Business continuity: standardizing enabling initiatives
Dmitrenko I.N.1
, Kabilov S.S.1
1 Российский экономический университет им. Г.В. Плеханова
Journal paper
Journal of Economics, Entrepreneurship and Law (РИНЦ, ВАК)
опубликовать статью | оформить подписку
Volume 15, Number 5 (May 2025)
Abstract:
The article provides a comparative analysis of the evolution of international and Russian standards for the systematization of practical business continuity initiatives at the top management level. The article summarizes the basic interrelations of threats and vulnerabilities and groups of risks affecting the continuity of companies' activities. A set of business continuity initiatives is studied. The pragmatic value of standardization in this area for unifying the formation of internal diagnostics to ensure compliance with the business continuity principle, taking risk manageability into account, is confirmed.
Keywords: business continuity, risk, business continuity planning, international standard, standardization, financial and economic security, information security
JEL-classification: L86, M15, F51, F52,
Введение
В современных условиях хозяйствования компании различной отраслевой принадлежности вынуждены повышать стресс-устойчивость к многочисленным риск-событиям, которые ставят под угрозу непрерывность их деятельности. К таким риск-событиям относятся как природные катаклизмы, так и антропогенные факторы, характеризующиеся технологическими, социальными, политическими, корпоративными и отраслевыми угрозами.
Обеспечение непрерывности деятельности современных компаний является одной из приоритетных задач достижения их эффективного функционирования, что становится особенно актуальным в нынешних турбулентных и высоко-конкурентных условиях. А собственно обеспечивающие инициативы в данном направлении возможно свести к анализу, оценке и мониторингу риск-факторов (которые могут нарушать нормальное функционирование или истощать ресурсы компании), а также к плановому реагированию на их проявление для минимизации потерь и/или восстановления деловой активности в контуре установленных стратегических и тактических целей деятельности.
По утверждению одного из видных теоретиков XX века в области менеджмента П. Друкера, «… в неспокойные времена важнейшей задачей управления является обеспечение способности организации к выживанию, обеспечение ее структурной прочности и устойчивости, ее способности пережить удар» [13, с. 25]. Нарушения в функционировании бизнеса инициируют цепь последствий, приводящих к негативной реакции заинтересованных сторон (стейкхолдеров) и неблагоприятному воздействию на общество. Негативная реакция рынка увеличивает репутационный риск, что приводит к снижению продаж и, следовательно, прибыли. В ситуации, когда подавляющее большинство компаний работают в группах (холдингах), тесно связанных на уровне капитала и управления, прерывание деятельности оказывает негативное влияние и на других субъектов хозяйствования (эффект «риска заражения»). Тем не менее, эту цепь можно разорвать, внедрив принципы непрерывности деятельности и обеспечив их соблюдение силами корпуса менеджмента компаний.
Непрерывность деятельности — относительно новая концепция, которая начала развиваться с 1990-х годов как важнейший объект управления кризисными ситуациями в ответ на различные риски [2]. Поэтому обеспечение непрерывности деятельности компаний представляет собой комплексный процесс, который создает основу для своевременного реагирования на возникающие угрозы, что предусматривает формирование плана инициатив для минимизации влияния вероятных риск-событий на способность фирмы эффективно продолжать свою деятельность в обозримом будущем.
Цель исследования в контуре данной статьи состоит в прослеживании эволюции требований международных и российских стандартов для систематизации обеспечивающих инициатив непрерывности деятельности компаний в контексте указанного процесса.
Основная часть
Вопросы регулирования и стандартизации непрерывности деятельности компаний изначально нашли отражение в международных стандартах аудита (далее – МСА), в частности, в МСА 570 «Непрерывность деятельности» в контексте формирования объекта диагностирования независимыми аудиторами способности компаний к продолжению финансово-хозяйственной деятельности в обозримом будущем без намерений к существенному сокращению ее масштабов и деловой активности.
В соответствии с МСА 570 (пересмотренным) «Непрерывность деятельности», принцип непрерывности деятельности применяется в контексте установления достоверности информации бухгалтерской (финансовой) отчетности, исходя из допущения, что компания будет продолжать свою работу в обозримом будущем [9]. Если компания планирует работать в дальнейшем, то ее имущественное положение отражается так, как если бы она продолжала свою обычную деятельность. Например, активы будут оцениваться с учетом их использования в будущем, а обязательства — с учетом их выполнения в рамках текущих операций. Однако, если владельцы и руководство компании принимают решение о ее ликвидации, то отчетность составляется иначе, и принцип непрерывности не применяется [9].
