Непрерывность деятельности компаний: стандартизация обеспечивающих инициатив

Дмитренко И.Н., Кабилов С.С.

Статья в журнале

Экономика, предпринимательство и право (РИНЦ, ВАК)
опубликовать статью | оформить подписку

Том 15, Номер 5 (Май 2025)

Цитировать эту статью:

Дмитренко, И. Н. Непрерывность деятельности компаний: стандартизация обеспечивающих инициатив / И. Н. Дмитренко, С. С. Кабилов // Экономика, предпринимательство и право. – 2025. – Т. 15, № 5. – DOI 10.18334/epp.15.5.123002
Dmitrenko, I. N., & Kabilov, S. S. (in press). (2025). Nepreryvnost deyatelnosti kompaniy: standartizatsiya obespechivayushchikh initsiativ. Journal of Economics, Entrepreneurship and Law, 15(5). https://doi.org/10.18334/epp.15.5.123002

Похожие статьи:

   Развитие промышленных бизнес-моделей: Индустрия 4.0, устойчивость и непрерывность бизнеса, менеджмент качества (Краковская И.Н., Казаков Е.А. и др.) // Вопросы инновационной экономики. № 4 / 2023

   Метод сценариев в адаптивном управлении развитием энергосбытовой компании в контексте глобальных трендов (Салова Л.В.) // Креативная экономика. № 8 / 2023

Введение

В современных условиях хозяйствования компании различной отраслевой принадлежности вынуждены повышать стресс-устойчивость к многочисленным риск-событиям, которые ставят под угрозу непрерывность их деятельности. К таким риск-событиям относятся как природные катаклизмы, так и антропогенные факторы, характеризующиеся технологическими, социальными, политическими, корпоративными и отраслевыми угрозами.

Обеспечение непрерывности деятельности современных компаний является одной из приоритетных задач достижения их эффективного функционирования, что становится особенно актуальным в нынешних турбулентных и высоко-конкурентных условиях. А собственно обеспечивающие инициативы в данном направлении возможно свести к анализу, оценке и мониторингу риск-факторов (которые могут нарушать нормальное функционирование или истощать ресурсы компании), а также к плановому реагированию на их проявление для минимизации потерь и/или восстановления деловой активности в контуре установленных стратегических и тактических целей деятельности.

По утверждению одного из видных теоретиков XX века в области менеджмента П. Друкера, «… в неспокойные времена важнейшей задачей управления является обеспечение способности организации к выживанию, обеспечение ее структурной прочности и устойчивости, ее способности пережить удар» [13, с. 25]. Нарушения в функционировании бизнеса инициируют цепь последствий, приводящих к негативной реакции заинтересованных сторон (стейкхолдеров) и неблагоприятному воздействию на общество. Негативная реакция рынка увеличивает репутационный риск, что приводит к снижению продаж и, следовательно, прибыли. В ситуации, когда подавляющее большинство компаний работают в группах (холдингах), тесно связанных на уровне капитала и управления, прерывание деятельности оказывает негативное влияние и на других субъектов хозяйствования (эффект «риска заражения»). Тем не менее, эту цепь можно разорвать, внедрив принципы непрерывности деятельности и обеспечив их соблюдение силами корпуса менеджмента компаний.

Непрерывность деятельности — относительно новая концепция, которая начала развиваться с 1990-х годов как важнейший объект управления кризисными ситуациями в ответ на различные риски [2]. Поэтому обеспечение непрерывности деятельности компаний представляет собой комплексный процесс, который создает основу для своевременного реагирования на возникающие угрозы, что предусматривает формирование плана инициатив для минимизации влияния вероятных риск-событий на способность фирмы эффективно продолжать свою деятельность в обозримом будущем.

Цель исследования в контуре данной статьи состоит в прослеживании эволюции требований международных и российских стандартов для систематизации обеспечивающих инициатив непрерывности деятельности компаний в контексте указанного процесса.

