Руководство по обеспечению непрерывности бизнеса

Жизненный цикл процесса управления непрерывностью бизнеса

Инициация проекта

Проект – это деятельность, направленная на создание уникального продукта, услуги или результата.

План управления проектом / Project Management Plan – документ, описывающий, как проект будет исполняться, как будет происходить его мониторинг и контроль.
Руководство PMBOK – Пятое издание

На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта.

Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса – это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Далее в таблице перечислены и описаны стандарты / нормативно-правовые акты (НПА), широко использующиеся на территории Российской Федерации, а также ряд требований, которые предъявляют данные стандарты / НПА к системе непрерывности бизнеса.

Стандарт / НПА	Требование	Описание	Статус
ISO/IEC 27001:2013 «Information technology – Security techniques – Information security management systems – Requirements» (Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности)	A.17 Information security aspects of business continuity management (Аспекты информационной безопасности в управлении непрерывностью бизнеса)	Непрерывность информационной безопасности должна быть встроена в систему непрерывности бизнеса компании. Для этого необходимо: – спланировать непрерывность информационной безопасности; – внедрить непрерывность информационной безопасности; – проверить, оценить непрерывность информационной безопасности.	Непрерывность информационной безопасности является одним из требований в том случае, если компания стремится получить сертификат соответствия требованиям ISO/IEC 27001:2013 «Information technology – Security techniques – Information security management systems – Requirements».
ISO 22301:2012 «Societal security – Business continuity management systems – Requirements» (Социальная безопасность. Системы менеджмента непрерывности бизнеса)	Данный стандарт посвящен непрерывности бизнеса.	В стандарте прописаны: – требования, необходимые для установления системы менеджмента непрерывности бизнеса в компании; – требования к функциям высшего руководства в системе менеджмента непрерывности бизнеса; – требования к установлению стратегических целей и руководящих принципов системы менеджмента непрерывности бизнеса; – требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.	Наличие планов BCP/DRP (данные планы рассмотрены в разделе «Разработка и внедрение планов») является обязательным условием в том случае, если компания стремится получить сертификат соответствия требованиям ISO 22301:2012 «Societal security – Business continuity management systems – Requirements».
ГОСТ Р 53647 «Менеджмент непрерывности бизнеса»	Данный стандарт посвящен непрерывности бизнеса.	Настоящий стандарт устанавливает требования к планированию, созданию, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса.	Носит рекомендательный характер.
СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»	8.11. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний	В организации банковской системы должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации банковской системы по восстановлению бизнеса. В частности, в состав плана должны быть включены: – условия активации плана; – действия, которые должны быть предприняты после инцидента ИБ; – процедуры восстановления; – ­процедуры тестирования и проверки плана; ­– план обучения и повышения осведомленности сотрудников; ­– обязанности сотрудников с указанием ответственных за выполнение каждого из положений плана. Также должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановление после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи.	Носит рекомендательный характер.
Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»	X. Обеспечение доступности информации (ОДТ)	В соответствии с Приказом ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо: – использовать отказоустойчивые технические средства; – резервировать технические средства, программное обеспечение, каналы передачи информации, средства обеспечения функционирования информационной системы; – контролировать безотказное функционирование технических средств; – обеспечить обнаружение и локализацию отказов функционирования технических средств; – принимать меры по восстановлению отказавших средств; – тестировать технические средства; – осуществлять периодическое резервное копирование информации на резервные машинные носители; – обеспечить возможность восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала; – контролировать состояние и качество предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации.	В случае если система классифицирована по 1 или 2 классу защищенности, описанные в приказе требования носят обязательный характер.
Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»	X. Обеспечение доступности персональных данных (ОДТ)	В соответствии с Приказом ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить: – контроль безотказного функционирования технических средств; ­– обнаружение и локализацию отказов функционирования; – принятие мер по восстановлению отказавших средств и их тестирование; – резервное копирование персональных данных на резервные машинные носители персональных данных; – возможность восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала.	В том случае, если для информационной системы персональных данных определен 1 или 2 уровень защищенности, описанные в приказе требования носят обязательный характер.

Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании.

Наименование плана	Описание плана	Стандарт / НПА
Business Continuity Plan (BCP) – План обеспечения непрерывности бизнеса	Набор задокументированных процедур, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения компанией критических важных видов деятельности на установленном приемлемом уровне.	ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»: 8.4.4 Планы непрерывности бизнеса (Business continuity plans)
Continuity of Operations Plan (COOP) – План непрерывности операций	Фокусируется на восстановлении критически важных функций компании на альтернативной площадке и на их выполнении в течение 30 дней.	–
Crisis Communication Plan – План антикризисных коммуникаций	В данном плане задокументированы процедуры и правила внешних и внутренних коммуникаций в случае чрезвычайных ситуаций.	Федеральный закон от 21.12.1994 № 68 «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»: Статья 14. Обязанности организаций в области защиты населения и территорий от чрезвычайных ситуаций («Организации обязаны предоставлять в установленном порядке информацию в области защиты населения и территорий от чрезвычайных ситуаций, а также оповещать работников организаций об угрозе возникновения или о возникновении чрезвычайных ситуаций»).
Critical Infrastructure Protection Plan (CIP) – План защиты критических инфраструктур	План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры.	Указ Президента Российской Федерации от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
Cyber Incident Response Plan – План реагирования на киберинциденты	План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности.	ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»; NIST 800-61 «Computer Security. Incident Handling Guide».
Disaster Recovery Plan (DRP) – План восстановления после сбоя	План восстановления инфраструктуры компании после возникновения аварии.	ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»: 8.4.5 Восстановление (Recovery).
Information System Contingency Plan (ISCP) – План на случай непредвиденных ситуаций в информационных системах	План восстановления системы, сетей и основных приложений после аварии. Данный план необходимо разработать для каждой критической системы и/или приложения.	–
Occupant Emergency Plan (OEP) – План действия персонала в случае чрезвычайной ситуации	В данном плане определяется порядок обеспечения безопасности персонала и процедуры эвакуации в случае чрезвычайных ситуаций.	Федеральный закон от 21.12.1994 г. № 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера»; Федеральный закон от 21.12.1994 № 69 «О пожарной безопасности».

ГОСТ Р 53647.8-2013

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Управление человеческими ресурсами

Business continuity management. Management of human resources

ОКС 03.100.01

Дата введения 2014-12-01

 Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в разделе 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 ноября 2013 г. N 1667-ст

4 Настоящий стандарт подготовлен с учетом основных нормативных положений документа PD 25111:2010* «Менеджмент непрерывности бизнеса. Руководство по человеческим аспектам непрерывности бизнеса» («Business continuity management. Guidance on human aspects of business continuity», IDT).

Наименование настоящего стандарта изменено относительно наименования указанного национального стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Май 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

      1 Область применения

В настоящем стандарте установлено руководство по планированию и разработке стратегии и политики управления человеческими ресурсами при возникновении инцидента, предусматривающее:

— меры реагирования при непосредственном воздействии инцидента;

— организационные действия на этапе восстановления после воздействия инцидента (обеспечения непрерывности деятельности);

— поддержку персонала при восстановлении деятельности организации.

В настоящем стандарте определены дополнительные требования к обеспечению непрерывности деятельности, соответствующие требованиям, установленным в стандартах серии ГОСТ Р 53647. Стандарт предназначен для высшего руководства, ответственного за управление человеческими ресурсами организации. Стандарт применим к организациям любых форм собственности и видов деятельности вне зависимости от численности персонала.     

Настоящий стандарт не содержит полного руководства по управлению человеческими ресурсами в условиях инцидента, стандарт направлен на снижение воздействия инцидента на персонал и другие причастные стороны.

      2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

2.1 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

[ГОСТ Р 53647.1-2009]

2.2 менеджмент непрерывности бизнеса, МНБ (business continuity management; ВСМ): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости деятельности организации к инцидентам и направлен на реализацию эффективных ответных мер, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности.

Примечание — Менеджмент непрерывности бизнеса направлен на обеспечение управления восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, разработки и актуализации планов непрерывности бизнеса.

[ГОСТ Р 53647.1-2009]

2.3 план обеспечения непрерывности бизнеса, ПНБ (business continuity plan, ВСР): Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне.

[ГОСТ Р 53647.1-2009]

2.4 нарушение (разрушение) деятельности (организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением.

[ГОСТ Р 53647.1-2009]

2.5 программа помощи персоналу, ППП (employee assistance programme, ЕАР): Оказание услуг персоналу по договорам со сторонними медицинскими учреждениями и/или медицинскими работниками.

Примечание — Сотрудникам организации предоставляется бесплатный контактный номер телефона, по которому они могут позвонить и задать вопросы в случае возникновения инцидента. Телефонная линия укомплектована консультантами, которые могут дать совет или рекомендации по телефону или при личной встрече (по договоренности). К работе в программе помощи персоналу привлекают квалифицированных консультантов, которые могут давать рекомендации от своего лица. Позвонившие могут также получить доступ к жизненно важным услугам, в широком диапазоне проблем, таких как права в области занятости, развод, управление денежными средствами. Организация должна использовать возможности программы помощи персоналу при реагировании на инцидент, а также для разъяснения персоналу кризисных ситуаций.

2.6 управление человеческими ресурсами в системе менеджмента непрерывности бизнеса (human aspects of business continuity): Элементы управления персоналом, вовлеченным или затронутым инцидентом, используемые для снижения травматизма, повышения производительности труда, восстановление после инцидента, а также сокращение сроков восстановления после инцидента и достижение целей непрерывности бизнеса.

