четверг, 9 декабря 2010 г.

Еще одна конференция, посвященная непрерывности бизнеса

Совсем недавно я очень переживал, что тема непрерывности бизнеса мало кого интересует. Казалось, что конференции, посвященные тематике непрерывности бизнеса, не привлекут посетителей, но, судя по всему, мои переживания были напрасны. До недавнего времени мне было известно о существовании лишь одного такого мероприятия, а именно о Business Continuity Russia, которое в этом году проводилось во второй раз и свои впечатления о котором я изложил здесь на блоге 6 октября 2010. Каково же было моя радость, когда я узнал о существовании еще одной. Она называется "BCM: теория и практика управления непрерывностью бизнеса", тоже является ежегодной, в этом году будет проходить во второй раз 15 декабря. Чтобы у читателей была возможность оценить уровень этого мероприятия, я перечислю докладчиков и перескажу содержание выступлений, прозвучавших в прошлом году. 

Сергей Петренко, эксперт по непрерывности бизнеса и защите информации, ГК АйТи
Тенденции и перспективы развития стандарта BS 25999 в России

 В своей презентации Сергей подробно рассмотрел предпосылки появления британского стандарта и его пошаговое применение в России. В качестве предпосылок были перечислены многие национальные стандарты и другие нормативные и регламентирующие документы, которые послужили основой для BS 25999. Было рассмотрено пошаговое развитие процесса BCM в компании. Для каждого из выделенных Сергеем 10 шагов были приведены реальные примеры результатов в виде таблиц с описанием сценариев аварий, примеров классификации ИТ-сервисов, вариантов стратегий непрерывности сервиса и др.

Вожегова Мария, вице-президент по ИТ и операциям, Росгосстрах
Модели обеспечения непрерывности бизнеса

 Свое выступление Мария начала с небольшой теоретической части, в которой определила суть процесса обеспечения непрерывности бизнеса, дала определение термину «операционный простой» и описала основные цели BCP. А далее, заметив, что «В России реализация BCP/BCM часто рассматривается только как ИТ-процесс», стала подробно рассматривать этапы реализации BCP для информационных систем и сервисов. Справедливости ради надо заметить, что «Развитие бизнес-составляющей» находит место лишь в «Планах на будущее» у большинства компаний, которые начинают реализовывать данный процесс на практике.

Лебедева Наталья, представитель по продажам, IBM России и СНГ
Обеспечение непрерывности и отказоустойчивости бизнес процессов. Методика IBM
 
Информационно насыщенным был рассказ о методике обеспечения непрерывности и отказоустойчивости, используемой IBM. Нельзя сказать, что методика IBMпринципиально отличается от методик других крупных компаний или стандартов и содержит следующие семь этапов:
  • оценка угроз;
  • анализ возможного ущерба;
  • анализ существующих возможностей восстановления;
  • разработка стратегии восстановления;
  • выбор технологии, проектирование решения;
  • обеспечение непрерывности функционирования организации;
  • разработка плана восстановления информационных систем.
Очевидно, что если компания начала выполнять проекты в области обеспечения непрерывности бизнес-процессов более 40 лет назад и обеспечила более 400 успешных восстановлений, то на основе накопленного опыта вполне могла довести применяемые приемы и процедуры почти до совершенства. Скорее приятно отметить, что рекомендуемые к использованию стандарты, например, ГОСТ Р 53647, так близки к этому идеалу.

Хайретдинов Марат, вице-президент по ИТ, Еврофинанс Моснарбанк
Резервный ЦОД как элемент управления непрерывностью бизнеса. Практический опыт построения резервного ЦОД
Выступление Марата, возможно, было наиболее интересно для тех, кто надеялся получить полезные практические советы по реализации процесса УНБ. Оно состояло из двух частей. В первой части были описаны шаги, предпринятые банком для обеспечения технологической основы непрерывности бизнеса: этапы, используемые технологии и дальнейшие шаги. Вторая часть была посвящена ответам на вопросы, которые волнуют каждого, кто приступил к практической реализации:
  • в каких случаях выгодно обойтись своими силами?
  • в каких случаях выгодно привлекать сторонних специалистов?
  • где находится «золотая середина»?
  • что было сделано наилучшим образом?
  • что следовало бы сделать иначе?
Городецкий Алексей, старший менеджер по развитию бизнеса, Linxtelecom
Практика реализации Business Continuity планов (BCP) на базе коммерческого ЦОД Linxtelecom, M8 
 
Как легко догадаться, Алексей убедительно рассказал о преимуществах коммерческого ЦОДа своей компании. Для принятия правильного решения, подходит ли в вашем случае такой способ, надо взвесить много факторов:
  • степень зависимости от ИТ и телекоммуникаций;
  • уровень квалификации персонала;
  • необходимость расширения/уменьшения ИТ-инфраструктуры;
  • наличие в компании опыта проектирования и создания катастрофоустойчивых технических решений;
  • финансовые, временные и технические ограничения.
Без всякого сомнения, аренда коммерческого ЦОДа является для многих компаний оптимальным решением, которое позволяет обеспечить непрерывность бизнеса.

