Обеспечение непрерывности бизнеса волнует все большее число российских компаний
В конце 2004 года в Москве состоялся семинар «Планирование непрерывности бизнеса», организованный компанией WideXs. Если раньше эти вопросы рассматривались в качестве составляющей управления рисками, то сейчас все чаще как отдельное направление менеджмента. Для проведения семинара был приглашен Натаниэль Форбс, глава компании Forbes Calamity Prevention, специализирующийся на разработке планов обеспечения непрерывности бизнеса для крупных международных и национальных корпораций.
В настоящее время в западных компаниях вопросам непрерывности бизнеса уделяется значительно больше внимания, чем в наших |
Участников семинара можно условно поделить на несколько групп. Это руководители ИТ-отделов крупных российских и зарубежных банков, финансовых организаций, компаний с непрерывным производственным циклом. У многих из них уже имеются планы подобных мероприятий, их интересовали нюансы и методики. Вторая категория — представители международных компаний, которые получили указание из штаб-квартир разработать мероприятия, обеспечивающие непрерывность бизнеса в России. Присутствовали также специалисты компаний — системных интеграторов, изучающие потенциал соответствующего рынка.
Зарубежная мотивация
В настоящее время в западных компаниях вопросам непрерывности бизнеса уделяется значительно больше внимания, чем в наших. Вопреки расхожему мнению о том, что западный бизнес находится в тепличных условиях, статистика говорит об обратном. По данным, которые привели специалисты WideXs, 75% американских компаний подвергались воздействию тех фактов, которые принято называть чрезвычайными ситуациями. Около 80% из них были вызваны ошибками сотрудников или сбоями электропитания (последние особенно часты на Тихоокеанском побережье США).
Подобные обстоятельства не только дестабилизирующим образом влияют на саму компанию, попавшую в чрезвычайную ситуацию, но и негативно сказываются на бизнесе партнеров, поставщиков, заказчиков и клиентов, которые не получают ожидаемых продуктов и услуг. Следует заметить, что в Америке и Европе защита прав потребителей вынесена на уровень государственной политики. Америка была одной из первых стран, где борьба с чрезвычайными обстоятельствами и защита работоспособности компаний приняла формы, обличенные в государственные нормативно-правовые базы.
В 2002 году Конгресс США утвердил закон Сарбейнса—Оксли, касающийся улучшения контроля, связанного с управлением и корпоративной финансовой отчетностью. Его задача — защита на законодательном уровне прав служащих, бизнес-партнеров и корпораций в ситуациях, которые могут возникнуть в результате потери такой информации. Закон Сарбейнса—Оксли не имеет специфической направленности по требованиям к непрерывности бизнеса. В нем даже не упоминается это понятие, однако с практической точки зрения обеспечение непрерывности бизнеса рассматривается как способ создать внутри предприятия полноценный режим контроля. Закон заставляет компании расширить диапазон инициатив по поддержанию непрерывности бизнеса и взглянуть на собственную деятельность извне — со стороны клиентов, поставщиков и партнеров, которые также подвержены определенным рискам в случае нарушения деятельности компании в нештатных ситуациях.
Приподнятый занавес перед ВТО
Но одно дело — законодательно обязать и совсем другое — способствовать реализации программ обеспечения непрерывности бизнеса. Для этого существуют жесткие требования аудита, согласно которым, в частности, необходимо, чтобы компания имела план обеспечения непрерывности бизнеса, отвечающий специфическим условиям, в которых работает предприятие. Например, компаниям, работающим в телекоммуникационном бизнесе, рекомендуется сертификация на соответствие стандарту BS 7799, разработанному Британским институтом стандартов (его международный аналог — ISO/IEC 17799:2000). В числе требований BS 7799 — резервирование критически важных для бизнеса информационных систем компании, а также обеспечение непрерывности бизнеса в условиях чрезвычайных обстоятельств.
Россия долгое время жила за занавесом, который ограждал ее от тесной интеграции с мировой экономикой. Однако вступление России во Всемирную торговую организацию требует от отечественных предприятий принятия «всемирных» правил. Одной из целей вступления страны в ВТО является привлечение западных инвестиций. Но иностранные инвесторы не будут вкладывать деньги в предприятия, которые могут оказаться ненадежными бизнес-партнерами, в частности неустойчивыми к воздействию различных чрезвычайных обстоятельств.
Работать, работать, работать
В конце 2004 года компания Veritas Software обнародовала результаты третьего аналитического исследования в области аварийного восстановления Disaster Recovery. В частности, как оказалось, около 97% опрошенных компаний в регионе EMEA не смогли бы продолжать нормально функционировать в случае пожара в центре данных. Это очень тревожный показатель, учитывая, что среди респондентов было 1259 специалистов в области ИТ из компаний, с числом сотрудников свыше 500 человек.
Более того, 38% не смогли даже предположить, как скоро они смогли бы в этом случае восстановить хотя бы основные операции, 31% добились бы этого за 12 часов, 38% не знали, сколько времени может потребовать возвращение бизнеса в нормальное русло. Но более всего тревожит тот факт, что 52% признали, что единственная копия плана аварийного восстановления хранится все в том же центре данных.
У 16% компаний вообще нет плана аварийного восстановления. Из этих компаний в 34% даже не приступали к его созданию, в 24% план находится в стадии разработки, в 24% есть понимание, что такой план был бы нужен, представители 19% заявили, что их компания настолько мала, что они вообще не выполняли соответствующих оценок, а в 6% сказали, что совету директоров заведомо не понравится инициатива, подобная этой.
Впрочем, компаниям, где план аварийного восстановления существует, гордиться нечем, потому что большинство из них не пересматривает этот план достаточно часто, и он устаревает в условиях нынешнего развития технологии.
Собственно говоря, 92% компаний, где однажды был разработан план аварийного восстановления, все же пересматривают его. В 13% это проделывают ежемесячно, в 8% — каждые три месяца, в 14% — каждые полгода, в 34% ежегодно, в 12% — если вдруг возникает необходимость, и, наконец, в 9% этот план либо не пересматривали вообще, либо пересматривают раз в три года, либо пересматривали, только неизвестно когда.
Если учесть, что большинство организаций ставят программные «заплаты» на свои системы раз в месяц (как минимум), что сами эти системы регулярно обновляются, и, пусть и менее регулярно, появляются новые системы, планы аварийного восстановления «не поспевают» за этими изменениями и в этом вопросе надо наладить контроль.
Саманта Перри