TOP 11 kļūdas, izstrādājot BCP

Sveiki visiem, mani sauc Igors Tjukačovs, un es esmu uzņēmējdarbības nepārtrauktības konsultants. Šodienas ierakstā mums būs gara un nogurdinoša diskusija par izplatītām patiesībām.Vēlos dalīties pieredzē un pastāstīt par galvenajām kļūdām, ko uzņēmumi pieļauj, izstrādājot darbības nepārtrauktības plānu.

1. RTO un RPO pēc nejaušības principa

Vissvarīgākā kļūda, ko esmu redzējis, ir tas, ka atkopšanas laiks (RTO) tiek ņemts no zila gaisa. Nu no zila gaisa - piemēram, ir daži skaitļi pirms diviem gadiem no SLA, ko kāds atvedis no iepriekšējās darba vietas. Kāpēc viņi to dara? Galu galā, saskaņā ar visām metodēm, vispirms ir jāanalizē sekas biznesa procesiem un, pamatojoties uz šo analīzi, jāaprēķina mērķa atkopšanas laiks un pieļaujamie datu zudumi. Bet šādas analīzes veikšana dažreiz aizņem ilgu laiku, dažreiz tas ir dārgi, dažreiz nav īsti skaidrs, kā - uzsvērt, kas jādara. Un pirmā lieta, kas daudziem nāk prātā, ir: “Mēs visi esam pieauguši un saprotam, kā darbojas bizness. Netērēsim laiku un naudu! Ņemsim plusu vai mīnusu kā nākas. No galvas, izmantojot proletāriešu atjautību! Lai RTO būtu divas stundas.

Pie kā tas noved? Atnākot pie vadības pēc naudas aktivitātēm, lai nodrošinātu nepieciešamo RTO/RPO ar noteiktiem cipariem, tas vienmēr prasa pamatojumu. Ja nav pamatojuma, tad rodas jautājums: no kurienes tu to ņēmi? Un nav ko atbildēt. Tā rezultātā zūd pārliecība par savu darbu.

Turklāt dažreiz šīs divas atveseļošanās stundas maksā miljonu dolāru. Un RTO ilguma attaisnošana ir naudas jautājums, turklāt ļoti lieli.

Un visbeidzot, atnesot savu BCP un/vai DR plānu izpildītājiem (kuri patiesībā negadījuma brīdī skries un vicinās rokas), viņi uzdos līdzīgu jautājumu: no kurienes radās šīs divas stundas? Un, ja jūs to nevarat skaidri izskaidrot, viņi neuzticēsies ne jums, ne jūsu dokumentam.

Tas izrādās papīrs papīra dēļ, atrakstīšanās. Starp citu, daži to dara apzināti, vienkārši lai apmierinātu regulatora prasības.

Nu tu saproti

2. Zāles pret visu

Daži cilvēki uzskata, ka BCP plāns ir izstrādāts, lai aizsargātu visus biznesa procesus no jebkādiem draudiem. Nesen jautājums "No kā mēs vēlamies sevi pasargāt?" Es dzirdēju atbildi: "Viss un vairāk."

Bet fakts ir tāds, ka plāns ir paredzēts tikai aizsardzībai specifisks uzņēmuma galvenie biznesa procesi no specifisks draudiem. Tāpēc pirms plāna izstrādes ir jānovērtē risku rašanās un jāanalizē to sekas uzņēmējdarbībai. Riska novērtējums ir nepieciešams, lai saprastu, no kādiem draudiem uzņēmums baidās. Ēkas iznīcināšanas gadījumā būs viens nepārtrauktības plāns, sankciju spiediena gadījumā - cits, plūdu gadījumā - trešais. Pat divām identiskām vietām dažādās pilsētās var būt ievērojami atšķirīgi plāni.

Nav iespējams aizsargāt visu uzņēmumu ar vienu BCP, īpaši lielu. Piemēram, milzīgā X5 mazumtirdzniecības grupa sāka nodrošināt divu galveno biznesa procesu nepārtrauktību (par to mēs rakstījām šeit). Un ir vienkārši nereāli ielikt visu uzņēmumu ar vienu plānu, tas ir no kategorijas “kolektīvā atbildība”, kad atbildīgi ir visi un neviens nav atbildīgs.

ISO 22301 standarts satur politikas jēdzienu, ar kuru faktiski sākas nepārtrauktības process uzņēmumā. Tajā ir aprakstīts, ko mēs aizsargāsim un no kā. Ja cilvēki atnāk skriet un lūdz pievienot šo un to, piemēram:

— Pievienosim BCP risku, ka tiksim uzlauzti?

