ср
22
августа
первая полоса
EGZT.ru
Алексей Бореалис: "Непрерывность бизнеса похожа на вторую линию обороны"
Генеральный директор компании "Регул" об обеспечении непрерывности бизнеса
21 2011 12:41
Алексей Бореалис

- Алексей, в каких направлениях бизнеса работает Ваша компания "Регул"?

- Мы являемся узкоспециализированной компанией, занимаемся преимущественно непрерывностью бизнеса, в меньшей степени - операционными рисками в целом. Основное направление затрагивает большой цикл управления непрерывностью, которые включает в себя не только IT, но так же персонал, здания, контрагентов, регуляторов и любую другую составляющую крупного бизнеса.

- Расскажите, пожалуйста, поподробнее о том, что такое непрерывность.

- Непрерывность бизнеса можно понимать, как способность организации выстоять, пережить, даже не столько саму чрезвычайную ситуацию, сколько её последствия.

Фактически, большинство компаний обладает прекрасными навыками экстренного реагирования: менеджеры знают, как вызвать МЧС и скорую, обладают навыками эвакуации работников и ключевого имущества. Но все это еще не является непрерывностью бизнеса, так как для организации самый опасный период начинается после устранения инцидента, в период устранения его последствий, когда требуется восстановить производственные мощности и возобновить производственные процессы - нанять новый персонал, отстроить здание, поставить оборудование и т.д. Обычно это занимает от нескольких недель до нескольких месяцев. Опасность состоит в неполноценном функционировании компании в этот период, поскольку она не предоставляют минимально необходимый для удержания на рынке объем продуктов и услуг . Это грозит потерей ключевых контрагентов, прямыми финансовыми убытками, или иными потерями в объемах, достаточных, чтобы потерять ключевые позиции, или просто потерять способность к восстановлению.

Часто компании не могут выполнить минимальный объем обязательств перед регуляторами, что равносильно отзыву лицензий. По данным Международного института изучения проблем восстановления после аварий (DRII) 93% компаний, которые ухитрились восстановиться после чрезвычайных ситуаций, не имея при этом четкого плана обеспечения непрерывности ключевой деятельности, впоследствии продержались на рынке не более 5 лет. А 50% компаний, которые приостановили бизнес более, чем на 10 дней, перестали функционировать вовсе. Исходя из этих данных, я и отвечу на вопрос о том, что такое непрерывность бизнеса.

Это план мероприятий, который направлен на оперативное восстановление ключевых продуктов и услуг, на период ликвидации последствий масштабного инцидента что позволяет компании не уйти с рынка на время планомерного восстановления общей деятельности.

Один эксперт сравнивал непрерывность бизнеса со второй линией обороны. Он говорил так, что когда немцы подступали к городу, то защитники окружали его глухим кольцом, но на всякий случай выделяли небольшую группу людей, которая должна была находиться на минимальном расстоянии от границ населенного пункта, на случай, если кольцо обороны будет прорвано. Управление инцидентом (попытки устранить или сдержать распространение инцидента до приезда экстренных служб, эвакуация персонала, спасение репутации и ключевого имущества) – это первый рубеж обороны. Когда не удается устранить крупную аварию в заданные сроки и существует риск понести убытки больше позволенного объема, принимается решение об активации плана обеспечения непрерывности (восстановление ключевой деятельности вне зоны поражения и перевод работы компании в аварийный режим) – это напоминает второй и самый последний рубеж обороны компании.

- В контрактах обычно прописывают форс-мажорные обстоятельства, которые освобождают компанию от выполнения своих обязательств. Этого не достаточно?

- Естественно, в договорах часто прописаны условия полного или частичного освобождение от ответственности в случае форс-мажоров, но случись подобная ситуация на практике, вы рискуете потерять ключевых контрагентов, которые кормят ваш бизнес. И не важно, что это был предусмотренный контрактом форс-мажор: сколько не доказывай вашу невиновность, в условиях конкурентной борьбы ваш заказчик уйдет к другому поставщику. Но опять же, это справедливо не для всех организаций.

- Как соотносятся непрерывность бизнеса и информационная безопасность?

