Контроль стабильности

Анализ этапов и подходов к применению технологии обеспечения непрерывности бизнеса. Изучение мониторинга СУНБ обеспечивающего непрерывное совершенствование внутренних условий деятельности организации, повышающего надежность системы внутреннего контроля.

Рубрика Экономика и экономическая теория
Вид статья
Язык русский
Дата добавления 21.07.2017
Размер файла 28,7 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Контроль стабильности: почему промышленным гигантам не нужен склад, но их поставщикам не прожить без плана обеспечения непрерывности деятельности

Кенигсберг Роман

У германского автогиганта отсутствует склад материалов и готовой продукции. Все его поставщики гарантируют ему поставку материалов за полчаса до их использования на конвейере, иначе поставщику грозит штраф, способный привести его к банкротству. Так автогигант обеспечивает стабильность своего производства, отсекая риски, связанные с контрагентами. бизнес непрерывность контроль надежность

Естественно, что поставщик, подписывая такое соглашение, должен отдавать себе отчет в том, как он сможет управлять непрерывностью поставок продукции. При этом он должен четко понимать цель своей деятельности, необходимые для ее достижения ресурсы и средства контроля за рисками потери непрерывности своей деятельности.

Непрерывность является важным условием деятельности многих производств и сервисов, например, энергетики, транспорта, телекоммуникационной сферы, платежных и охранных систем, медицинского обслуживания, металлургического производства, коммунальных хозяйств и т.п. При размещении крупных заказов или реализации инвестиционных проектов также целесообразно получить гарантии непрерывности основных процессов подрядчиков.

Любой организации при нарастании неопределенности в ее деятельности следует обратить внимание на вопросы управления непрерывностью бизнеса, тем самым обеспечив стабильность процессов и получив существенные конкурентные преимущества в общении с контрагентами.

Ни одна из организаций, к сожалению, полностью не защищена от воздействия чрезвычайных ситуаций, таких как эпидемия, пожар, теракт, выход из строя технических средств, сбои в работе информационных систем, нарушение коммунальной инфраструктуры, перебои в электроснабжении, дефицит ликвидности, отказ организаций-контрагентов от выполнения своих обязательств, нарушение информационной безопасности, забастовки и т.п.

Данная статья посвящена вопросам разработки и внедрения плана обеспечения непрерывности и восстановления деятельности организации в случае наступления чрезвычайных ситуаций (сокращенно -- плана ОНиВД).

Формализация процесса управления непрерывностью бизнеса обеспечивает не только возможность эффективного контроля за рисками потери, непрерывности его, но и повышает надежность всей системы внутреннего контроля в организации.

Данная статья имеет три основные части. В первой определяется область управления непрерывностью деятельности и его место в общей контрольной системе организации. Вторая часть посвящена практическим вопросам формализации процесса управления непрерывностью деятельности. В третьей части раскрываются вопросы внедрения инструментов управления непрерывностью деятельности и контроля его эффективности.

Надеюсь, что статья будет полезна специалистам в области менеджмента и контроля, позволит повысить надежность управленческих систем и расширить горизонты стратегических планов, что будет способствовать сохранению стоимости бизнеса организации.

Управление непрерывностью деятельности в системе управления организацией

Непрерывность бизнеса -- это состояние постоянного и непрерывного осуществления деловых операций .

Данным параметром можно и нужно управлять. Целью данного процесса управления является минимизация возникших в результате нарушения последствий -- финансовых, юридических, материальных, репутационных и др.

Управление непрерывностью деятельности кажется похожим на стандартные механизмы управления рисками, но это более глубокий процесс. Управление рисками направлено на обеспечение минимизации воздействия рисков на деятельность организации до пределов установленных риск-аппетитов, включая предотвращение возможности реализации рисков. Управление непрерывностью обеспечивает стабильность осуществления и/или своевременное восстановление операций, даже если воздействие рисков вышло за пределы допустимых уровней, т.е. когда система управления рисками допустила сбой.

Как и система управления рисками, процесс управления непрерывностью бизнеса охватывает все стороны деятельности организации и основан на использовании политик и процедур для осуществления или своевременного возобновления операций в случае их нарушения.