2.7 анализ воздействия на человека (human impact analysis): Метод определения вероятного воздействия инцидента на здоровье и благополучие человека, альтернативных действий или решений

2.8 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

[ГОСТ Р 53647.1-2009]

2.9 план управления в условиях инцидента (incident management plan): Точно установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно охватывает вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены в соответствии с процессом управления в условиях инцидента.

2.10 группа управления в условиях инцидента; ГУИ (incident management team, IMT): Группа управления, специально сформированная для управления действиями организации до, во время и после инцидента.

2.11 перемещение (invacuate): Передвижение людей из опасных мест в заранее установленные зоны в здании/помещении для их защиты от внешних опасностей во время инцидента.

2.12 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Пример — Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.

Примечание

1 Распределение обычно бывает упорядоченным.

2 Организация может быть государственной или частной

[ГОСТ ISO 9000-2011].

      3 Краткий обзор управления человеческими ресурсами в системе менеджмента непрерывности бизнеса

3.1 Введение

Существуют разные причины разрушений и нарушений деятельности, на предотвращение которых направлена система управления непрерывностью деятельности (бизнеса). В рамках системы разрабатывают и выполняют планы управления последствиями подобных нарушений (разрушений) с помощью заранее установленных, выполненных и проверенных ответных мер. Прогнозирование реакции человека на разрушения или нарушения деятельности является более сложной задачей. Поэтому целесообразно отдельно разработать процесс управления человеческими ресурсами в системе менеджмента непрерывности бизнеса, который позволит ответственным лицам учесть и обеспечить потребности всех людей, вовлеченных в инциденты или затронутых ими.

Такой процесс направлен на поддержание в рабочем состоянии основных бизнес-процессов организации или их восстановление в сроки, установленные с момента признания нарушения до нормального функционирования. При этом необходимо учитывать потребности людей, вовлеченных в разработку и внедрение решений по непрерывности бизнеса.

3.2 Воздействие нарушений/разрушений деятельности на человека

Организация должна определить ресурсы, необходимые для поддержания в рабочем состоянии или восстановления основных видов деятельности. Одним из основных элементов реализации системы управления непрерывностью деятельности является анализ воздействий на деятельность (бизнес) организации. Этот анализ необходим для идентификации критических видов деятельности и процессов, которые обеспечивают поставку ключевых продукции и услуг организации. Если организация устанавливает для себя более высокий приоритет благополучия и безопасности людей перед другими элементами бизнеса, то это приводит к повышению мотивации персонала и репутации организации в обществе.

Однако, в процессе анализа воздействия на бизнес обычно не учитывают вклад различных групп персонала или иных вовлеченных лиц в обеспечение непрерывности деятельности. Даже если вовлеченный ключевой персонал идентифицирован, организация должна иметь достаточно оснований для уверенности в способности или готовности этого персонала реагировать в соответствии с планом непрерывности деятельности (бизнеса). Поэтому группа разработки системы обеспечения непрерывности деятельности должна включать специалиста, ответственного за управление человеческими ресурсами в организации.

Организация должна также рассмотреть весь спектр воздействий нарушения/разрушения деятельности на группы персонала и отдельных лиц, не идентифицированных в качестве ключевого персонала для поддержания или восстановления нормального функционирования организации. Кроме того, организация имеет обязательства по отношению к широкому кругу лиц из числа персонала, от лояльности которого могут зависеть отношения с поставщиками и потребителями, с которыми организация должна сотрудничать на долгосрочной основе (см. приложение А).

Наиболее распространенными видами нарушений/разрушений, влияющих на деятельность организации, являются отказы в области информационных и коммуникационных технологий, нарушения в поставке энергоснабжения, нарушения коммунальных услуг, а также погодные катаклизмы. Обеспечение непрерывности деятельности обычно связано с устранением последствий таких событий, пониманием их воздействия на людей (см. приложение Б), а также анализом возможных проблем у людей, которые должна решать организация после инцидента. Поэтому рекомендуется, чтобы процесс планирования обеспечения непрерывности деятельности организации включал анализ воздействия нарушений/разрушений на человека в качестве элемента анализа воздействия инцидента на деятельность организации. Организация должна исследовать возможные воздействия нарушений/разрушений на человека. Примеры воздействий наиболее распространенных нарушений/разрушений деятельности на человека приведены в приложении Б.

При разработке ответных мер на инцидент организация должна проанализировать вопросы благополучия персонала и обеспечения обмена информацией, решение которых необходимо для снижения беспокойства персонала и повышения его мотивации к восстановлению деятельности после инцидента. Кроме того, организация должна обеспечить поддержку персонала при возникновении инцидента, работа которого при необходимости может быть быстро организована. Каждый из этих вопросов должен систематически применяться к группам персонала и иным лицам, идентифицированным в приложении А, в соответствии с разделами 4, 5 и 6 настоящего стандарта. При решении этих вопросов необходимо учитывать следующее:

а) благополучие персонала:

— ответные меры должны быть в первую очередь применены к лицам, наиболее пострадавшим при инциденте;

— организация должна обеспечить благополучие и безопасность людей, за которых она несет ответственность;

— организация должна реагировать на индивидуальные проблемы людей;

— необходимо обеспечить всем необходимым лиц, ответственных за реагирование на инцидент;

— организация должна понимать непредсказуемый характер реакций человека на инцидент и адекватно действовать в ответ на такие реакции;

— при выполнении положений общей политики организация должна помогать людям, демонстрируя уважительное отношение к ним и их проблемам.

б) обмен информацией:

— необходимо обеспечить достаточность информации о местоположении людей и определить их текущее положение и проблемы;

— следует сообщить людям об инциденте и, по возможности, успокоить их;

— необходимо объяснить людям действия, которые они должны выполнить;

— необходимо наладить управление потоком информации от персонала и других причастных сторон;

— с учетом потребностей людей, затронутых инцидентом, необходимо признавать, что адекватная и своевременная информация жизненно необходима для группы управления в условиях инцидента.

в) организация поддержки персонала при возникновении инцидента:

— следует организовать поддержку персонала при возникновении инцидента, что позволяет успокоить персонал и иных причастных лиц, а также мотивировать их к выполнению необходимых действий в соответствии с планами управления инцидентом и системой обеспечения непрерывности деятельности;

— необходимо обеспечить четкое, точное и эффективное руководство на всех уровнях и во всех подразделениях организации;

— следует обеспечить, чтобы все сотрудники, затронутые инцидентом, оставались положительно настроенными по отношению к организации.

После завершения инцидента очень важно отметить заслуги персонала, участвовавшего в реагировании на инцидент и восстановлении деятельности организации. Весь персонал, вовлеченный в инцидент, должен быть осведомлен об изменениях, которые могут произойти в результате инцидента. Необходимо довести до людей информацию о том, что полученный опыт изучен и подобный инцидент не повторится. Лицам, работавшим сверхурочно и/или взявшим на себя выполнение дополнительных задач, должна быть вынесена благодарность за их усилия. Это может быть сделано неофициально, обычно эта функция возложена на руководителей среднего и высшего звена.

Ключевой персонал, ответственный за реагирование на инцидент, должен знать порядок действий при возникновении инцидента. Для этого необходимо провести соответствующее обучение, например, первой психологической помощи. Такое обучение должно быть проведено со специалистами организации (например, службы поддержки, группы первого реагирования на инцидент, кадровой службы, отдела техники безопасности и гигиены труда), которые могут столкнуться с проблемами персонала в кризисной ситуации. Обучение должно включать описание выхода из стресса после завершения кризисной ситуации.

      4 Меры реагирования при непосредственном воздействии инцидента

4.1 Общие положения

Многие члены группы управления в условиях инцидента могут недооценивать применение рекомендаций раздела 3 по поддержке персонала при возникновении инцидента. Однако необходимо учитывать, что под давлением психологического стресса в условиях инцидента даже при эффективном управлении, руководители могут проявлять недостаточно знаков внимания, заботы и уважения по отношению к сотрудникам, потребителям и иным причастным сторонам.

Кроме того, для устранения последствий отдельных инцидентов от группы управления в условиях инцидента может потребоваться решение более серьезных задач, значительно превосходящих по сложности задачи в ранее проводимых тренингах и учениях по обеспечению непрерывности деятельности. Наиболее часто при разрушительных инцидентах необходима немедленная эвакуация работников. В некоторых случаях, например, при угрозе взрыва около рабочего места, необходимо немедленно принять и реализовать решение о перемещении (эвакуации) людей.

4.2 Эвакуация/перемещение

4.2.1 Общие положения

Организация должна идентифицировать безопасное место (или места), где персонал, посетители, подрядчики должны, при необходимости, собраться сразу после возникновения угрозы разрушительного инцидента. Расстояние этого места от места возникновения инцидента зависит от серьезности угрозы.

Организация должна обеспечить осведомленность сотрудников, посетителей/подрядчиков о мерах по эвакуации/перемещению. Детальное ознакомление с мерами по эвакуации /перемещению должно быть включено в программы инструктажа для вновь нанятых сотрудников и инструкции для посетителей/подрядчиков.

