Përshëndetje të gjithëve, emri im është Igor Tyukachev dhe jam një konsulent për vazhdimësinë e biznesit. Në postimin e sotëm do të kemi një diskutim të gjatë dhe të lodhshëm të të vërtetave të përbashkëta.Dua të ndaj përvojën time dhe të flas për gabimet kryesore që bëjnë kompanitë kur zhvillojnë një plan të vazhdimësisë së biznesit.
1. RTO dhe RPO në mënyrë të rastësishme
Gabimi më i rëndësishëm që kam parë është se koha e rikuperimit (RTO) është hequr nga ajri. Epo, nga ajri - për shembull, ka disa numra të dy viteve më parë nga SLA që dikush i ka sjellë nga vendi i tyre i mëparshëm i punës. Pse e bëjnë këtë? Në fund të fundit, sipas të gjitha metodave, së pari duhet të analizoni pasojat për proceset e biznesit dhe bazuar në këtë analizë, të llogarisni kohën e rikuperimit të synuar dhe humbjen e pranueshme të të dhënave. Por kryerja e një analize të tillë ndonjëherë kërkon shumë kohë, ndonjëherë është e shtrenjtë, ndonjëherë nuk është shumë e qartë se si - theksoni atë që duhet bërë. Dhe gjëja e parë që u vjen në mendje shumë njerëzve është: “Ne jemi të gjithë të rritur dhe e kuptojmë se si funksionon biznesi. Le të mos humbim kohë dhe para! Le të marrim plus ose minus siç duhet të jetë. Nga koka juaj, duke përdorur zgjuarsinë proletare! Le të jetë RTO dy orë.”
Në çfarë çon kjo? Kur vini në menaxhim për para për aktivitete për të siguruar RTO/RPO-në e kërkuar me numra të caktuar, gjithmonë kërkon justifikim. Nëse nuk ka justifikim, atëherë lind pyetja: nga e keni marrë atë? Dhe nuk ka asgjë për t'u përgjigjur. Si rezultat, humbet besimi në punën tuaj.
Përveç kësaj, ndonjëherë ato dy orë shërim kushtojnë një milion dollarë. Dhe justifikimi i kohëzgjatjes së RTO është një çështje parash, dhe shumë e madhe në këtë.
Dhe së fundi, kur të sillni planin tuaj të PKK dhe/ose DR interpretuesve (të cilët në të vërtetë do të vrapojnë dhe do të tundin krahët në momentin e aksidentit), ata do të bëjnë një pyetje të ngjashme: nga erdhën këto dy orë? Dhe nëse nuk mund ta shpjegoni këtë qartë, atëherë ata nuk do të kenë besim as tek ju dhe as tek dokumenti juaj.
Rezulton të jetë një copë letër për hir të një copë letre, një çregjistrim. Nga rruga, disa e bëjnë këtë qëllimisht, thjesht për të kënaqur kërkesat e rregullatorit.
Epo e kuptoni
2. Ilaçi për çdo gjë
Disa njerëz besojnë se një plan PKK është zhvilluar për të mbrojtur të gjitha proceset e biznesit nga çdo kërcënim. Kohët e fundit, pyetja "Nga çfarë duam të mbrohemi?" Dëgjova përgjigjen: "Gjithçka dhe më shumë."
Por fakti është se plani synon vetëm të mbrojë specifike proceset kryesore të biznesit të kompanisë nga specifike kërcënimet. Prandaj, përpara se të hartohet një plan, është e nevojshme të vlerësohet shfaqja e rreziqeve dhe të analizohen pasojat e tyre për biznesin. Vlerësimi i rrezikut është i nevojshëm për të kuptuar se nga cilat kërcënime ka frikë kompania. Në rast të shkatërrimit të ndërtesave do të ketë një plan vazhdimësie, në rast presioni sanksioni - një tjetër, në rast përmbytjeje - një i tretë. Edhe dy vende identike në qytete të ndryshme mund të kenë plane dukshëm të ndryshme.
Është e pamundur të mbrosh një kompani të tërë me një PKK, veçanërisht një të madhe. Për shembull, grupi i madh i shitjeve me pakicë X5 filloi të sigurojë vazhdimësi me dy procese kryesore të biznesit (ne kemi shkruar për këtë ). Dhe është thjesht joreale të mbyllësh të gjithë kompaninë me një plan, kjo është nga kategoria e "përgjegjësisë kolektive", kur të gjithë janë përgjegjës dhe askush nuk është përgjegjës.