Vai

— Nesen lietus laikā applūda mūsu augšējais stāvs — pievienosim scenāriju, kā rīkoties plūdu gadījumā?

Tad nekavējoties vērsiet viņus uz šo politiku un sakiet, ka mēs aizsargājam konkrētus uzņēmuma īpašumus un tikai no konkrētiem, iepriekš saskaņotiem draudiem, jo ​​tie šobrīd ir prioritāte.

Un pat ja priekšlikumi izmaiņām tiešām ir atbilstoši, tad piedāvājiet tos ņemt vērā nākamajā politikas redakcijā. Jo uzņēmuma aizsardzība maksā lielu naudu. Tātad visas izmaiņas BCP plānā ir jāiziet cauri budžeta komitejai un plānošanai. Uzņēmuma darbības nepārtrauktības politiku iesakām pārskatīt reizi gadā vai uzreiz pēc būtiskām izmaiņām uzņēmuma struktūrā vai ārējos apstākļos (lai lasītāji man piedod, ka tā saku).

3. Fantāzijas un realitāte

Bieži gadās, ka, sastādot BCP plānu, autori apraksta kādu ideālu pasaules ainu. Piemēram, "mums nav otra datu centra, bet mēs uzrakstīsim plānu, it kā mums būtu." Vai arī uzņēmumam vēl nav kādas daļas infrastruktūras, bet darbinieki to tomēr pievienos plānam cerībā, ka tā parādīsies nākotnē. Un tad uzņēmums īstenos realitāti plānā: izveidos otru datu centru, aprakstīs citas izmaiņas.

Kreisajā pusē ir BCP atbilstošā infrastruktūra, labajā pusē ir reālā infrastruktūra

Tas viss ir kļūda. BCP plāna rakstīšana nozīmē naudas tērēšanu. Ja jūs uzrakstīsit plānu, kas šobrīd nedarbojas, jums būs jāmaksā par ļoti dārgu papīru. No tā nav iespējams atgūties, nav iespējams to pārbaudīt. Tas izrādās darbs darba dēļ.
Plānu var uzrakstīt diezgan ātri, taču rezerves infrastruktūras izveide un naudas tērēšana visiem aizsardzības risinājumiem ir ilga un dārga. Tas var ilgt vairāk nekā vienu gadu. Un var izrādīties, ka jums jau ir plāns, un infrastruktūra tam parādīsies pēc diviem gadiem. Kāpēc vajadzīgs šāds plāns? No kā tas tevi pasargās?

Tā ir arī fantāzija, kad BCP izstrādes komanda sāk izdomāt ekspertiem, kas viņiem būtu jādara un kurā laikā. Tas nāk no kategorijas: “Ieraugot lāci taigā, tev jānogriežas pretējā virzienā no lāča un jāskrien ar ātrumu, kas pārsniedz lāča ātrumu. Ziemas mēnešos jums ir jānosedz pēdas.

4. Topi un saknes

Ceturtā būtiskākā kļūda ir pārāk virspusējs vai pārāk detalizēts plāns. Mums ir vajadzīgs zelta vidusceļš. Plāns nedrīkst būt pārāk detalizēts idiotiem, bet tas nedrīkst būt pārāk vispārīgs, lai beigtos kaut kas līdzīgs šim:

Vispār viegli

5. Cēzaram - kas ir Cēzaram, mehāniķim - kas ir mehāniķim.

Nākamā kļūda izriet no iepriekšējās: vienā plānā nevar iekļaut visas darbības visiem vadības līmeņiem. BCP plāni parasti tiek izstrādāti lieliem uzņēmumiem ar lielām finanšu plūsmām (starp citu, saskaņā ar mūsu izpēte, vidēji 48% lielo Krievijas uzņēmumu saskārās ar ārkārtas situācijām, kas radīja ievērojamus finansiālus zaudējumus) un daudzlīmeņu vadības sistēmu. Šādiem uzņēmumiem nav vērts mēģināt visu salikt vienā dokumentā. Ja uzņēmums ir liels un strukturēts, tad plānam jābūt trīs atsevišķiem līmeņiem:

• stratēģiskais līmenis - augstākajai vadībai;
• taktiskais līmenis - vidējā līmeņa vadītājiem;
• un operatīvais līmenis – jomā tieši iesaistītajiem.