Одним из таких документов является план ОНиВД -- детальный план действий, определяющий процедуры и системы, необходимые для продолжения или возобновления организацией операций в случае их нарушения.

Но достаточно ли для эффективного управления непрерывностью бизнеса разработать и утвердить набор аварийных планов, довести их до сведения персонала и применять их при возникновении непредвиденных ситуаций? Как показывает практика, недостаточно.

План ОНиВД является одним из элементов комплексной системы управления организацией. Как и другие компоненты системы управления, он предназначен для обеспечения стратегических целей, а его эффективность зависит от качества остальных компонентов системы управления. Поэтому разработке плана ОНиВД зачастую сопутствует пересмотр таких систем, как управление рисками, управление качеством, планирование деятельности и бюджетирование, комплаенс-контроль, система функционально-стоимостного анализа, система внутреннего контроля.

Организация, обладающая четкой стратегией своего развития, понимает свое предназначение, какую деятельность и как она осуществляет. Четкость ответа на данные вопросы позволяет определить критерии непрерывности деятельности.

В моей практике встречались организации, которые не могли сформулировать критерии своей непрерывности. Например, у банка отсутствовало понимание, в течение какого периода времени он обязан восстановить обслуживание клиентов, чтобы избежать репутационных и финансовых потерь. Для определения критериев непрерывности может понадобиться проанализировать условия договоров с клиентами, сложившиеся параметры обслуживания или поставок, коммерческие условия, предлагаемые конкурентами.

В примере с поставщиком автозавода, о котором упомянул в начале, все понятно, он должен поставить заданный объем автокомпонентов заданного уровня качества в заданный промежуток времени. Соответственно, он должен обеспечить резервы, позволяющие выполнить данные обязательства даже при сбое основного производства или логистической системы.

От стратегии развития зависит и качество системы управления рисками. Стратегические цели определяют профиль рисков, влияющих на их достижение, и сложность системы управления рисками. Целенаправленная и эффективная система управления рисками позволяет своевременно выявлять и адекватно реагировать на угрозы бизнесу, учитывать стоимость рисков при планировании и бюджетировании деятельности.

При наличии задокументированных бизнес-процессов, соответствующих требованиям применимого законодательства и иным обязательствам организации, например, связанных со стандартами качества, у организации возникает возможность эффективно оценивать и прогнозировать операционные риски, использовать средства контроля за операционными рисками.

Стоимость реализации того или иного процесса или даже отдельной процедуры может быть скалькулирована на основе функциональностоимостного анализа, который, в свою очередь, базируется на прозрачной системе планирования и бюджетирования. Современные технологии учета позволяют оценить полную себестоимость и прибыль от реализации каждой операции в интересах любого отдельного клиента, распределив данные показатели на каждый ресурс, использованный в выполнении данной операции.

Понимание критериев непрерывности деятельности, устройства бизнес-процессов и связанного с каждым процессом профиля операционных рисков позволяет реализовать эффективный процесс управления непрерывностью деятельности, который, в свою очередь, наряду с комплаенс-контролем и бюджетным контролем является залогом реализуемости стратегических целей организации.

Попробуйте убрать из этой системы любой элемент, и система развалится:

* например, можно предусмотреть существенные резервы для обеспечения непрерывности процессов, которые будут соответствовать применимому законодательству, но не суметь оценить эффективность издержек на процесс обеспечения непрерывности деятельности. С большой вероятностью деятельность может прерваться в связи с ее убыточностью, в том числе из-за избыточных расходов на резервные ресурсы. Есть и обратные примеры, когда необходимые организации ресурсы не выделяются по причине отсутствия возможности оценить эффективность их применения из-за несовершенной системы анализа деятельности;

оптимизация издержек на резервные ресурсы за счет игнорирования требований применимого законодательства (например, можно в авральном режиме выпустить и доставить необходимый объем комплектующих, но ненадлежащего качества) приведет к репутационным и финансовым потерям, создаст дополнительную угрозу непрерывности деятельности;

отсутствие внедренного и регулярно тестируемого плана ОНиВД в случае наступления чрезвычайных ситуаций может привести к остановке предприятия.

Как показывает практика создания систем управления непрерывностью бизнеса (СУНБ), данный процесс является итерационным, предполагает постепенное совершенствование.

