Управление непрерывностью бизнеса Негосударственного пенсионного фонда

Белошапка М.Г.

Выпускник группы MBA CIO-59

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Мировой бизнес ежедневно подвергается большому количеству рисков и угроз. В этой связи естественным направлением деятельности каждой компании стала подготовка к разного рода непредсказуемым негативным событиям – от бытовых до катастрофических, а также, - разработка плана реагирования на них. Этот вопрос является глобальной проблемой, так как практически каждый день в средствах массовой информации появляются сообщения о кибератаках на граждан разных государств, международные компании и, даже, правительство.

Чтобы подобные риски принесли минимум негативных последствий, важно в работу бизнеса интегрировать целостную структуру мероприятий, позволяющих оценить возможные риски, своевременно их определить и предложить эффективный план действий. Большинство компаний адаптируют используемую управленческую модель, чтобы она предусматривала риски и реакцию на них. При этом стоит учитывать, что угрозы могут быть самыми разными – финансовыми, экономическими, геополитическими, стратегическими, рыночными, кадровыми, информационными, правовыми, экологическими, нормативно-правовыми и пр. Их объединяет одно: негативное воздействие на бизнес.

Общий механизм системы менеджмента непрерывности предпринимательской деятельности включает:

• организационную структуру;
• планирование;
• управление;
• подбор и обучение кадров.

Разработанный механизм должен одновременно выполнять несколько целей: предотвращать остановку бизнес-процессов, минимизировать потерю активов и персонала, способствовать максимально быстрому восстановлению функционирования организации.

При анализе вопросов управления непрерывностью бизнеса негосударственного пенсионного фонда (далее по тексту – Фонд) выявляются следующие проблемы:

• отсутствие системного и комплексного подхода к вопросу обеспечения непрерывности деятельности Фонда;
• не распределены роли и не назначены ответственные лица при управлении непрерывностью бизнеса в режиме повседневного функционирования Фонда, роли и ответственные лица при кризисном управлении;
• отсутствие принятой политики и плана обеспечения непрерывности и восстановления деятельности (далее по тексту – ОНиВД);
• недостаточный уровень подготовки сотрудников Фонда по вопросам управления непрерывностью бизнеса, недостаток соответствующих знаний и навыков действия в условиях чрезвычайных ситуаций.

Чтобы бизнес-процессы протекали непрерывно, согласно Рекомендациям Банка России от 18 августа 2016 г. N 28-МР «Методические рекомендации по обеспечению непрерывности деятельности некредитных финансовых организаций», важно разработать план ОНиВД с четко прописанным алгоритмом действий, ориентированных на восстановление полноценной работы бизнес-процессов после их нарушения. Также важно разработать комплекс мероприятий, ориентированных на восстановление компанией своей способности выполнять обязательства. При этом, крайне важно, чтобы эти планы были комплексными, направленными не только на восстановление деятельности подразделений, но и всей организации в целом.

Но разработки плана ОНиВД недостаточно для решения обозначенных проблем. Потребуется подойти к вопросу обеспечения непрерывности деятельности системно и комплексно. Необходима поддержка руководства, выделение бюджета, назначение ответственных лиц, обучение сотрудников и проведение проверок мероприятий плана ОНиВД. Также необходимо создание новых процессов по разработке и совершенствованию системы менеджмента непрерывности деятельности Фонда. Очень важно, чтобы сопровождающие активности были внедрены во все текущие процессы управления организацией – только в этом случае они будут результативными. Если же они будут работать только как отдельная деятельность, это не принесет нужных результатов.

Управление непрерывностью бизнес-процессами требует выполнение следующих основополагающих задач:

• обеспечение сотрудников мерами безопасности;
• выполнение критичных бизнес-процессов в условиях чрезвычайной ситуации на минимально возможном уровне;
• сведение к минимуму рисков финансовых потерь в ситуации реализации рисков непрерывности бизнеса;
• удовлетворение требований регулятора;
• оптимизация затрат, необходимых для формирования резервной инфраструктуры, обеспечение сбалансированного инвестирования, что важно для нормального функционирования бизнеса в условиях появившихся рисков.

Существует несколько эффективных практик, ориентированных на обеспечение непрерывности бизнеса. Это две базовые практики менеджмента («Встраивание» и «Управление»), а также 4 технические практики («Проектирование», «Анализ», «Подтверждение» и «Реализация»).

«Встраивание» непрерывности осуществления бизнес-процессов относится к категории профессиональных практик, ориентированных на интеграцию непрерывности реализации бизнес-процессов в культуру компании и ее повседневные активности.

«Управление» – это практика, ориентированная на начало внедрения политики менеджмента. Она определяет политику компании, связанную с обеспечением процессов непрерывности, а также того, как эта политика будет использоваться на практике, подтверждаться и контролироваться в условиях функционирования программы менеджмента непрерывности бизнеса.

«Анализ» также относится к категории профессиональных практик, ориентированных на изучение и оценку компании с позиции ее целей, особенностей функционирования в условиях сложившейся среды и специфики реализации при этом бизнес-процессов.