Piemēram, ja runājam par neveiksmīgas infrastruktūras atjaunošanu, tad stratēģiskā līmenī tiek pieņemts lēmums par atveseļošanas plāna aktivizēšanu, taktiskajā līmenī var aprakstīt procesa procedūras, un operatīvajā līmenī ir norādījumi par konkrētu nodošanu ekspluatācijā. aprīkojuma daļas.

BCP bez budžeta

Katrs redz savu atbildības jomu un saikni ar citiem darbiniekiem. Negadījuma brīdī katrs atver plānu, ātri atrod savu daļu un seko tam. Ideālā gadījumā ir jāatceras no galvas, kuras lapas atvērt, jo dažkārt tiek skaitītas minūtes.

6. Lomu spēle

Vēl viena kļūda, sastādot BCP plānu: nav nepieciešams plānā iekļaut konkrētus vārdus, pasta adreses un citu kontaktinformāciju. Pašā dokumenta tekstā jānorāda tikai bezpersoniskas lomas, un šīm lomām jāpiešķir par konkrētiem uzdevumiem atbildīgo personu vārdi un viņu kontakti jānorāda plāna pielikumā.

Kāpēc?

Mūsdienās lielākā daļa cilvēku maina darbu ik pēc diviem līdz trim gadiem. Un, ja plāna tekstā pierakstīsi visus atbildīgos un viņu kontaktus, tad tas būs nemitīgi jāmaina. Un lielos uzņēmumos, un jo īpaši valdības uzņēmumos, katrai izmaiņai jebkurā dokumentā ir nepieciešams daudz apstiprinājumu.

Nemaz nerunājot par to, ka, ja rodas ārkārtas situācija un jums ir izmisīgi jāpārskata plāns un jāmeklē īstā kontaktpersona, jūs zaudēsiet dārgo laiku.

Life hack: mainot lietojumprogrammu, bieži vien tas nav pat jāapstiprina. Vēl viens padoms: varat izmantot plānu atjaunināšanas automatizācijas sistēmas.

7. Versiju veidošanas trūkums

Parasti viņi izveido plāna versiju 1.0 un pēc tam veic visas izmaiņas bez rediģēšanas režīma un nemainot faila nosaukumu. Tajā pašā laikā bieži vien nav skaidrs, kas ir mainījies salīdzinājumā ar iepriekšējo versiju. Ja nav versiju veidošanas, plāns dzīvo savu dzīvi, kas nekādā veidā netiek izsekots. Jebkura BCP plāna otrajā lapā jānorāda versija, izmaiņu autors un pašu izmaiņu saraksts.

Neviens to vairs nevar izdomāt

8. Kam man jājautā?

Bieži vien uzņēmumiem nav atbildīgās personas par BCP plānu un nav atsevišķas nodaļas, kas būtu atbildīga par darbības nepārtrauktību. Šī godpilnā atbildība tiek uzticēta CIO, viņa vietniekam vai saskaņā ar principu “jūs nodarbojaties ar informācijas drošību, tāpēc šeit ir papildus BCP”. Rezultātā plāns tiek izstrādāts, saskaņots un apstiprināts no augšas uz leju.

Kurš ir atbildīgs par plāna uzglabāšanu, atjaunināšanu un tajā esošās informācijas pārskatīšanu? To var neizrakstīt. Atsevišķa darbinieka algošana šim ir izšķērdība, bet kādu no esošajiem uzkraut ar papildu pienākumiem, protams, ir iespējams, jo visi tagad tiecas pēc efektivitātes: “Pakaram viņam laternu, lai pa nakti var pļaut,” taču vai tas ir nepieciešams?

Mēs meklējam atbildīgos par BCP divus gadus pēc tā izveides

Tāpēc bieži notiek tā: tika izstrādāts plāns un ievietots garā kastē, lai tas tiktu pārklāts ar putekļiem. Neviens to nepārbauda un neuztur tā atbilstību. Biežākā frāze, ko dzirdu, ejot pie klienta, ir: “Plāns ir, bet sen izstrādāts, vai ir pārbaudīts, nav zināms, ir aizdomas, ka nestrādā.”

9. Pārāk daudz ūdens

Ir plāni, kuros ievads ir piecas lappuses garš, ietverot priekšnosacījumu aprakstu un pateicību visiem projekta dalībniekiem, ar informāciju par to, ko uzņēmums dara. Kamēr ritināt uz leju līdz desmitajai lapai, kur ir noderīga informācija, jūsu datu centrs jau ir pārpludināts.

Mēģinot lasīt līdz šim brīdim, kā rīkoties, ja datu centrs ir appludināts?