На первом этапе осуществляется декларирование необходимости обеспечения непрерывности бизнеса. Данную стадию проходят практически все организации, поскольку любой предприниматель надеется на стабильность своего бизнеса (если, конечно, это не «фирма-однодневка»).

На второй стадии осуществляется разработка политики обеспечения непрерывности деятельности. Организация не только надеется на непрерывность своей деятельности, но и понимает, с помощью каких процедур и ресурсов она будет ее обеспечивать.

На третьей стадии внедряются эффективные средства контроля непрерывности деятельности. Внутренний аудит проверяет наличие резервных ресурсов, правильность и своевременность применения аварийных планов, предоставляет менеджменту гарантии адекватности системы управления непрерывностью условиям ведения бизнеса. В случае неадекватности ее масштабам деятельности организации инициируются мероприятия по совершенствованию системы управления.

Системы управления непрерывностью бизнеса четвертой (высшей) степени зрелости характеризуются встроенностью инструментов обеспечения непрерывности бизнеса в повседневные процессы. Например, клиенту телекоммуникационной компании все равно, основным или резервным каналом связи он пользуется, система управления автоматически переключается между основными и резервными ресурсами и процессами. Таким образом, целям обеспечения непрерывности деятельности подчинены не отдельные резервные источники и специальные процедуры, а вся система управления организацией и все используемые ею ресурсы.

Уровень зрелости СУНБ, необходимый конкретной организации, зависит от масштабов и условий ее деятельности. Так, например, для энергетических и телекоммуникационных компаний, коммунальных хозяйств, спасательных служб и платежных систем требуется высший уровень организации системы непрерывности деятельности. Для предприятий торговли, например, достаточно будет СУНБ третьей степени зрелости.

Кроме того, следует учитывать, что создание СУНБ «с нуля» требует постепенного прохождения стадий зрелости.

Начиная разработку плана ОНиВД, следует ответить на ряд вопросов.

1. Зачем разрабатывать план ОНиВД?

У организации должна быть потребность в обеспечении непрерывности, определяемая стратегией развития и условиями ведения бизнеса. процессы и критерии непрерывности (восстановления) деятельности.

Ответив на данный вопрос, мы можем сформулировать и ключевые

Кто бенефициар плана ОНиВД?

Здесь есть искушение ответить, что бенефициаром плана ОНиВД является руководство организации или ее собственники, что уже неправильно. Потребность в непрерывности нашей деятельности или в ее своевременном восстановлении существует у наших контрагентов, в первую очередь у наших клиентов, поэтому наиболее заинтересованными в данной разработке подразделениями должны быть те, кто отвечает за работу с клиентами.

Кто должен разрабатывать план ОНиВД?

Этот вопрос обязательно будет задан, поскольку руководству организации нужно делегировать кому-то данную задачу.

Формировать план ОНиВД должен тот, кто:

умеет разрабатывать внутренние документы;

обладает навыками описания бизнес-процессов;

имеет доступ к информации о правах и обязанностях всех сотрудников;

видит сквозные процессы в организации;

знает особенности реализации ключевых бизнес-процессов.

Если последние три условия не выполняются, можно провести предварительное обследование деятельности организации и получить всю необходимую информацию.

Как правило, всеми перечисленными компетенциями обладают бизнес-технологи, если они существуют в организации. В банках и крупных корпорациях существуют службы внутреннего контроля (не путать с внутренним аудитом), которые разрабатывают процессы контроля за деятельностью организации. В небольших компаниях данными компетенциями могут обладать внутрикорпоративные юристы. Не стоит забывать и о возможности привлечения внешних компетенций в виде бизнес-консультантов.

Часто встречается мнение, что план ОНиВД могут разработать внутренние аудиторы. У них хватает и компетенций, и прав на доступ к информации в любом подразделении. Но следует помнить о том, что при переходе к третьему уровню организации СУНБ - контролю эффективности СУНБ -- у внутреннего аудитора, разрабатывавшего план ОНиВД и участвующего в проверке его эффективности, возникнет конфликт интересов.

