Давлеткиреева Л.З.,
ФГБОУ «Магнитогорский государственный университет» к.п.н.,доц.,
Чусавитина Г.Н.
ФГБОУ «Магнитогорский государственный университет», к.п.н.,проф.
Анализ и установление уровня зрелости информационной инфраструктуры организации для управления непрерывностью бизнеса
Совершенствование бизнеса компании, а значит постоянное решение стратегических и тактических задач становится возможным при условии хорошо отлаженного управления, которое, в свою очередь, во многом определяется уровнем использования стремительно развивающихся информационных технологий (ИТ). Понимание значимости и владение результатами применения ИТ в бизнесе позволят руководству по конкретной компании принимать эффективные управленческие решения, последовательная реализация которых на практике будет способствовать развитию бизнеса компании в целом, достижению бизнес-целей предприятий и созданию новых конкурентных преимуществ в рамках управления непрерывностью бизнеса.
Сегодня в разных странах появилось новое поколение стандартов в области управления непрерывностью бизнеса, описывающих лучшие практики восстановления инфраструктуры компании в чрезвычайных ситуациях. Сервисный подход к управления ИС-службой требует определенной зрелости как для самой ИС-службы, так и для бизнес-заказчиков. ИТ уже способствуют решению большинства бизнес-задач компаний: обработке больших взаимосвязанных массивов данных, автоматизации рутинных операций и повышению эффективности взаимодействия между сотрудниками. Однако сегодня происходят качественные изменения роли ИТ, состоящие в том, что современные информационные технологии способны внести реальный, измеримый вклад в развитие бизнеса, трансформировать саму систему управления бизнесом и создать основу для развития новых видов деятельности. Осваивая обработку все более высоких уровней информации, непосредственно востребованной топ-менеджерами, современные ИТ сближаются с бизнесом и выступают единым фронтом с различными аспектами ведения бизнеса.
Современную компанию сегодня сложно представить без информационных систем, баз данных, средств хранения, и т.д., всего того
что можно описать словосочетание информационные технологии. И не важно, на каком уровне зрелости находиться компания, и как она воспринимает информационные технологии: как классический набор лоскутных систем, как систему класса - ERP, как единое информационное пространство, как набор сервисов и услуг. Всем понятна зависимость бизнеса от используемых технологий. А раз есть зависимость, соответственно есть и риски, связанные с тем, что в нужное время компания не получит ожидаемого уровня сервисов, или говоря проще, не сможет обрабатывать (получать, хранить, предоставлять) информацию.
Работа по обеспечению непрерывности бизнеса подкрепляется лучшими практиками и стандартами:
1. BS 25777 (IT Service Continuity Management)
2. BCI (The Business Continuity Institute),
3. BS 25999 (Business Continuity Management)
4. ISO/IEC 27001:2005(ISO/IEC 17799:2005),
5. CobiT (Control Objectives for Information and related Technology),
6. NIST (National Institute of Standards and Technology),
7. Contingency Planning Guide for Information Technology (IT) Systems. Знание и умение использовать на практике стандарты и практики
BCM (Business Continuity Management) необходимы сегодня любым предприятиям — убытки, вызванные нарушением нормального функционирования бизнес-процессов постоянно растут. Вместе с тем изолированное решение вопросов обеспечения непрерывности бизнеса, без учета накопленного опыта, системы сертификации и аудита может дать лишь незначительный эффект. Пришло время и для BCM, по аналогии с ITIL и CoBIT, ввести в соответствующие проекты практику следования общепризнанным стандартам.