И в заключение хочу привести список докладов, которые будут прочитаны 15 декабря.

  • Тенденции и перспективы развития стандарта ISO/IEC 25999 ч.1, ч.2 в России
    Петренко Сергей, эксперт по непрерывности бизнеса и защите информации, ГК АйТи
  • Диалог топ-менеджмента и ИТ: как убедить бизнес в необходимости вложения средств в управление рисками и защиту инвестиций?
    Аншина Марина, начальник управления ИТ, Сибур-Русские шины
  • Вопросы обеспечения непрерывности бизнеса в ЦБ РФ
    Сенаторов Михаил, заместитель председателя правления, директор департамента информационных технологий, Центральный Банк РФ
  • Разработка концепции обеспечения непрерывности бизнеса в ICICI Bank. Взгляд со стороны бизнеса
    Иксанова Айгюль, менеджер по операционным рискам, ICICI Bank
  • От теории к практике управления непрерывностью бизнеса
    Мусатов Константин, консультант по непрерывности бизнеса, Инфосистемы Джет
  • Страховка от технологических рисков
    Заединов Руслан, заместитель генерального директора, КРОК
  • Построение резервного ЦОД в компании Лента
    Шойхет Борис, заместитель ИТ-директора, Лента
  • Непрерывность бизнеса за разумные деньги
    Смирнов Константин, старший консультант по IT-рискам,
    Symantec

вторник, 16 ноября 2010 г.

Новая книга об управлении непрерывностью бизнеса

Свершилось! Издательство "ДМК Пресс" выпустило самую подробную на сегодняшний день книгу, относящуюся к теме непрерывности бизнеса. Книга представляет собой справочник, почти энциклопедию, т.е. содержит очень много информации, и проблема обеспечения непрерывности рассматривается в ней со многих сторон.
  1. Глава 1. Актуальность управления непрерывностью бизнеса
    • Мотивация и преимущества BCM
    • Основные компоненты программы ECP
    • Постановка задачи построения BCP
    • Анализ технологий
  2. Глава 2. Лучшие практики управления непрерывностью бизнеса
    • Практика BCI
    • Практика института DRII
    • Практика SANS
    • Стандарт BS 25999 (PAS 56)
    • Стандарт AS/NZS 5050 (HB 292:2006)
    • Практика управления рисками
    • Практика описания бизнес-процессов
    • Стандарт COBIT
    • Библиотека ITIL
    • Стандарт ISO/IEC 27002:2005 (BS ISO/IEC 17799:2005)
    • Отечественная практика BCM
  3. Глава 3. Управление проектами в области BCM
    • Практика Accenture
    • Практика Ernst&Young
    • Практика IBM
    • Практика Hewlett-Packard
    • Практика EMC
    • Практика Microsoft
  4. Глава 4. Примеры разработки программы ECP
    • Описание объекта
    • Пример оценки воздействия на бизнес, BIA
    • Пример стратегии непрерывности бизнеса
    • Пример разработки Плана непрерывности бизнеса, BCP
    • Пример Плана тестирования BCP
  5. Приложение 1. Непрерывность бизнеса и акт Сарбейна-Оксли
  6. Приложение 2. План действий Мининформсвязи России в кризисных ситуациях
  7. Приложение 3. Перечень возможных инструкций для надлежащего обеспечения непрерывности бизнеса
  8. Приложение 4. Пример представления контактных данных для BCM
Один из авторов Сергей Петренко дал небольшое интервью, в котором ответил на вопросы о создании книги и перспективах непрерывности бизнеса в России.

Константин Мусатов: Есть ли потребность в литературе по УНБ?
Сергей Петренко: Безусловно. В настоящее время в большинстве высокотехнологичных стран мира эта предметная область активно развивается.  По объективным причинам в России практика УНБ отстает от западной практики на 15-20 лет. Нам явно не хватает открытого и плодотворного обсуждения вопросов BCM, соответствующих русскоязычных программ повышения осведомленности, а также справочных и научно-практических источников литературы на русском языке. Поэтому пособия и книги, содержащие критический анализ известных подходов в области УНБ и позволяющие выработать по настоящему действенные на практике рекомендации УНБ,  остро необходимы. Хочется надеяться, что подготовленная мною совместно с Андреем Беляевым книга послужит в определенном смысле катализатором для взрывного роста профессиональных русскоязычных изданий на эту тему. 

К.М.: Какие разделы Вашей книги можно считать наиболее применимыми на практике?
С.П.: Изначально книга задумывалась как практическое руководство по вопросам разработки корпоративной программы BCM. В основе книги – сухой остаток более 20 проектов в упомянутой предметной области, а также собственное авторское осмысление ряда стандартов и лучших практик. Для специалистов и практиков я бы особенно выделил 3 и 4 главы.