Standardi ISO 22301 përmban konceptin e një politike, me të cilën, në fakt, fillon procesi i vazhdimësisë në kompani. Ai përshkruan se çfarë do të mbrojmë dhe nga çfarë. Nëse njerëzit vijnë me vrap dhe kërkojnë të shtojnë këtë dhe atë, për shembull:
— Le t'i shtojmë PKK-së rrezikun që të na hakojnë?
ose
— Kohët e fundit, gjatë shiut, kati ynë i fundit u përmbyt - le të shtojmë një skenar se çfarë të bëjmë në rast përmbytjeje?
Pastaj drejtojini ata menjëherë në këtë politikë dhe thoni që ne mbrojmë asetet specifike të kompanisë dhe vetëm nga kërcënimet specifike, të dakorduara paraprakisht, sepse ato janë prioriteti tani.
Dhe edhe nëse propozimet për ndryshime janë vërtet të përshtatshme, atëherë ofroni t'i merrni parasysh në versionin tjetër të politikës. Sepse mbrojtja e një kompanie kushton shumë para. Pra, të gjitha ndryshimet në planin PKK duhet të kalojnë përmes komitetit të buxhetit dhe planifikimit. Ne rekomandojmë rishikimin e politikës së vazhdimësisë së biznesit të kompanisë një herë në vit ose menjëherë pas ndryshimeve të rëndësishme në strukturën e kompanisë ose kushtet e jashtme (mund të më falin lexuesit që e them këtë).
3. Fantazitë dhe realiteti
Shpesh ndodh që gjatë hartimit të një plani PKK, autorët të përshkruajnë një pamje ideale të botës. Për shembull, "ne nuk kemi një qendër të dytë të të dhënave, por do të shkruajmë një plan sikur e kemi." Ose biznesi nuk ka ende një pjesë të infrastrukturës, por punonjësit do ta shtojnë atë në plan me shpresën se do të shfaqet në të ardhmen. Dhe më pas kompania do ta shtrijë realitetin në plan: të ndërtojë një qendër të dytë të dhënash, të përshkruajë ndryshime të tjera.
Në të majtë është infrastruktura që korrespondon me PKK, në të djathtë është infrastruktura reale
E gjithë kjo është një gabim. Të shkruash një plan PKK do të thotë të shpenzosh para. Nëse shkruani një plan që nuk funksionon tani, do të paguani për letra shumë të shtrenjta. Është e pamundur të shërohesh prej saj, është e pamundur ta provosh. Rezulton të jetë punë për hir të punës.
Ju mund të shkruani një plan mjaft shpejt, por ndërtimi i një infrastrukture rezervë dhe shpenzimi i parave për të gjitha zgjidhjet e mbrojtjes është i gjatë dhe i shtrenjtë. Kjo mund të zgjasë më shumë se një vit. Dhe mund të rezultojë që tashmë keni një plan, dhe infrastruktura për të do të shfaqet brenda dy vjetësh. Pse nevojitet një plan i tillë? Nga çfarë do t'ju mbrojë?
Është gjithashtu një fantazi kur ekipi i zhvillimit të PKK-së fillon të kuptojë për ekspertët se çfarë duhet të bëjnë dhe në çfarë kohe. Vjen nga kategoria: “Kur shihni një ari në taiga, duhet të ktheheni në drejtim të kundërt nga ariu dhe të vraponi me një shpejtësi që tejkalon shpejtësinë e ariut. Gjatë muajve të dimrit, ju duhet të mbuloni gjurmët tuaja.”
4. Majat dhe rrënjët
Gabimi i katërt më i rëndësishëm është ta bësh planin ose shumë sipërfaqësor ose shumë të detajuar. Ne kemi nevojë për një mesatare të artë. Plani nuk duhet të jetë shumë i detajuar për idiotët, por nuk duhet të jetë shumë i përgjithshëm në mënyrë që diçka e tillë të përfundojë:
E lehtë në përgjithësi
5. Te Cezari - çfarë është e Cezarit, tek mekaniku - çfarë është mekaniku.
Gabimi tjetër rrjedh nga ai i mëparshmi: një plan nuk mund të akomodojë të gjitha veprimet për të gjitha nivelet e menaxhimit. Planet e PKK zakonisht zhvillohen për kompani të mëdha me flukse të mëdha financiare (nga rruga, sipas tonë , mesatarisht, 48% e kompanive të mëdha ruse hasën në situata emergjente që sjellin humbje të konsiderueshme financiare) dhe një sistem menaxhimi me shumë nivele. Për kompani të tilla, nuk ia vlen të përpiqeni të vendosni gjithçka në një dokument. Nëse kompania është e madhe dhe e strukturuar, atëherë plani duhet të ketë tre nivele të veçanta:
- niveli strategjik - për menaxhmentin e lartë;
- niveli taktik - për menaxherët e mesëm;
- dhe niveli operacional - për ata që janë të përfshirë drejtpërdrejt në terren.