Основная часть

Вопросы регулирования и стандартизации непрерывности деятельности компаний изначально нашли отражение в международных стандартах аудита (далее – МСА), в частности, в МСА 570 «Непрерывность деятельности» в контексте формирования объекта диагностирования независимыми аудиторами способности компаний к продолжению финансово-хозяйственной деятельности в обозримом будущем без намерений к существенному сокращению ее масштабов и деловой активности.

В соответствии с МСА 570 (пересмотренным) «Непрерывность деятельности», принцип непрерывности деятельности применяется в контексте установления достоверности информации бухгалтерской (финансовой) отчетности, исходя из допущения, что компания будет продолжать свою работу в обозримом будущем [9]. Если компания планирует работать в дальнейшем, то ее имущественное положение отражается так, как если бы она продолжала свою обычную деятельность. Например, активы будут оцениваться с учетом их использования в будущем, а обязательства — с учетом их выполнения в рамках текущих операций. Однако, если владельцы и руководство компании принимают решение о ее ликвидации, то отчетность составляется иначе, и принцип непрерывности не применяется [9].

См. также:

   Развитие промышленных бизнес-моделей: Индустрия 4.0, устойчивость и непрерывность бизнеса, менеджмент качества (Краковская И.Н., Казаков Е.А. и др.) // Вопросы инновационной экономики. № 4 / 2023

   Метод сценариев в адаптивном управлении развитием энергосбытовой компании в контексте глобальных трендов (Салова Л.В.) // Креативная экономика. № 8 / 2023

Британский институт непрерывности бизнеса трактует управление непрерывностью бизнеса как «целостный процесс управления, направленный на определение потенциального воздействия сбоев на организацию, создание условий для повышения устойчивости к ним и способности эффективно реагировать с точки зрения защиты ключевых интересов владельцев, репутации и бренда организации, а также ценностей, достигнутых в ее предыдущей деятельности» [16].

В свою очередь, С.А. Петренко и А.В. Беляев, являющиеся техническими директорами Института Непрерывности Бизнеса, сущность понятия «управление непрерывностью деятельности» рассматривают как «системный процесс оценки последствий возникающих чрезвычайных ситуаций и принятия надлежащих решений по сохранению бизнеса компании. Поэтому основной целью соответствующих корпоративных программ управления непрерывностью бизнеса (ECP – Enterprise Continuity Program) является минимизация риска потери бизнеса в случае его прерывания и продолжение деятельности компании в чрезвычайных ситуациях» [10, с. 14].

Таким образом, при рассмотрении обеспечения непрерывности деятельности как процесса, отметим, что его основная цель - способствовать продолжению функционирования компании и удержанию ее рыночной позиции даже в случае реализации возможных риск-событий. Отсюда, основными субъектами данного процесса следует признать топ-менеджмент самих компаний, поскольку собственно обеспечивающие инициативы связаны как со стратегическим планированием, так и с тактикой их выполнения для минимизации влияния возможных угроз и смягчения уязвимостей хозяйствующего субъекта. А это способствует устойчивому развитию компаний как в среднесрочной, так и долгосрочной перспективе.

Взаимосвязи между угрозами и уязвимостями заключаются в том, что уязвимости усиливают воздействие угроз. В частности, низкая ликвидность (уязвимость) делает компанию более восприимчивой к финансовым потерям (угроза). Систематизируем и представим ряд базовых примеров взаимосвязи угроз и уязвимостей в контексте непрерывности деятельности хозяйствующих субъекта (рисунок 1).

Рисунок 1 - Взаимосвязи угроз и уязвимостей хозяйствующих субъектов

в контексте непрерывности деятельности

Источник: систематизировано авторами

Что касается рисков непрерывности деятельности компаний, которые требуют к себе постоянного внимания корпуса менеджмента, и полежат идентификации для разработки и применения сценариев их минимизации, наиболее укрупненные их группы можно представить следующим образом (рисунок 2).