К.М.: Сколько продолжалась работа над книгой?
С.П.: 7 лет. Для работы над книгой это достаточно большой срок. Обычно подготовка книги занимает 1-2 года. Здесь задержка по времени произошла из-за того, что потребовалось время для осмысления и проверки знаний из области УНБ. Свою лепту внесла и активная практическая деятельность авторов в этой области. В целом это сослужило хорошую роль. Материал книги был многократно проверен и апробирован на практике.

К.М.: Почувствовали ли Вы за время работы над книгой какие-нибудь изменения в отношении к теме непрерывности бизнеса?
С.П.: Да, за это время информационные технологии, технологии безопасности и DR из чисто инструментальных (и самодостаточных) превратились в бизнес ориентированные. Во главу угла были поставлены цели и задачи бизнеса, существующие остаточные риски и полученные оценки воздействия на бизнес. В начале работы над книгой было немного не так.
Также я бы отметил, что ряд наработанных и описанных в книге отечественных метрик и мер УНБ привлек к себе пристальное внимание известных западных специалистов и практиков (в частности, Линдона Бирда). По всей видимости, в настоящее время, это самый животрепещущий вопрос в области УНБ и здесь мы хорошо себя показали как практики УНБ.

К.М.: Как Вы относитесь к существующим нормативным актам, например, к Положению ЦБ РФ 242-П?
С.П.: Банк России лидирует в части отечественной практики обеспечения непрерывности бизнеса. За ним “подтягиваются” предприятия телекома, нефте и газоперерабатывающей отрасли, добычи и обработки полезных ископаемых, сектор государственного управления и пр. Соответствующая нормативно-методическая база просто необходима. И можно только надеяться, что примеру Банка России последуют и другие крупные государственные и коммерческие структуры и организации. И произойдет это в самое ближайшее время.

К.М.: Требуется ли России свои законодательные акты в области непрерывности бизнеса или достаточно воспользоваться западными наработками?
С.П.: Это очень интересный вопрос. Мое личное мнение – да. Необходимо критически переработать лучшие западные практики, взять лучшее из богатого отечественного опыта действия в чрезвычайных ситуациях и выработать надлежащую комплексную отечественную практику обеспечения непрерывности бизнеса. Затем довести дело до выработки и принятия соответствующих нормативных и законодательных актов. Только так мы сможем доказать, что мы способны не только перенимать, но и развивать лучший опыт УНБ.

К.М.: Полезно ли было бы существование какого-нибудь форума, площадки, группы для обмена мнениями и опытом в области УНБ или достаточно проходящих конференций?
С.П.: Думаю наличие такой площадки жизненно необходимо. Одно время существовал русскоязычный ресурс www.bcp.ru (к сожалению он перестал поддерживаться). Также есть площадки с отдельными секциями, посвященными теме BCM. Однако отечественного ресурса, подобного BCI или DRI нет. Рано или поздно он должен появиться.

К.М.: Каковы Ваши дальнейшие творческие планы?
С.П.: Если честно планов много. Это и книга по теме BIA и на тему – Метрики и меры управления непрерывностью бизнеса. Интересна подготовка книги на тему – Оценка экономической эффективности программ УНБ и пр. Хватило бы только сил и времени.

    четверг, 28 октября 2010 г.

    Что говорит наука об изменении климата?

    Мне попалась запись интересной беседы с Георгием Сергеевичем Голициным, председателем Научного совета РАН по теории климата, бывшим с января 1990 г. и по 2008 г. директором Института физики атмосферы им. А. М. Обухова РАН. В беседе обсуждалось много вопросов, в том числе и проблема изменения климата. Учитывая признанный вклад этого ученого в изучение атмосферы Земли, стоит прислушаться к его словам. Ниже Вы можете посмотреть всю беседу, в ней было много интересного, здесь же я привожу краткий пересказ того, что имеет отношение к прогнозу изменений климата в ближайшем будущем.
    Согласно определению, климат — это средняя погода за какой-то промежуток времени. В данный момент Всемирная метеорологическая организация считает климатом усредненную погоду за период с 1961 по 1990 год. Так вот, климат действительно меняется. Происходит повышение средней температуры земного шара. За XX век средняя температура по глобусу увеличилась на 0,75°C. Для того, чтобы понять, много это или мало, требуется задать масштаб температурных изменений, сравнить с известными науке колебаниями температур в прошлом. Это можно сделать, например, если рассмотреть изменения во время ледниковых периодов. Продолжительность последнего ледникового периода составляет 110 тыс. лет (100 тыс. ледники нарастали и 10 тыс. лет отступали). В период максимального покрытия Земли ледниками температура в среднем по глобусу была на 5°C ниже. Средняя скорость роста температуры составляла 5°C / 10000 = 0,05°C за 100 лет. Таким образом, в настоящее время скорость изменения температуры выросла в 15 раз! Очевидно, что к прежним «медленным» процессам, таким как колебания земной оси, присоединились новые «быстрые» процессы. Судя по всему, сказать, что это за процессы, зависят ли они от деятельности человека и может ли человек ими управлять, ученые (даже британские) пока не могут. На первый взгляд даже ускорение в 15 раз не кажется угрожающим, если речь идет о сотых и десятых долях градуса. Но не надо забывать, что при определении этих значений подсчитывалось среднее значение по всему глобусу. Это не мешает локальным температурным аномалиям достигать значений в десяток градусов. Например, жара этим летом охватывала территорию менее 1 млн. квадратных километров, что составляет менее 0,2% всей территории суши (540 млн. кв. км.).