«Реализация» подразумевает согласование тактики и стратегии при формировании плана непрерывного осуществления бизнес-процессов.

«Проектирование» предусматривает подбор оптимальной тактики и стратегии, ориентированной на обеспечение необходимого уровня непрерывности функционирования бизнес-процессов и восстановление деятельности предприятия после неожиданно случившихся сбоев.

«Подтверждение» относится к профессиональным практикам, позволяющим оценить, насколько реализуемая программа непрерывности достигает поставленных целей, а также оценить уровень соответствия программы непрерывности бизнеса своим задачам.

Для нашей работы важными нормативными документами, регулирующими управление непрерывностью бизнеса, являются:

• Рекомендации Банка России от 18 августа 2016 г. N 28-МР «Методические рекомендации по обеспечению непрерывности деятельности некредитных финансовых организаций» состоят из четырех глав. Состав рекомендаций применяется к организации в соответствии с видом ее деятельности и критериям, перечисленным в Приложении 1 и 2 Методических рекомендаций.
  Фонд не является системно значимой инфраструктурной организацией, вид деятельности Фонда не указан в Приложении 1 и 2 Методических рекомендаций, соответственно, на Фонд распространяются рекомендации положений, изложенных в главах 1 - 3 Методических рекомендаций.
• ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования» вводит понятие Система менеджмента непрерывности бизнеса (СМНБ) — часть общей системы менеджмента, которая устанавливает, внедряет, осуществляет операционную деятельность, проводит мониторинг, оценку, сопровождение и совершенствование непре¬рывности бизнеса.
• ГОСТ Р ИСО 22313-2015 «Менеджмент непрерывности бизнеса. Руководство по внедрению» более подробно рассказывает об отдельных направле¬ниях системы менеджмента непрерывности бизнеса. Компоненты стандарта (отдельные разделы) распределены по этапам цикла Деминга-Шухарта.
• Положение Банка России от 03.06.2015 N 471-П «О порядке создания, ведения и хранения баз данных, содержащих информацию об имуществе, обязательствах негосударственного пенсионного фонда и их движении, а также случаях передачи на хранение в Банк России резервных копий баз данных» устанавливает порядок создания, ведения и хранения баз данных на электронных носителях.
• Положение Банка России от 17.04.2019 N 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» устанавливает требования к защите информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в информационных системах Фонда.

Для внедрения системы менеджмента непрерывности бизнеса (СМНБ) Фонда мы разрабатываем политику обеспечения непрерывности бизнеса (далее по тексту - Политика), направленную на снижение влияния чрезвычайной ситуации на жизнь и здоровье работников Фонда, минимизацию влияния на клиентов, сохранение активов, оценку влияния чрезвычайной ситуации на операционную деятельность Фонда с целью ее скорейшего восстановления.

Политика описывает метод построения процессов обеспечения непрерывности бизнеса Фонда и определяет принципы функционирования СМНБ, т.е. базовую совокупность правил, требований и руководящих принципов в области обеспечения непрерывности бизнеса Фонда, направленных на:

• анализ и мониторинг рисков, влияние которых может приостановить частично или полностью критичные процессы Фонда;
• организацию оценки критичности процессов Фонда;
• обеспечение непрерывности критичных процессов Фонда;
• минимизацию ущерба, наносимого деятельности Фонда возникновением чрезвычайных ситуаций;
• обеспечение соответствия мер обеспечения непрерывности бизнеса Фонда;
• предоставление работникам рекомендаций и содействия в области обеспечения непрерывности бизнеса.

Для обеспечения эффективной деятельности Фонда должны быть систематизированы подходы, позволяющие решить вопросы непрерывности работы организации. С этой целью был подготовлен план мероприятий, нацеленных на поддержание непрерывной работы Фонда при возможном возникновении ЧС (далее по тексту - план ОНиВД).

Данный план представляет собой нормативный документ Фонда, предназначенный для использования внутри организации. В нем отображаются правила сотрудничества отделов организации при возникновении ЧС. Благодаря этому становится возможным быстрое решение задач, связанных с обеспечением бесперебойности бизнес-процессов Фонда, либо оперативным возобновлением их функционирования.

В практическом смысле в Фонде создана рабочая группа для разработки и внедрения системы менеджмента непрерывности бизнеса. Рассмотрены предложенные документы: политика обеспечения непрерывности бизнеса и плана ОНиВД. Назначены роли и ответственные, проходит согласование бюджета.

Разработка политики обеспечения непрерывности бизнеса и плана ОНиВД позволила:

• достичь соответствия рекомендациям регулятора;
• минимизировать риски крупных операционных нарушений и репутационные риски, вызванные возможными непредвиденными и чрезвычайными ситуациями;
• регламентировать и оптимизировать значения RTO и RPO для информационных систем, служащих программным обеспечением бизнес-процессов Фонда.

Считаем, что цель нашей работы: разработать систему управления непрерывностью бизнеса Фонда - достигнута, задачи решены.