Британский институт непрерывности бизнеса трактует управление непрерывностью бизнеса как «целостный процесс управления, направленный на определение потенциального воздействия сбоев на организацию, создание условий для повышения устойчивости к ним и способности эффективно реагировать с точки зрения защиты ключевых интересов владельцев, репутации и бренда организации, а также ценностей, достигнутых в ее предыдущей деятельности» [16].
В свою очередь, С.А. Петренко и А.В. Беляев, являющиеся техническими директорами Института Непрерывности Бизнеса, сущность понятия «управление непрерывностью деятельности» рассматривают как «системный процесс оценки последствий возникающих чрезвычайных ситуаций и принятия надлежащих решений по сохранению бизнеса компании. Поэтому основной целью соответствующих корпоративных программ управления непрерывностью бизнеса (ECP – Enterprise Continuity Program) является минимизация риска потери бизнеса в случае его прерывания и продолжение деятельности компании в чрезвычайных ситуациях» [10, с. 14].
Таким образом, при рассмотрении обеспечения непрерывности деятельности как процесса, отметим, что его основная цель - способствовать продолжению функционирования компании и удержанию ее рыночной позиции даже в случае реализации возможных риск-событий. Отсюда, основными субъектами данного процесса следует признать топ-менеджмент самих компаний, поскольку собственно обеспечивающие инициативы связаны как со стратегическим планированием, так и с тактикой их выполнения для минимизации влияния возможных угроз и смягчения уязвимостей хозяйствующего субъекта. А это способствует устойчивому развитию компаний как в среднесрочной, так и долгосрочной перспективе.
Взаимосвязи между угрозами и уязвимостями заключаются в том, что уязвимости усиливают воздействие угроз. В частности, низкая ликвидность (уязвимость) делает компанию более восприимчивой к финансовым потерям (угроза). Систематизируем и представим ряд базовых примеров взаимосвязи угроз и уязвимостей в контексте непрерывности деятельности хозяйствующих субъекта (рисунок 1).
Рисунок 1 - Взаимосвязи угроз и уязвимостей хозяйствующих субъектов
в контексте непрерывности деятельности
Источник: систематизировано авторами
Что касается рисков непрерывности деятельности компаний, которые требуют к себе постоянного внимания корпуса менеджмента, и полежат идентификации для разработки и применения сценариев их минимизации, наиболее укрупненные их группы можно представить следующим образом (рисунок 2).
Следует отметить, что реалии бизнес-среды потребовали дальнейшей стандартизации инициатив самих хозяйствующих субъектов в обеспечение непрерывности собственной деятельности, так как без осмысленных и унифицированных действий корпуса менеджмента компаний невозможно создать условия их жизнеспособности и дальнейшего устойчивого развития.
Рисунок 2 - Группы рисков непрерывности деятельности компаний
Источник: систематизировано авторами на основе [7, 9]
Так, к основным причинам стандартизации инициатив в обеспечение непрерывности деятельности компаний можно отнести потребность в:
- унификации, поскольку стандартизация обеспечивает единообразие в подходах к управлению рисками для обеспечения непрерывности деятельности, что облегчает понимание и внедрение таких практик в различных компаниях;
- повышении качества управления, поскольку стандарты устанавливают конкретные критерии, способствующие более эффективному управлению рисками;
- транспарентности, поскольку стандартизация позволяет обеспечить прозрачность планирования инициатив, обеспечивающих непрерывность деятельности компаний, что повышает уровень доверия к ним заинтересованных сторон и облегчает принятие решений в отношении делового сотрудничества.
Обратимся к международному опыту стандартизации в данной области.
Первые в мире британские стандарты управления непрерывностью бизнеса были представлены серией стандартов BS 25999 (в двух частях: BS25999-1:2006 «Менеджмент непрерывности бизнеса» / «Business continuity management» и BS25999-2:2007 «Спецификации» / «Specification»). Полная версия серии стандартов BS 25999 была разработана в 2007 году Британским институтом стандартов (BSI) [16] – старейший в мире организацией в области стандартизации и сертификации. Вышеупомянутая серия стандартов охватывает область управления непрерывностью бизнеса компании и реализует системный подход в данном направлении на основе передовой практики [11].
На сегодняшний день, в качестве базового стандарта, регулирующего обеспечение непрерывности бизнеса, признан международный стандарт ISO 22301 «Безопасность и устойчивость. Системы управления непрерывностью бизнеса», принятый в 2012 году, пересмотренный в 2019 году, и являющийся производным от британского стандарта BS 25999. Его цель заключается в регулировании защищенности компаний от сбоев на основе снижения вероятности их возникновения, подготовки к ним, эффективного реагирования на них и восстановления после их возникновения. Значимость рассматриваемого стандарта заключается в том, что он представляет собой первый международный стандарт в области непрерывности бизнеса, который применим ко всем организациям, независимо от типа, размера и характера их деятельности [14].
