Непрерывность деятельности компаний: стандартизация обеспечивающих инициатив
Статья в журнале
Экономика, предпринимательство и право (РИНЦ, ВАК)
опубликовать статью | оформить подписку
Том 15, Номер 5 (Май 2025)
Введение
В современных условиях хозяйствования компании различной отраслевой принадлежности вынуждены повышать стресс-устойчивость к многочисленным риск-событиям, которые ставят под угрозу непрерывность их деятельности. К таким риск-событиям относятся как природные катаклизмы, так и антропогенные факторы, характеризующиеся технологическими, социальными, политическими, корпоративными и отраслевыми угрозами.
Обеспечение непрерывности деятельности современных компаний является одной из приоритетных задач достижения их эффективного функционирования, что становится особенно актуальным в нынешних турбулентных и высоко-конкурентных условиях. А собственно обеспечивающие инициативы в данном направлении возможно свести к анализу, оценке и мониторингу риск-факторов (которые могут нарушать нормальное функционирование или истощать ресурсы компании), а также к плановому реагированию на их проявление для минимизации потерь и/или восстановления деловой активности в контуре установленных стратегических и тактических целей деятельности.
По утверждению одного из видных теоретиков XX века в области менеджмента П. Друкера, «… в неспокойные времена важнейшей задачей управления является обеспечение способности организации к выживанию, обеспечение ее структурной прочности и устойчивости, ее способности пережить удар» [13, с. 25]. Нарушения в функционировании бизнеса инициируют цепь последствий, приводящих к негативной реакции заинтересованных сторон (стейкхолдеров) и неблагоприятному воздействию на общество. Негативная реакция рынка увеличивает репутационный риск, что приводит к снижению продаж и, следовательно, прибыли. В ситуации, когда подавляющее большинство компаний работают в группах (холдингах), тесно связанных на уровне капитала и управления, прерывание деятельности оказывает негативное влияние и на других субъектов хозяйствования (эффект «риска заражения»). Тем не менее, эту цепь можно разорвать, внедрив принципы непрерывности деятельности и обеспечив их соблюдение силами корпуса менеджмента компаний.
Непрерывность деятельности — относительно новая концепция, которая начала развиваться с 1990-х годов как важнейший объект управления кризисными ситуациями в ответ на различные риски [2]. Поэтому обеспечение непрерывности деятельности компаний представляет собой комплексный процесс, который создает основу для своевременного реагирования на возникающие угрозы, что предусматривает формирование плана инициатив для минимизации влияния вероятных риск-событий на способность фирмы эффективно продолжать свою деятельность в обозримом будущем.
Цель исследования в контуре данной статьи состоит в прослеживании эволюции требований международных и российских стандартов для систематизации обеспечивающих инициатив непрерывности деятельности компаний в контексте указанного процесса.
Основная часть
Вопросы регулирования и стандартизации непрерывности деятельности компаний изначально нашли отражение в международных стандартах аудита (далее – МСА), в частности, в МСА 570 «Непрерывность деятельности» в контексте формирования объекта диагностирования независимыми аудиторами способности компаний к продолжению финансово-хозяйственной деятельности в обозримом будущем без намерений к существенному сокращению ее масштабов и деловой активности.
В соответствии с МСА 570 (пересмотренным) «Непрерывность деятельности», принцип непрерывности деятельности применяется в контексте установления достоверности информации бухгалтерской (финансовой) отчетности, исходя из допущения, что компания будет продолжать свою работу в обозримом будущем [9]. Если компания планирует работать в дальнейшем, то ее имущественное положение отражается так, как если бы она продолжала свою обычную деятельность. Например, активы будут оцениваться с учетом их использования в будущем, а обязательства — с учетом их выполнения в рамках текущих операций. Однако, если владельцы и руководство компании принимают решение о ее ликвидации, то отчетность составляется иначе, и принцип непрерывности не применяется [9].
Британский институт непрерывности бизнеса трактует управление непрерывностью бизнеса как «целостный процесс управления, направленный на определение потенциального воздействия сбоев на организацию, создание условий для повышения устойчивости к ним и способности эффективно реагировать с точки зрения защиты ключевых интересов владельцев, репутации и бренда организации, а также ценностей, достигнутых в ее предыдущей деятельности» [16].