    Это, так сказать, качественная оценка происходящих изменений. И следом можно привести количественную оценку.

    Австралийские ученые пришли к выводу, что в будущем мегаполисы окажутся непригодными для жизни. К концу XXIII века из-за климатических изменений влажность и температура в крупнейших городах мира, в том числе и в Москве, возрастут до таких значений, что людям станет просто невозможно существовать в этих условиях.

    Такое открытие сделали специалисты Нового Университета Южного Уэльса в австралийском Сиднее. Свои прогнозы касательно будущего мегаполисов они опубликовали в журнале New Scientist. Исследователи считают, что в Москве, Дели, Сиднее, Рио-де-Жанейро и других крупных городах мира будет так жарко и влажно, что дышать в такой атмосфере станет практически невозможно. Люди будут вынуждены покинуть ставшие непригодными для обитания города.

    Свои выводы специалисты университета делали, основываясь на информации о скорости климатических изменений в мире и динамике роста среднегодовых температур. По словам Стивена Шервуда, одного из участников исследования, он был поражен результатами расчетов: до времени, когда в городах станет невозможно жить, остается менее 300 лет.

    Ученые подкрепляют свои выводы конкретными примерами: летом 2003г. из-за обрушившейся на Европу аномальной жары погибли десятки тысяч людей. В Италии число умерших составило свыше 4 тысяч, во Франции, которая сильнее всех из европейских стран пострадала от зноя, - свыше 13 тысяч. В этой связи стоит вспомнить и аномальную жару летом этого года, от которой страдали россияне. По некоторым данным, смертность в Москве в июле выросла в 4-5 раз.

    Один из выводов, который можно сделать на основе всего вышесказанного заключается в том, что необходимость в реализации мер по обеспечению непрерывности и восстановлению деятельности (ОНиВД) в ближайшем будущем будет становиться все острее.

    понедельник, 18 октября 2010 г.

    Business Continuity Russia 2010

    5-6 октября в Экспоцентре состоялась конференция Business Continuity Russia 2010. Она прошла скромно, не как отдельное мероприятие, а в рамках выставки-конференции по информационной безопасности INFODOC 2010. Для ее проведения отвели небольшой зал на четвертом этаже. Хуже всего то, что люди, стоявшие за информационной стойкой, по крайней мере те, с которыми разговаривал я, не знали, где искать эту конференцию.

    Программа 5 октября
    Скажу честно, в этот день я не был на конференции, поэтому свои впечатления составил на основе тех презентаций, которые удалось раздобыть.
    Стандартизация как необходимое условие обеспечение непрерывности бизнеса - Голубкова Л.Г., директор по стратегическому развитию, ЗАО «Фирма «Август»

    Когда о пользе сертификации говорит представитель системного интегратора – это внушает мало доверия. Совсем другое дело, когда об этом говорит человек, так сказать, находящийся по другую сторону баррикад. Людмила Голубкова занимается обеспечением непрерывности в производственной компании — типичном представителе успешного среднего частного российского бизнеса, которое занимается разработкой, производством и продажей пестицидов. Лично я из этой презентации сделал два вывода, во-первых, вопросами обеспечения непрерывности интересуются (и должны интересоваться) не только банки и телекомы. И, во-вторых, вопросы непрерывности должны начинать интересовать руководство организации до того, как численность персонала приближается к 2 тысячам человек.
    Сама презентация лежит здесь.

    Корпоративное управление ИБ как интегрированная составная часть управления деятельности организации – Андрей Дроздов, Старший менеджер KPMG
     
    В презентации мне понравился слайд, содержащий большой список основных стандартов систем управления и показывающий их взаимосвязи. И еще один интересный слайд с перечнем стимулов корпоративного управления, связанных с информационными технологиями и информационной безопасностью.
    Сама презентация лежит здесь.
     
    Роль ИБ в жизненном цикле BCM – Бореалис А.Н., директор по консалтингу, СТК Развитие 
     
    Следующая презентация также была посвящена вопросам управления и взаимодействия ИБ и НБ. Что мне понравилось больше всего, так это постановка вопроса. Рассматривалась именно роль ИБ в BCM, а не наоборот, с чем мне чаще приходилось сталкиваться на практике.
    Сама презентация лежит здесь.

    Возможно, в этот день были и другие выступления, но мне удалось раздобыть только эти материалы.

     
    Программа 6 октября
    «Интегрированные системы управления рисками предприятия» – Андрей Николаевич Баутов, АНО «Международный Институт Исследования Риска»
     
    Эта презентация вызвала, пожалуй, наибольший интерес у аудитории. Еще бы, ведь рассказ был не только о нормативной базе и статистике, но и о реальном опыте внедрения информационной системы, причем отечественной разработки, причем в российской организации, да еще и не в банке! Поэтому и вопросов было много, и выступление заняло вдвое больше времени, чем было положено по регламенту.
    Сама презентация лежит здесь.