4.2.2 Эвакуация

При эвакуации люди должны немедленно переместиться в безопасное место вдали от здания или производственной площадки. Планы эвакуации должны размещаться на видных местах, чтобы обеспечить более организованную эвакуацию, например, при возникновении стрельбы, угрозе взрыва, обнаружении подозрительных пакетов или неизвестных химических веществ.

Должны быть идентифицированы дополнительные пункты (места) сбора людей в случае, если первоначальное место сбора не может по каким-то причинам быть использовано. Альтернативные места сбора должны быть идентифицированы на различных расстояниях от рабочих площадок на случай, если первоначальное место сбора персонала находится в пределах оцепления аварийных служб. Если зона оцепления после инцидента будет расширена, то люди могут быть перемещены в заранее определенные безопасные места. Идеально, если район размещения безопасных мест легко опознаваем и доступен, а также обеспечивает защиту и размещение людей.

Примечание — Организация может сотрудничать с соседними организациями для использования их помещений, чтобы защитить персонал от непосредственного воздействия последствий инцидентов и обеспечить медицинские услуги. Такими помещениями могут быть актовый зал, клуб, столовая и т.п.

Сотрудники должны по возможности иметь при себе или под рукой необходимые вещи, такие как мобильный телефон, ключи от машины, бумажник, проездной билет и наличные деньги. Следует довести до сведения сотрудников, что они не должны подвергать угрозе себя или других, возвращаясь на рабочее место за необходимыми личными вещами.

При решении вопросов, связанных с эвакуацией персонала, необходимо учитывать следующее:

а) благополучие персонала:

— необходимо обеспечить безопасные пункты (места) для всего персонала, потребителей и посетителей;

— следует оказать первую помощь всем травмированным сотрудникам и провести их идентификацию для аварийных служб;

— необходимо провести мероприятия по учету персонала, потребителей, подрядчиков и посетителей, чтобы убедиться в полной эвакуации людей;

— если в организации применяется система незакрепленных рабочих мест, то руководители должны знать и проверить наличие персонала, работающего на этих местах.

б) обмен информацией:

— необходимо обеспечить опрос каждого сотрудника при первой возможности;

— следует проинформировать внешних заинтересованных лиц, например, поставщиков и потребителей;

— следует проинформировать высшее руководство/головную организацию;

— необходимо проинформировать персонал, ответственный за работу со СМИ;

— следует обеспечить руководителям и сотрудникам связь с ближайшими родственниками, чтобы сообщить им, что они находятся в безопасности, это снизит уровень беспокойства и стресса сотрудников.

в) организация поддержки персонала при возникновении инцидента:

— необходимо назначить руководителя, ответственного за пункты (места) сбора (сосредоточения) персонала в случае эвакуации;

— следует выделить сотрудника для координации работ с аварийными службами;

— необходимо идентифицировать альтернативные безопасные места, куда может быть перемещен персонал;

— при необходимости следует обеспечить транспорт для перемещения сотрудников в альтернативные места или к местам проживания;

— обеспечить готовность всех альтернативных безопасных пунктов (мест) к приему персонала.

4.2.3 Перемещение

При перемещении люди должны немедленно перейти в заранее идентифицированные безопасные места в здании или на производственной площадке, чтобы иметь защиту от внешних опасностей во время инцидента.

Безопасные места должны быть четко идентифицированы и доступны. Перемещение людей должно быть заранее отработано в процессе обучения или тренинга так же, как при подготовке процедур эвакуации.

Примечание — Потребность в перемещении людей определяют на основе особенностей инцидента. Инциденты могут быть природными, техногенными или социальными (общественный протест, угроза взрыва бомбы и забастовки). Необходимо установить точную процедуру оповещения о перемещении людей, чтобы избежать нарушений процедуры эвакуации.

При решении вопросов, связанных с перемещением персонала, необходимо учитывать следующее:

а) благополучие персонала:

— необходимо удалить людей с открытых мест и от окон и, по возможности, разместить их за мебелью, капитальными стенами или в защищенных областях лестничной клетки. Необходимо также учитывать угрозы падения стекла и т.п.;

— следует обеспечить защиту людей от взрыва, осколков стекол и других фрагментов здания. Это может быть достигнуто путем идентификации мест в здании или на производственной площадке, где имеются капитальные стены и/или отсутствуют окна и легко разрушаемые перегородки;

б) обмен информацией:

— следует обеспечить осведомленность всего персонала о его действиях при перемещении, а также о способах связи и его представителях;

— необходимо ознакомить весь персонал, включая персонал, работающий в ночное время, и временный персонал со всеми способами связи (телефоны, рация, интернет и др.) с полицией, службой безопасности и группой обеспечения непрерывности деятельности;

— должен быть обеспечен соответствующий обмен информацией внутри защищенных мест и между ними, например с помощью системы громкой связи с резервным генератором, переносных раций или других автономных систем связи. Нельзя полагаться на связь с помощью мобильного телефона, поскольку мобильная связь может не работать внутри защищенного пространства или сеть может быть недоступной вследствие воздействия разрушительного инцидента;

— необходимо регулярно проверять, что выбранные методы коммуникации доступны в пределах всех защищенных мест;

в) организация поддержки персонала при возникновении инцидента:

— необходимо активировать все независимые источники энергоснабжения;

— следует выделить необходимые ресурсы для обеспечения основных потребностей людей (вода и пища в течение длительного периода).

4.3 Ответы на телефонные запросы

Организация должна установить методы перенаправления или передачи информации входящих вызовов в альтернативные безопасные места размещения людей при эвакуации. Это можно достичь с помощью существующих ресурсов, которые позволяют организации получать или распространять сообщения между безопасными местами о деталях предпринимаемых мер управления в условиях инцидента. Некоторые из этих сообщений могут быть записаны заранее и воспроизведены для оповещения персонала.

Необходимо учесть возможность удаленного внешнего доступа к записанному сообщению. Кроме того, можно использовать возможности связи и оповещения через соответствующий веб-сайт.

Примечание — Эти средства могут позволить организации предоставить необходимые рекомендации персоналу, семьям, потребителям и поставщикам о действиях в случае инцидента. Кроме того, таким образом можно обеспечить доступ к информации для сотрудников, которые находятся вне безопасных мест, или обеспечить информацию о проводимых работах. Это позволяет снизить давление на руководителей и персонал, который постоянно отвлекают от работы для получения текущей информации. Вся информация, передаваемая с помощью различных средств связи, должна быть скоординирована, чтобы обеспечить ее адекватность со всеми сообщениями/выпусками СМИ, и не должна раскрывать личную или конфиденциальную информацию, поскольку это может быть небезопасно.

4.4 Травмирование персонала

4.4.1 Организация должна принять меры для уведомления членов семьи или других близких людей, а также непосредственного руководителя в случае травмирования сотрудника. Целесообразно, чтобы с родственниками и близкими людьми общался компетентный человек.

4.4.2 Необходимо обеспечить соответствующую психологическую подготовку персонала, сообщающего информацию о состоянии здоровья работников членам их семей. Важно, чтобы персонал не поддавался эмоциям членов семей, понимал вероятные сценарии реагирования родственников и был подготовлен к любому развитию событий. Кроме того, должен быть разработан механизм поддержки сотрудника на рабочем месте с помощью работы группы охраны и безопасности труда организации или программ помощи служащим.

4.4.3 Организация должна заранее получить от работников контактную информацию о членах их семей и близких людях, а также обеспечить сохранность и актуальность этой информации. Эта информация должна быть доступна без использования информационных систем, поскольку инцидент может вызвать нарушения в работе этих систем. Получение и хранение личной информации должно соответствовать законодательным требованиям и политике высшего руководства.

4.4.4 Организация должна принять меры (если это возможно), чтобы сообщить другим организациям о травмировании персонала этих организаций.

В персонал других организаций могут быть включены травмированные сотрудники аварийных служб или подрядчики, находившиеся во время инцидента на территории организации. Необходимая контактная информация должна быть получена из журналов посещений или перечня поставщиков.

4.4.5 Организация должна получить информацию от аварийных служб о том, куда травмированные люди должны быть доставлены.

Примечание — Если травма точно определена, то коллега может сопровождать травмированных сотрудников в больницу, чтобы обеспечить поддержку и заботу. Однако, такое решение должны принимать сотрудники аварийных служб. При возникновении крупномасштабных событий с большим количеством травмированных сотрудников может быть полезно направить представителя организации в медицинский пункт, чтобы согласовывать действия с аварийными службами. Необходимо также уделить внимание членам семей травмированных сотрудников, поскольку они могут быть подвергнуты дополнительному эмоциональному и психологическому давлению.

4.4.6 Должны быть приняты все необходимые меры для обеспечения поддержки персонала, который может быть обеспокоен состоянием травмированных коллег. Сотрудники и руководители должны играть ведущую роль в такой поддержке, предлагая первую психологическую помощь и/или помогая получить помощь от специализированных служб. Первая психологическая помощь должна быть направлена на стабилизацию эмоционального состояния людей путем проявления сочувствия, сострадания и приведения доводов здравого смысла.

4.4.7 Организация должна обеспечивать осведомленность высшего руководства о всех случаях травмирования, чтобы иметь возможность предпринять соответствующие меры.

4.5 Гибель персонала

Гибель сотрудника на рабочем месте может произойти в результате естественных причин (по состоянию здоровья), несчастного случая, самоубийства или разрушительного инцидента. Обо всех смертельных случаях на рабочем месте необходимо сообщить соответствующим органам власти.