Для разработки плана ОНиВД целесообразно организовать рабочую группу, в которую включить представителей всех подразделений, обеспечивающих те или иные ресурсы для ключевых процессов, а также клиентских менеджеров. Как показывает практика, при разработке такого сквозного процесса, как процесс управления непрерывностью деятельности, необходимо согласовывать подчас противоположные точки зрения риск-менеджеров, ИТ-специалистов, сотрудников службы обеспечения безопасности, юристов, сотрудников финансовых служб.

Как разрабатывать план ОНиВД?

Здесь есть искушение сделать все быстро, взяв за шаблон чужой план ОНиВД или стандарт, заменив в нем наименования организации и подразделений. Будет ли этот план рабочим? Скорее всего, нет, поскольку условия обеспечения непрерывности (восстановления) деятельности индивидуальны, зависят от конкретных обязательств перед клиентами, особенностей организации процессов, требований законодательства, применимого к конкретной отрасли, и т.п. Как правило, последующее тестирование такой «одежки с чужого плеча» свидетельствует о формальности документа и возвращает процесс разработки плана в начальную точку.

Вначале целесообразно провести предварительное обследование деятельности организации, определить ключевые процессы и ресурсы, затем предложить основные мероприятия на случай аварий и обсудить с членами рабочей группы их реализуемость и экономическую целесообразность. Может понадобиться несколько итераций таких обсуждений, пока специалисты не согласуют оптимальный набор аварийных планов и ресурсов для их реализации. Важно выработать правильный механизм согласования мнений или назначить авторитетного модератора.

Какие сроки необходимы для разработки плана ОНиВД?

Стандартных сроков для разработки плана не существует. Обычно

на это требуется несколько месяцев. Следует помнить о том, что растягивая сроки на разработку плана, организация сталкивается с потерей актуальности информации о базовых процессах, непрерывность которых и должна быть обеспечена. Соответственно, слишком поздно завершив формирование плана ОНиВД, приходится сразу приступать к его актуализации.

Как часто следует пересматривать план ОНиВД?

Частота пересмотра плана зависит от частоты обновления основных бизнес-процессов и критериев их непрерывности (восстановления), а также от результатов тестирования плана.

Кто отвечает за реализацию и обновление плана ОНиВД?

Ответственность за обновление плана ОНиВД и реализацию аварийных планов может быть разделена. Инициатором обновления плана ОНиВД может быть руководство организации или клиентские менеджеры. Ответственность за реализацию аварийных планов должна быть включена в функциональные обязанности вовлеченных в данный процесс сотрудников организации.

Основные проблемы плана ОНиВД

Решение вышеуказанных вопросов позволит решить основные проблемы, с которыми сталкиваются разработчики СУРБ.

* Формальность плана, когда он разрабатывается по принципу «чтобы было», не предполагая его применение на практике.

Фрагментарность плана, когда он разрабатывается в отношении только какого-то отдельного ресурса (например, информационной системы) или отдельного подразделения. Применение таких планов в случае наступления инцидента может быть обессмыслено отсутствием координации между всеми участниками процесса. Например, информационная система будет непрерывно работать, но сотрудники не будут ею пользоваться.

Отсутствие индикаторов непрерывности деятельности. Без четких критериев непрерывности (восстановления) бизнеса и системы учета показателей непрерывности невозможно обеспечить эффективность применения аварийных планов. Например, организация мобилизует сотрудников на выполнение чрезвычайных процедур, задействует дополнительные ресурсы, а клиент все равно признает организацию ненадежной и расторгает с нею отношения. Проблема может быть как в неправильной организации плана ОНиВД, так и в несвоевременности или неправильности его применения сотрудниками организации.

Разовая разработка. Отсутствие процесса мониторинга СУНБ приводит к потере актуальности плана ОНиВД. Не исключено, что потребность в применении плана может возникнуть уже после истечения его «срока годности».

Отсутствие ответственных за применение и обновление плана ОНиВД. Пословица «У семи нянек дитя без глаза» применима к ситуации, когда вопросы обеспечения непрерывности бизнеса решаются каждым подразделением самостоятельно либо каждый уверен в том, что обеспечивать непрерывность бизнеса должен кто-то другой.

