Skip to Menu Skip to Search Напишите нам Russia Выбрать веб-сайт и язык Skip to Content

Стоит ли стандарт ISO 22301 на системы менеджмента непрерывности бизнеса траты денег, ресурсов и даже времени на прочтение этой статьи? Коронавирус сыграл роль «лакмусовой бумажки» и дал редкую возможность объективно судить о стандарте.

В мае Королевский институт качества CQI (Великобритания) и компания Qualsys опубликовали результаты совместного исследования, которое касалось менеджмента качества в период пандемии. Выяснилось, что:

  • Среди тех организаций, которые внедрили ISO 22301 и прошли сертификацию, 89% сказали «да» на вопрос об успешности «стратегии реагирования» на пандемию. Среди тех, кто не был знаком со стандартом, такой ответ дали лишь 55%. 
  • Применение риск-ориентированного подхода к ситуации с COVID-19 оценили положительно 85% опрошенных респондентов из первой группы и лишь 51% из второй. 

Примечательно, что в апреле 2020 года Международная организация по стандартизации (ISO) порекомендовала национальным органам по стандартизации открыть бесплатный доступ к ряду стандартов, обосновав это желанием помочь организациям в борьбе с общей угрозой коронавируса. В их число попал и ISO 22301. 

Пожалуй, сейчас настало самое время поближе познакомиться с ISO 22301.

Менеджмент непрерывности бизнеса

ISO 22301 как один из инструментов риск-менеджмента

Менеджмент непрерывности бизнеса – это одна из разновидностей риск-менеджмента, направленная на управление риском прерывания бизнес-процессов внешними факторами. Такими внешними факторами здесь выступают инциденты, чрезвычайные ситуации и катастрофы, вызванные намеренными или ненамеренными человеческими поступками, природными явлениями и техническими сбоями. 

Наводнения, землетрясения, ураганы, террористические атаки, пожары, кибератаки, сбои в ИТ-оборудовании, проблемы в цепи поставок, эпидемии и пандемии – вот лишь возможные угрозы для планомерной работы предприятия. Результатом материализации этих угроз может стать остановка работ, ведущая к потери крупного контракта, клиента и даже закрытию бизнеса. 

ISO 22301 – это стандарт, помогающий внедрить и поддерживать результативный план непрерывности бизнеса. Последовательное планирование действий на тот случай, если наступит катастрофа, означает более результативное реагирование и оперативное восстановление деятельности. В результате снижается воздействие форс-мажорных обстоятельств на людей, продукцию и финансовые результаты организации.

Суть стандарта ISO 22301

Стандарт предполагает реализацию адаптивных, проактивных и реактивных стратегий на всех стадиях: до, во время и после инцидента, прерывающего бизнес-процесс.
Джеймс Краск, председатель рабочей группы, разрабатывавшей последнюю версию стандарта ISO 22301, опубликованную в 2019 году, так сформулировал три ключевых фактора, позволяющие быстро восcтановить деятельность предприятия после прерывания в его работе:

  • глубокое понимание того, что важно для организации, 
  • планы реагирования, которые просты в применении,
  • персонал, который четко знает свою роль при наступлении чрезвычайной ситуации.

Именно на это и «заточен» ISO 22301.

Специфика требований ISO 22301

В ISO принят общий «шаблон» структуры всех стандартов на системы менеджмента (Приложение L к Директивам, ранее известное под названием Приложение SL). Стандарт ISO 22301:2019 также следует этому шаблону.

Помимо знакомых по ISO 9001:2015, ISO 14001:2015 и другим стандартам ISO формулировок о рисках, заинтересованных сторонах и контексте в ней есть и уникальные требования, отражающие специфику системы менеджмента непрерывности бизнеса. Вот некоторые из них:

