Недавно The BCI (один из лидирующих институтов ведущих свою деятельность в области организационной устойчивости и непрерывности деятельности) выпустил свой регулярный отчет «BCI Operational Resilience Report 2023» совместно с Riskonnect (решения в области риск-менеджмента).
Один из вопросов для респондентов был «Есть ли разница между «организационной устойчивостью» и «операционной устойчивостью». Судя по ответам и достаточно ожидаемо - разницы для большинства респондентов и в большинстве организаций нет. А еще коллеги по итогу изучения отчета подняли тему того, что The BCI ввел еще один новый термин «организационная устойчивость» в дополнение к «непрерывность бизнеса» и «операционная устойчивость».
На Хабре по запросу «Непрерывность бизнеса», «DRP», «BCP», «BIA» найдется порядочное количество статей от моих коллег (с некоторыми коллегами знаком лично, а с некоторыми даже посчастливилось какое-то время поработать совместно) на тему восстановления информационных систем, тестирования ИС, отказоустойчивой инфраструктуры и еще несколько тем. Но практически нет слов о том «А откуда вообще это все пошло, как изменяется, куда идет и почему.».
Я решил это исправить, написать статью и ответить на вопросы: «Откуда пошло обеспечение непрерывности деятельности и операционная устойчивость?», «Как изменяется?», «Куда идет и почему?».
Поделиться своими мыслями о развитии отрасли и ее текущем де-факто состоянии при зрелом (и не очень) уровне внедрения, которые сформировал для себя.
«А кто ты?» - спросите вы. Представлюсь, меня зовут Сергей Рогачев, эксперт в области проектирования и внедрения процессов обеспечения непрерывности деятельности, операционной устойчивости и нефинансовых рисках. В прошлом сотрудник таких компаний, как Инфосистемы Джет, PwC, Accenture, Райффайзен Банк в ролях эксперта (SME) и руководителя функций непрерывности бизнеса. За плечами более 13 лет в ИТ и управлении проектами, и более 7 лет в области BCM&OpRes. И как раз за последние несколько лет практики, несколько десятков проектов в области непрерывности деятельности и ИТ, несколько успешных внедрений процессов непрерывности в ландшафты компаний сформировал определенное виденье отрасли. Данную концепцию стараюсь доносить до представителей бизнеса. А также хочу поделиться с вами.
Заранее извините за лонгрид. В формате очных выступлений возможностей по высказыванию своих мыслей и ведению дискуссии, безусловно, сильно больше. Буду очень рад мнениям коллег и приятной неформальной дискуссии. Поехали.
BCM&OpRes, на мой взгляд, уже давно стало «зонтиком» для многих функций внутри компании. Своего рода медиатором и фасилитатором для разных функций, единой базой знаний в компании вместе с драйвером позитивных изменений.
Многие из вас, читатели, я уверен, сталкивались в своей работе с элементами непрерывности бизнеса (BCM) в своих компаниях, будь вы сотрудниками департамента ИТ (инфраструктура чаще и раньше, продакты и scrum-мастера - предположу, только относительно недавно начали сталкиваться (в ходе аудиторских проверок скорее всего), рисковики и сотрудники аудита, и даже если вы работаете в бизнес-подразделениях, то наверняка кто-то из вас тоже смог встречаться с элементами процессов обеспечения непрерывности.
И не смотря на это я часто встречаю удивление, непонимание и, порой, даже достаточно критическое ответное суждение, когда говорю о «зонтичной» роли функции обеспечения непрерывности деятельности и операционной устойчивости в компании. Хотя на протяжении нескольких лет подряд - мы отчетливо видим именно этот факт. Дальше попробую показать развитие и трансформацию отрасли на фактах.
Все идет своим чередом и развивается, Business Continuity (а теперь Business resilience или Operational Resilience) не исключение. Но с чего она начиналась и как превращается в «зонтик»?
