ГОСТ Р 53647.3— 2015
7.3 Воздействие и риск
Стандарт вявном виде не указывает, в каком порядкедолжны быть выполнены анализ воздействия
на бизнес и оценка риска. Традиционный подход менеджмента риска основан на анализе опасностей,
которые могут разрушить критические виды деятельности организации, поддерживающие поставку клю
чевых видов продукции и/или услуг, и действиях, направленных на предотвращение этих опасностей
С другой стороны, в СМНБ применен подход, основанный на двух показателях: воздействия и вре
мени. В рамках такого подхода необходимо исследовать воздействие на организацию (прерывания
иУили остановки критических видов деятельности). При этом следует исследовать воздействие, а не
его причины, поскольку не все события, которые могут произойти, можно предсказать.
Одним из основных требований менеджмента непрерывности бизнеса является то, что организа
ция должна рассмотреть возможное воздействие на нее и на заинтересованные стороны остановки или
прекращения поставки ключевых продукции или услуг и поддерживающих их критические виды вспомо
гательных работ.
7.4 Определение ключевых продукции и услуг
Существует два способа определения ключевых продукции и услуг организации. Первый включа
ет в себя определение входных данных, полученных от руководителей среднего и, при необходимости,
высшего звена о том. что они считают важным для организации. Результаты необходимо сопоставить,
определить очередностьдействий по восстановлению.
Опасность в реализации этого подхода состоит в том. что многие руководители видят свои соб
ственные области деятельности как критические, и поэтому ранжирование может вызывать трудности.
Также существует возможность, что при представлении анализа высшему руководству результаты
могут быть оспорены или не приняты.
Второй и предпочтительный подход заключается в использовании группы высшего руководства,
рассмотрении организации как единого целого, обеспечении ранжирования ключевых продукции или
услуг. При этом организация должна учесть потребности и ожидания заинтересованных сторон, опреде
лить юридические и другие требования, относящиеся к организации. Такой подход обеспечивает опти
мальное направление первого этапа внедрения управления непрерывностью бизнеса.
Сложная по структуре организация может иметь большое количество ключевых видов продукции
или услуг, однако и среди нихдолжны быть установлены приоритеты по внедрению менеджмента непре
рывности бизнеса.
Пример
— в
Англии Совет одного из графств поставляет сообществу более 200 услуг. После об
суждения на достаточно высоком уровнеустановлено, что только 37 из этихуслуг являются ключевы
ми илижизненно важными для сообщества.
После определения ключевых продукции и услуг следует определить значение MTPD. В соответ
ствии с ГОСТ Р ИСО 22301 MTPD — время, по истечении которого неблагоприятные последствия, возник
шие в результате необеспечения поставок продукции/услуг или невыполнениядеятельности, становятся
необратимыми. Альтернативное определение MTPD — время, по истечении которого жизнеспособность
организации будет утеряна, если производство продукции или оказания услуг не будут возобновлены.
Могут быть выявлены следующие воздействия:
- финансовые потери;
- воздействие на предоставление услуг;
- ухудшение или потеря репутации:
- угроза личной безопасности;
- нарушение частной жизни:
- невозможность выполнения установленных законодательных и обязательных требований;
- влияние на цели и график проекта.
Выбранные воздействия для коммерческой организации могут отличаться от воздействий для го
сударственной организации.
Пример матрицы анализа воздействий на бизнес приведен в приложении И.
Некоторые виды продукции или услуги и связанная с ними деятельность более важны в конкрет
ный период, например при предоставлении отчетов и выборов, проведении фестивалей, укладке дорог.
Кроме того, могут существовать ключевые проекты, незавершение которых к установленному сроку мо
жет вызвать серьезные последствия для организации. Поскольку трудно прогнозировать момент, когда
19