансированной системы показателей:
В перспективе обучения и развития мы сосредотачиваемся на навыках и инфраструктуре, необходимых для реализации стратегии непрерывности бизнеса:
- Обучение сотрудников по COVID-19 (измеряется с помощью индикатора действия «Проникновение программы осведомленности, %» и индикатора результата «% фактически реализованных практик«)
- Проведение глобального сценарного планирования (с некоторыми конкретными инициативами, связанными)
- Связь ИТ-систем с вызовами удаленной работы
- Знакомство сотрудников с принципами удаленной работы
Во внутренней перспективе мы формулируем цели, связанные с внутренними бизнес-системами, которые помогут эффективно реализовать стратегию непрерывности бизнеса:
- Защита рабочей силы
- Стабилизация цепочки поставок
- Информирование заинтересованных сторон
- Внедрение удаленной работы (включая стратегические встречи для распределенной команды)
В перспективе заинтересованных сторон мы фокусируемся на потребностях наших заинтересованных сторон (сотрудников, клиентов, партнеров). Здесь мы обозначаем такие цели, как:
- Предвидение влияния на потребности в здравоохранении
- Предвидение влияния на образовательные потребности
- Предвидение влияния на повседневные потребности
Другим важным заинтересованным лицом является сообщество и его потребности. Если у вас есть специализированная система показателей для некоммерческих организаций, то вы найдете аналогичную цель там.
Шаблон карты стратегии непрерывности бизнеса включает несколько инициатив, связанных с целью «Потребности сообщества». Эти инициативы описывают возможные способы, как организация может внести свой вклад:
- Перераспределение производственных линий. Например, Inditex, владелец сети магазинов Zara, начинает производство больничных халатов.
- Перепрофилирование продуктов и услуг. Например, Decathlon передает маски для снорклинга в больницы. Splendid от MSC Group был переоборудован в больничное судно.
- Вклад в социальное дистанцирование. Например, Чешская почта позволяет отправлять бесплатную заказную почту через «Datová schránka» в течение объявленного чрезвычайного положения.
Из-за ограничений на путешествия многие компании перешли от форматов мероприятий в личном присутствии к онлайн-мероприятиям. Хотя затраты на платформы для стриминга ниже, организациям необходимо бороться за внимание участников. В этой статье мы делимся нашим подходом к онлайн-мероприятиям, который доказал свою эффективность в плане вовлеченности клиентов и долгосрочного влияния на бизнес.
Наконец, в финансовой перспективе мы обозначаем соответствующие финансовые цели и ожидаемые результаты. В данном случае речь идет о:
- Влияние на доход
- Применимые страховые полисы
Используйте шаблон Business Continuity Management
BSC Designer помогает организациям реализовывать их сложные стратегии:
- Зарегистрируйтесь на бесплатный план на платформе.
- Используйте шаблон
Business Continuity Management в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов.
- Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.
Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!
Alexis является старшим консультантом по стратегии и генеральным директором BSC Designer с более чем 20-летним опытом в области стратегического планирования. Alexis разработал «Систему внедрения стратегии из 5 шагов», которая помогает компаниям в практической реализации их стратегий. Он является постоянным докладчиком на отраслевых конференциях и опубликовал более 100 статей по управлению стратегией и производительностью, включая книгу «Система KPI из 10 шагов». Его работы часто цитируются в академических исследованиях.