Managementul continuității activității

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Cu managementul continuității activității (în engleză Business Continuity Management, BCM pe scurt) se referă la un proces de management holistic care identifică potențiale amenințări la adresa unei organizații și impactul asupra activităților pe care acele amenințări, dacă ar fi exploatate prin vulnerabilități, le-ar putea provoca și oferă un cadru pentru construirea rezilienței organizaționale cu capacitatea de a răspunde eficient la un eveniment critic care protejează interesele părților interesate cheie, reputația, marca și activitățile de creare de valoare. În special, sistemul de management al continuității activității (în limba engleză Business Continuity Management System , prescurtat în BCMS ) face parte din sistemul general de management care stabilește, implementează, monitorizează, revizuiește, menține și îmbunătățește continuitatea activității. Sistemul de management include structura organizațională, politicile, planificarea activității, responsabilitățile, procedurile, procesele și resursele [1] .

Organizațiile (publice sau private), de orice sector sau dimensiune și care doresc să se îngrijoreze de continuitatea afacerii lor, trebuie să stabilească, să implementeze, să mențină și să-și îmbunătățească continuu sistemul de management, luând în considerare procesele necesare și diferitele interacțiuni dintre ele, în conformitate cu prevederile standardului ISO 22301 .

Sfera de interes a managementului continuității activității, spre deosebire de ceea ce se afirmă adesea, depășește cu mult sfera pur IT, inclusiv în perimetrul său întreaga organizație și capacitatea sa de a furniza în continuare produse sau servicii la niveluri predefinite care sunt acceptabile în urma unui accident .

Obiectivul principal al managementului continuității activității este de a contribui la definirea unei structuri capabile să sporească rezistența organizațională și capacitatea de a răspunde la un eveniment critic, indiferent de cauza care a generat-o.

Standarde și norme de referință

În mai 2012, Organizația Internațională pentru Standardizare a publicat standardul ISO 22301 Securitate socială - Sisteme de management al continuității activității - Cerințe, urmat în decembrie de Securitatea societală ISO 22313 - Standard de continuitate a activității. În decembrie 2015, cu toate acestea, au fost emise următoarele specificații tehnice conexe: ISO TS 22317 Securitate socială - Sisteme de management al continuității activității - Linii directoare pentru analiza impactului afacerii (BIA) și ISO TS 22318 Securitate societală - Sisteme de management al continuității activității - Linii directoare pentru continuitatea lanțului de aprovizionare . În prezent, versiunea în vigoare în prezent a standardului ISO 22301 este cea lansată în anul 2019 (ISO 22301: 2019).

În ceea ce privește gestionarea crizelor, pe de altă parte, în mai 2014, BS 11200 Crisis management - Guidance and good practice a fost publicată de British Standards Institution .

Toate aceste standarde oferă o metodă formalizată pentru a se asigura că programul de continuitate a afacerii și de gestionare a crizelor al organizației este eficient și aliniat cu cultura și cerințele organizației. Abordarea sistemelor de management este, de asemenea, utilizată pentru alte discipline - cum ar fi standardul de securitate a informațiilor ( ISO / IEC 27001: 2013 ) și Calitatea ( standardul ISO 9001 ) și, prin urmare, un sistem de management al continuității activității poate fi ușor adăugat și integrat, deoarece există o convergență a aceste sisteme în jurul unui text standard comun.

În cele din urmă, Business Continuity Institute :

  • în 2013 a lansat Ghidul de bune practici BCI [2] - bazat pe standardul ISO 22301: 2012 - care reprezintă astăzi principalul punct de referință internațional pentru profesioniștii în continuitatea afacerii pentru gestionarea unui program de continuitate a afacerii în companie;
  • în 2016 a publicat Raportul privind legislațiile, reglementările și standardele BCM [3] care rezumă toate referințele de reglementare pe această temă pentru fiecare țară.

Sistemul de management al continuității activității

Context organizațional

Punctul de plecare pentru gestionarea corectă a continuității activității este înțelegerea organizației și a contextului în care operează. Acest pas impune considerații preliminare asupra naturii organizației, asupra obiectivelor acesteia, asupra oportunităților și constrângerilor care decurg din contextul extern și din cultura organizațională existentă, dar și asupra nevoilor și așteptărilor părților interesate (inclusiv a autorităților de reglementare ).