Кроме базового стандарта относительно обеспечения непрерывности деятельности компаний были разработаны и представлены профессиональному сообществу дополнительные (детализирующие базовый) международные стандарты, что обобщено в таблице 1.
Таблица 1 – Система международных стандартов в области обеспечения непрерывности деятельности компаний
|
Шифр
|
Наименование международных стандартов
|
|
ISO
22301: 2019 |
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса [14]
|
|
ISO
22301:2012
|
Социальная
безопасность Системы менеджмента непрерывности бизнеса. Требования [12]
|
|
ISO
22313:2012
|
Социальная
безопасность. Системы менеджмента непрерывности бизнеса. Руководство [12]
|
|
ISO
22313:2020
|
Социальная
безопасность. Системы управления непрерывностью бизнеса. Руководство по
использованию ISO 22301 [12]
|
|
Продолжение таблицы 1
| |
|
Шифр
|
Наименование международных стандартов
|
|
ISO/TS
22330:2018
|
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса. Руководящие
принципы по кадровым аспектам непрерывности бизнеса [12]
|
|
ISO/TS
22318:2021
|
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса. Руководящие
принципы по кадровым аспектам непрерывности бизнеса [12]
|
|
ISO/TS
22331:2018
|
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы
по стратегиям обеспечения непрерывности бизнеса [12]
|
|
ISO/TS
22332:2021
|
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса. Руководящие
принципы по разработке планов и процедур обеспечения непрерывности бизнеса [12]
|
|
ISO/TS
22317:2021
|
Социальная
безопасность. Системы управления непрерывностью бизнеса. Руководящие принципы
анализа воздействия на бизнес (BIA) [12]
|
|
ISO/IEC
27001:2022
|
Информационные
технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования
и определения [15]
|
Российская практика стандартизации в области непрерывности бизнеса базируется на международном опыте, что подтверждается идентичностью соответствующих требований. Так, ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса» [5] идентичен международному стандарту BS 25999-1:2006 «Менеджмент непрерывности бизнеса»; ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования» [4] идентичен международному стандарту ИСО 22301:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования»; ГОСТ Р ИСО 22313-2015 «Менеджмент непрерывности бизнеса. Руководство по внедрению» [3] идентичен международному стандарту ИСО 22313:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство».
Основные направления регулирования обеспечения и диагностики непрерывности деятельности компаний в международных и российских стандартах систематизированы в таблице 2.
Таблица 2 – Основные направления регулирования обеспечения /диагностики непрерывности деятельности компаний в международных и российских стандартах
|
Параметры стандарти-зации |
Стандарты,
регулирующие обеспечение / диагностику непрерывности деятельности компаний
| |||||||
|
BS 25999
|
ISO 22301
|
ISO 22313
|
МСА
570
|
ГОСТ
Р 53647.1-2009
|
ГОСТ
Р ИСО 22301- 2014
|
ГОСТ
Р ИСО 22313-2015
| ||
|
Объект
регулирова-ния
|
обеспечениеусловий
сохранения стабильного функциони-рования компании |
обеспечение
условий продолжения функционирования компании во время и после
разрушительного события
|
уточнение
требований, изложенных в стандарте ISO 22301
|
порядок
получения полных и надежных аудиторских доказательств в отношении способности
компании к непрерывной деятельности
|
обеспечение
условий
сохранения стабильного функциони-рования компании |
обеспечение
условий функциониро-вания компании во время и после разрушитель-ного события
|
уточнение
требований, изложенных в стандарте ГОСТ Р ИСО 22301- 2014
| |
|
Предметные
области
регулирова-ния |
процессы,
принципы и терминоло-гия менеджмен-та непрерыв-ности деятельности
|
требования к
созданию и управлению эффективной системой менеджмента непрерывности бизнеса
|
охватывает комплекс
аспектов обеспечения непрерывно-сти бизнеса
|
комплекс
обязанностей независимого аудитора по диагностике соблюдения допущения о непрерывно-сти
деятельно-сти компаний в ходе аудита финансовой отчетности
|
процессы, принципы
и терминология менеджмента непрерывно-сти деятельности
|
требования к
созданию и управлению эффективной системой менеджмента непрерывности бизнеса
|
охватывает
комплекс аспектов обеспечения непрерывно-сти бизнеса
| |
|
Преимуще-ства
от внедрения стандарта
|
снижение
барьеров при выходе на зарубежные рынки; доверие со стороны потребите-лей,
заказчи-ков и поставщи-ков; сведение к минимуму рисков непрерывно-сти
деятель-ности компании
|
готовность к предупрежде-нию
либо устранению последствий кризисных ситуаций; быстрое восстановле-ние
нормальной работы компании
|
защита жизни
персонала, имущества и окружающей среды; укрепление репутации и доверия к компании
|
получение