    Круглый стол: Чрезвычайные ситуации – реальный опыт выживания

    Ведущий – Алексей Чеканов, генеральный директор Алмитек

    Вначале Алексей сказал несколько вступительных слов о статистике чрезвычайных ситуаций и допускаемых ошибках на примере аварии в Мексиканском заливе. И попросил участников круглого стола особенно остановиться упомянуть о том, были ли подобные ошибки допущены в их случае.



    Участник круглого стола: Николай Пучков, координатор непрерывности бизнеса ЗАО КБ «Ситибанк», Россия
     
    По другим презентациям Николая я знаю, что СитиБанк имеет опыт реальных чрезвычайных ситуаций, потребовавших эвакуации персонала и возобновления деятельности в резервном помещении. Но в этой презентации Николай решил не повторять рассказ о прошлых событиях, а поделиться той методикой или общим подходом, который был выработан на их основе. Этот подход включает в себя шаги по построению зрелой программы обеспечения непрерывности бизнеса, предъявляемые к плану непрерывности требования, описание процесса реагирования на инцидент, а также средства и решения для кризисного управления.
    Сама презентация лежит здесь.

    Участник круглого стола: Константин Мусатов, специалист по непрерывности бизнеса, Инфосистемы Джет
    О том, что много лет назад системный интегратор Инфосистемы Джет пережил пожар, слышали, наверное, многие. Но так подробно эту историю, насколько я знаю, еще никогда не рассказывали. Я составил почти почасовой хронометраж событий, описал последовательность восстановительных действий и уроки, вынесенные из этого происшествия.
    Сама презентация лежит здесь.

    Участник круглого стола: Сергей Петренко, гл.редактор «Защита информации. Инсайд»

    К сожалению, Сергею пришлось выступать в условиях острой нехватки времени, поэтому он многое не смог раскрыть в своей презентации. Ее можно рассматривать как подробный справочник, посвященный подходам к построению системы непрерывности бизнеса с описанием всех шагов и многочисленными примерами документов.
    Сама презентация лежит здесь.

    Современные программно-технические средства для комплексного управления непрерывностью бизнеса и информационной безопасностью
    Докладчик - Акатьева Мария, Руководитель направления систем менеджмента информационной безопасности и непрерывности бизнеса, LETA IT-company
     
    Мария рассказывала об одном из инструментов для разработки, создания и обновления хотел написать планов, но, на самом деле, платформа ARIS, о которой шла речь в презентации, помогает на всех шагах процесса управления непрерывностью бизнеса. Другое дело, что внедрение этого инструмента только ради управления процессом НБ вряд ли оправданно, а для использования его внутри многих процессов организации требуется достичь определенного уровня зрелости.
    Сама презентация лежит здесь.

    RTO и MTPoD – тонкости проведения анализа влияния на бизнес – Бореалис А.Н., директор по консалтингу, СТК Развитие
    Интересное разъяснение в терминологии, используемой в области управления непрерывностью бизнеса. По сути термины MTPoD и RTO соотносятся примерно как BCM и DR. Первый говорит о бизнес-стороне и обозначает критическое время, спустя которое компания прекратит существование, если прервавшийся процесс не будет восстановлен. Второй же относится скорее к технической (необязательно технологической) стороне восстановления. Так вот в существующей версии стандарта BS 25999 есть противоречия в определении такого важного термина MTPoD.
    Сама презентация лежит здесь.

    Круглый стол: «Не-ИТ составляющая BCM: реальные размеры айсберга».
    Ведущий – Максим Малёжин, старший менеджер Ernst&Young,
    - BCM vs культура и зрелость организации
    - Business Impact Analysis - неочевидные аспекты
    - организация как живой организм (BCM "as is" vs "to be")
    - зависимости между бизнес-процессами и подразделениями - клубок противоречий
    - планы реагирования специфичных бизнес-подразделений - HR, PR, Call Center и т.д.
    Участники:
    Сергей Землянский, Information security/BCP Manager, BNP Paribas

    Это была попытка вовлечь аудиторию в дискуссию на обозначенные темы, но получилось что-то вроде беседы двух приятелей между собой.

    В целом же конференция произвела довольно грустное впечатление, если оценивать ее по количеству участников и слушателей. Количество слушателей вряд ли превышало два десятка человек, да и количество участников тоже не поразило воображение. Легкую оптимистическую ноту всему придает сам факт проведения этого мероприятия.

    четверг, 30 сентября 2010 г.

    Заметные фигуры в области BCM - Andrew Hiles

    15-16 сентября в Москве прошло знаменательное событие — в эти дни состоялся двухдневный семинар, которым руководил Эндрю Хилз (Andrew Hiles). Этот человек заслуживает отдельной статьи, поскольку его вклад в создание нового направления менеджмента под названием «управление непрерывностью бизнеса» и его развитие весьма велик.