Структура плана ОНиВД

План ОНиВД может быть как единым документом, так и представлять собой совокупность внутренних документов, утверждаемых на разных уровнях корпоративной иерархии. Например:

Стратегия обеспечения непрерывности.

Данный документ определяет:

ключевые процессы и требования к ним,

— типовые угрозы непрерывности деятельности,

— индикаторы непрерывности (восстановления) деятельности,

— ключевые ресурсы, используемые для обеспечения непрерывности (восстановления) деятельности,

— инструменты ОНиВД,

— инструменты контроля за ресурсами,

— требования к срокам и объемам восстановления операций.

Стратегию обеспечения непрерывности целесообразно утвердить

совету директоров организации.

Политика управления непрерывностью деятельности.

Данный документ определяет:

органы управления непрерывностью и восстановлением деятельности,

— роли и обязанности участников процесса управления непрерывностью и восстановлением деятельности,

— типовые процедуры ОНиВД,

— порядок принятия решения о переводе в чрезвычайный режим,

— перераспределение обязанностей и полномочий между подразделениями и служащими в условиях чрезвычайного режима,

— повседневные процедуры ОНиВД (резервное копирование, обучение сотрудников и т.п.),

— отчетность по результатам процедур ОНиВД,

— порядок аудита процедур ОНиВД,

— порядок пересмотра плана ОНиВД по результатам аудита и мониторинга инцидентов.

Политику управления непрерывностью деятельности целесообразно утвердить на уровне совета директоров организации или коллегиального органа управления.

Политика информационного обмена в случае чрезвычайной ситуации.

Данный документ регламентирует порядок информирования руководства организации, экстренных служб, сотрудников организации, клиентов, контрагентов, надзорных органов и средств массовой информации.

Политика информационного обмена в случае чрезвычайной ситуации также может утверждаться советом директоров организации или коллегиальным органом управления.

Подробные аварийные планы для каждой типовой угрозы.

Процедуры обеспечения непрерывности (восстановления) деятельности будут различаться в зависимости от типа (или комбинации типов) инцидентов.

Аварийный план для каждого типа инцидентов должен содержать процедуры реагирования на чрезвычайную ситуацию, процедуры обеспечения непрерывности критических процессов, процедуры восстановления деятельности организации.

Аварийные планы могут утверждаться коллегиальным или единоличным органом управления.

Смета процедур ОНиВД.

Очень важный документ, о котором часто забывают. Управление непрерывностью деятельности, как правило, требует использования дополнительных ресурсов. Кроме того, дополнительные процедуры увеличивают трудозатраты на выполнение операций. Дополнительные издержки должны быть учтены в бюджетах. Только после согласования смет ОНиВД план можно считать утвержденным. В противном случае мероприятия по обеспечению непрерывности могут потребовать пересмотра с целью поиска оптимального формата их реализации.

Решения исполнительного органа о выделении ресурсов на ОНиВД.

Ресурсами, необходимыми для обеспечения ОНиВД, являются резервные помещения, каналы связи, оборудование, резервы ликвидности, рабочее время сотрудников, контракты со специализированными компаниями и т.п.

Карты ОНиВД для каждого подразделения (сотрудника) организации.

Как в большой пьесе актеру второго плана наиболее интересен только маленький фрагмент с его непосредственным участием, так и для каждого сотрудника или подразделения организации может быть выделен фрагмент общего плана ОНиВД, в котором предполагается их участие.

Подготовка карт ОНиВД позволяет в компактной форме изложить все необходимые сотруднику процедуры на случай реализации каждого типа инцидентов.

Необходимо своевременно актуализировать индивидуальные карты ОНиВД по мере актуализации общих документов.

Индивидуальная карта ОНиВД может утверждаться руководством подразделения или руководством организации.

Стратегия тестирования ОНиВД.

Данный документ является частью системы внутреннего контроля и определяет виды применяемых тестов плана ОНиВД, периодичность тестирования, индикаторы адекватности плана ОНиВД.

Данный документ целесообразно утвердить совету директоров организации.

Программа обучения сотрудников организации процедурам ОНиВД.

Данный документ предусматривает периодичность обучения и тестирования сотрудников организации, состав тем, по которым предусматривается обучение и тестирование, ответственных за обучение и тестирование сотрудников. Данная программа может быть частью общей программы обучения и повышения квалификации сотрудников, действующей в организации.