В целом, для меня причина недопонимания и критическая позиция со стороны владельцев (business owners) различных функций ясна - любой лидер, руководитель и специалист считает, что его функция важна, каждый является экспертом в своем деле и все работают неизменно на отлично на благо компании. И недопонимание возникает как раз в последнем - люди начинают полагать, что раз никто «из вне их функции» не разбирается в тонкостях их дела (и с этим глупо спорить - в тонкостях, как правило, нет), то и внешняя отдельная функция (Business continuity) не может быть «зонтиком» для них, а с коммуникациями со смежными подразделениям у них проблем нет (а вот тут как раз практика показывает, что крайне редко проблем нет, хоть и сложно это признают внутри организаций). Да, политическую сторону вопроса, полномочия и лишний «нос со стороны» тоже обязательно держим в уме, но говорить об этом публично не принято;-)
Давайте взглянем на историю и развитие отрасли. Вспомним с чего все начиналось уже много лет назад и пройдемся по различным бизнес-функциям внутри современных крупных компаний.
Рассмотрим функцию ИТ
Лично я считаю, что как таковое зарождение функции обеспечения непрерывности зародилось в ИТ-функции (позволю себе такую вольную мысль, как выходцу из ИТ;-)) - было IT Disaster recovery. Про DRP (disaster recovery plan) помните?
Любой уважающий себя администратор сам и в добровольном порядке готовил для себя средства резервирования, скрипты перезапуска серверов и переезда в резервную ноду и так далее. Потом разнесенные ЦОДы, СУБД и много много чего другого. Много лет назад не было такой информатизации и цифровизации - и проблемы ИТ волновали только ИТ, для большинства представителей бизнес-функций ИТ оставалось за ширмой и не замечали отчетливую корреляцию между функционирование ИТ-ландшафта и бизнес-показателями их функций.
Все бизнес-подразделения были заняты своими процессами - цифровизация и автоматизация была далека от современности. Все у них решалось ручным управлением внутри этих самых бизнес-подразделений.
И вот по мере усложнения процессов появилась специализация business continuity - оценка рисков и их митигация на уровне бизнес-подразделений. Нет, я не говорю, что других функций не было. Поэтому идем дальше.
Функция риски
Риски существуют очень давно и безусловно являются важной функцией. Особенно финансовые. Но только в сравнительно недавние года началось пересечение рисков (их еще называют нефинансовыми рисками) - появились операционные риски, стратегические, технологические (часто в них и входят ИТ-риски с ИБ-рисками, хотя последние года ИБ-риски начинают «созревать» и выходить в свободное плавание), проектные, методологические и другие риски. Функция рисков активно развивается и растет, и обеспечивает тем самым пересечение и взаимосвязь (синергию?) традиционных рисков и непрерывности деятельности. Ну что, дальше?
Функция аудит
Кто сможет сказать о наличии процедур внутри самой организации, иметь гарантии их эффективности и зрелости? Только аудит, независимая функция от всех других, крайне желательно с прямым подчинением CEO или правлению, или акционерам. А что же непрерывность бизнеса - тоже предоставляет независимый взгляд на множество функций, так как взаимодействует по роду своей обязанностей со всеми функциями, заглядывая во все бизнес-процессы компании, во всех операционные подразделения, ИТ-команды, ИС.
Подметили сходство? Определенно есть. Поэтому тесная интеграция процесса обеспечения непрерывности бизнеса, контролей данного процесса и процессов внутреннего аудита крайне эффективно и полезно для всей организации в целом, особенно ключевых стейк-холдеров бизнеса. Продолжаем.
Функция комплаенс
Комплаенс есть во многих функциях. В ИТ, в ИБ, в финансах, в HSE и далее. Необходимость соблюдать корпоративные стандарты, а в некоторых отраслях (финансы, например, или Oil&Gas в части HSE) регуляторные требования, да еще и ужесточающиеся все сильнее с каждым годом - а за несоблюдение, какие последствия для организаций наступают? Все верно. Штрафы, предписания, вплоть до приостановки деятельности и отзыва лицензий. Чем не риски непрерывности деятельности?
Получается, что и здесь есть тесная связь между функциями комплаенса и непрерывностью деятельности.
Функции физической безопасности, АХУ, HSE
Без этих функций невозможно представить любую современную организацию крупнее малого бизнеса (да и то, есть отрасли, где HSE важнейший элемент в производственных процессах). И именно эти функции, как правило, отвечают за инженерные средства безопасности и обеспечения жизнедеятельности зданий (офисов), а также безопасность сотрудников и клиентов.