Pe baza acestor considerații, este adecvat să se determine domeniul de aplicare al sistemului de management al continuității activității, motivând orice excludere din perimetru.

Conducere

Un alt aspect de importanță fundamentală este dictat de conducerea și angajamentul față de Programul de management al continuității afacerii, care trebuie demonstrat de organizație și, în special, de conducerea acesteia, de asemenea, prin alocarea unui buget care să fie în concordanță cu obiectivele stabilite. Acest angajament trebuie să fie clar exprimat și comunicat în cadrul politicii, care trebuie să definească, de asemenea, rolurile, responsabilitățile și puterile de luare a deciziilor la toate nivelurile organizației în ceea ce privește managementul continuității activității.

Planificare

Odată ce contextul a fost pe deplin definite și conducerea asupra sistemului de management asigurat, în faza de planificare este necesară obiectivelor stabilite specifice care urmează să fie realizat prin punerea în aplicare a programului de continuitate a activității. În acest proces este adecvat să se ia în considerare riscurile și oportunitățile care decurg din context, de asemenea, cu scopul de a defini un plan de acțiune care să sprijine organizația în realizarea obiectivelor de continuitate a activității.

A sustine

În acest moment este necesar să dotați programul de management al continuității activității cu resurse adecvate pentru scopurile definite. Organizația trebuie să furnizeze Grupului de Management al Continuității Afacerii toate resursele necesare pentru a stabili, implementa, întreține și îmbunătăți în mod continuu Sistemul de Management al Continuității Afacerii în timp.

În primul rând, este necesar să se garanteze competența personalului implicat în gestionarea continuității activității și conștientizarea tuturor resurselor umane cu privire la relevanța acestei discipline. Incorporarea continuității afacerii în cultura corporativă este extrem de importantă pentru succesul programului. Acest lucru poate fi realizat prin organizarea de campanii de instruire și conștientizare care să fie repetate periodic în timp pentru a asigura întotdeauna actualizarea personalului implicat la toate nivelurile.

În plus, organizația trebuie să definească în prealabil ce nevoi de comunicare vor fi relevante pentru buna funcționare a sistemului de management al continuității activității. Prin urmare, va fi necesar să se stabilească, să se pună în aplicare și să se mențină proceduri specifice pentru:

  • gestionarea comunicărilor interne între părțile interesate și personal;
  • gestionați comunicările externe cu clienții, partenerii, comunitatea locală și alte părți interesate (inclusiv mass-media);
  • să primească, să documenteze și să răspundă la comunicările părților interesate, chiar și în cazul unui eveniment critic.

În cele din urmă, organizația va trebui să definească un set de documente ordonate care să permită crearea, actualizarea și controlul constant în timp al informațiilor documentate menționate anterior. Acest aspect este deosebit de relevant și constituie unul dintre principalii factori critici de succes pentru continuitatea activității. De fapt, în special în organizațiile mari, rotația personalului este inevitabilă și trebuie planificată ca parte a programului de continuitate a activității. Soluția la problemele asociate cu rotația personalului se obține prin utilizarea documentației complete, actualizate și ordonate. Acest lucru asigură că personalul are întotdeauna informațiile de care are nevoie pentru a deveni rapid competenți și productivi. Astăzi, mai multe organizații folosesc software de gestionare a documentelor, dintre care unele sunt construite special pentru gestionarea continuității activității.

Operațiune

Prin urmare, organizația trebuie să planifice, să implementeze și să controleze procesele necesare pentru atingerea obiectivelor definite și să respecte cerințele identificate. Acest pas este, de asemenea, crucial pentru un management adecvat al continuității activității și prevede, printre altele, numirea formală a unui consultant de continuitate a activității organizației care are un mandat clar din partea conducerii superioare pentru a coordona activitățile legate de sistemul de management.