  • Каждый сотрудник должен понимать свою роль в реагировании на форс-мажорные ситуации. Необходимо обеспечить возможность коммуникации, даже если обычные каналы обмена информации перестали работать в результате инцидента.
  • Организация должна проводить BIA (Business Impact Analysis) – «анализ последствий для деятельности». С его помощью нужно определить: как на организацию влияют потенциальные чрезвычайные ситуации, нарушающие нормальный порядок работы, и как это влияние меняется с течением времени. 
  • Организация разрабатывает «Планы непрерывности бизнеса», в которых планирует не только реагирование на инцидент, но и действия по возвращению к нормальному функционированию после того, как проблема устранена. 
  • С одной стороны, должны предприниматься шаги по минимизации вероятности наступления чрезвычайной ситуации, с другой – шаги по реагированию на эти ситуации в случае их наступления. Предсказать и предотвратить все инциденты невозможно, поэтому рекомендуется применять принцип «на судьбу надейся, а сам не плошай».
  • Важно предусмотреть четкую структуру по реагированию на инциденты. В случае форс-мажора, действия должны предприниматься своевременно, люди должны обладать полномочиями предпринимать эти действия.
  • Организация должна разработать и проверять готовность к инцидентам с помощью «проверок» (tests) и «учений» (exercises). «Проверка» предполагает действие, после которого можно ответить «да» или «нет» на вопрос о готовности того или иного элемента системы. Например, можно проверить генератор включением, после которого он либо включится, либо – нет. «Учения» – более развернутый инструмент. Они симулируют чрезвычайную ситуацию в целом. «Проверки» могут быть их частью.

Аналогично другим системам менеджмента, регулируемым стандартами ISO, cистема непрерывности бизнеса основана на процессном подходе и управляется в соответствии с циклом PDCA (Планируй-Выполняй-Проверяй-Улучшай). 

Большая часть обязательной документации обычна для интегрированных систем менеджмента и, скорее всего, уже у организации есть. Например, в ISO 22301:2019 присутствует требование о наличии документированной информации по программам внутренних аудитов (9.2).

Однако с рядом обязательных по стандарту документов при внедрении ISO 22301 компания может столкнуться впервые. Среди них: 

  • Политика и цели в области непрерывности бизнеса (5.2 и 6.2), 
  • Записи о нарушении нормального течения работы (disruption), предпринятых действиях и принятых решениях (8.4.3.1), 
  • Планы и процедуры непрерывности бизнеса (8.4). 

Причем документы, ориентированные на пользователя, превалируют над объемными громоздкими документами. Больше пользы принесут короткие сфокусированные на конкретной задаче планы, чем один большой план на все случаи жизни.

Практика внедрения ISO 22301

Всегда полезно учесть опыт компаний, которые уже внедрили стандарт. Издание Continuity Central Archive опубликовало интервью с Ли Мюрреем, управляющим небоскреба CityPoint в Лондоне. CBRE – компания, которая сдает здание в аренду и обслуживает его для клиентов, внедрила и сертифицировала систему менеджмента по ISO 22301. Мюррей возглавлял рабочую группу по внедрению стандарта.

«Обязательно сформируйте сильную рабочую группу, делегируйте и разбейте действия по выполнению различных требований на этапы, – советует Мюррей. - У нас в рабочую группу вошли я, менеджер по непрерывности бизнеса и безопасности Стив Кросли, также мы подключали к ее работе руководителей и ключевых сотрудников семи отделов, формирующих наш сервис по обслуживанию здания: безопасность, инженерное обеспечение, клининг, утилизация отходов, IT, лифтовое хозяйство, телекоммуникации».

По его словам, сложнее всего в процессе внедрения ISO 22301 дались анализ последствий для деятельности (BIA), изменение корпоративной культуры и выбор области применения стандарта. «Мы начали проводить BIA. Пришлось учитывать условия аренды здания и то, как они влияют на сроки восстановления в случае аварии. Появилось столько деталей, что сначала нам показалось важным все!», – цитирует Continuity Central Archive Ли Мюррея.

Было проведено ряд планерок, брифингов и индивидуальных встреч со специалистами. Владельцы бизнеса внесли свою лепту и поделились опытом по ликвидации последствий урагана «Сэнди». В итоге в компании прибегли к такому инструменту, как моделирование ситуаций. Для каждого из семи направлений были проведены свои проверки. Так удалось прояснить, что именно важно, что от чего зависит. 

Серьезные усилия были направлены на формирование корпоративной культуры. В CBRE была создана программа осведомленности, в которую входили регулярные инструктажи безопасности, знакомство с документом «Руководство по осведомленности», сессии коллективного анализа с применением метода «Что, если?» и шефство.

«Мы поняли и подчеркиваем это, что каждый сотрудник в организации должен быть вовлечен в обеспечение непрерывности бизнеса», - соглашаются Джордж Хафф и Диана Гильберт из Американской адвокатской ассоциации при описании своего опыта внедрения ISO 22301.