Процесс разработки плана ОНиВД

При разработке плана ОНиВД необходимо определить:

критически важные виды деятельности;

типы инцидентов, угрожающих нормальному ходу критически важных процессов;

каким образом происходит фиксация наступления инцидента;

максимальный срок прерывания критически важного вида деятельности;

параметры реализации критически важных процессов в чрезвычайном режиме;

максимальный срок, в течение которого критически важный вид деятельности должен быть возобновлен на нормальном уровне;

факторы, от которых зависит реализация критически важных видов деятельности;

ресурсы, используемые для реализации критически важных видов деятельности;

ресурсы, достаточные для реализации критически важных видов деятельности в чрезвычайном режиме;

ресурсы, необходимые для процедур восстановления критически важных видов деятельности.

Как видно инциденты по-разному влияют на ресурсы и факторы критического бизнес-процесса, который, в свою очередь, основан на пяти основных ресурсах -- кадрах, помещениях и оборудовании, средствах связи, информационных системах и денежных средствах. Так, эпидемии и забастовки в большей степени влияют на обеспеченность процессов персоналом, стабильность взимоотношений с клиентами и контрагентами. Аварии коммунальных служб (например, отключение водоснабжения или электроснабжения) влияют в первую очередь на обеспечение процессов помещениями и связанной с ними инфраструктурой. Техническим инцидентам подвержены информационные системы, оборудование и каналы связи. Шоки на финансовых рынках влияют на обеспеченность процессов денежными средствами. Природные и техногенные катастрофы влияют как на персонал, клиентов и контрагентов, так и на обеспеченность процессов помещениями и средствами связи. Специфика воздействия инцидентов на факторы обеспечения процессов делает целесообразной и специализацию аварийных планов.

Далее для каждого типа инцидентов следует определить набор процедур, необходимых для адекватного реагирования на чрезвычайную ситуацию, для работы в чрезвычайном режиме и для процедур восстановления деятельности, в том числе:

состав участников данных процедур;

функции каждого из участников;

ответственных за своевременность и точность реализации каждой процедуры;

условия и порядок активации плана;

контактную информацию для координации участников с использованием различных способов связи, вплоть до места общего сбора на случай недоступности иных видов связи;

порядок управления в чрезвычайном режиме, регламент замещения ответственных лиц;

порядок объявления режима чрезвычайной ситуации;

порядок взаимодействия с аварийными службами;

порядок взаимодействия с внешними исполнителями аварийных планов;

условия и порядок отмены режима чрезвычайной ситуации;

приоритетность реализации процедур восстановления деятельности;

порядок обеспечения ресурсов, необходимых для восстановления деятельности;

порядок информирования заинтересованных сторон, в том числе родственников сотрудников, акционеров, регуляторов, средства массовой информации.

Аварийный план можно разделить на три основные стадии: реакция на событие, обеспечение непрерывности и восстановление деятельности, -- которые во времени могут пересекаться за счет их параллельной реализации разными типами исполнителей. Для каждой стадии аварийного плана будет характерен свой набор процедур и ресурсов.

Внедрение плана ОНиВД: встраивание в бизнес-модель и обеспечение эффективности процесса

Допустим, что план ОНиВД разработан и отправлен в архив организации до худших времен. Можно ли руководству организации спать спокойно, зная, что подсказки на случай различных инцидентов уже заготовлены? Для этого план ОНиВД необходимо внедрить. Основными процедурами его внедрения являются:

обучение персонала;

заключение соглашений с провайдерами услуг и ресурсов;

закупка (аренда) резервных помещений и оборудования;

внесение изменений в организационную структуру и описание бизнес-процессов;

внесение изменений в должностные инструкции и, возможно, трудовые договоры.