Изначально в сознании общественности непрерывность бизнеса была плотно связана с информационными технологиями, что со временем привело к путанице между данным понятием и понятием информационной безопасности (ИБ). В результате доклады по непрерывности бизнеса читаются в рамках конференций по ИБ. Однако компании и их руководители должны понимать, что это две абсолютно разные дисциплины, которые рассматривают разные типы рисков. ИБ рассматривает риски операционные, угрозы информационной безопасности как таковой, а непрерывность бизнеса рассматривает, в первую очередь, риски чрезвычайных ситуаций.

Говоря простым языком, если произошла утечка информации, нарушение ее целостности или доступности – это, конечно же, имеет определенный негативный эффект, бизнес при этом, безусловно, пострадает, но все равно продолжит работать: как вариант может пострадать репутация, но никто не будет думать о возможной остановке всего бизнеса или срочной мобилизации антикризисного штаба с передачей ему фактического управления компанией. Когда мы говорим об угрозе чрезвычайной ситуации, мы говорим о том, что ставит под угрозу существование всех отделов одновременно. Нельзя говорить, что управление непрерывностью бизнеса является частью управления информационной безопасности. Дело обстоит с точностью до наоборот.

Это та мысль, которую я неоднократно доношу на конференциях, однако подмена понятий, в целом, уже произошла. Случилось это, на мой взгляд, на фоне общей неосведомленности в предмете, "благодаря" работе СМИ, которые не сочли нужным разобраться в этих вопросах. Некоторые знают в теории, что такое непрерывность бизнеса, но я не думаю, что в России найдется много людей, которые бы сегодня внедряли полномасштабную систему управления непрерывностью бизнеса в организации.

- Для каких бизнесов в России это наиболее актуально?

- Для всех. Причем я говорю здесь не только о непрерывности ИТ, а именно о непрерывности бизнеса. Возьмем, к примеру, банковскую индустрию. Есть небольшой развивающийся банк, который не располагает запасными площадями. Офис банка занимает целый этаж в бизнес-центре. В офисе есть серверная комната, есть кластеризация, резервирование данных, существуют элементарные меры отказоустойчивости ИТ. Но вдруг обнаруживается трещина, идущая по стене здания. Муниципальные власти принимают соответствующие меры, из здания всех выселяют. Строительная комиссия начинает исследовать вопрос о том сносить ли здание или укреплять фундамент. Но это не важно, поскольку доступ к офису блокирован. ИТ, при этом работает безотказно – технологических сбоев не было. Возникает вопрос, как быстро банк, не имеющий других помещений, сможет восстановить свою деятельность, а главное, как отреагирует ЦБ на несданную вовремя отчетность и сколько будет потеряно клиентов из-за подорванной репутации?

- В банковском секторе требования к непрерывности прописаны формально?

- Как раз сейчас мы занимаемся этим вопросом. Центробанк в 2009 году выдвинул определенные требования в этой области. Формально они носят рекомендательный характер, но банки все равно воспринимают их именно как требования. Состояли они в следующем: каждой кредитной организации следует иметь планы обеспечения непрерывности деятельности. И далее перечислены рекомендации к обеспечению непрерывности. Банки учли пожелания ЦБ и приступили к внедрению планов, не зная при этом, как это сделать на практике. В тот момент меня пригласили в Ассоциацию российских банков в качестве эксперта. Я представил первую редакцию нового банковского стандарта в области непрерывности деятельности.

Позже, я возглавил группу разработчиков, активно занимающихся разработкой последующих версий этого стандарта в течение последних полутора лет. Изначально группа состояла из 6 человек - представителей нескольких банков. Сейчас она выросла почти до 30 человек, представителей более чем 15 банков и нескольких консалтинговых компаний. Сюда же входят независимые органы по сертификации, наблюдательный совет от АРБ. В декабре прошлого года конечный вариант стандарта был утвержден и представлен банковской системе. По сути, этой стандарт, в котором отражена первая инициатива российского регулятора по внедрению идеологии непрерывности бизнеса на отечественном рынке. И первый сектор в данном вопросе – банковский.

- А в других сферах бизнеса, почему нет таких правил / стандартов?