Любые средства пожарной безопасности, СКУД, системы видеонаблюдения, ДГУ, учебные эвакуации и другое - взаимодействие напрямую с ними и никак без них. Классические сценарии прерывания деятельности организации - это недоступность офисов (по различным сценариям), отключение электроснабжения, запасы резервного топлива и функционирование ДГУ и АВР, учебные тренировки сотрудников - прямые точка соприкосновения функции непрерывности деятельности и рассматриваемых функций.
Кризис менеджмент
И без него сейчас никуда в компаниях чуть крупнее средних. Множество внешних факторов, которые могут реализовываться практически молниеносно и нужно оперативно на них реагировать. Единицы управленческого состава готовы брать на себя ответственность и принимать реальные шаги без согласования и отмашки на самом верху. Увы, но факт. Еще одна точка прироста для Business continuity и Operational Resilience. И это еще не все!
Информационная безопасность!
ИБ безусловно появилась давно. Но только относительно недавно в ISO 27000 был добавлен домен Business Continuity. Да и в целом так активно, как последние несколько лет ИБ не развивалась никогда.
Плотная интеграция с повсеместной цифровизацией и уходом продуктов в онлайн, продуктовая разработка, пресловутый Agile со всеми подмножествами фреймворков аля SAFe/LeSS и так далее - дало развитие практики DevSecOps.
Драматически возрастающий потенциальный ущерб для организаций от реализации кибер-рисков. Количество «копателей» (читай злоумышленников), которые хотят удаленно попытаться сорвать куш и остаться незамеченными, растет в геометрической прогрессии. Вот драйвер для теснейшего пересечения Business Continuity и Информационной безопасности и зарождение CyberResilience.
А разница Cyber Security и CyberResiliense в чем?
В компенсирующих и восстановительных мероприятиях. То что является основой Business Continuity уже достаточно много лет.
Есть еще ряд функций, с которыми требуется плотное взаимодействие, если есть желание добиться максимальной эффективности от функции BCM&OpRes - это HR и Юридическая функция, в некоторых случаях также Коммерческий блок в части закупочных процедур. Подробно не буду останавливаться на этом. Возможно, в следующих статьях, где более предметно расскажу об аспектах взаимодействия функции непрерывности деятельности и операционной устойчивости с другими корпоративными функциями.
Что же мы имеем в итоге?
Вот таким нехитрым обзором и перечислением мы пришли к тому, что элементы непрерывности деятельности (business continuity) со временем стали присутствовать во всех функциях компании, или если сказать иначе, то цели, задачи, методы функции непрерывности бизнеса присутствуют во всех других функциях компании.
BCM&OpRes стали красной нитью через всю компанию или «зонтиком».
Это не означает, что все другие функции теряют свою самостоятельность и независимость - конечно нет! Наоборот. Это означает лишь одно, что функция BCM&OpRes выступает в роли фреймворка в части методов, подходов и контролей в других функциях.
При правильном внедрении и восприятии функции BCM&OpRes множество функций смогут быть оптимизированы и повышена их эффективность, останется меньше «белых» пятен в Бизнес- и ИТ- ландшафте компании, появится наглядный дашборд для руководства (всех уровней) о состоянии внутри функций, о коммуникациях и взаимодействии со смежными функциями.
Появится функция, которая помогает отдельным функциям взаимодействовать с их коллегами, доносить узкие места и трудности, которые каждая из них испытывает. Будут видны возможные стоп-факторы и риски трудностей взаимодействия.
Появится фактура для четких и формализованных инициатив (а при достаточном количестве полномочий или наличия прямого вовлечения со стороны C-уровня компании, и наличия ряда других условий - дорожная карта реализации этих инициатив, кросс-чек функций, подспорье и база знаний для функций рисков и аудита.
А дальше?
А дальше мне видятся несколько путей развития, в зависимости от зрелости организации и корпоративной культуры. У всех из них есть свои плюсы и минусы. Какой путь выгоднее, эффективнее и удобнее - оставлю подумать читателям. А для себя выводы уже давно сделаны и апробированы мной на практике.
Ниже несколько слов о различных вариантах в завершение статьи.
Функция BCM&OpRes будет входит в одну из наиболее релевантных на первый взгляд функций. Например, внутренний аудит. Но есть свои трудности.
Заключаются в следующем - функция аудита по своей сути должна быть независима и не участвовать в деятельности других функций. И здесь возникает расхождение подходов - функция BCM&OpRes вовлекается в деятельность других функций, совместно с ними ищет возможные решения, помогает при взаимодействии со смежными функциями, выступают в роли помощника и фасилитатора, привносит свою экспертность.