    Эндрю Хилз начал свою карьеру в области ИТ программистом в королевских воздушных силах Великобритании. Затем перешел на работу в Транспортное агентство Лондона. Позже в качестве менеджера ИТ-проектов и менеджера по реинжинирингу бизнес-процессов производственного управления он руководил несколькими крупными техническими и организационными проектами, включая реорганизацию ключевых функций лондонского транспорта. Оттуда он перешел в управление связи как первый в истории этого подразделения консультант по бизнес-системам, отвечающий за крупные проекты. В дальнейшем, работая в компьютерной службе Управления атомной энергии Великобритании, он обеспечивал работу суперкомпьютеров, мейнфреймов и другой вычислительной техники. Также он отвечал за работу службы поддержки и контроль качества услуг центра обработки данных.

    Андрю Хилз основал группу Survive! — первую международную группу планирования непрерывности бизнеса и аварийного восстановления. Он был основателем и первым председателем института непрерывности бизнеса (Business Continuity Institute) (Великобритания), а также основателем Всемирной организации по безопасности пищевых продуктов (World Food Safety Organization). Его стаж в области непрерывности бизнеса и аварийного восстановления совокупно превышает 25 лет.

    Его авторству принадлежит инструмент Business Continuity Management Framework™, предназначенный для оценки рисков и влияния на бизнес, а также разработки планов непрерывности бизнеса, который используется во многих международных организациях.

    Он был номинирован на звание достижения в области непрерывности бизнеса на первой церемонии вручения наград в области непрерывности бизнеса, которая состоялась в Лондоне в 1997 году, а в 2004 году внесен в зал славы непрерывности бизнеса, расположенный в Вашингтоне.

    Эндрю является автором более 300 статей и ряда книг:
    • Полное руководство по управлению непрерывностью бизнеса (The Definitive Handbook of Business Continuity Management);
    • Лучшие практики и оценка рисков организации (Best Practice and Enterprise Risk Assessment);
    • Анализ влияния на бизнеслучшие практики (Business Impact Analysis – Best Practices);
    • Путеводитель по риск-менеджменту (Guide to Risk Management);
    • Руководство по аварийному восстановлению IBM UK (IBM GUIDE UK Disaster Recovery Manual). Во время написания Эндрю был председателем группы операционного менеджмента IBM (UK).
    Эндрю также участвовал в написании Британского промышленного бизнес-руководства по управлению непрерывностью бизнеса и руководства по непрерывности бизнеса института директоров (Institute of Directors) и департамента торговли и промышленности (Department of Trade and Industry).

    Эндрю является членом многих профессиональных сообществ таких как британское компьютерное сообщество (British Computer Society) и института управления информационными системами (Institute for the Management of Information Systems). Он был в числе основателей и стал первым председателем влиятельной группы Европейский информационный рынок (European Information Market (EURIM)), которая оказывает поддержку группе EURIM в парламенте Великобритании. Работа этой группы связана с европейскими законодательными актами, влияющими на сферу ИТ.

    Кстати, семинар был организован компанией Stamford Global.

    среда, 15 сентября 2010 г.

    От расходов к активам: переоценка планов УНБ и их ценности (окончание)


    Чтобы еще больше подчеркнуть высокую экономическую денежную стоимость программы УНБ, можно привести следующие рассуждения. Вероятность наступления различных чрезвычайных ситуаций очень мала, возможность ее оценки с приемлемой точностью спорна, но не вызывает сомнений, что она не равна нулю. Совсем свежий пример — жаркое лето 2010. Синоптики высказывали мнение, что «судя по данным палеоклиматических исследований, подобной аномальной жары на территории нынешней европейской части России не было около пяти тысяч лет.» С таким сенсационным заявлением выступил глава Гидрометцентра РФ Роман Вильфанд. Но если принимать во внимание, что одна и та же Программа УНБ обеспечивает реагирование не на одну, а на много различных чрезвычайных ситуаций, то ее денежная стоимость значительно возрастает. Ведь ее экономическая монетарная стоимость для каждого сценария будет своя, а расходы на реализацию программы — одни и те же для всех сценариев. Таким образом, итоговую таблицу можно изменить следующим образом:
     

    Экономическая монетарная стоимость для ЧС1
    +
    экономическая монетарная стоимость для ЧС2
    +
    +
    экономическая монетарная стоимость для ЧСN
    за вычетом расходов на Программу УНБ
    за вычетом дополнительных расходов
    =
    Полезность Программы УНБ
     

    Бухгалтерский довод
    Одно из традиционных возражений против признания программы УНБ активом заключается в сложности ее оценки с бухгалтерской точки зрения. Хотя существующие правила бухгалтерского учета не позволяют рассматривать приведенные выше рассуждения в буквальном смысле, можно утверждать, что уравнение экономической полезности является прочным фундаментом для демонстрации ценности планов УНБ, используя расчет возврата на инвестиции (ROI). В прошлом невозможность оценить ежегодный ROI программы УНБ ставило программу в невыгодное положение в борьбе за корпоративные ресурсы. Однако, вполне реально разумно модифицировать алгоритм вычисления ROI, чтобы использовать его в организациях любого типа.