Analiza impactului asupra afacerii și analiza amenințărilor

Aceste analize au ca scop înțelegerea priorităților și cerințelor privind continuitatea afacerii. Mai exact, Business Impact Analysis (BIA) este procesul de analiză a activităților și a efectelor pe care o întrerupere le-ar putea avea asupra acestora [1] și vă permite să stabiliți priorități pentru recuperarea proceselor critice prin definirea perioadei maxime tolerabile de întrerupere (MTPD) ) . Analiza amenințării, pe de altă parte, promovează înțelegerea riscurilor legate de procesele critice, a dependențelor acestora și a consecințelor potențiale în cazul unei întreruperi. Aceste activități formează baza pe care sunt definite Obiectivele Timpului de Recuperare (RTO) și Obiectivele Punctului de Recuperare (RPO) - în faza de proiectare și pe care strategii și tactici de continuitate a activității și măsuri de atenuare a amenințărilor sunt selectate.

Analizele în cauză trebuie efectuate anual sau, în orice caz, de fiecare dată când apare unul dintre următoarele cazuri:

  • schimbări semnificative în procesele organizaționale;
  • schimbări semnificative în contextul extern.

ISO TS 22317: 2015 Securitate socială - Sisteme de management al continuității activității - Liniile directoare pentru analiza impactului asupra afacerii (BIA) [4] este standardul internațional de referință pentru dezvoltarea acestui tip special de analiză.

Dezvoltate și actualizate de Disaster Recovery Institute International, practicile profesionale de gestionare a continuității afacerii sunt un corp de cunoștințe create pentru a oferi asistență în timpul fazelor de dezvoltare, implementare și actualizare a programelor de continuitate a afacerii. De asemenea, intenționează să servească drept instrument pentru efectuarea evaluărilor programelor existente. [5]

Strategii de continuitate a afacerii

Identificarea și evaluarea unei game de strategii de continuitate a activității permite organizației să aleagă cele mai potrivite opțiuni pentru a preveni întreruperea proceselor critice și pentru a face față acesteia în cazul unui incident. Strategiile selectate vor oferi îndrumări pentru reluarea activităților la un nivel predefinit acceptabil, în termenele convenite.

Operațional, o strategie BC este, pentru un anumit risc de întrerupere, contramăsura (opțiunea) care ar fi implementată în caz de accident (urgență, criză sau dezastru [6] ).

Un plan de urgență este un tip de program BC.

Planuri și proceduri de continuitate a activității

Implementarea unui plan de continuitate a activității implică crearea unei structuri de răspuns la incident care monitorizează și coordonează faza de reacție la un eveniment critic, până când acesta revine la normal. Este setul de proceduri documentate care ghidează organizațiile în răspunsul, recuperarea, reluarea și restabilirea la un nivel predefinit a activităților în urma unei întreruperi ( întrerupere ) și acoperă resursele, serviciile și activitățile necesare pentru a asigura continuitatea funcțiilor organizaționale critice [ 1] . Aceste documente, spre deosebire de programul BC care se află la nivel de management, trebuie să aibă o reducere extrem de operațională și concisă (în caz de urgență, oamenii trebuie să aibă instrucțiuni puține, dar clare și practice). Întreruperea se referă la furnizarea de produse sau furnizarea de servicii, adică managementul caracteristic ( afacerea ) unei companii sau scopul unui organism public.

Planul reprezintă, de asemenea, unul dintre principalele rezultate ale ciclului de viață al managementului continuității afacerii și este conceput pentru orice tip de organizație (publică, privată sau chiar non-profit) și pentru orice nivel al organizației (strategic, tactic și operațional) cu scopul de a le crește rezistența .

La rândul său, planul de continuitate a activității poate include planuri specifice care includ proceduri și informații specifice care - din motive de utilizare mai bună și / sau dimensiune - este preferabil să fie tratate separat. Ca exemplu, gândiți-vă la Planul de Criză, Planul Pandemic sau Planul de Comunicare în Criză. Cu toate acestea, aceste planuri specifice fac parte din planul de continuitate a activității organizației.

Exerciții și teste

Nimic din ceea ce s-a făcut până acum nu este valabil dacă nu este prevăzută o fază de exercițiu și test adecvată, care oferă organizației posibilitatea de a:

  • promovează conștientizarea personalului și dezvoltarea abilităților;
  • să se asigure că sistemul de management și procedurile de continuitate a activității sunt complete, actualizate și adecvate;
  • identifică oportunități de îmbunătățire a programului.