К источникам, в которых можно почерпнуть лучшие практики внедрения ISO 22301, следует отнести стандарт ISO 22313 «Менеджмент непрерывности бизнеса. Руководство по внедрению» (ГОСТ Р ИСО 22313). Он объясняет и излагает более развернуто то, что в ISO 22301 реализовано в виде кратких требований. Сертификация проводится по ISO 22301, а ISO 22313 можно использовать как руководство по внедрению.

Сертифицироваться или не сертифицироваться по ISO 22301?

По данным ежегодного исследования The ISO Survey в 2018 году в мире насчитывалось 1506 действующих сертификатов соответствия ISO 22301. Но пул пользователей стандарта должен быть гораздо шире. Как написал еще в 2012 году Эндрю Хайлз в своей книге Business Continuity Management: Global Best Practices, многие компании заинтересованы в преимуществах внедрения стандарта, а на сертификацию пока не пошли. В книге говорится, что 63% опрошенных организаций собираются сертифицироваться, но и без этого применяют требования стандарта. 

К сертификации по стандарту ISO 22301 компании подталкивает желание завоевать конкурентное преимущество в своей отрасли. «У нас уже были предусмотрены меры сохранения непрерывности бизнеса. Выходя на сертификацию, мы хотели проверить себя, протестировать внешним признанием, – рассказал о мотивах CBRE к сертификации Ли Мюррей. - С помощью сертификации, мы хотели выдвинуться в качестве «законодателей», лидеров новых стандартов непрерывности бизнеса в такой отрасли, как управление объектами недвижимости».

Для Международного аэропорта им. Индиры Ганди в Нью-Дели целью сертификации по ISO 22301 было, продемонстрировать путешественникам готовность аэропорта к чрезвычайным ситуациям, приводящим к временному прерыванию критичных процессов, например, сбоям в электропитании или системе регистрации пассажиров. «Пассажиры могут теперь оставить свои беспокойства в стороне каждый раз, когда они путешествуют через аэропорт Дели», - сказал Прабхакара Рао, генеральный директор компании Delhi International Airport Limited, управляющей Международным аэропортом им. Индиры Ганди в Нью-Дели, при получении сертификата ISO 22301.

Сертификат позволяет внушить уверенность клиентам, поставщикам, регуляторам и другим заинтересованным сторонам, что в компании действует система непрерывности, и в случае непредвиденных обстоятельств бизнес-процессы будут должным образом защищены.

«Нет компаний, которым было бы приятно столкнуться с катастрофой, с природной ли или рукотворной. Но если они случаются, компаниям надо быть хорошо подготовленными», - сказал г-н Йен, управляющий United Microelectronics Corporation (UMC), компании-производителя полупроводниковых изделий, сертифицированной по ISO 22301.

Какие преимущества получает компания от внедрения стандарта?

  • Стандарт ISO 22301 включает в себя лучшие практики, помогающие организациям сокращать затраты от чрезвычайных ситуаций и минимизировать их негативное воздействие на бизнес. 
  • В случае разветвленной структуры в организации, наличия филиальной сети или различных дивизионов, будет применяться единый логичный подход к чрезвычайным ситуациям. 
  • Повышается организационная гибкость, адаптивность к изменениям в окружающей среде, что положительно сказывается на бизнес-показателях.
  • Анализ критических моментов и зон уязвимости, проводимых согласно ISO 22301, дает ясную и детализированную картину того, как работает организация, предоставляя полезные данные для стратегического планирования, риск-менеджмента, управления цепью поставок, трансформации бизнеса и управления ресурсами.

Иными словами, пойдет или нет компания на сертификацию по ISO 22301 – не так важно. Львиную долю преимуществ от работы со стандартом приносит не оценка соответствия, а внедрение его требований, обучение персонала и приобретение навыков управления в сфере непрерывности бизнеса. 

ПОНРАВИЛАСЬ ЭТА СТАТЬЯ? ИНТЕРЕСУЮТ СТАНДАРТЫ ISO И СИСТЕМЫ МЕНЕДЖМЕНТА? ПОДПИШИТЕСЬ НА НАШУ РАССЫЛКУ И РЕГУЛЯРНО ПОЛУЧАЙТЕ ПОЛЕЗНУЮ ИНФОРМАЦИЮ ОБ ИЗМЕНЕНИЯХ В СТАНДАРТАХ, РАЗЪЯСНЕНИЯ ОТ АУДИТОРОВ SGS И ПРИМЕРЫ ЛУЧШИХ ПРАКТИК.

О КОМПАНИИ SGS

Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 89 000 сотрудников.