Аудит же должен оставаться независимым и не иметь конфликта интересов с другими функциями. Значит скорее всего, на мой взгляд, данный подход академически неверен и врядли будет жизнеспособен в массе своей (хотя исключения, полагаю, возможны). Уже мало чему удивляюсь.
Интеграция в функцию информационной безопасности. Достаточно распространенный на текущий момент случай. Особенно ввиду усиливающихся позиций ИБ внутри организаций и увеличивающего регулирования в данной области со стороны регуляторов и государства. Вспомните появление указа 250 или 787П, 716П, ГОСТ 57580 и ряда других регламентирующих документов. Для других регионов могут быть свои драйверы, в том числе локальные аспекты регулирования или корпоративные стандарты.
Трудности заключаются в том, что текущая культура и стадия проникновения функции ИБ в бизнес-сервисы и функции компании находится на достаточно начальном этапе с точки зрения «дружелюбности». ИБ по сей день в большинстве своем случаев воспринимается как стоп-фактор многими ИТ-командами.
Есть еще один важный аспект - уровень зрелости ИБ-рисков. К сожалению, корректно оценивать потенциальные риски и ущерб умеют малое количество подразделений ИБ. Дефицит квалифицированных кадров в виду фокуса на технических аспектах безопасности, а не бизнес- или ИТ-ных.
Функция BCM&OpRes более зрелая в части риск-оценки и понимания бизнес-функций, сервисов и продуктов компании. Поэтому в случае интеграции BCM&OpRes в функцию ИБ для ИБ имеет смысл использовать этот аспект, как усиление своих компетенций и заимствование экспертизы. Тогда их можно вполне успешно «подружить».
Интеграция или развитие функции BCM&OpRes внутри функции рисков. Так же очень распространенный вариант. И на данный момент наиболее эффективный ввиду того, что риск-культура функций достаточно схожа, методологии похожи и общая цель так же близка. Обе функции заинтересованы в выявлении рисков, оценке последствий рисков, разработке мер по митигации и общем повышении риск-культуры внутри компании и отдельно взятых функций.
Функция BCM&OpRes находится внутри ИТ, развивается и растет из нее. Данный подход был еще очень распространен несколько лет назад, так как DR-процедуры зарождались именно внутри ИТ (в частности инфраструктуре), как я упоминал в самом начале статьи. Сейчас же таких вариантов все меньше. При этом встречается разделение BCM&OpRes на две части (направления):
a) На BCM направление - бизнес-часть с проведением Business impact analysis (BIA), разработкой BCP и кризисными учениями для топ-менеджмента и руководства бизнес-функций;
b) На ИТ направление - с разработкой Disaster recovery plans (DRP) и тестированием переключения ИС на резервные контура.
Лично мое мнение, что это случай достаточно архаичен и допустим только в случае теснейшего взаимодействия двух направлений, но в таком случае это порождает дублирование функций и ряд других сложностей, что в итоге теряет всякий смысл подобного разделения даже в краткосрочной перспективе. ИТ-направление не обладает, как правило, информацией о бизнес-процессах и функциях внутри компании, финансовыми показателями потерь, достаточными реестрами рисков и ряд других ограничений. Намного более эффективно объединение данных направлений в одной функции.
И есть еще один путь развития - это независимая функция BCM&OpRes внутри организации с четкими целями: вовлекаться и оказывать содействие в выявлении «бутылочных горлышек» в процессах и функциях компании, сопровождение изменений и трансформаций внутри организации, быть единой базой знаний и центром компетенций с точки зрения методологии операционной устойчивости, а также быть единым дашбордом для всех функций и руководителей всех уровней о существующем состоянии.
На этом я закончил общее описание целей и задач функции BCM&OpRes. Поделился своим взглядом на это направление деятельности. Надеюсь было интересно и полезно. С удовольствием приму участие в дискуссии, отвечу на возможные вопросы и дам пояснения заинтересованным здесь или в тематическом канале Continuity & Resilience.
P.S.: впереди я подумываю опубликовать еще несколько статей более предметных и применимых на практике. Stay tuned.
UPD: Опубликовал новую статью на Хабре - «Бумажная» VS. «Реальная» Непрерывность бизнеса и Операционная устойчивость.