Гибель сотрудника (сотрудников) вследствие несчастного случая на рабочем месте расследует полиция и контролирующие органы власти, ответственные за здоровье и безопасность людей. Место события должно быть сохранено без изменений для обеспечения дальнейшего расследования полицией, которая может рассматривать это место как место преступления.

Организация должна знать функции и полномочия органов власти, включая аварийные службы, относительно сообщения о гибели персонала членам семей, если смерть происходит в результате инцидента.

При решении вопросов, связанных с гибелью персонала, необходимо учитывать следующее:

а) благополучие персонала

Организация должна обеспечить следующее:

— на месте гибели сотрудника должен оставаться только необходимый персонал;

— место гибели должно быть отделено и визуально закрыто для других людей;

— при выполнении всех необходимых действий с телами погибших необходимо проявлять уважение к погибшим и не перемещать их тела с места гибели;

— если возможно, необходимо ограничить доступ к месту гибели, которое может рассматриваться как место преступления, чтобы сохранить его без изменений до приезда полиции;

— весь персонал, который столкнулся с гибелью коллеги, должен быть обеспечен информацией об оказываемых услугах и методах поддержки.

Персоналу следует разъяснять необходимость использования собственных естественных методов выхода из стрессовой ситуации, в том числе обсуждения воздействия события с коллегами, родственниками и друзьями. Полезно предоставить персоналу информацию о вероятных физических и психологических реакциях на инцидент (см. приложение В). Альтернативно компетентный руководитель и сотрудник по связям с общественностью могут организовать короткое совещание или брифинг, чтобы обсудить воздействие события и предоставить информацию о внутренних и внешних способах поддержки сотрудников;

б) обмен информацией

Очень важно точно распределить функции и обязанности персонала, ответственного за внутренний и внешний обмен информацией, чтобы обеспечить последовательность предоставляемой информации. Если организация имеет группу по связи с общественностью и СМИ, то на эту группу может быть возложена ответственность за координацию всех вопросов по обмену информацией. Ниже приведены характеристики внутреннего и внешнего обмена информацией.

1 Внутренний обмен информацией

Если гибнет сотрудник из числа персонала организации, то необходимо сообщить другим сотрудникам об этом событии, проявляя сочувствие и сострадание, избегая предположений о возможных причинах гибели.

Организация должна:

— проинформировать наиболее близких к погибшему сотрудников так, чтобы информация не распространилась до момента извещения членов семьи или близких людей погибшего;

— обеспечивать обмен информацией о гибели, если возможно, в узком кругу сотрудников организации;

— поддерживать сотрудников, нуждающихся в помощи в связи с гибелью коллеги, получать профессиональную психологическую поддержку внутри или вне организации, например, поддержку со стороны штатных или привлеченных психологов организации;

— сообщать высшему руководству о гибели сотрудника для принятия соответствующих мер.

В случае гибели потребителя, подрядчика или посетителя важно правильно оценить отношения погибшего с персоналом организации и обеспечить необходимые ресурсы и поддержку этому персоналу. Если погибший поддерживал тесные связи с определенной группой персонала, то должны быть применены перечисленные выше требования. Если покойный был неизвестным посетителем, важно оценить возможное воздействие его смерти на персонал организации. Сотрудникам может потребоваться помощь, если они непосредственно столкнулись с гибелью человека.

Внутренний обмен информацией должен охватывать:

— известные факты о произошедшем событии;

— чувства, которые может испытывать персонал (печаль, сожаление, недоверие, равнодушие или чувство вины);

— будущие предпринимаемые действия, включая анализ ожиданий персонала организации.

2 Внешний обмен информацией

Примечание — Положения этого подпункта могут быть применены не только в случае гибели персонала, но и в случае травмирования сотрудников.

Организация должна установить процедуру, обеспечивающую первоначальное информирование только ограниченного круга ключевых сотрудников. Этот круг должен включать лиц, ответственных за связи с общественностью и СМИ, чтобы подготовить соответствующее заявление о гибели сотрудника (сотрудников) и опубликовать его, когда это будет необходимо.

Текст заявления о гибели должен включать следующее:

— выражение сожаления;

— предоставление краткого описания произошедшего события;

— объяснение, что инцидент находится на стадии расследования;

— призыв к сохранению спокойствия других сотрудников, общественности, потребителей, поставщиков;

— описание воздействия гибели сотрудника на деятельность организации;

— текст заявления не должен включать обещания, обвинения или предложения (он должен быть основан на фактах).

Эти пункты должны быть учтены информационным отделом.

Персонал организации должен быть проинструктирован о необходимости отсылать все запросы СМИ к ответственному за связи с общественностью и СМИ или непосредственному руководителю. Организация должна обеспечивать персоналу защиту от давления СМИ.

Организация может создать единый центр для ответа на запросы заинтересованных сторон (членов семей и иных близких людей персонала). Организация должна обеспечить персонал, ответственный за ответы на запросы, необходимой поддержкой, в том числе психологической, позволяющей выполнять свою работу.

      5 Меры по управлению человеческими ресурсами на этапе обеспечения непрерывности деятельности

5.1 Общие положения

После начала/завершения выполнения мер по устранению последствий непосредственного воздействия инцидента организация должна выполнять планы обеспечения непрерывности деятельности, чтобы гарантировать непрерывность поставки ключевых продукции и услуг. В планах обеспечения непрерывности деятельности обычно отражены действия, связанные с обеспечением непрерывности работы оборудования, процессов, производственных участков и поставок. Кроме того, в таких планах должны быть отражены действия организации по отношению к персоналу и иным причастным лицам, их потребности в период действия инцидента и после него.

При решении вопросов, связанных с управлением человеческими ресурсами на этапе обеспечения непрерывности деятельности, необходимо учитывать меры, рассмотренные в п.5.2-5.7.

5.2 Благополучие персонала

5.2.1 Если сотрудники быстро покинули рабочие места, оставив свое имущество, и не имели возможности вернуться на рабочее место после инцидента, то организация должна принять следующие меры:

— обеспечить сохранность оставленного имущества персонала в помещениях;

— согласовать с соответствующими органами власти возможность для персонала, посетителей и подрядчиков получить доступ в помещение, чтобы они могли возвратить свое личное имущество;

— обеспечить получение владельцами своего имущества позднее, если немедленный доступ в помещение невозможен; о принятых мерах необходимо уведомить персонал, посетителей и подрядчиков;

— составить реестр и зарегистрировать личное имущество, чтобы проследить его перемещения или хранение для целей страхования и минимизировать возможность кражи имущества;

— обеспечить быстрый доступ к необходимым лекарствам для сотрудников, если такой доступ был прекращен вследствие инцидента;

— помочь получить доступ в дома, квартиры транспортные средства или получить ключи вследствие того, что ключи оставлены в помещении организации после инцидента;

— помочь сотрудникам организации при получении страховых полисов по утраченному или поврежденному имуществу, если такие потери не покрыты собственными страховыми мерами организации.

5.2.2 Если персонал работает по месту проживания или в альтернативных местах размещения, то необходимо принять следующие меры:

— организация должна обеспечить доступность консультационных услуг для персонала и сообщить ему о способах доступа к таким услугам;

— руководители должны быть проинструктированы о необходимости выявления ранних симптомов стресса у персонала;

— необходимо обеспечить поддержку руководителей, работающих в течение всего периода разрушения и непосредственно управляющих инцидентом;

— если в процессе инцидента деятельность обычных рабочих групп нарушена, что вызвало негативное отношение персонала к организации, то организация должна проанализировать деятельность социальных структур и применить методы обеспечения лояльности персонала к организации в период неопределенности;

— если в организации существуют профсоюзы, то необходимо провести с ними консультации относительно условий труда во всех предложенных альтернативных местах работы, а также сообщать профсоюзам о всех проблемах и предпринятых мерах при работе персонала в альтернативных местах работы;

— организация должна признавать воздействие высокой ответственности за работу на персонал и его личную жизнь;

— необходимо принять меры к обеспечению доступа сотрудников, работающих по месту проживания или в альтернативных местах к услугам специалистов по связям с общественностью, иным источникам достоверной информации и средствам связи, а также обеспечить возможность осуществления личных встреч частного характера при длительной работе в альтернативных местах размещения;

— организация должна принять меры, позволяющие персоналу обсуждать воздействие инцидента на них и на организацию (официально и неофициально); в случае необходимости к таким обсуждениям должны быть привлечены профессиональные психологи.

5.3 Обмен информацией

Если предприняты меры по обеспечению непрерывности деятельности, организация должна обеспечить непрерывность обмена информацией, который должен охватывать и перемещенный персонал. Организация должна:

— поддерживать соответствующие коммуникационные системы, которые постоянно обеспечивают персонал актуальной информацией в течение первых часов после инцидента (см. приложение Г), позволяют узнавать о текущих проблемах и посылать рекомендации персоналу о возможных путях их решения;

— установить процесс обмена информацией с персоналом о мерах, предпринимаемых по восстановлению нормальной работы;

— использовать специальный номер телефона (заранее известный), отличный от обычного контактного номера, по которому персонал может получить всю необходимую информацию; интернет или интранет также могут быть использованы для этих целей;

— обеспечивать возможность получения информации персоналом о состоянии всех травмированных коллег.