Për shembull, nëse po flasim për rivendosjen e një infrastrukture të dështuar, atëherë në nivelin strategjik merret vendimi për aktivizimin e planit të rimëkëmbjes, në nivelin taktik mund të përshkruhen procedurat e procesit, dhe në nivelin operacional ka udhëzime për vënien në punë specifike. pjesë të pajisjeve.
PKK pa buxhet
Të gjithë shohin fushën e tyre të përgjegjësisë dhe lidhjet me punonjësit e tjerë. Në momentin e një aksidenti, të gjithë hapin një plan, gjejnë shpejt pjesën e tyre dhe e ndjekin atë. Në mënyrë ideale, duhet të mbani mend përmendësh cilat faqe të hapni, sepse ndonjëherë minutat numërohen.
6. Lojë me role
Një gabim tjetër gjatë hartimit të një plani PKK: nuk ka nevojë të përfshihen emra specifikë, adresa emaili dhe informacione të tjera kontakti në plan. Në tekstin e vetë dokumentit, duhet të tregohen vetëm role jopersonale, dhe këtyre roleve duhet t'u caktohen emrat e atyre që janë përgjegjës për detyra specifike dhe kontaktet e tyre duhet të renditen në aneksin e planit.
Pse?
Sot, shumica e njerëzve ndryshojnë punë çdo dy deri në tre vjet. Dhe nëse i shkruani të gjithë përgjegjësit dhe kontaktet e tyre në tekstin e planit, atëherë ai do të duhet të ndryshohet vazhdimisht. Dhe në kompanitë e mëdha, dhe veçanërisht ato qeveritare, çdo ndryshim në çdo dokument kërkon një ton miratimesh.
Për të mos përmendur që nëse ndodh një emergjencë dhe ju duhet të kaloni furishëm planin dhe të kërkoni kontaktin e duhur, do të humbni kohë të çmuar.
Hakimi i jetës: kur ndryshoni një aplikacion, shpesh nuk keni nevojë as ta miratoni atë. Një këshillë tjetër: mund të përdorni sistemet e automatizimit të përditësimit të planit.
7. Mungesa e versionimit
Zakonisht ata krijojnë një version të planit 1.0 dhe më pas bëjnë të gjitha ndryshimet pa modalitetin e redaktimit dhe pa ndryshuar emrin e skedarit. Në të njëjtën kohë, shpesh është e paqartë se çfarë ka ndryshuar në krahasim me versionin e mëparshëm. Në mungesë të versionit, plani jeton jetën e tij, e cila nuk gjurmohet në asnjë mënyrë. Faqja e dytë e çdo plani PKK duhet të tregojë versionin, autorin e ndryshimeve dhe një listë të vetë ndryshimeve.
Askush nuk mund ta kuptojë më
8. Kë duhet të pyes?
Shpesh kompanitë nuk kanë një person përgjegjës për planin e PKK-së dhe nuk ka një departament të veçantë që është përgjegjës për vazhdimësinë e biznesit. Kjo përgjegjësi e nderuar i caktohet CIO-s, zëvendësit të tij ose sipas parimit "ju merreni me sigurinë e informacionit, kështu që këtu është edhe PKK". Si rezultat, plani zhvillohet, miratohet dhe miratohet, nga lart poshtë.
Kush është përgjegjës për ruajtjen e planit, përditësimin dhe rishikimin e informacionit në të? Kjo mund të mos jetë e përshkruar. Punësimi i një punonjësi të veçantë për këtë është i kotë, por ngarkimi i një prej atyre ekzistues me detyra shtesë është i mundur, natyrisht, sepse të gjithë tani po përpiqen për efikasitet: "Le t'i varim një fanar mbi të që të mund të kosit natën", por është e nevojshme?
Jemi në kërkim të përgjegjësve për PKK-në dy vjet pas krijimit të saj
Prandaj, shpesh ndodh kështu: u hartua një plan dhe u vendos në një kuti të gjatë për t'u mbuluar me pluhur. Askush nuk e teston ose nuk e ruan rëndësinë e tij. Fraza më e zakonshme që dëgjoj kur vij te një klient është: "Ka një plan, por ai është zhvilluar shumë kohë më parë, nuk dihet nëse është testuar, ekziston dyshimi se nuk funksionon."
9. Shumë ujë
Ka plane në të cilat hyrja është pesë faqe, duke përfshirë një përshkrim të kushteve paraprake dhe falënderim për të gjithë pjesëmarrësit në projekt, me informacione se çfarë bën kompania. Në kohën kur lëvizni poshtë në faqen e dhjetë, ku ka informacione të dobishme, qendra juaj e të dhënave tashmë është përmbytur.
Kur po përpiqeni të lexoni deri në momentin, çfarë duhet të bëni nëse qendra juaj e të dhënave është e përmbytur?