Exercițiile și testele de continuitate a activității trebuie efectuate la toate nivelurile. La nivel strategic, va fi adecvat să se prevadă simulări de scenarii de criză, care să implice managementul de vârf și - mai general - grupul de management al continuității activității. La nivel tactic, vor fi efectuate teste funcționale asupra principalelor procese ale organizației. La nivel operațional, planurile de urgență vor fi testate.

Evaluarea performanței

Exercițiile și testele, dar, în general, și întreaga fază de monitorizare, măsurare, analiză și evaluare a sistemului de management al continuității activității trebuie să ia în considerare măsurători specifice de performanță și eficacitatea măsurilor de protejare a activităților prioritare. În plus, acestea trebuie să aibă ca scop asigurarea conformității cu cerințele predefinite și coerența setului de informații documentate în raport cu obiectivele de continuitate a activității definite în politici.

Totuși, la nivel metodologic, este important, de asemenea, ca audituri interne aprofundate să fie programate la intervale regulate (cel puțin o dată la doi ani) pentru a verifica conformitatea sistemului de management cu reglementările și standardele de referință.

Toate aceste activități vor oferi conducerii superioare o idee despre punctele forte și domeniile de îmbunătățire a programului de continuitate a activității, pentru a continua să se asigure că managementul continuității activității este adecvat scopurilor organizației, adecvat și eficient în definirea procedurilor și construiți o capacitate de răspuns la evenimente critice.

Imbunatatire continua

Prin urmare, neconformitățile vor da naștere unor acțiuni corective, în logica îmbunătățirii continue pe care se bazează problema ( Ciclu Deming , Plan-Do-Check-Act).

Managementul continuității lanțului de aprovizionare (SCCM)

Domeniul de aplicare al sistemului de management al continuității activității trebuie să ia în considerare și interdependențele cu lanțul de aprovizionare, care devin din ce în ce mai complexe, extinse (adesea la nivel internațional) și se schimbă în timp, expunând organizațiile la riscuri suplimentare în caz de evenimente critice sau întreruperi. Prin urmare, este deosebit de important să se prevadă mecanisme de gestionare a continuității în lanț . De obicei, relația dintre client și furnizor este legată de acorduri contractuale, cum ar fi Acorduri de nivel de serviciu (SLA) pentru externalizare sau Acorduri de nivel operațional (OLA) pentru servicii interne.

ISO TS 22318: 2015 Securitate socială - Sisteme de management al continuității activității - Liniile directoare pentru continuitatea lanțului de aprovizionare [7] este standardul internațional de referință pentru dezvoltarea unei abilități specifice de a garanta continuitatea operațională în fața întreruperilor din lanțul de aprovizionare.

Notă

  1. ^ a b c ( EN ) ISO 22300: 2012 - Securitate socială - Terminologie , pe ISO . Adus pe 28 ianuarie 2017 .
  2. ^ (EN) Super User, The Good Practice Guidelines pe www.thebci.org. Adus pe 28 ianuarie 2017 .
  3. ^ ( RO ) Descărcări | Resurse BCI | Altele | Reglementări, standarde și linii directoare , la www.thebci.org . Adus pe 28 ianuarie 2017 .
  4. ^ ( EN ) ISO / TS 22317: 2015 - Securitate socială - Sisteme de management al continuității activității - Liniile directoare pentru analiza impactului afacerii (BIA) , pe ISO . Adus pe 29 ianuarie 2017 .
  5. ^ Practici profesionale | DRI , pe drii.org . Adus pe 20 martie 2018 .
  6. ^ Toți acești termeni, definiți de standardele de referință, nu sunt nici sinonime și nici nu ar trebui folosiți ca atare.
  7. ^ ( EN ) ISO / TS 22318: 2015 - Securitate socială - Sisteme de management al continuității activității - Liniile directoare pentru continuitatea lanțului de aprovizionare , pe ISO . Adus pe 29 ianuarie 2017 .

Elemente conexe