Следует отметить, что реалии бизнес-среды потребовали дальнейшей стандартизации инициатив самих хозяйствующих субъектов в обеспечение непрерывности собственной деятельности, так как без осмысленных и унифицированных действий корпуса менеджмента компаний невозможно создать условия их жизнеспособности и дальнейшего устойчивого развития.

Рисунок 2 - Группы рисков непрерывности деятельности компаний

Источник: систематизировано авторами на основе [7, 9]

Так, к основным причинам стандартизации инициатив в обеспечение непрерывности деятельности компаний можно отнести потребность в:

- унификации, поскольку стандартизация обеспечивает единообразие в подходах к управлению рисками для обеспечения непрерывности деятельности, что облегчает понимание и внедрение таких практик в различных компаниях;

- повышении качества управления, поскольку стандарты устанавливают конкретные критерии, способствующие более эффективному управлению рисками;

- транспарентности, поскольку стандартизация позволяет обеспечить прозрачность планирования инициатив, обеспечивающих непрерывность деятельности компаний, что повышает уровень доверия к ним заинтересованных сторон и облегчает принятие решений в отношении делового сотрудничества.

Обратимся к международному опыту стандартизации в данной области.

Первые в мире британские стандарты управления непрерывностью бизнеса были представлены серией стандартов BS 25999 (в двух частях: BS25999-1:2006 «Менеджмент непрерывности бизнеса» / «Business continuity management» и BS25999-2:2007 «Спецификации» / «Specification»). Полная версия серии стандартов BS 25999 была разработана в 2007 году Британским институтом стандартов (BSI) [16] – старейший в мире организацией в области стандартизации и сертификации. Вышеупомянутая серия стандартов охватывает область управления непрерывностью бизнеса компании и реализует системный подход в данном направлении на основе передовой практики [11].

См. также:

   Инновационная экосистема территории: модели оценки и преодоления трансферных разрывов (Гилева Т.А., Галимова М.П. и др.) // Вопросы инновационной экономики. № 3 / 2024

   Моделирование оценки результативности управления ресурсами развития (Коломыцева О.Ю., Журавлева Т.Ю.) // Креативная экономика. № 9 / 2009

На сегодняшний день, в качестве базового стандарта, регулирующего обеспечение непрерывности бизнеса, признан международный стандарт ISO 22301 «Безопасность и устойчивость. Системы управления непрерывностью бизнеса», принятый в 2012 году, пересмотренный в 2019 году, и являющийся производным от британского стандарта BS 25999. Его цель заключается в регулировании защищенности компаний от сбоев на основе снижения вероятности их возникновения, подготовки к ним, эффективного реагирования на них и восстановления после их возникновения. Значимость рассматриваемого стандарта заключается в том, что он представляет собой первый международный стандарт в области непрерывности бизнеса, который применим ко всем организациям, независимо от типа, размера и характера их деятельности [14].

Кроме базового стандарта относительно обеспечения непрерывности деятельности компаний были разработаны и представлены профессиональному сообществу дополнительные (детализирующие базовый) международные стандарты, что обобщено в таблице 1.

Таблица 1 – Система международных стандартов в области обеспечения непрерывности деятельности компаний

Шифр
Наименование международных стандартов
ISO
22301: 2019
Безопасность и устойчивость. Системы управления непрерывностью бизнеса [14]
ISO 22301:2012
Социальная безопасность Системы менеджмента непрерывности бизнеса. Требования [12]
ISO 22313:2012
Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство [12]
ISO 22313:2020
Социальная безопасность. Системы управления непрерывностью бизнеса. Руководство по использованию ISO 22301 [12]
Продолжение таблицы 1
Шифр
Наименование международных стандартов
ISO/TS 22330:2018
Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы по кадровым аспектам непрерывности бизнеса [12]
ISO/TS 22318:2021
Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы по кадровым аспектам непрерывности бизнеса [12]
ISO/TS 22331:2018
Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы по стратегиям обеспечения непрерывности бизнеса [12]
ISO/TS 22332:2021
Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы по разработке планов и процедур обеспечения непрерывности бизнеса [12]
ISO/TS 22317:2021
Социальная безопасность. Системы управления непрерывностью бизнеса. Руководящие принципы анализа воздействия на бизнес (BIA) [12]
ISO/IEC 27001:2022
Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования и определения [15]
Источник: систематизировано авторами на основе [12, 14, 15]