Ievietojiet visu uzņēmuma “ūdeni” atsevišķā dokumentā. Pašam plānam jābūt ārkārtīgi konkrētam: par šo uzdevumu atbildīgā persona to dara utt.

10. Uz kā rēķina notiek bankets?

Bieži vien plānu veidotājus neatbalsta uzņēmuma augstākā vadība. Taču atbalstu sniedz vidējās vadības pārstāvji, kuri nevada vai kuriem nav nepieciešamā budžeta un resursu, lai vadītu darbības nepārtrauktību. Piemēram, IT nodaļa izveido savu BCP plānu sava budžeta ietvaros, bet CIO neredz visu uzņēmuma ainu. Mans mīļākais piemērs ir video konferences. Kad izpilddirektora videokonference nedarbosies, kuru viņš izķidīs? CIO, kurš "nesniedza". Līdz ar to no CIO viedokļa, kas uzņēmumā ir svarīgākais? Par ko cilvēki viņu vienmēr “mīl”: videokonferences, kas uzreiz pārvēršas par biznesam svarīgu sistēmu. Un no biznesa viedokļa - nu, nav VKS, padomājiet, mēs runāsim pa telefonu, kā Brežņeva laikā...

Turklāt IT nodaļa parasti uzskata, ka tās galvenais uzdevums katastrofas gadījumā ir korporatīvo IT sistēmu darbības atjaunošana. Bet dažreiz jums tas nav jādara! Ja ir biznesa process papīra gabalu drukāšanas veidā uz šausmīgi dārga printera, tad nevajadzētu pirkt otru šādu printeri kā rezerves un novietot to blakus, ja sabojājas. Var pietikt, ja papīra gabaliņus īslaicīgi nokrāso ar roku.

Ja mēs veidojam nepārtrauktu aizsardzību IT ietvaros, mums ir jāizmanto augstākās vadības un uzņēmumu pārstāvju atbalsts. Pretējā gadījumā, ieejot IT nodaļā, jūs varat atrisināt noteiktu problēmu loku, bet ne visas nepieciešamās.

Tā izskatās situācija, kad DR plāni ir tikai IT nodaļai

10. Nekādas pārbaudes

Ja ir plāns, tas ir jāpārbauda. Tiem, kas nav pazīstami ar standartiem, tas nemaz nav acīmredzams. Piemēram, jums visur karājas “avārijas izejas” zīmes. Bet saki, kur ir tavs uguns spainis, āķis un lāpsta? Kur ir ugunsdzēsības hidrants? Kur jāatrodas ugunsdzēšamajam aparātam? Bet tas jāzina ikvienam. Mums nemaz nešķiet loģiski, ieejot birojā, atrast ugunsdzēšamo aparātu.

Iespējams, ka nepieciešamība pārbaudīt plānu būtu jāpiemin pašā plānā, taču tas ir strīdīgs lēmums. Jebkurā gadījumā plānu var uzskatīt par funkcionējošu tikai tad, ja tas ir vismaz vienu reizi pārbaudīts. Kā jau minēts iepriekš, ļoti bieži dzirdu: “Plāns ir, visa infrastruktūra sagatavota, bet tas nav fakts, ka viss izdosies tā, kā rakstīts plānā. Jo viņi to nepārbaudīja. Nekad".

Noslēgumā

Daži uzņēmumi var analizēt savu vēsturi, lai saprastu, kāda veida nepatikšanas varētu notikt un cik tās ir. Pētījumi un pieredze liecina, ka mēs nevaram pasargāt sevi no visa. Sūdi, agri vai vēlu, notiek ar jebkuru uzņēmumu. Cita lieta, cik jūs būsiet sagatavojies šai vai līdzīgai situācijai un vai spēsiet laikus atjaunot savu biznesu.

Daži cilvēki domā, ka nepārtrauktība ir saistīta ar to, kā novērst visa veida riskus, lai tie neīstenotos. Nē, runa ir par to, ka riski realizēsies, un mēs būsim tam gatavi. Karavīri ir apmācīti kaujā nedomāt, bet rīkoties. Tas pats ir ar BCP plānu: tas ļaus jums pēc iespējas ātrāk atjaunot savu biznesu.

Vienīgais aprīkojums, kuram nav nepieciešams BCP

Igors Tjukačovs,
Uzņēmējdarbības nepārtrauktības konsultants
Datorsistēmu projektēšanas centrs
"Reaktīvās informācijas sistēmas"

Avots: www.habr.com