В свою очередь, С.А. Петренко и А.В. Беляев, являющиеся техническими директорами Института Непрерывности Бизнеса, сущность понятия «управление непрерывностью деятельности» рассматривают как «системный процесс оценки последствий возникающих чрезвычайных ситуаций и принятия надлежащих решений по сохранению бизнеса компании. Поэтому основной целью соответствующих корпоративных программ управления непрерывностью бизнеса (ECP – Enterprise Continuity Program) является минимизация риска потери бизнеса в случае его прерывания и продолжение деятельности компании в чрезвычайных ситуациях» [10, с. 14].
Таким образом, при рассмотрении обеспечения непрерывности деятельности как процесса, отметим, что его основная цель - способствовать продолжению функционирования компании и удержанию ее рыночной позиции даже в случае реализации возможных риск-событий. Отсюда, основными субъектами данного процесса следует признать топ-менеджмент самих компаний, поскольку собственно обеспечивающие инициативы связаны как со стратегическим планированием, так и с тактикой их выполнения для минимизации влияния возможных угроз и смягчения уязвимостей хозяйствующего субъекта. А это способствует устойчивому развитию компаний как в среднесрочной, так и долгосрочной перспективе.
Взаимосвязи между угрозами и уязвимостями заключаются в том, что уязвимости усиливают воздействие угроз. В частности, низкая ликвидность (уязвимость) делает компанию более восприимчивой к финансовым потерям (угроза). Систематизируем и представим ряд базовых примеров взаимосвязи угроз и уязвимостей в контексте непрерывности деятельности хозяйствующих субъекта (рисунок 1).
Рисунок 1 - Взаимосвязи угроз и уязвимостей хозяйствующих субъектов
в контексте непрерывности деятельности
Источник: систематизировано авторами
Что касается рисков непрерывности деятельности компаний, которые требуют к себе постоянного внимания корпуса менеджмента, и полежат идентификации для разработки и применения сценариев их минимизации, наиболее укрупненные их группы можно представить следующим образом (рисунок 2).
Следует отметить, что реалии бизнес-среды потребовали дальнейшей стандартизации инициатив самих хозяйствующих субъектов в обеспечение непрерывности собственной деятельности, так как без осмысленных и унифицированных действий корпуса менеджмента компаний невозможно создать условия их жизнеспособности и дальнейшего устойчивого развития.
Рисунок 2 - Группы рисков непрерывности деятельности компаний
Источник: систематизировано авторами на основе [7, 9]
Так, к основным причинам стандартизации инициатив в обеспечение непрерывности деятельности компаний можно отнести потребность в:
- унификации, поскольку стандартизация обеспечивает единообразие в подходах к управлению рисками для обеспечения непрерывности деятельности, что облегчает понимание и внедрение таких практик в различных компаниях;
- повышении качества управления, поскольку стандарты устанавливают конкретные критерии, способствующие более эффективному управлению рисками;
- транспарентности, поскольку стандартизация позволяет обеспечить прозрачность планирования инициатив, обеспечивающих непрерывность деятельности компаний, что повышает уровень доверия к ним заинтересованных сторон и облегчает принятие решений в отношении делового сотрудничества.
Обратимся к международному опыту стандартизации в данной области.
Первые в мире британские стандарты управления непрерывностью бизнеса были представлены серией стандартов BS 25999 (в двух частях: BS25999-1:2006 «Менеджмент непрерывности бизнеса» / «Business continuity management» и BS25999-2:2007 «Спецификации» / «Specification»). Полная версия серии стандартов BS 25999 была разработана в 2007 году Британским институтом стандартов (BSI) [16] – старейший в мире организацией в области стандартизации и сертификации. Вышеупомянутая серия стандартов охватывает область управления непрерывностью бизнеса компании и реализует системный подход в данном направлении на основе передовой практики [11].