Российская практика стандартизации в области непрерывности бизнеса базируется на международном опыте, что подтверждается идентичностью соответствующих требований. Так, ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса» [5] идентичен международному стандарту BS 25999-1:2006 «Менеджмент непрерывности бизнеса»; ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования» [4] идентичен международному стандарту ИСО 22301:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования»; ГОСТ Р ИСО 22313-2015 «Менеджмент непрерывности бизнеса. Руководство по внедрению» [3] идентичен международному стандарту ИСО 22313:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство».

Основные направления регулирования обеспечения и диагностики непрерывности деятельности компаний в международных и российских стандартах систематизированы в таблице 2.

Таблица 2 – Основные направления регулирования обеспечения /диагностики непрерывности деятельности компаний в международных и российских стандартах


Параметры
стандарти-зации
Стандарты, регулирующие обеспечение / диагностику непрерывности деятельности компаний
BS 25999
ISO 22301
ISO 22313
МСА 570
ГОСТ Р 53647.1-2009
ГОСТ Р ИСО 22301- 2014
ГОСТ Р ИСО 22313-2015
Объект регулирова-ния
обеспечениеусловий
сохранения стабильного функциони-рования компании
обеспечение условий продолжения функционирования компании во время и после разрушительного события
уточнение требований, изложенных в стандарте ISO 22301
порядок получения полных и надежных аудиторских доказательств в отношении способности компании к непрерывной деятельности
обеспечение условий
сохранения стабильного функциони-рования компании
обеспечение условий функциониро-вания компании во время и после разрушитель-ного события
уточнение требований, изложенных в стандарте ГОСТ Р ИСО 22301- 2014
Предметные области
регулирова-ния
процессы, принципы и терминоло-гия менеджмен-та непрерыв-ности деятельности
требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса
охватывает комплекс аспектов обеспечения непрерывно-сти бизнеса
комплекс обязанностей независимого аудитора по диагностике соблюдения допущения о непрерывно-сти деятельно-сти компаний в ходе аудита финансовой отчетности
процессы, принципы и терминология менеджмента непрерывно-сти деятельности
требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса
охватывает комплекс аспектов обеспечения непрерывно-сти бизнеса
Преимуще-ства от внедрения стандарта
снижение барьеров при выходе на зарубежные рынки; доверие со стороны потребите-лей, заказчи-ков и поставщи-ков; сведение к минимуму рисков непрерывно-сти деятель-ности компании
готовность к предупрежде-нию либо устранению последствий кризисных ситуаций; быстрое восстановле-ние нормальной работы компании
защита жизни персонала, имущества и окружающей среды; укрепление репутации и доверия к компании
получение полных и надежных аудиторских доказательств о степени соблюдения допущения о непрерывно-сти деятельно-сти клиентски-ми компани-ями; формирование обоснованного мнения в аудиторском заключении
снижение барьеров при выходе на зарубежные рынки; доверие со стороны потребителей, заказчиков и поставщиков; сведение к минимуму рисков непрерывно-сти деятельности компании
готовность к предупрежде-нию либо устранению последствий кризисных ситуаций; быстрое восстановле-ние нормальной работы компании
защита жизни персонала, имущества и окружающей среды; укрепление репутации и доверия к компании
Источник: составлено авторами на основе [3, 4, 5, 9, 14, 15]
См. также:

   Оценка сбалансированности инновационного устойчивого развития как фактор повышения промышленной безопасности предприятия (Зотов М.А., Поникарова А.С. и др.) // Вопросы инновационной экономики. № 4 / 2022

   Методика оценки киберрисков корпоративного центра ИТ-мониторинга (Хамидуллин Р.Д.) // Креативная экономика. № 12 / 2023

Кроме того, нельзя не учитывать, что в период динамичного технологического развития непредвиденная приостановка деятельности компании может быть вызвана несанкционированным изменением и утечкой информации из-за действий персонала компаний, сбоями в работе ИТ-инфраструктуры. Причем риск возникновения подобных инцидентов будет существовать всегда, даже при эффективной системе управления информационной безопасностью, поскольку, как справедливо отмечает И. П. Батаева, гарантировать 100% безопасность информации и систем в организации невозможно [1].