    Базовая формула для подсчета ROI имеет следующий вид:

    ROI = ( Доходы – Расходы ) / Расходы * 100 %

    Используя снова данные Деревенского Благотворительного Банка, получаем, что ROI в данном примере составляет 28 %.

    ROI = (3 000 000 – 2 340 000) / (2 340 000)*100 % = 28 %

    Конечно, можно предложить тратить на программу УНБ меньше и тем самым повысить ее экономическую полезность и ROI. Например, руководство может потребовать снизить расходы на программу УНБ с 2 340 000 руб. до 1 510 000. Тем самым, экономическая полезность программы УНБ возрастет с 660 000 до 1 490 000 руб.,
    Экономическая монетарная стоимость
    3 000
    за вычетом расходов на Программу BCM
    - 1 300
    за вычетом дополнительных расходов
    - 210
    Полезность Программы УНБ
    1 490

    а ROI — с 28 % до 98%:

    ROI = (3 000 000 – 1 510 000) / (1 510 000)*100 % = 98 %

    Однако серьезное возражение против подобного предложения состоит в том, что достижение той же величины экономической денежной стоимости маловероятно, если программа УНБ становится менее гибкой и не включает некоторые риски. Например, менее гибкая программа УНБ может быть рассчитана на риск, угрожающий получению половины дохода (600 млн. руб.) на протяжении не трех, а только двух месяцев, т.е. рассчитана на сохранение не 150, а лишь 100 млн. руб. В таком случае экономическая денежная стоимость окажется меньше и составит
    ЭДС = 100 млн. руб. * 2 % = 2 млн. руб., (а не 3 млн. руб.)
    Следовательно, несмотря на сокращение расходов на программу, более низкая экономическая денежная стоимость приведет к пропорционально более низким, а не более высоким значениям экономической полезности и ROI. Конечно, необходимо проводить более глубокий анализ взаимного влияния этих величин друг на друга в каждом конкретном случае.

    Когда возникают дискуссии вокруг численных показателей, руководители программы УНБ получают шанс изменить ее восприятие внутри организации. При возникновении такой дискуссии сам факт полезности УНБ часто уже не подвергается сомнению. В таком случае обсуждение бюджета может сосредоточиться на численных оценках и прогнозах программы. Выгодность ситуации заключается в том, что менеджеры программ УНБ теперь могут эффективно соревноваться в таких числовых упражнениях, поскольку согласие с приведенными оценками открывает возможность использовать стандартные и повторяемые измерения для оценки программ УНБ.

    Изменяя язык, изменяем восприятие
    Тот факт, что правила бухучета не признают программу УНБ активом, конечно, служит барьером на пути формального преобразования расходов на программу УНБ в реальный бухгалтерский актив. Но это не должно препятствовать тому, чтобы использовать приведенные выше аргументы для изменения восприятия самой программы внутри организации. Способность привести конкретные цифры может побудить руководителей организаций по-новому взглянуть на программы УНБ.

    Все дело в том, что язык является мощным инструментом. Когда люди называют свои программы УНБ активами, а не расходами, а проводимые работы «добавляющими ценность», а не «расходующими ресурсы», они перехватывают инициативу в рамках дискуссии о ресурсах, требующихся программе УНБ. Подбор слов, используемых в разговорах об УНБ, может влиять на то, с какой точки зрения финансовый директор и другие руководители оценивают свои бюджеты и принимают решения о том, какие проекты и в каком объеме следует финансировать. Выбор других словарных оборотов может изменить отношение.

    Не должно быть сомнений в том, что компании, которые тщательно готовятся к аварийному восстановлению, в большей степени способны продолжать свои бизнес-операции, чем те, у которых нет УНБ-планов. Минимизация планов УНБ или неспособность эффективно потратить ресурсы на их разработку только усугубят последствия чрезвычайной ситуации, если она наступит. Способность организации справиться с хаосом, воспользоваться неспособностью конкурентов быстро реагировать на происходящее и вместе с тем продолжать обслуживать клиентов, обеспечивать работой сотрудников и вести операционную деятельность будет ключом к выживанию. Применение методов, описанных в данной статье, позволит менеджерам УНБ эффективно бороться за ресурсы внутри таких организаций, которые ориентируются на результат и применяют для принятия решений анализ ROI.

    Материал подготовлен на основе статьи “From Expense to Asset: A Reexamination of BCM Plans and Their Value”, Аaron Miller

    среда, 18 августа 2010 г.

    От расходов к активам: переоценка планов УНБ и их ценности

    Каждый год организации тратят существенные суммы на разработку планов непрерывности бизнеса (BCP), предполагая, что они должны подготовиться к большому количеству возможных аварий. Пожары, химические заражения, компьютерные сбои и даже взрыв террористами бомбы могут нанести предприятию ущерб, вызвать приостановку его деятельности на недели, если не месяцы.