Vendosni të gjithë "ujin" e korporatës në një dokument të veçantë. Vetë plani duhet të jetë jashtëzakonisht specifik: personi përgjegjës për këtë detyrë e bën këtë, e kështu me radhë.
10. Me shpenzimet e kujt është banketi?
Shpesh, krijuesit e planeve nuk kanë mbështetje nga menaxhmenti i lartë i kompanisë. Por ka mbështetje nga menaxhmenti i mesëm që nuk menaxhon ose nuk ka buxhetin dhe burimet e nevojshme për të menaxhuar vazhdimësinë e biznesit. Për shembull, departamenti i IT krijon planin e tij të PKK brenda buxhetit të tij, por CIO nuk e sheh të gjithë pamjen e kompanisë. Shembulli im i preferuar është videokonferenca. Kur videokonferenca e CEO-s nuk funksionon, kë do të eviscerojë? CIO që "nuk ofroi". Prandaj, nga këndvështrimi i CIO-s, cila është gjëja më e rëndësishme në kompani? Ajo për të cilën njerëzit e “dashurojnë” gjithmonë: videokonferenca, e cila kthehet menjëherë në një sistem kritik për biznesin. Dhe nga pikëpamja e biznesit - mirë, jo VKS, thjesht mendoni, ne do të flasim në telefon, si nën Brezhnev ...
Për më tepër, departamenti i IT zakonisht mendon se detyra e tij kryesore në rast fatkeqësie është të rivendosë funksionimin e sistemeve të TI-së të korporatave. Por ndonjëherë nuk keni nevojë ta bëni këtë! Nëse ka një proces biznesi në formën e printimit të copave të letrës në një printer jashtëzakonisht të shtrenjtë, atëherë nuk duhet të blini një printer të dytë të tillë si rezervë dhe ta vendosni pranë tij në rast të një prishjeje. Mund të jetë e mjaftueshme të ngjyrosni përkohësisht copat e letrës me dorë.
Nëse po ndërtojmë mbrojtje të vazhdueshme brenda IT-së, duhet të marrim mbështetjen e menaxhmentit të lartë dhe përfaqësuesve të biznesit. Përndryshe, duke u pupuar brenda departamentit të IT, ju mund të zgjidhni një sërë problemesh, por jo të gjitha ato të nevojshme.
Kështu duket situata kur vetëm departamenti i IT ka plane DR
10. Asnjë testim
Nëse ka një plan, ai duhet të testohet. Për ata që nuk i njohin standardet, kjo nuk është aspak e qartë. Për shembull, ju keni shenja "dalje emergjente" të varura kudo. Por më thuaj, ku është kova juaj e zjarrit, grepi dhe lopata juaj? Ku është hidranti i zjarrit? Ku duhet të vendoset fikësi i zjarrit? Por të gjithë duhet ta dinë këtë. Nuk na duket aspak logjike të gjejmë një zjarrfikës kur hyjmë në një zyrë.
Ndoshta nevoja për të testuar planin duhet përmendur në vetë planin, por ky është një vendim i diskutueshëm. Në çdo rast, një plan mund të konsiderohet funksional vetëm nëse është testuar të paktën një herë. Siç u përmend më lart, dëgjoj shumë shpesh: “Ka një plan, e gjithë infrastruktura është e përgatitur, por nuk është fakt që gjithçka do të shkojë siç është shkruar në plan. Sepse nuk e testuan. kurrë".
Në përfundim
Disa kompani mund të analizojnë historinë e tyre për të kuptuar se çfarë lloj problemesh ka të ngjarë të ndodhin dhe sa të mundshme janë ato. Hulumtimet dhe përvoja sugjerojnë se ne nuk mund të mbrohemi nga gjithçka. Mut, herët a vonë, i ndodh çdo kompanie. Një tjetër gjë është se sa të përgatitur do të jeni për këtë ose një situatë të ngjashme dhe nëse do të jeni në gjendje ta riktheni biznesin tuaj në kohë.
Disa njerëz mendojnë se vazhdimësia ka të bëjë me atë se si të eliminohen të gjitha llojet e rreziqeve në mënyrë që ato të mos materializohen. Jo, çështja është që rreziqet do të materializohen dhe ne do të jemi gati për këtë. Ushtarët janë të trajnuar që të mos mendojnë në betejë, por të veprojnë. Është e njëjta gjë me një plan BCP: do t'ju lejojë të rivendosni biznesin tuaj sa më shpejt që të jetë e mundur.
E vetmja pajisje që nuk kërkon PKK
Igor Tyukachev,
Konsulent për vazhdimësinë e biznesit
Qendra për Projektimin e Sistemeve Kompjuterike
"Jet Infosystems"
Burimi: www.habr.com