Корпоративная программа управления непрерывностью бизнеса (Business Continuity Management, BCM) должна включать в себя следующие этапы:
• анализ бизнес-процессов предметной области (Business Environment Analysis, BEA) — выделение и ранжирование значимых для бизнеса процессов и определение требований к ним по непрерывности;
• анализ рисков (Risk Analysis, RA) — оценка и ранжирование значимых угроз и уязвимостей непрерывности бизнес-процессов, а также оценка достаточности существующих организационных и технических мер предупреждения прерываний бизнеса;
• оценка воздействия на бизнес (Business Impact Analysis, BIA) — анализ влияния бизнес-процессов на весь бизнес в целом и определение целей восстановления каждого бизнес-процесса вместе с поддерживающей его инфраструктурой;
• определение стратегии непрерывности бизнеса (Business Continuity Strategy definition) — фиксация целевого времени восстановления
(recovery time objective, RTO) и целевой точки восстановления (recovery point objective, RPO) для каждого бизнес-процесса, выбор соответствующих организационных и технических решений;
• разработка и сопровождение планов непрерывности бизнеса (Business Continuity Plan, BCP) и восстановления инфраструктуры в чрезвычайных ситуациях (Disaster Recovery Plan, DRP) для документального оформления надлежащих решений;
• создание технической и организационной систем управления непрерывностью бизнеса;
• формирование адекватной программы сопровождения и эксплуатации корпоративной программы BCM, в частности, определение программы осведомленности по вопросам обеспечения непрерывности бизнеса.
• В том или ином виде все эти этапы описываются в стандартах BCM, принятых в различных странах: практики непрерывности бизнеса британского института BCI (Business Continuity Institute), американских институтов DRI (Disaster Recovery Institute) и SANS (SysAdmin, Audit, Network, Security Institute); стандарты и спецификации Британского института стандартов (British Standard Institute, BSI); руководства Австралийского национального агентства аудита (ANAO); раздел международного стандарта по информационной безопасности ISO/IEC 27001; стандарты и библиотеки COBIT, ITIL, MOF в части непрерывности бизнеса и др. Наиболее известным стандартом в области BCM является стандарт
BS25999, разработанный BSI. Стандарт опубликован в двух частях: «Кодекс лучших практик, BS25999-1:2006. Code of Practice» и «Спецификации системы BCM, BS25999-2:2007. Specification». Первая часть BS25999-1:2006. Code of Practice содержит общие рекомендации по управлению непрерывностью бизнеса в государственных и коммерческих организациях. Под BCM понимается системный процесс оценки текущего уровня зрелости компании в области непрерывности бизнеса и его приведение к более зрелому уровню в соответствии с целями и задачами бизнеса. К основным целям управления непрерывностью бизнеса относятся:
• сохранение стабильного функционирования компании в чрезвычайных ситуациях в течение продолжительного промежутка времени;
• защита репутации и имиджа компании в чрезвычайных ситуациях путем надлежащего использования соответствующих организационных и технических решений;
• совершенствование способности компании сохранять свое стабильное функционирование в чрезвычайных ситуациях.
Вторая часть BS25999-2:2007. Specification содержит сертификационные требования к системе управления непрерывностью
бизнеса и позволяет провести аудит системы BCM организации на соответствие рекомендациям и требованиям первой части стандарта. Использование требований второй части обеспечивает возможность оценки существующей системы управления непрерывностью бизнеса организации и построения и внедрения комплексной системы BCM.
В стандарте BS 25999 описываются шесть основных этапов жизненного цикла BCM.
1. Программа управления непрерывностью бизнеса. На этом этапе рассматриваются вопросы политики BCM, включая заявление руководства об актуальности BCM, определение области действия BCM, основных целей и задач программы. Распределяются права и обязанности, продумывается реализация информирования по вопросам BCM. Также на этом этапе определяется, как программа BCM будет поддерживаться в актуальном состоянии, как будут проходить регулярный анализ воздействия на бизнес компании и поддержка в актуальном состоянии документации, а также осуществляться мониторинг эффективности программы, управление затратами на программу и т. д.