- Думаю, причина тому – неготовность воспринять эту идеологию. Насколько я слышал, возникали попытки в других сферах, но ни к чему существенному это не привело. То есть можно смело сказать, что в России явным образом таких регуляторов к непрерывности бизнеса пока не видно ни в каких других отраслях, кроме банковской.

- Выходит сам бизнес не заинтересован?

- Да, бизнес не заинтересован до тех пор, пока не выполнены два условия:

1) В компании произошла чрезвычайная ситуация, едва не подорвавшая ее деятельность
2) Компания при этом смогла чудом восстановиться. Но повторять подобное уже не хочет.

Два этих условия одновременно выполняются в компаниях весьма не часто, поэтому и спрос к непрерывности пока не высок.

В некоторых случаях остановка предоставления продуктов и услуг несет за собой финансовые потери, но не несет потери ключевой позиции на рынке. Такое бывало у операторов сотовой связи. В некоторых организациях, в особенности государственных, финансовые потери не столько важны, сколько важно количество уволенных должностных лиц в случае допущения ЧС. Но заранее о последствиях думают весьма нечасто, просто веря в то, что "с нами ничего не произойдет". Поэтому бизнес, в целом, не готов к проактивному управлению чрезвычайными ситуациями. Во всяком случае до наступления двух названных условий.

- Вы упомянули международные стандарты. Какие стандарты наиболее авторитетны?

- Их достаточно много, но наши любимые – это британский стандарты BS25999 и BS25777. В ближайшее время они станут международными стандартами ИСО. Мы ориентируемся на западные стандарты, я считаю это нормальной практикой, поскольку они оттачивались, начиная с 90-ых. Несмотря та то, что количество компаний, прошедших сертификацию по британскому стандарту, не так велико, а в России таких пока нет вообще, - это отнюдь не означает, что существует так уж мало фирм, которые внедрили у себя систему управления непрерывностью бизнеса. Скорее наоборот, любая уважающая себя западная компания имеет департамент или отдел, которые постоянно занимаются данным вопросом, поскольку это является естественной культурой ведения бизнеса. Эта культура дойдет до нас, я полагаю, через 6-10 лет.

- А что сейчас происходит на российском рынке данных услуг?

- Если честно, это очень вялый рынок. Востребованность у этих услуг очень низкая. Количество провайдеров минимальное. В значительной степени это связано с неготовностью компаний инвестировать деньги в в кажущиемя абстрактными проекты, когда они выглядят сомнительными в глазах руководителей. Менеджеры рассуждают следующим образом: за 5 лет существования в нашей компании ничего не происходило - зачем мы должны выделять средства на предотвращение каких-то эфемерных чрезвычайных ситуаций? Это очень наивная позиция. Если компанию никогда не штормило, это еще не говорит о том, что во всем регионе всегда будет штиль. Например, Москва – это очень неуютная структура, в плане чрезвычайных ситуаций.

Помимо случаев наподобие вышеупомянутой трещины в стене здания, в Москве в любой момент может произойти какое-нибудь происшествие. Например, взорвется бензоколонка, а ваше здание попадет в зону поражения. В городе много заводов, которые могут выбросить в воздух опасные химикаты. В крупных городах всегда существует опасность эпидемий. Можно вспомнить лесные пожары лета 2010г. Есть новые угрозы, связанные с террористическими атаками и общественными беспорядками. Компании, попадая в подобные ситуации, не торопятся признавать тот факт, что данная проблема мешает их бизнесу, и, таким образом, создаётся иллюзорное впечатление спокойствия в регионе.

- А как работают российские представительства иностранных компаний?

- У них есть стандарты головного офиса, которые внедряются в региональные филиалы.

- Их адаптируют под нашу действительность?

- Возможно, определённые компании и адаптируют, не могу утверждать точно. Но обычно стандарты переводятся почти дословно. Наша рабочая группа брала западные нормативы и адаптировала все, вплоть до элементарной терминологии. Даже западный термин "стратегии непрерывности", в русском сознании принимает иное значение. Когда какие-то материалы берутся из головного офиса и попадают в российские филиалы, то осуществить адаптацию очень сложно. Как правило, заниматься этим профессионально некому.