За последние годы многие компании по всему миру потеряли миллиарды долларов из-за различных непредвиденных ситуаций, которые оказали существенное влияние на их дальнейшую деятельность. По данным исследования IBM и Ponemon Institute за 2024 год, средняя глобальная стоимость утечки данных составляет 4,88 млн долларов США [8].

В этом контексте обеспечение непрерывности бизнеса является изначально предметной областью стратегического управления, управления рисками в компании (в том числе ИТ-рисками), системы финансово-экономической безопасности, что в последующем становится комплексным объектом диагностики их состояния силами служб внутреннего аудита компании и внешних независимых аудиторов.

Следует признать, что компании, получившие сертификаты по системам менеджмента качества и информационной безопасности, либо внедрившие аналогичные решения по стандартизации в области рисков и безопасности ИТ-систем, будут иметь более простой путь при внедрении требований стандарта ISO 22301 «Безопасность и устойчивость. Системы управления непрерывностью бизнеса» (где обеспечение непрерывности бизнеса рассматривается также посредством обеспечения информационной безопасности организации) [6].

Наиболее востребованным международным стандартом в области обеспечения безопасности ИТ-систем является стандарт ISO/IEC 27001 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования» [15], который охватывает все аспекты, связанные с защитой информации (создаваемой, хранящейся и обрабатываемой в компании), что также направлен на регулирование условий обеспечения непрерывности бизнеса. Предметная область регулирования стандартом ISO/IEC 27001 охватывает аспекты информационной безопасности во взаимосвязи с обеспечением непрерывности деятельности компаний и включает: политику безопасности; организацию информационной безопасности; управление активами; безопасность человеческих ресурсов; физическую и экологическую безопасность; управление системами и сетями; контроль доступа; управление непрерывностью бизнеса; приобретение, разработку и обслуживание ИТ-систем; управление инцидентами информационной безопасности; соответствие требованиям законодательства и стандартов [15].

Факт того, что инициативы обеспечения непрерывности бизнеса наряду с инициативами информационной безопасности следует признать важнейшим компонентами системы финансово-экономической безопасности компании, подтверждается логикой и структурой приложений к стандарту ISO/IEC 27001 (таблица 3).

Таблица 3 – Состав приложений к международному стандарту ISO/IEC 27001 в части регулирования инициатив обеспечения непрерывности деятельности компаний

Шифр приложения к стандарту
Сущность инициатив обеспечения непрерывности деятельности компаний
А.14
Управление непрерывностью бизнеса
А.14.1
Аспекты информационной безопасности в управлении непрерывностью бизнеса
А.14.1.1
Интеграция информационной безопасности в процесс управления непрерывностью бизнеса
A.14.1.2
Анализ непрерывности бизнеса и влияния на бизнес
A.14.1.3
Разработка и реализация планов обеспечения непрерывности бизнеса, учитывающих информационную безопасность
A.14.1.4
Структура планирования непрерывности бизнеса
A.14.1.5
Тестирование, поддержка и повторная оценка планов обеспечения непрерывности бизнеса
Источник: составлено авторами на основе [15]

Исходя из содержательного наполнения инициатив обеспечения непрерывности бизнеса, согласно ISO/IEC 27001, основная цель их реализации сводится к «предотвращению перерывов в бизнес-операциях и защите критически важных бизнес-процессов от широкомасштабных сбоев или катастроф информационных систем, а также обеспечению возможности возобновления операций в требуемые сроки» [15].