На сегодняшний день, в качестве базового стандарта, регулирующего обеспечение непрерывности бизнеса, признан международный стандарт ISO 22301 «Безопасность и устойчивость. Системы управления непрерывностью бизнеса», принятый в 2012 году, пересмотренный в 2019 году, и являющийся производным от британского стандарта BS 25999. Его цель заключается в регулировании защищенности компаний от сбоев на основе снижения вероятности их возникновения, подготовки к ним, эффективного реагирования на них и восстановления после их возникновения. Значимость рассматриваемого стандарта заключается в том, что он представляет собой первый международный стандарт в области непрерывности бизнеса, который применим ко всем организациям, независимо от типа, размера и характера их деятельности [14].
Кроме базового стандарта относительно обеспечения непрерывности деятельности компаний были разработаны и представлены профессиональному сообществу дополнительные (детализирующие базовый) международные стандарты, что обобщено в таблице 1.
Таблица 1 – Система международных стандартов в области обеспечения непрерывности деятельности компаний
|
Шифр
|
Наименование международных стандартов
|
|
ISO
22301: 2019 |
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса [14]
|
|
ISO
22301:2012
|
Социальная
безопасность Системы менеджмента непрерывности бизнеса. Требования [12]
|
|
ISO
22313:2012
|
Социальная
безопасность. Системы менеджмента непрерывности бизнеса. Руководство [12]
|
|
ISO
22313:2020
|
Социальная
безопасность. Системы управления непрерывностью бизнеса. Руководство по
использованию ISO 22301 [12]
|
|
Продолжение таблицы 1
| |
|
Шифр
|
Наименование международных стандартов
|
|
ISO/TS
22330:2018
|
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса. Руководящие
принципы по кадровым аспектам непрерывности бизнеса [12]
|
|
ISO/TS
22318:2021
|
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса. Руководящие
принципы по кадровым аспектам непрерывности бизнеса [12]
|
|
ISO/TS
22331:2018
|
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы
по стратегиям обеспечения непрерывности бизнеса [12]
|
|
ISO/TS
22332:2021
|
Безопасность
и устойчивость. Системы управления непрерывностью бизнеса. Руководящие
принципы по разработке планов и процедур обеспечения непрерывности бизнеса [12]
|
|
ISO/TS
22317:2021
|
Социальная
безопасность. Системы управления непрерывностью бизнеса. Руководящие принципы
анализа воздействия на бизнес (BIA) [12]
|
|
ISO/IEC
27001:2022
|
Информационные
технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования
и определения [15]
|
Российская практика стандартизации в области непрерывности бизнеса базируется на международном опыте, что подтверждается идентичностью соответствующих требований. Так, ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса» [5] идентичен международному стандарту BS 25999-1:2006 «Менеджмент непрерывности бизнеса»; ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования» [4] идентичен международному стандарту ИСО 22301:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования»; ГОСТ Р ИСО 22313-2015 «Менеджмент непрерывности бизнеса. Руководство по внедрению» [3] идентичен международному стандарту ИСО 22313:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство».
Основные направления регулирования обеспечения и диагностики непрерывности деятельности компаний в международных и российских стандартах систематизированы в таблице 2.
Таблица 2 – Основные направления регулирования обеспечения /диагностики непрерывности деятельности компаний в международных и российских стандартах
|
Параметры стандарти-зации |
Стандарты,
регулирующие обеспечение / диагностику непрерывности деятельности компаний
| |||||||
|
BS 25999
|
ISO 22301
|
ISO 22313
|
МСА
570
|
ГОСТ
Р 53647.1-2009
|
ГОСТ
Р ИСО 22301- 2014
|
ГОСТ
Р ИСО 22313-2015
| ||
|
Объект
регулирова-ния
|
обеспечениеусловий
сохранения стабильного функциони-рования компании |
обеспечение
условий продолжения функционирования компании во время и после
разрушительного события
|
уточнение
требований, изложенных в стандарте ISO 22301
|
порядок
получения полных и надежных аудиторских доказательств в отношении способности
компании к непрерывной деятельности
|
обеспечение
условий
сохранения стабильного функциони-рования компании |
обеспечение
условий функциониро-вания компании во время и после разрушитель-ного события
|
уточнение
требований, изложенных в стандарте ГОСТ Р ИСО 22301- 2014
| |
|
Предметные