полных и надежных аудиторских доказательств о степени соблюдения допущения о непрерывно-сти
деятельно-сти клиентски-ми компани-ями; формирование обоснованного мнения в
аудиторском заключении
|
снижение
барьеров при выходе на зарубежные рынки; доверие со стороны потребителей,
заказчиков и поставщиков; сведение к минимуму рисков непрерывно-сти деятельности
компании
|
готовность к предупрежде-нию
либо устранению последствий кризисных ситуаций; быстрое восстановле-ние
нормальной работы компании
|
защита жизни
персонала, имущества и окружающей среды; укрепление репутации и доверия к компании
| |
Кроме того, нельзя не учитывать, что в период динамичного технологического развития непредвиденная приостановка деятельности компании может быть вызвана несанкционированным изменением и утечкой информации из-за действий персонала компаний, сбоями в работе ИТ-инфраструктуры. Причем риск возникновения подобных инцидентов будет существовать всегда, даже при эффективной системе управления информационной безопасностью, поскольку, как справедливо отмечает И. П. Батаева, гарантировать 100% безопасность информации и систем в организации невозможно [1].
За последние годы многие компании по всему миру потеряли миллиарды долларов из-за различных непредвиденных ситуаций, которые оказали существенное влияние на их дальнейшую деятельность. По данным исследования IBM и Ponemon Institute за 2024 год, средняя глобальная стоимость утечки данных составляет 4,88 млн долларов США [8].
В этом контексте обеспечение непрерывности бизнеса является изначально предметной областью стратегического управления, управления рисками в компании (в том числе ИТ-рисками), системы финансово-экономической безопасности, что в последующем становится комплексным объектом диагностики их состояния силами служб внутреннего аудита компании и внешних независимых аудиторов.
Следует признать, что компании, получившие сертификаты по системам менеджмента качества и информационной безопасности, либо внедрившие аналогичные решения по стандартизации в области рисков и безопасности ИТ-систем, будут иметь более простой путь при внедрении требований стандарта ISO 22301 «Безопасность и устойчивость. Системы управления непрерывностью бизнеса» (где обеспечение непрерывности бизнеса рассматривается также посредством обеспечения информационной безопасности организации) [6].
Наиболее востребованным международным стандартом в области обеспечения безопасности ИТ-систем является стандарт ISO/IEC 27001 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования» [15], который охватывает все аспекты, связанные с защитой информации (создаваемой, хранящейся и обрабатываемой в компании), что также направлен на регулирование условий обеспечения непрерывности бизнеса. Предметная область регулирования стандартом ISO/IEC 27001 охватывает аспекты информационной безопасности во взаимосвязи с обеспечением непрерывности деятельности компаний и включает: политику безопасности; организацию информационной безопасности; управление активами; безопасность человеческих ресурсов; физическую и экологическую безопасность; управление системами и сетями; контроль доступа; управление непрерывностью бизнеса; приобретение, разработку и обслуживание ИТ-систем; управление инцидентами информационной безопасности; соответствие требованиям законодательства и стандартов [15].
Факт того, что инициативы обеспечения непрерывности бизнеса наряду с инициативами информационной безопасности следует признать важнейшим компонентами системы финансово-экономической безопасности компании, подтверждается логикой и структурой приложений к стандарту ISO/IEC 27001 (таблица 3).
Таблица 3 – Состав приложений к международному стандарту ISO/IEC 27001 в части регулирования инициатив обеспечения непрерывности деятельности компаний
|
Шифр приложения к стандарту
|
Сущность инициатив обеспечения
непрерывности деятельности компаний
|
|
А.14
|
Управление
непрерывностью бизнеса
|
|
А.14.1
|
Аспекты
информационной безопасности в управлении непрерывностью бизнеса
|
|
А.14.1.1
|
Интеграция
информационной безопасности в процесс управления непрерывностью бизнеса
|
|
A.14.1.2
|
Анализ
непрерывности бизнеса и влияния на бизнес
|
|
A.14.1.3
|
Разработка
и реализация планов обеспечения непрерывности бизнеса, учитывающих информационную
безопасность
|
|
A.14.1.4
|
Структура
планирования непрерывности бизнеса
|
|
A.14.1.5
|
Тестирование,
поддержка и повторная оценка планов обеспечения непрерывности бизнеса
|
Исходя из содержательного наполнения инициатив обеспечения непрерывности бизнеса, согласно ISO/IEC 27001, основная цель их реализации сводится к «предотвращению перерывов в бизнес-операциях и защите критически важных бизнес-процессов от широкомасштабных сбоев или катастроф информационных систем, а также обеспечению возможности возобновления операций в требуемые сроки» [15].