________________

5.4 Мобилизация ресурсов

5.4.1 Последовательное планирование

Организация должна:

а) обеспечить идентификацию обученного персонала для замены на ключевых видах работ;

б) обеспечить доступность контактной информации по замещающему персоналу;

в) определить и зарегистрировать навыки и знания, требуемые для выполнения ключевых видов работ;

г) идентифицировать и зарегистрировать агентства по трудоустройству для привлечения временного персонала, включая пенсионеров.

Организация может:

1) зарегистрировать навыки и знания, которые сотрудники приобрели на предыдущих должностях, чтобы идентифицировать персонал, который можно привлечь к выполнению ключевых видов работ;

2) использовать универсальное обучение для выявления персонала, который может выполнять ключевые виды работ.

5.4.2 Работа по месту жительства (на дому)

В период инцидента персонал может попросить разрешения работать на дому. При этом организация должна учесть следующее:

— необходимо обеспечить, чтобы трудовые договора предусматривали возможность работы персонала на дому;

— обеспечить, чтобы персонал, работающий на дому во время инцидента, был осведомлен о требованиях по охране и гигиене труда, связанных с домашней работой;

— оценить риск и безопасность при выполнении персоналом работы на дому и, по мере необходимости, принимать меры по расширению области страхования граждан, которая должна охватывать такую работу;

— предпринять меры по изменению форм работы с учетом того, что ИТ система может не справиться с большим числом запросов по удаленному доступу от работающих на дому;

— обеспечить помещение для общения с персоналом, работающим на дому, чтобы он не чувствовал себя изолированным.

5.4.3 Работа в альтернативных местах

В период инцидента допускается работать в альтернативных местах. Альтернативные рабочие места могут быть переполненными, поскольку организация стремится максимизировать использование доступных мест работы. Для некоторых сотрудников, привыкших к работе в собственном офисе, может быть непривычно работать в общих помещениях. Поэтому с самого начала необходимо поддерживать командный дух в коллективе и уделять внимание потребностям как группы, так и отдельных сотрудников.

Организация должна:

— обеспечить, чтобы трудовые договора предусматривали возможность работы персонала в альтернативных местах;

— обеспечить транспорт для перевозки персонала от места работы в организации до альтернативных мест и обратно; обеспечить дополнительный транспорт, если у персонала в течение рабочего дня возникает необходимость возвратиться на рабочие места в организации, например, по семейным причинам;

— предпринять меры, чтобы заранее ознакомить персонал с альтернативными рабочими местами, доступным транспортом и другими доступными средствами и оборудованием;

— обеспечить возможность парковки для автомобилей персонала;

— при необходимости, оплатить дополнительные транспортные расходы;

— обеспечить дополнительные условия, необходимые для удовлетворения соответствующих потребностей инвалидов, этнических и религиозных групп, включая создание условий для собак-поводырей, организации молитвенных комнат и т.д.;

— проинструктировать сотрудников обо всех возможных опасностях, мерах предосторожности и путях эвакуации;

— обеспечить проведение инструктажа по пожарной безопасности и средствам первой помощи;

— обеспечить прибывающих сотрудников питьевой водой и пищей;

— наладить долгосрочные поставки собственными силами через местных поставщиков или иным путем;

— обеспечить достаточное количество туалетов, поддерживать их в чистоте в соответствии с санитарными нормами;

— предоставить соответствующие и безопасные услуги по хранению верхней одежды и личного имущества персонала;

— обеспечить доступность консультационных услуг для персонала и сообщить ему о способах доступа к таким услугам.

Целесообразно установить посменную работу персонала, если период работы организации в режиме обеспечения непрерывности деятельности продолжается круглосуточно.

5.5 Оплата и компенсации

5.5.1 Организация должна обеспечить своевременное получение сотрудниками оплаты за свою работу и компенсаций дополнительных расходов. Когда организация работает в режиме обеспечения непрерывности деятельности, то обычно вопрос оплаты работы и расходов сотрудников является для организации не самым актуальным, однако для персонала этот вопрос может быть наиболее приоритетным.

5.5.2 Организация должна установить политику оплаты работы и компенсаций расходов сотрудников на альтернативных рабочих местах. При разработке такой политики необходимо ответить на приведенные ниже вопросы.

— Если проезд до альтернативных рабочих мест превышает по расстоянию обычный маршрут следования до места работы, то будут ли оплачиваться дополнительные расходы на проезд?

— Время перемещения персонала к альтернативному месту работы относится к свободному или рабочему времени?

— Если сотрудники используют свой собственный транспорт, какие могут возникнуть дополнительные расходы?

— Время на переезды будет включено в оплачиваемое рабочее время или нет?

— Потребуется дополнительное страхование транспортных средств персонала?

— Будет ли дополнительное страхование оплачено организацией?

— Необходимо привлечение вспомогательного штата по обеспечению транспортировки персонала, и какие могут возникнуть расходы?

— Необходимо страхование организацией личного имущества персонала в альтернативных рабочих местах?

5.5.3 Некоторые другие проблемы, связанные с политикой комплектования штата персонала, приведены в приложении Д.

5.6 Обучение

Необходимо обеспечить ознакомление персонала с производственными условиями в альтернативных местах работы. Следует проинструктировать персонал о технике безопасности, охране и гигиене труда и пожарной безопасности в альтернативных местах работы, например, о путях эвакуации и размещении кнопок пожарной тревоги. Могут быть проведены соответствующие учения в альтернативных местах работы, чтобы обеспечить наличие практических знаний и навыков.

5.7 Другие проблемы

5.7.1 Отдел кадров должен обеспечивать непрерывность выполнения собственных функций. Существуют функции отдела кадров, которые обязательно должны быть выполнены в период инцидента. Критическими функциями отдела кадров являются: реструктурирование ключевого персонала, урегулирование трудовых споров, своевременное составление табеля работ и т.п. Критические функции различны для разных организаций и зависят от конкретной ситуации и особенностей организации.

Точно так же существуют функции отдела кадров, которые в период нарушения деятельности организации могут быть сокращены, например, плановое обучение и наем персонала на перспективу. Высвобожденные ресурсы могут быть перераспределены для выполнения критических функций отдела кадров в период разрушения и восстановления после инцидента.

5.7.2 Инцидент может нарушить график выполнения программы обучения организации. Длительные периоды разрушений могут негативно сказаться на программах обучения, персонал может не пройти плановое обучение на соответствие выполняемым функциям, за исключением ключевого персонала. Поэтому необходимое обучение персонала может быть организовано во время длительных периодов работы на альтернативных производственных площадях.

5.7.3 Если критические процессы отдела кадров выполняет по подряду третья сторона, то необходимо обеспечить, чтобы подрядчики имели опыт работы в условиях инцидента. Организация должна обеспечить, чтобы подрядчики понимали потребности организации во время нарушения ее деятельности, до момента возникновения инцидента и до заключения с ними договора.

Организация должна обеспечить, чтобы поставщики услуг внедрили у себя соответствующие меры по управлению непрерывностью деятельности.

Целесообразно привлекать поставщиков услуг к программам обучения и учениям, проводимым организацией.

      6 Поддержка персонала после восстановления деятельности организации

Предполагается, что после восстановления деятельности организации после инцидента персонал может вернуться к обычной работе и имеет обычные потребности. Поддержка персонала после восстановления затрагивает три взаимосвязанных сферы: ответственность персонала, ответственность организации и услуги по поддержке персонала (см. рисунок 1).     

Рисунок 1 — Сферы поддержки персонала

В результате инцидента может возникнуть много обстоятельств, способных повлиять на персонал организации, от сбоев и нервозности в работе до травмирования и гибели на рабочем месте. Каждая ситуация требует своих мер реагирования, при этом независимо от ситуации затронутый инцидентом персонал должен получить соответствующую поддержку. Часто целесообразно привлечение профессиональных психологов и специалистов служб экстренного реагирования для поддержки персонала.

Невозможно разработать отдельные специализированные руководства по обеспечению непрерывности деятельности для каждого инцидента, который может произойти, или определить все виды воздействия инцидентов на каждого вовлеченного сотрудника. Однако элементы поддержки людей, приведенные ниже в перечислениях а)-в), могут быть применены ко всем инцидентам, таким как угроза взрыва, наводнение, пандемический грипп и т.п.

а) Благополучие персонала

После окончания инцидента персонал рассчитывает на восстановление рабочих отношений со своими руководителями, установившегося порядка работы и рабочего места. Поэтому важно, чтобы руководители были активны в своей деятельности, обменивались информацией и присутствовали на рабочих местах. Роль руководителей очень важна для поддержки персонала после инцидента. Если отсутствуют ключевые руководители, то должны присутствовать их заместители, чтобы взять на себя эту роль на ближайшее время.

Руководители должны знать, что продолжительность периода восстановления сотрудников в большей мере зависит от обеспечения поддержки в домашней обстановке и на работе. Если сотрудники изолированы и не имеют естественной поддержки, руководители должны предложить персоналу использовать специализированные услуги по поддержке внутри и вне организации. Руководителям, возможно, придется разработать системы дружественной поддержки.

Понимание того, кто из сотрудников наиболее уязвимым, важно для планирования услуг по поддержке. При этом уязвимость зависит от инцидента и причастности к нему каждого сотрудника. К уязвимому персоналу могут быть отнесены сотрудники, которые имеют отклонения в физическом или психологическом здоровье. Руководители не должны полагаться на быстрое выздоровление сотрудников. Всегда необходимо проверять каждого сотрудника на уязвимость (см. приложение Е).