области
регулирова-ния |
процессы,
принципы и терминоло-гия менеджмен-та непрерыв-ности деятельности
|
требования к
созданию и управлению эффективной системой менеджмента непрерывности бизнеса
|
охватывает комплекс
аспектов обеспечения непрерывно-сти бизнеса
|
комплекс
обязанностей независимого аудитора по диагностике соблюдения допущения о непрерывно-сти
деятельно-сти компаний в ходе аудита финансовой отчетности
|
процессы, принципы
и терминология менеджмента непрерывно-сти деятельности
|
требования к
созданию и управлению эффективной системой менеджмента непрерывности бизнеса
|
охватывает
комплекс аспектов обеспечения непрерывно-сти бизнеса
| |
|
Преимуще-ства
от внедрения стандарта
|
снижение
барьеров при выходе на зарубежные рынки; доверие со стороны потребите-лей,
заказчи-ков и поставщи-ков; сведение к минимуму рисков непрерывно-сти
деятель-ности компании
|
готовность к предупрежде-нию
либо устранению последствий кризисных ситуаций; быстрое восстановле-ние
нормальной работы компании
|
защита жизни
персонала, имущества и окружающей среды; укрепление репутации и доверия к компании
|
получение
полных и надежных аудиторских доказательств о степени соблюдения допущения о непрерывно-сти
деятельно-сти клиентски-ми компани-ями; формирование обоснованного мнения в
аудиторском заключении
|
снижение
барьеров при выходе на зарубежные рынки; доверие со стороны потребителей,
заказчиков и поставщиков; сведение к минимуму рисков непрерывно-сти деятельности
компании
|
готовность к предупрежде-нию
либо устранению последствий кризисных ситуаций; быстрое восстановле-ние
нормальной работы компании
|
защита жизни
персонала, имущества и окружающей среды; укрепление репутации и доверия к компании
| |
Кроме того, нельзя не учитывать, что в период динамичного технологического развития непредвиденная приостановка деятельности компании может быть вызвана несанкционированным изменением и утечкой информации из-за действий персонала компаний, сбоями в работе ИТ-инфраструктуры. Причем риск возникновения подобных инцидентов будет существовать всегда, даже при эффективной системе управления информационной безопасностью, поскольку, как справедливо отмечает И. П. Батаева, гарантировать 100% безопасность информации и систем в организации невозможно [1].
За последние годы многие компании по всему миру потеряли миллиарды долларов из-за различных непредвиденных ситуаций, которые оказали существенное влияние на их дальнейшую деятельность. По данным исследования IBM и Ponemon Institute за 2024 год, средняя глобальная стоимость утечки данных составляет 4,88 млн долларов США [8].
В этом контексте обеспечение непрерывности бизнеса является изначально предметной областью стратегического управления, управления рисками в компании (в том числе ИТ-рисками), системы финансово-экономической безопасности, что в последующем становится комплексным объектом диагностики их состояния силами служб внутреннего аудита компании и внешних независимых аудиторов.
Следует признать, что компании, получившие сертификаты по системам менеджмента качества и информационной безопасности, либо внедрившие аналогичные решения по стандартизации в области рисков и безопасности ИТ-систем, будут иметь более простой путь при внедрении требований стандарта ISO 22301 «Безопасность и устойчивость. Системы управления непрерывностью бизнеса» (где обеспечение непрерывности бизнеса рассматривается также посредством обеспечения информационной безопасности организации) [6].
Наиболее востребованным международным стандартом в области обеспечения безопасности ИТ-систем является стандарт ISO/IEC 27001 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования» [15], который охватывает все аспекты, связанные с защитой информации (создаваемой, хранящейся и обрабатываемой в компании), что также направлен на регулирование условий обеспечения непрерывности бизнеса. Предметная область регулирования стандартом ISO/IEC 27001 охватывает аспекты информационной безопасности во взаимосвязи с обеспечением непрерывности деятельности компаний и включает: политику безопасности; организацию информационной безопасности; управление активами; безопасность человеческих ресурсов; физическую и экологическую безопасность; управление системами и сетями; контроль доступа; управление непрерывностью бизнеса; приобретение, разработку и обслуживание ИТ-систем; управление инцидентами информационной безопасности; соответствие требованиям законодательства и стандартов [15].