    Правильно разработанные BC-планы позволяют организации более эффективно реагировать на прерывания штатной деятельности. Эти планы помогают минимизировать потери времени сотрудников и, что наиболее важно, потерю денежных потоков и прибылей предприятия.

    Однако исторически ценность BC-планов преуменьшалось, если не полностью отрицалось. Многие матричные организации воспринимают BC-планы как неизбежное зло, нечто что должно быть сделано, при этом с минимальными затратами. В некоторых организациях высшее руководство недооценивают усилия, необходимые для создания эффективных BC-планов. Они настаивают на том, что эти работы должны отнимать у руководителей мало времени, а учения, такие как эмуляции и тестирования систем резервного копирования, проходить с минимальным воздействием на текущие операции.

    Однако сегодня, по мере того, как мир становится все более неопределенным, типы и уровни угроз бизнесу меняются. За последнее десятилетие полезность BC-планов становилась все более очевидной, особенно после событий  9/11. На промышленных предприятиях, имеющих дело с опасными химическими реагентами, планы эвакуации и кризисного реагирования существовали уже давно. Сегодня даже компании, связанные с ИТ и предоставляющие услуги, понимают необходимость наличия BC-планов, учитывая как сильно их деятельность зависит от сохранности данных и восстановления операций в случае аварии.

    Должны ли организации начать относиться к планам непрерывности бизнеса как к активам, а не расходам? Создает ли эффективное управление непрерывностью бизнеса долгосрочную ценность для организации? А если и когда план был применен, помогает ли наличие в организации качественно подготовленного плана генерировать доход и экономить деньги?

    В пользу рассмотрения BC-планов в качестве корпоративного актива, а не расходов, можно привести убедительные доводы. В поддержку такой точки зрения есть как соображения как экономической полезности, так и стратегической бизнес-логики. Цель данной статьи состоит не в том, чтобы убедить налоговые органы изменить правила бухгалтерского учета, а в том, чтобы предоставить профессионалам в области непрерывности бизнеса получить надежные данные, доказывающие, что их работа создает для организации дополнительную ценность.

    Довод экономической полезности
    Оценка BC-плана как актива имеет такой же экономический смысл как оценка предоплаченного страхового полиса. Программа УНБ является в действительности “предоплаченной подготовленностью”. Организация делает первоначальную инвестицию в актив, который позволяет снижать риски. Экономическая ценность BC-плана может быть подсчитана аналогично тому, как и проектная годовая стоимость страховки. В обоих случаях может быть использовано одно и то же базовое уравнение.
    Общая выгода x Вероятность = Экономическая денежная стоимость (ЭДС)

    С помощью этого уравнения можно определить, превышает ли стоимость страховки выгоду, получаемую компанией, или равняется ей. Если цена страховки меньше ее экономической денежной стоимости, то это - хорошая покупка. Если цена выше ЭДС, то компания зря расходует ресурсы, покупая страховку.

    Например, предположим, что организация купила страховку от прерывания производственных процессов. Сумма покрытия страховки составляет 10 млн. руб. Стоимость такой страховки составляет 100 тыс. руб в год. Вероятность реализации ЧС, покрываемых страховкой, оценивается как 1/50. Тогда экономическая полезность страховки составляет 10 млн. / 50 = 200 тыс. руб. Приобретение такой страховки является хорошей покупкой, поскольку ее можно купить дешевле ее экономической полезности.

    Ту же логику можно использовать для оценки экономической полезности BC-плана. Можно легко подсчитать затраты на разработку BC-плана и сравнить их с подсчитанной ЭДС. Например, предположим следующий сценарий:
    • Деревенский Благотворительный Банк получает доход в размере 1,2 млрд. руб. в год.
    • Программа УНБ призвана предотвратить риск, угрожающий получению половины дохода (600 млн. руб.) на протяжении одного квартала, т.е. потери 150 млн. руб.
    • Вероятность реализации ЧС оценивается в 2%, таким образом
    ЭДС = 150 млн. руб. * 2 % = 3 млн. руб.
    • Расходы на Программу УНБ в год составляют:
      • время, потраченное сотрудниками 480 тыс. руб.
      • + технические решения 1,5 млн. руб.
      • = 1 980 тыс. руб.
    • Дополнительные расходы на УНБ включают в себя:
      • утрата скидки, предоставляемой существующим поставщиком 60 тыс.руб.
      • + расходы на дублирующих друг друга поставщиков 300 тыс. руб.
      • = 360 тыс. руб.


    Если свести все эти данные вместе, получится следующее:

    Экономическая монетарная стоимость
    3 000
    за вычетом расходов на Программу BCM
    - 1 980
    за вычетом дополнительных расходов
    - 360
    Полезность Программы УНБ
    660


    Этот пример иллюстрирует положительную экономическую полезность ежегодных расходов на BC-планы организации. Даже при расходах в размере 2,34 млн. и вероятности наступления ЧС в 2 % полезность программы УНБ составляет 660 тыс. руб. Подобные расчеты могут быть проведены любой организацией с целью оценки, являются ли разумными ее расходы на BC-планы.

    (Продолжение следует)