Руководители должны рассмотреть воздействие инцидента на сотрудников, которые в момент инцидента находились далеко от рабочего места. Находясь в отпуске или в командировке, сотрудники при возвращении на рабочие места могут обнаружить серьезные изменения по сравнению с ситуацией до их отъезда. Руководители должны подготовить возвращающийся персонал к изменениям в состоянии коллектива после инцидента.

Руководители не должны забывать о собственном психологическом и физическом здоровье и помнить о своих потребностях в это время. Деятельность управленческого персонала после инцидента непредсказуема. Поэтому руководители должны иметь возможность после инцидента обсудить события в конфиденциальной и благоприятной обстановке, а также иметь возможность рассказать своим руководителям о предпринятых и предполагаемых действиях.

Инцидент может вызвать различные реакции у людей в зависимости от конкретных обстоятельств. Поэтому люди должны быть осведомлены о возможных реакциях и отличать нормальные реакции в условиях инцидента от реакций, при появлении которых требуется помощь. Помощь может быть оказана профессионалами или через специальные письменные инструкции. Большинство людей быстро приспосабливаются и приходят в нормальное состояние после инцидента. При этом возращение персонала на рабочее место, как правило, способствует возвращению ощущений стабильности и безопасности.

Персоналу нужно напоминать о том, какие системы поддержки доступны на рабочих местах. Организация должна обеспечить оказание услуг по поддержке персонала. Кроме того, доступна поддержка общественных организаций и служб специального реагирования.

б) Обмен информацией

Руководители должны признать важность основных этапов действия инцидента. Со стороны руководителя требуется обратить внимание персонала на ситуацию в организации через неделю, месяц и год после инцидента. Это может быть сделано в устной или письменной форме.

Для руководителей важно быть осведомленным о возможных реакциях персонала после инцидента. Руководители должны принять меры, чтобы у персонала было четкое, благосклонное, профессиональное понимание воздействия инцидента в краткосрочной и долгосрочной перспективе. Это может быть достигнуто разъяснениями, сделанными руководителями, специалистами отдела кадров, специалистами по охране труда или профессиональными психологами. Руководители не являются медицинскими работниками или консультантами, но могут использовать наглядные материалы о снижении травматизма для работы с персоналом. Все используемые наглядные материалы о снижении травматизма должны быть использованы для описания общих симптомов, реакции на травму и содержать полезные рекомендации (см. приложение В).

Руководители должны знать:

— политику и процедуры организации по поддержке персонала, например, политику по оплате больничных листов для сотрудников, которые испытали воздействие инцидента на рабочем месте, рекомендации по доступным видам поддержки персонала, необходимость оплаты сотрудникам такой поддержки;

— способы определения неспособности сотрудников выполнять работу и необходимости оказания им помощи (см. приложение Ж);

— методы получения персоналом помощи специализированных служб.

Необходимо поощрять персонал сообщать о своих потребностях непосредственным руководителям даже спустя недели и месяцы после инцидента. Не всегда возможно удовлетворить все требования сотрудников на рабочих местах, но разумные ожидания могут быть определены и удовлетворены. Кроме того, руководители должны контролировать, в какой мере персонал выполняет свою работу и в чем он нуждается на рабочем месте, и, таким образом установить реалистичность ожиданий сотрудников.

Руководители должны обсуждать с персоналом настоящее и будущее положение дел, максимально используя метод «факты, чувства, будущее», описанный в приложении И.

Руководители должны обсуждать ситуацию в работе с персоналом с руководителями других отделов и агентствами для управления ожиданиями сотрудников.

в) Организация поддержки персонала

В особых обстоятельствах, например если погиб один из членов коллектива, руководители должны принять необходимые меры. Организация может:

1) положить цветы на рабочем месте;

2) пригласить членов семьи погибшего сотрудника на его рабочее место в подходящее время для встречи с его коллегами;

3) создать книгу записей соболезнований сотрудников, которая затем может быть передана семье покойного;

4) сообщить о времени захоронения и освободить персонал от работы для участия в похоронах.

Организация несет ответственность за обеспечение услуг по поддержке сотрудников в зависимости от их особых потребностей и характера инцидента. Однако сотрудники в большинстве случаев используют услуги по поддержке, с которыми они ранее были знакомы. Важно проверить доступность существующих услуг, таких как телефоны доверия, а также обеспечить новые услуги по поддержке, специфические для конкретного инцидента.

Услуги по поддержке, специфические для конкретного инцидента, которые может оказывать организация совместно с внешними поставщиками, могут включать:

— горячие линии обмена информацией, относящейся к инциденту;

— консультирование по оказанию помощи при травмах;

— рекомендации для руководителей по оказанию помощи при травмах;

— консультирование групп персонала/коллектива.

Существующие услуги, которые могут быть полезны после инцидента, включают:

— обеспечение безопасности труда и охраны здоровья персонала;

— материальное обеспечение человеческих ресурсов;

— психологическую помощь;

— действия внутренних групп по работе в условиях инцидента.

Внешняя общественная поддержка может включать:

— службы экстренного реагирования;

— общественные телефоны доверия.

Приложение А

(справочное)

 Группы людей, которые могут быть затронуты инцидентом

Таблица 1 — Группы людей, которые могут быть затронуты инцидентом

Группа людей	Благополучие	Обмен информацией	Поддержка
Ключевой персонал	Следует идентифицировать особые обстоятельства, которые могут повлиять на способность ключевого персонала выполнять возложенные функции	Необходимо точно объяснить, что произошло и что должен делать ключевой персонал. Следует обеспечить правильное понимание требований ключевым персоналом. Необходимо обеспечить связь ключевого персонала со своими семьями	Необходимо быстро проверить, что начато выполнение задачи
Неключевой персонал	Необходимо проверить учет персонала, обеспечить ему соответствующую заботу и сочувствие	Необходимо точно объяснить произошедшее. Понять ожидания и дать необходимые разъяснения	Необходимо обеспечить, чтобы каждый сотрудник знал, что на него тоже возложена правовая юридическая ответственность
Подрядчики	Понять состояние подрядчиков и обеспечить их работу в соответствии с обязанностями, проявляя соответствующую заботу	Необходимо обеспечить уведомление соответствующих организаций об обстоятельствах нарушения деятельности и воздействиях инцидента на штат организации
Посетители, персонал и потребители		Необходимо наладить работу с запросами от членов семей
Семья		Необходимо помочь персоналу связаться с членами семей. Следует актуализировать информацию о членах семей или других лицах, с которыми можно взаимодействовать при необходимости
СМИ	Следует обеспечить защиту, безопасность и относительный комфорт для представителей СМИ	Необходимо помнить, что репутация организации может быть под угрозой, «люди первичны»

Приложение Б

(справочное)

 Примеры воздействия на человека наиболее распространенных инцидентов

Таблица Б.1 — Воздействия на человека инцидентов

Тип опасного события	Примеры	Возможные воздействия на человека
Технологический отказ	Отказ оборудования и коммунальных услуг (электроснабжение, связь, водоснабжение). Потеря услуг ИТ	Неспособность выполнить задачи в поставленные сроки, стресс и необходимость сверхурочной работы
Потеря доступа к рабочему месту (из-за физических повреждений)	Пожар, наводнение, угроза взрыва бомбы, загрязнение	Неприятности вследствие необеспеченности работой; потеря или повреждение личного имущества
Потеря доступа к рабочему месту (из-за других обстоятельств)	Кордон, подозрительное транспортное средство, инцидент в смежном помещении	Неспособность выполнить задачи в поставленные сроки, излишнее беспокойство, нехарактерное поведение
Отказ транспорта		Отсутствие доступа к рабочему месту; потеря дохода
Неблагоприятные погодные условия	Ледяной шторм. Широкомасштабное наводнение	Беспокойство о семье больше чем беспокойство об организации. Трудности доступа в необходимые места
Эпидемия	Пандемия гриппа	Беспокойство о себе и семье
Серьезная травма или несчастья у коллег, работающих удаленно от рабочего места	Дорожное происшествие; гибель коллег среди ключевого персонала	Беспокойство, дополнительная работа
Угрожающие действия внешних сторон	Рейдерский захват, кибератаки	Чувство страха
Инцидент, который может воздействовать на репутацию организации. Неспособность исполнять обычные рабочие задачи или выполнять поставленные цели. Надвигающийся кризис	Мошенничество, отзыв продукции Отказ системы поставок	Чувство вины, потеря занятости. Потеря занятости. Беспокойство, что организация не принимает необходимых мер, информирование руководства о злоупотреблениях

Приложение В

(справочное)

 Примеры и рекомендации по снижению травматизма

Рекомендации и примеры, перечисленные в данном приложении, основаны на знаниях и опыте экспертов, предназначены для снижения последствий травмирующего события.

Человек может также обратиться к опытным консультантам по телефонам доверия.

Распространенные реакции на травмирующее событие

Нет двух людей, которые одинаково реагируют на травмирующее событие, однако существуют общие реакции на инцидент.

Страх:

— получения повреждения или негативного опыта;

— одиночества, потери любимых людей, потери контроля над собой;

— повторения подобного события.

Беспомощность:

— ощущение бессилия во время события, несмотря на то, что человек предполагал, что ему не придется прибегать к помощи других людей.

Печаль, воспоминания и тоска

Чувство вины и сожаление:

— о том, что выжил или избежал ранения, а другие нет;

— о сказанном или несказанном, а также о непредпринятых действиях.

Позор:

— от того, что был беспомощным, излишне эмоциональным и нуждался в помощи других людей, или от того, что не реагировал, как предполагал.