Для эффективного внедрения плана целесообразно сформировать рабочую группу, в которую могут войти:

руководитель исполнительного органа (руководитель кризисного комитета) -- координирует деятельность рабочей группы;

юридическая служба -- отвечает за правовые вопросы;

ИТ-служба -- отвечает за адекватность информационных систем и оборудования и связанных с ними процедур;

административно-хозяйственный отдел -- отвечает за адекватность помещений и связанных с ними процедур;

технологи -- отвечают за внесение необходимых изменений в бизнес-процессы организации, связанные с планом ОНиВД;

служба персонала -- отвечает за обеспеченность плана ОНиВД адекватными кадрами, обучение и тестирование персонала;

служба безопасности -- отвечает за адекватность систем физической защиты, информационной безопасности и сохранности материальных и интеллектуальных ресурсов организации;

служба внутреннего контроля -- отвечает за организацию адекватных средств контроля за эффективностью системы управления непрерывностью деятельности;

консультанты -- отвечают за качество методологической поддержки, минимизируют сроки и затраты на внедрение плана ОНиВД.

Для обеспечения эффективности процесса управления непрерывностью деятельности необходимо организовать мониторинг данного процесса. Предусмотренные планом ОНиВД мероприятия должны анализироваться на их необходимость, достаточность и эффективность.

Мониторинг плана ОНиВД может быть организован в виде тестирования (учений), регулярного аудита, а также обобщенного анализа на уровне руководства.

Тестирование плана ОНиВД проводится со следующими целями:

определить возможность выполнения плана ОНиВД;

оценить степень подготовки сотрудников к реализации плана в целом и его отдельных модулей;

оценить реакцию контрагентов и экстренных служб на обращения организации в кризисной ситуации;

выявить возможные недостатки в процедурах ОНиВД и направления для их дальнейшего совершенствования.

Тестирование плана ОНиВД может проводиться в форме учений или моделирования чрезвычайных ситуаций.

Для тестирования плана необходимо назначить группу наблюдателей, осуществляющих контроль выполнения мероприятий и составление протокола тестирования и отчета о проведении тестирования плана ОНиВД.

В качестве наблюдателей могут приглашаться внешние независимые консультанты.

Аудит процедур ОНиВД проводится внутренними или внешними аудиторами для получения гарантий:

адекватности предусмотренных процедур ОНиВД масштабам деятельности и профилю потенциальных угроз;

актуальности плана ОНиВД с учетом изменений в деятельности организации с момента последнего обновления плана;

соответствия реализованных мероприятий плану внедрения ОНиВД;

эффективности ОНиВД на основе анализа последствий реализовавшихся инцидентов;

эффективности системы внутреннего контроля в части ОНиВД с учетом наблюдения за последствиями тестирования плана ОНиВД.

По результатам тестирования плана ОНиВД и аудита процедур ОНиВД руководство организации может принять решения о необходимости:

изменения критериев непрерывности (восстановления) деятельности;

изменения условий договоров с контрагентами, влияющими на параметры непрерывности (восстановления) деятельности;

уточнения перечня и периметра критических бизнес-процессов;

пересмотра процедур ОНиВД;

совершенствования основных бизнес-процессов;

уточнения потребности в ресурсах для обеспечения непрерывности и/или восстановления деятельности.

Таким образом, мониторинг СУНБ обеспечивает непрерывное совершенствование внутренних условий деятельности организации, повышает надежность всей системы внутреннего контроля в организации.

Литература

1. ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство».

2. ГОСТ Р 53647.2-2009 «Менеджмент непрерывности бизнеса. Часть 2. Требования».

3. ГОСТ Р 53647.3-2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению».

4. Положение Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

5. Руководящие принципы обеспечения непрерывности бизнеса. Базельский комитет, 2006.

6. Стандарт «Система управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации. Спецификация», утвержден Советом АРБ от 16.12.2010.

7. Basel Committee on Banking Supervision. The Joint Forum. High-level principles for business continuity, August 2006.

8. BS 25999-1:2006, Business continuity management. Part 1: Code of practice.

9. BS 25999-2:2007, Business continuity management. Part 2: Specification.

10. BIP 2142:2007, The Route Map to Business Continuity Management. Meeting the Requirements of BS 25999 NEQ.

11. NFPA 1600, Standard on Disaster/Emergency Management and Business Continuity Programs. National Fire Protection Association, USA.

12. Recommendations for Business Continuity Management (BCM), Swiss Bankers Association.

Размещено на Allbest.ru

...

Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.