Показательно, что стандарты ISO/IEC 27001 и ISO 22301 также дополняют друг друга на основе интеграции предметных областей регулирования, что выстраивает логическую цепочку в отношении обеспечивающих инициатив непрерывности деятельности с учетом информационной безопасности на базе инструментов анализа, планирования, реализации плановых мероприятий и мониторинга их результативности. В конечном итоге, успешная реализация инициатив обеспечения непрерывности деятельности создает предпосылки укрепления системы финансово-экономической безопасности компаний.
Взаимосвязь инициатив по укреплению финансово-экономической безопасности и обеспечению непрерывности бизнеса компании представлена на рисунке 3.
Рисунок 3 – Взаимосвязь инициатив по укреплению финансово-экономической безопасности и обеспечению непрерывности бизнеса компании
Источник: составлено авторами
Следует также подчеркнуть, что инициативы реагирования на нарушения (сбои) для обеспечения непрерывности бизнеса связаны не только с устранением их последствий, но прежде всего должны быть направлены на анализ угроз и уязвимостей, выбор и применение методов предотвращения нарушений. Поэтому инициативы по обеспечению непрерывности бизнеса и укреплению финансово-экономической безопасности компании являются взаимосвязанными, что предопределяет необходимость комплексного подхода к их разработке, планированию и реализации.
Заключение
В результате проведенного исследования приходим к следующим выводам:
1. Необходимость стандартизации инициатив, обеспечивающих непрерывность деятельности компаний, обусловлена потребностями: в унификации подходов к управлению рисками, ставящими под угрозу жизнеспособность компаний; в повышении качества управления на уровне бизнес-процессов путем минимизации рисков; в транспарентности планирования и мониторинга реализации обеспечивающих инициатив для повышения уровня доверия к бизнесу со стороны заинтересованных стейкхолдеров.
2. Важнейшими инициативами, обеспечивающими соблюдение принципа непрерывности деятельности компаний, являются: разработка планов обеспечения непрерывности бизнеса (с включением процедур перманентной идентификации и анализа возможных рисков и угроз с постоянной их актуализацией, разработки и реализации сценариев предупреждения и минимизации последствий риск-событий); мониторинг выполнения утвержденных планов обеспечения непрерывности деятельности; обучение управленческого персонала по программам, способствующим повышению зрелости компаний в области информационной безопасности, финансово-экономической безопасности и управления рисками.
3. Инициативы обеспечения непрерывности бизнеса и укрепления финансово-экономической безопасности компаний являются взаимосвязанными, что предопределяет необходимость комплексного подхода к их разработке, планированию, реализации и мониторингу результативности.
References:
Information protection and information security. (2012). Trudy mezhdunarodnogo simpoziuma «Nadezhnost i kachestvo». 1 116-118.
Danilochkina N.G. (2019). Business continuity as the basis of enterprise activity. Current problems of socio-economic development of Russia. (3). 54-58.
Demin P.A. (2011). Implementation issues of the information security management systems based on the standards. Bezopasnost informatsionnyh tekhnologiy. 18 (4). 160-163.
Dmitrenko I.N. (2024). Diagnostics of business continuity risks in the financial and economic security system of companies Financial security - new horizons. 361-371.
Drucker P. (2009). Managing in turbulent times New York: Harper Collins.
ISO 22301:2019 «Safety and Resilience. Business Continuity Management Systems. Requirements»Iso.org. Retrieved February 20, 2025, from https://www.iso.org/standard/75106.html
ISO/IEC 27001:2022 «Information technology. Methods of protection. Information security management systems. Requirements»Iso.org. Retrieved February 20, 2025, from https://www.iso.org/standard/27001
Petrenko S.A., Belyaev A.V. (2011). Business continuity management. Your business will continue. Information technology for engineers M.: DMK Press; Kompaniya AyTi.
The Business Continuity Institute. Retrieved February 20, 2025, from https://www.thebci.org/certification-training.html
Страница обновлена: 02.05.2025 в 10:26:00