Гнев:

— на то, что произошло, из-за кого произошло или кто позволил этому произойти;

— на несправедливость и бессмысленность произошедшего;

— от позора и унижения.

Перепады настроения

Человек, подвергшийся воздействию стрессовой ситуации, должен понимать, что резкая смена настроения в этом случае является нормальным явлением. Это понимание представляет собой первый шаг к психологическому восстановлению. Однако для полного исцеления требуется определенное время.

Возможные физические реакции

Тело человека может реагировать на травмирующее событие по-разному. Реакции тела могут возникнуть сразу после инцидента или в течение нескольких месяцев.

Сначала человек может чувствовать оцепенение, и событие может казаться чем-то нереальным. Рассказ о событии других людей он может интерпретировать как преувеличение.

Возможные физические реакции включают: усталость, бессонницу, наличие кошмарных сновидений, нарушение логики, беспорядочное движение пальцев, дрожь, затрудненное дыхание, чувство удушья, тошноту, диарею, мускульное напряжение (которое может причинять боль), нарушения менструального цикла и изменения в сексуальных отношениях.

Эти реакции обычно являются временными и проходят в течение нескольких недель.

Если они длятся дольше, человек должен обратиться за профессиональной медицинской помощью.

Возможные изменения в семейных и общественных отношениях

Несмотря на то, что травмирующее событие может объединить людей, оно может также вызвать большое напряжение в отношениях между людьми и привести к конфликту. Напряженные отношения могут вызвать увеличенное употребление алкоголя и медицинских препаратов, что может привести к проблемам с друзьями и родственниками.

Некоторые полезные советы специалиста

Не следует делать:

— «закупоривать» свои чувства;

— избегать разговоров о произошедшем;

— позволять говорить другим и не говорить самому;

— ожидать, что воспоминания о травмирующем событии уйдут быстро (они могут остаться на долгое время).

Следует делать:

— выражать свои эмоции;

— пользоваться каждой возможностью для изучения опыта, не отстраняться от людей, которые проявляют заботу о вас;

— выделять время на сон, отдых и возможность обдумать произошедшее;

— проводить больше времени со своей семьей и друзьями;

— выражать точно и честно свои потребности перед семьей, друзьями и профессиональными помощниками;

— попытаться сохранить свой жизненный уклад насколько возможно;

— проявлять осторожность при управлении автомобилем и выполнении домашних дел (несчастные случаи более распространены после периодов высокого стресса).

Действия самопомощи:

— сохранять активность;

— позитивно смотреть на реальную действительность;

— принимать поддержку со стороны и обсуждать события с окружающими.

Признаки, указывающие на необходимость профессиональной помощи

Следует обратиться в службу поддержки при наличии следующих симптомов:

— невозможности справиться с чрезмерно интенсивными чувствами или физическими ощущениями;

— невозможности в течение долгого времени взять под контроль свои эмоции или чувства, в том числе чувство опустошенности;

— физических реакций в течение нескольких недель после события;

— сохранения в течение месяца после события чувства оцепенения и опустошенности или ощущения невозможности справиться с травмирующим событием;

— продолжающихся кошмаров во сне и/или бессонницы;

— отсутствия людей, с кем можно было бы обсудить свои чувства и эмоции при наличии потребности в этом;

— ухудшения отношений с близкими, развитии сексуальных проблем;

— чрезмерного курения или потребления алкоголя;

— ухудшения качества исполнения своей работы;

— повышенной уязвимости окружающих или их неспособности справляться с травмирующим событием;

— признаков физического и нервного истощения.

Независимо от того, что человек испытывает, он тот же, каким был до произошедшего события, и может обратиться к консультантам по поддержке в данной ситуации за помощью себе и своей семье.

Приложение Г

(справочное)

 Обмен информацией с персоналом в кризисной ситуации

Обмен информацией с персоналом в кризисной ситуации обычно затруднен. Важно заранее проанализировать этот вопрос. В больших организациях люди получают информацию самыми различными способами, и проблемы обычно возникают в связи с отсутствием ответственных работников вследствие их болезни, отпусков, посменной работы и т.д.

Необходимо регулярно анализировать способы обмена информацией с персоналом, и в том числе следует ответить на приведенные ниже вопросы.

— Структура внутреннего обмена информацией организации пригодна для выполнения своей задачи независимо от наличия или отсутствия кризисных ситуаций?

— Существуют новые способы обмена информацией, которые должны быть проверены и приняты, и старые способы обмена информацией, которые следует заменить?

— Обмен информацией в кризисной ситуации проходит просто?

— Обмен информацией проводится быстро и средства коммуникации работают?

— Существуют резервные способы обмена информацией в период инцидента, например при отказе ИТ систем?

— Соответствуют системы внутренней отчетности и обратной связи требованиям в условиях кризиса, персонал знаком со способами отчетности до и во время кризиса?

Примеры способов обмена информацией:

— электронная почта;

— интранет;

— специализированный веб-сайт для персонала;

— публичный веб-сайт;

— социальные СМИ;

— обмен текстовыми сообщениями SMS;

— прямая телефонная линия к обновленным данным;

— внутренняя информационная служба;

— выступление руководителей перед многочисленными группами;

— каскадная передача данных;

— групповые брифинги;

— газеты и информационные бюллетени для персонала;

— листовки.

Общее правило обмена информацией состоит в том что, основным способом обмена информацией в кризисной ситуации является тот, который эффективнее работает. Например, живое общение более эффективно, чем электронная почта.

Рекомендуется уведомить весь персонал о начале инцидента, а также узнать у сотрудников, какие средства коммуникации работают и наиболее эффективны.

Необходимо обсудить уместность текущих рекламных компаний в свете инцидента.

Приложение Д

(справочное)

 Некоторые проблемы, связанные с политикой в отношении персонала

Для обеспечения работы в условиях инцидента часто необходимо внести изменения и уточнения в политику организации, при этом следует рассмотреть изменения по следующим вопросам:

— оплата сверхурочной работы;

— оплата проезда;

— оплата по уходу за ребенком;

— оплата отпуска и работы в праздничные дни;

— трудовые договора;

— потребление ресурсов;

— компенсационные выплаты;

— страховые выплаты;

— посещение друзей и семей по требованию сотрудников (политика компенсации затрат);

— политика отдыха персонала организации, например, предоставление отпуска по религиозным мотивам;

— предоставление отпусков и увеличение количества праздничных дней;

— предоставление дополнительного отпуска сотрудникам, семьи которых вовлечены в инцидент;

— оплата временных компенсаций, например стоимости гостиниц;

— политика при возникновении суровых погодных условий;

— компенсации за ненормированный рабочий день и гибкий график;

— гибкий график работы;

— сокращение рабочего дня;

— свободное время для получения консультаций и т.д.

— дресс-код (ослабление политики);

— размер и периодичность выплаты заработной платы;

— страхование жизни, пенсии и другие платежи и доходы (оплата, квитанции и т.д.).

— условия премирования;

— кредиты наличными или авансы служащим (на проезд домой и т.д.);

— проблемы ухода за детьми;

— временные изменения должностных инструкций;

— помощь при переселении (если требуется).

Приложение Е

(справочное)

 Уязвимый персонал и его поведение

Поведение людей, которые могут выглядеть ошеломленными или дезориентированными, можно определить по следующим признакам:

— остекленевший или отсутствующий взгляд; неспособность смотреть прямо в глаза;

— безразличность к вопросам или командам;

— дезориентация (например, бесцельное, неорганизованное поведение);

— проявление сильных эмоциональных реакций, крик, не поддающийся контролю, учащенное дыхание, раскачивание или регрессия поведения;

— наличие физических реакций, не поддающихся контролю (подергивание или дрожь);

— неадекватное поведение;

— неадекватность чувств вследствие беспокойства, нервозности;

— рискованные действия.

Группы риска

Особой опасности во время инцидента подвержены:

— дети (особенно дети, родители которых погибли или отсутствуют);

— лица, которые были многократно переселены или перемещены;

— лица со слабым здоровьем;

— пожилые люди;

— лица с серьезными психическими заболеваниями;

— лица с ограниченными физическими возможностями или больные;

— подростки, которые могут предпринять рискованные действия;

— наркоманы, токсикоманы;

— беременные женщины;

— матери младенцев и маленьких детей;

— профессионалы или добровольцы, которые участвовали в действиях по восстановлению после инцидента;

— лица, испытавшие существенную потерю;

— лица, испытавшие на собственном опыте экстремальную ситуацию или угрозу жизни.

Приложение Ж

(справочное)

 Способы определения неспособности сотрудников выполнять работу

После инцидента персонал может проявить неспособность выполнять работу и может нуждаться в дальнейшей помощи.

При выполнении работы персонал может испытывать трудности с:

— пунктуальностью;

— нахождением компромисса;

— концентрацией внимания;

— производительностью труда;

— освоением новых задач;

— отдыхом в коллективе;

— способностью брать на себя ответственность;

— расстановкой приоритетов в выполнении задач;

— поведением в конфликтных ситуациях и аргументацией;

— принятием решений;

— юмором.

Уязвимость сотрудников выражается в:

— отказе работать в команде;

— высказывании отрицательных или циничных комментариев;

— раздражительности и капризности;

— подверженности несчастным случаям;

— увеличении времени выполнения работы;

— отсутствии на рабочем месте.