См. также:

   Учет материалов в некоммерческой организации (Верников В.А.) // Экономика и социум: современные модели развития. № 2 / 2022

   Система управления инновационным развитием региона в контексте цифровой трансформации (Кузьминых Н.А., Милицкая А.О.) // Вопросы инновационной экономики. № 4 / 2022

Показательно, что стандарты ISO/IEC 27001 и ISO 22301 также дополняют друг друга на основе интеграции предметных областей регулирования, что выстраивает логическую цепочку в отношении обеспечивающих инициатив непрерывности деятельности с учетом информационной безопасности на базе инструментов анализа, планирования, реализации плановых мероприятий и мониторинга их результативности. В конечном итоге, успешная реализация инициатив обеспечения непрерывности деятельности создает предпосылки укрепления системы финансово-экономической безопасности компаний.

Взаимосвязь инициатив по укреплению финансово-экономической безопасности и обеспечению непрерывности бизнеса компании представлена ​​на рисунке 3.

Рисунок 3 – Взаимосвязь инициатив по укреплению финансово-экономической безопасности и обеспечению непрерывности бизнеса компании

Источник: составлено авторами

Следует также подчеркнуть, что инициативы реагирования на нарушения (сбои) для обеспечения непрерывности бизнеса связаны не только с устранением их последствий, но прежде всего должны быть направлены на анализ угроз и уязвимостей, выбор и применение методов предотвращения нарушений. Поэтому инициативы по обеспечению непрерывности бизнеса и укреплению финансово-экономической безопасности компании являются взаимосвязанными, что предопределяет необходимость комплексного подхода к их разработке, планированию и реализации.

Заключение

В результате проведенного исследования приходим к следующим выводам:

1. Необходимость стандартизации инициатив, обеспечивающих непрерывность деятельности компаний, обусловлена потребностями: в унификации подходов к управлению рисками, ставящими под угрозу жизнеспособность компаний; в повышении качества управления на уровне бизнес-процессов путем минимизации рисков; в транспарентности планирования и мониторинга реализации обеспечивающих инициатив для повышения уровня доверия к бизнесу со стороны заинтересованных стейкхолдеров.

2. Важнейшими инициативами, обеспечивающими соблюдение принципа непрерывности деятельности компаний, являются: разработка планов обеспечения непрерывности бизнеса (с включением процедур перманентной идентификации и анализа возможных рисков и угроз с постоянной их актуализацией, разработки и реализации сценариев предупреждения и минимизации последствий риск-событий); мониторинг выполнения утвержденных планов обеспечения непрерывности деятельности; обучение управленческого персонала по программам, способствующим повышению зрелости компаний в области информационной безопасности, финансово-экономической безопасности и управления рисками.

3. Инициативы обеспечения непрерывности бизнеса и укрепления финансово-экономической безопасности компаний являются взаимосвязанными, что предопределяет необходимость комплексного подхода к их разработке, планированию, реализации и мониторингу результативности.

Смотрите также:

  Регулирование цифровых финансовых активов и применение блокчейн технологий в сельском хозяйстве (Вартанова М.Л., Дробот Е.В.) // Креативная экономика. № 1 / 2019

   Система антикризисного управления в сельскохозяйственных организациях (Малахова Ю.В., Малахов А.Е.) // Продовольственная политика и безопасность. № 4 / 2016

   Интегрированные системы менеджмента: теория и практика обеспечения «антихрупкости» и устойчивости на основе резилиенс-моделей управления (Бирюкова Л.И., Глухова Т.В. и др.) // Лидерство и менеджмент. № 4 / 2022

  Обеспечение безопасных условий труда и защита здоровья работников железнодорожного транспорта (Самарская Н.А., Ильин С.М.) // Экономика труда. № 4 / 2018

   Институциональные проблемы в сфере экономической доступности продовольствия в условиях новых глобальных вызовов (Решетникова Е.Г.) // Продовольственная политика и безопасность. № 2 / 2023

Страница обновлена: 01.04.2025 в 11:24:36