- Не могли бы Вы рассказать о стоимости подобных услуг?

- Стоимость зависит от объема проекта, от того, что конкретно делается. Западный консультант в области непрерывности бизнеса стоит в районе $3 тыс. за день. Только представьте себе стоимость приглашения группы специалистов, которые будут вести на протяжении нескольких месяцев крупный проект: подобное обойдется в сумму, превышающую несколько миллионов, если говорить о самой дорогой опции западной консультации. О расценках конкуренотов на российском рынке я говорить не могу. Скажу лишь, что у нашей компании принципиально иной подход к проекту и цена, соответственно, ниже. Стартовая цена находится в районе 500 тыс. рублей. Столь низкая цена складывается из философии рафинированного консалтинга - мы не пишем документы за заказчика, как это принято делать у нас в России.

Считается вполне нормально пригласить консультантов, которые всё напишут, проведут интервью, проанализируют данные и составят по результатам отчет. Когда мы делаем проект, то фактически всей рутинной работой, будь то сбор информации или написание отчетов, занимаются работники компании-заказчика. Тем более, что они лучше знают свою специфику – им не надо объяснять базовые вещи о внутренних бизнес-процессах. Таким образом, мы экономим деньги фирмы и освобождаем себя от выполнения тех работ, с которыми могут справиться рядовые специалисты. Безусловно, мы регулярно приезжаем к заказчику, даем директивы. Контроль и координация входят в наши функции, мы предоставляем все шаблонные документы, объясняем, как брать интервью, какие вопросы нельзя задавать, каким образом правильно заполнять всю структуру документации. Мы также следим за фактическим тестированием созданных планов – мы никогда не оставляем заказчика с кипой мертвых документов на руках.

То есть мы занимаемся консалтингом в чистом виде. За счет этого, наше привлечение становится точечным. Наши эксперты при этом проводят не только консалтинг, но и глубокий коучинг - постоянное объяснение, презентации, обучение, разъяснение неясных моментов. По сути, в итоге заказчик получает собственный экспертный отдел, вполне готовый, обученный не просто в теоретическом плане, но и на практике, и вместо нескольких миллионов платит от 500 тыс. до 1,5 млн. руб., в зависимости от глубины привлечения наших консультантов. Но это не означает, что мы не делаем полного цикла работ. Просто мы предлагаем и более дешевое решение, ведь зачем платить больше?

- Можете дать прогноз развития данного направления в России?

- У меня есть определенные надежды, связанные с банками. Поскольку регулятор взялся за непрерывность деятельности, банки начнут подтягивать данную систему в своих структурах. Здесь возможны два варианта развития событий. Первый - если не поддерживать, не подпитывать интерес к этой тематике на рынке, то, скорее всего, банки будут писать собственные планы, как они их понимают. Услуги в этой области останутся невостребованными и ничего в корне не изменится. Второй - на фоне внедрения новых стандартов и повышения интереса к этой теме со стороны банков будут появляться новые провайдеры и новые спектры услуг. И я надеюсь, что именно этот вариант сработает.

Предполагаю, что если эта тема получит второе дыхание, сразу же начнет расти рынок программного обеспечения данной области. И расти он, судя по всему, будет достаточно быстро, так как необходимо автоматизировать процессы. В свою очередь, рост рынка программного обеспечения непрерывности для банковской отрасли может потянуть, как паровоз, за собой интерес к данной теме и в других областях, потому что провайдеры услуг не будут предлагать свои идеи только банкам - они будут предлагать это всему рынку. Предложения уже есть, просто они пока очень вялые, потому что российский бизнес в целом не уделяют теме должного внимания. Вообще, если говорить о перспективах, все зависит от состояния экономики. В мире интерес к этой теме уже спадает, потому что непрерывность, как на Западе, является неким культурным стандартом ведения бизнеса. И только мы всё еще обсуждаем, что это такое, и подходит ли это нам. 

Поделиться ссылкой в:
Facebook Мой мир на Мail.ru Одноклассники ВКонтакте Google Bookmarks Twitter
Версия для печатиВставить в блог

читайте также


SOCPUBLIC.COM - заработок в интернете!