Если сотрудники испытывают беспокойство, то часто это отражается на ухудшении состояния здоровья. Например, могут возникнуть:

— чрезмерная усталость;

— бессонница;

— кошмары;

— злоупотребление алкоголем или наркотиками;

— серьезное беспокойство;

— астма;

— экзема;

— расстройства пищеварения;

— чрезмерное или недостаточное употребление пищи;

— язва желудка;

— синдром раздраженной толстой кишки (IBS);

— гиперактивность;

— сильная потливость;

— суставные боли;

— подверженность инфекциям;

— выпадение волос;

— опоясывающий лишай;

— болезни сердца.

Приложение И

(справочное)

 Метод «факты, чувства, будущее»

При обмене информацией приоритетами должны быть:

Для обмена информацией необходимо использовать ФАКТЫ:

— что произошло и какая сложилась ситуация?

— откуда получена эта информация и где пробелы в информации?

При выражении сочувствия необходимо проявлять ЧУВСТВА.

Обеспокоенные сотрудники не в состоянии услышать всю необходимую информацию. Важно сопереживать чувствам сотрудника, чтобы успокоить его и помочь понять, что он должен делать (иногда надо дать человеку время успокоиться и затем вновь поговорить с ним). Очень важно проверить, что сотрудник понял необходимость рекомендуемых действий.

Для передачи информации о БУДУЩЕМ необходимо рассказать:

— что далее произойдет;

— на что сотрудникам стоит обратить внимание, чтобы снизить беспокойство и т.п.;

— действия, которые должны предпринять сотрудники;

— какой будет привлечен вспомогательный персонал;

— планы встречи сотрудников с родственниками.

 Библиография

[1]	ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство
[2]	ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования
[3]	ГОСТ ISO 9000-2011 Системы менеджмента качества. Основные положения и словарь

УДК 658:562.014:006.354	ОКС 03.100.01
Ключевые слова: непрерывность бизнеса, менеджмент непрерывности бизнеса, система менеджмента непрерывности бизнеса, обеспечение непрерывности бизнеса, стратегия непрерывности бизнеса, воздействие, инцидент, план управления инцидентом, чрезвычайная ситуация, последствие, нарушение деятельности организации, критические виды деятельности, риск, допустимый совокупный риск, оценка риска, устойчивость организации

Об эксперте: Илья Пантелеев, генеральный директор «Сиссофт»

В условиях высокой неопределенности, разрушения деловых контактов и ограничения доступа к финансовым ресурсам BCP помогает буквально спасти бизнес компании — ведь этот подход подразумевает, что все возможные инциденты, кризисные ситуации и меры по аварийному восстановлению включаются в плановую работу.

Стая «черных лебедей»

Пандемию COVID-19 часто сравнивали с «черным лебедем» из теории Нассима Талеба. Новая реальность, в которой сегодня оказалась каждая российская компания, — это одновременное прибытие целой группы «черных лебедей». Перед бизнесом возникли вопросы, которые никто не мог представить себе еще полтора месяца назад, и все одновременно:

• нарушились логистические связи, сроки поставок стали непредсказуемыми;
• стало недоступно большое количество товаров, комплектующих, компонентов;
• разорвались сервисные цепочки;
• стоимость денег выросла почти вдвое, ограничился доступ к кредитным ресурсам,
• утвержденные финансовые планы моментально теряют актуальность.

В этих условиях горизонты планирования сузились до нескольких недель или даже дней.

Неопределенность влияет не только на бизнес, но и на настроения людей. Если многие привыкли жить как минимум среднесрочными планами, сейчас горизонты и личного, и делового планирования сократились. Стратегические планы (пять лет и более) остались, но, очевидно, будут существенно меняться в ближайшие месяцы. Большинство долгосрочных инвестиций заморожены.

Кто озаботился непрерывностью заранее

Сформулированные программы непрерывности бизнеса в России есть у небольшого количества компаний. Чаще всего они охватывают основные производственные процессы и поддерживающие функции, без которых компания останавливается.

Однако элементы поддержки непрерывности критических функций есть у большинства компаний. Например, в области информационных технологий никого не удивишь программами резервирования каналов связи или инфраструктуры, распределения вычислительных мощностей или защитой от кибератак. В зависимости от сферы деятельности, резервируются или отдельно защищаются основные процессы, критически влияющие на бизнес и безопасность.

Однако все подобные программы рассчитаны на случай негативных событий, вероятность которых невысока и по которым есть опыт «противодействия» подобным инцидентам в прошлом. В таких случаях все системы работают и эффективно защищают бизнес. Если мы сталкиваемся с оценочно маловероятными событиями, на которые не принято обращать много внимания, и которые неожиданно приходят массово, подобные меры защиты могут не сработать. Какие шаги можно предпринять, чтобы стать ближе к непрерывности?

Идентифицируем критические процессы

Любая компания представляет собой сложный организм со множеством взаимосвязанных подсистем. Чтобы поддерживать непрерывность бизнес-процессов, сначала нужно понять, какие из них являются критичными для бизнеса. Их можно условно разделить на два вида: общие и специфические для отрасли или конкретной компании.

В «стандартном списке» — поддержка инфраструктуры в широком смысле: от безопасности труда и окружающей среды до ИТ и кибербезопасности. Сюда относятся любые процессы, остановка которых приведет к остановке бизнеса, и все узкие места на пути следования основного бизнес-процесса, приносящего деньги. Например, недоступность сайта и приложения интернет-магазина полностью останавливает все заказы, а значит, лишает компанию выручки, но что еще важнее — репутации у клиентов.

Отдельно стоит обратить внимание на узкие места основного процесса производства, и здесь уже начинает играть роль отраслевая специфика. Компании нужно ответить на ряд вопросов, например:

• Остановка какого оборудования может остановить весь цикл производства?
• Как быстро можно вывести резервные ресурсы на производственную мощность?
• Сколько времени необходимо на осуществление ремонта?
• Есть ли необходимый склад запасных частей для «узкого места», насколько оперативно он может быть доступен?

Так, для капиталоемких отраслей основной задачей поддержки непрерывности может стать отказоустойчивость оборудования. Для отраслей потребительской экономики — например, ретейла или доставки — критичны доступность человеческого ресурса в условиях высокой текучки кадров и бесперебойная работа ИТ-приложений.

Далее нужно проанализировать, в каких именно элементах необходимо искать узкие места, которые могут привести к сбою. Если смотреть на функции в «крупную клетку», их можно найти:

• в инфраструктуре;
• в логистике, закупках, цепочках поставок;
• в ИТ-приложениях, поддерживающих основной бизнес;
• в информационной безопасности;
• в процессах найма и мотивации сотрудников (особенно для индустрий с высокой текучкой или с потребностями в «уникальных знаниях»);
• в финансах и финансовом планировании;
• в доступности ресурсов в широком смысле (основных средств, товарного запаса или запчастей для критического оборудования).

Несколько полезных советов по обеспечению непрерывности

• В момент прилета множества «черных лебедей» нужно комбинировать обычные и ранее не рассматриваемые стресс-сценарии. Безусловно, необходимо постоянно «освежать» анализ рисков по основному бизнес-процессу, продумывать новые риски, оценивать необходимость и стоимость бэкапов и «обходных путей».

Например, производственным компаниям имеет смысл пересмотреть процедуру управления неснижаемыми остатками, особенно если их уровень определялся автоматически с помощью ERP-систем. Проанализируйте сырье и материалы на предмет рисков непоставок, создайте дополнительные резервы. По наиболее рискованным позициям целесообразно расширить список возможных поставщиков и альтернатив, начать пересматривать технологический процесс под доступные замены, которые раньше не рассматривались.

• План по поддержке непрерывности бизнеса нужно «обогащать» сценариями, ранее практически невозможными.

Например, пересмотрите оценку рисков с поставщиками в зависимости от их географического происхождения. Риск может коснуться не только ИТ-инфраструктуры и действующего ПО, производитель которого ушел с рынка. Это касается всех поставщиков как поддерживающих функций, так и сырья, товаров для основного процесса.

• Отдельно переоцените риски, связанные с привлечением сотрудников.

Сейчас мобильность у специалистов многих специальностей (в первую очередь, связанных с ИТ) очень высока, и изменение экономической ситуации, изменение оценки уровня личной безопасности могут существенно влиять на возможность привлечения людей.

• Пересмотрите подход к финансовому планированию. В «обычные времена» для компании важно понимать, как она выполнит планы текущего года.

Под эти планы выстраивается текущая деятельность, мотивация менеджеров, планируются ресурсы. Однако сейчас суть и временная глубина задач финансового планирования кардинально меняются. Нужно задавать вопросы о том, как компания пройдет текущую неделю и месяц, и только после думать о прогнозах на квартал. Скорректированные годовые планы отходят на второй план и могут рассматриваться только как ориентир. В условиях высокой цены финансовых ресурсов, краткосрочно (неделя, месяц, квартал) стоит уделять внимание денежному потоку, а только потом прибылям и убыткам.

• Сейчас время для рассмотрения самых маловероятных рисков. Практика показывает, что именно они случаются с пугающей частотой.

Стоит оценивать все варианты, «верить в лучшее и готовиться к худшему». Например, многим компаниям я бы рекомендовал пересмотреть плановые сроки поставок в полтора–два раза и в дальнейшем корректировать их по фактическим данным. Тогда управление рисками и поддержка непрерывности срабатывают даже в самых сложных ситуациях.