Факт того, что инициативы обеспечения непрерывности бизнеса наряду с инициативами информационной безопасности следует признать важнейшим компонентами системы финансово-экономической безопасности компании, подтверждается логикой и структурой приложений к стандарту ISO/IEC 27001 (таблица 3).
Таблица 3 – Состав приложений к международному стандарту ISO/IEC 27001 в части регулирования инициатив обеспечения непрерывности деятельности компаний
|
Шифр приложения к стандарту
|
Сущность инициатив обеспечения
непрерывности деятельности компаний
|
|
А.14
|
Управление
непрерывностью бизнеса
|
|
А.14.1
|
Аспекты
информационной безопасности в управлении непрерывностью бизнеса
|
|
А.14.1.1
|
Интеграция
информационной безопасности в процесс управления непрерывностью бизнеса
|
|
A.14.1.2
|
Анализ
непрерывности бизнеса и влияния на бизнес
|
|
A.14.1.3
|
Разработка
и реализация планов обеспечения непрерывности бизнеса, учитывающих информационную
безопасность
|
|
A.14.1.4
|
Структура
планирования непрерывности бизнеса
|
|
A.14.1.5
|
Тестирование,
поддержка и повторная оценка планов обеспечения непрерывности бизнеса
|
Исходя из содержательного наполнения инициатив обеспечения непрерывности бизнеса, согласно ISO/IEC 27001, основная цель их реализации сводится к «предотвращению перерывов в бизнес-операциях и защите критически важных бизнес-процессов от широкомасштабных сбоев или катастроф информационных систем, а также обеспечению возможности возобновления операций в требуемые сроки» [15].
Показательно, что стандарты ISO/IEC 27001 и ISO 22301 также дополняют друг друга на основе интеграции предметных областей регулирования, что выстраивает логическую цепочку в отношении обеспечивающих инициатив непрерывности деятельности с учетом информационной безопасности на базе инструментов анализа, планирования, реализации плановых мероприятий и мониторинга их результативности. В конечном итоге, успешная реализация инициатив обеспечения непрерывности деятельности создает предпосылки укрепления системы финансово-экономической безопасности компаний.
Взаимосвязь инициатив по укреплению финансово-экономической безопасности и обеспечению непрерывности бизнеса компании представлена на рисунке 3.
Рисунок 3 – Взаимосвязь инициатив по укреплению финансово-экономической безопасности и обеспечению непрерывности бизнеса компании
Источник: составлено авторами
Следует также подчеркнуть, что инициативы реагирования на нарушения (сбои) для обеспечения непрерывности бизнеса связаны не только с устранением их последствий, но прежде всего должны быть направлены на анализ угроз и уязвимостей, выбор и применение методов предотвращения нарушений. Поэтому инициативы по обеспечению непрерывности бизнеса и укреплению финансово-экономической безопасности компании являются взаимосвязанными, что предопределяет необходимость комплексного подхода к их разработке, планированию и реализации.
Заключение
В результате проведенного исследования приходим к следующим выводам:
1. Необходимость стандартизации инициатив, обеспечивающих непрерывность деятельности компаний, обусловлена потребностями: в унификации подходов к управлению рисками, ставящими под угрозу жизнеспособность компаний; в повышении качества управления на уровне бизнес-процессов путем минимизации рисков; в транспарентности планирования и мониторинга реализации обеспечивающих инициатив для повышения уровня доверия к бизнесу со стороны заинтересованных стейкхолдеров.
2. Важнейшими инициативами, обеспечивающими соблюдение принципа непрерывности деятельности компаний, являются: разработка планов обеспечения непрерывности бизнеса (с включением процедур перманентной идентификации и анализа возможных рисков и угроз с постоянной их актуализацией, разработки и реализации сценариев предупреждения и минимизации последствий риск-событий); мониторинг выполнения утвержденных планов обеспечения непрерывности деятельности; обучение управленческого персонала по программам, способствующим повышению зрелости компаний в области информационной безопасности, финансово-экономической безопасности и управления рисками.
3. Инициативы обеспечения непрерывности бизнеса и укрепления финансово-экономической безопасности компаний являются взаимосвязанными, что предопределяет необходимость комплексного подхода к их разработке, планированию, реализации и мониторингу результативности.
Страница обновлена: 01.04.2025 в 11:24:36