2. Анализ требований к программе BCM. На этом этапе дается краткая характеристика деятельности организации, проводится оценка воздействия на бизнес, оценка существующих угроз, таких как воздействие на персонал и на инфраструктуру, потеря репутации, нарушение финансовой устойчивости, снижение качества продуктов или услуг, причинение ущерба окружающей среде и пр. Оцениваются ресурсы, необходимые для BCM, включая персонал, денежные ресурсы, технологии и т. д., а также проводится всесторонняя оценка рисков.
3. Определение стратегии BCM. Определяются исходные данные программы, такие как максимально допустимое прерывание бизнеса в чрезвычайных ситуациях и затраты, необходимые на возобновление бизнеса. Рассматриваются вопросы организации обучения и повышения квалификации персонала и управления знаниями. Стратегия детально рассматривает действия в отношении помещений, технологий, информационных активов (защита электронных данных, безопасность отчуждаемых носителей информации, доступность аппаратно-программных активов), контрагентов и партнеров, а также взаимодействие со специальными ведомствами и организациями — правоохранительными органами, федеральной службой безопасности, службами экологической безопасности и др. На этом этапе руководство должно утвердить политику и стратегию BCM.
4. Разработка и реализация планов BCM. Формируются план реагирования на инциденты (Incident Management Plan, IMP) и план непрерывности бизнеса (Business Continuity Plan, BCP).
5. Поддержка и сопровождение программы BCM. Реализуются программа осведомленности и обучение по BCM, осуществляются поддержка программы BCM, включая оценку степени готовности
ответственных лиц, анализ результатов мониторинга и контроля рисков и документирование изменений программы ВСМ, а также проводится оценка ее эффективности. Оценка эффективности подразумевает анализ адекватности определения целей и задач программы ВСМ в соответствии с потребностями бизнеса, подтверждение компетенции и готовности к действиям в чрезвычайных ситуациях, анализ адекватности стратегии и планов обеспечения непрерывности бизнеса и др.
6. Формирование культуры ВСМ в организации. На последнем этапе жизненного цикла ВСМ рекомендуется обратить внимание на такие вопросы, как развитие лидерских качеств руководства организации, распределение обязанностей, эффективность программы осведомленности и т. д.
Прежде чем заняться управлением непрерывностью бизнеса, любое предприятие обязательно должно выйти на определенный уровень зрелости. К моменту начала таких работ нужно хорошо понимать, что такое риск, и говорить в компании на языке рисков. Если организация еще находится в стадии стремительного роста и ее руководители больше думают о выручке, чем о рисках, зачастую действуя без оглядки, то заниматься ВСМ здесь еще рано. Вы не сможете объяснить менеджерам такого бизнеса, зачем вкладывать средства в управление рисками и защиту инвестиций. Все ваши рассуждения о выявлении зависимостей и оценке рисков натолкнутся на то, что правление компании будет готово принять любой риск, лишь бы не инвестировать мер по его снижению, не приносящих компании прибыль. Нужно, чтобы руководители пришли к пониманию, что вести бизнес, игнорируя эти вопросы, непрофессионально. Решение о начале работ по ВСМ должно принимать именно высшее руководство, потому что управление непрерывностью касается любых бизнес-процессов, происходящих в организации.
В литературе прописаны различные направления и методики определения уровней зрелости компании:
1. Уровень технологической зрелости компании. Определение уровня технологической зрелости компаний позволяет выяснить насколько последовательна компания в следовании общим повторяющимся процессам при выполнении своей работы. Нижний уровень шкалы описывает компании без повторяющихся процессов, где большая часть работы хаотична и сумбурна. Верхний уровень описывает компании, которые используют определенные и повторяющиеся процессы, собирают метрики для непрерывного улучшения своих процессов.
2. Уровень зрелости ИТ-инфраструктуры компании. Определение уровня зрелости ИТ-инфраструктуры компании помогает руководителям понять и впоследствии улучшить состояние ИТ-инфраструктуры, а также получить представление о том, каких затрат она требует, каков уровень ее безопасности и гибкости в эксплуатации.
3. Уровень зрелости компании в области применения ИТ.
Определение уровня зрелости компании в области применения ИТ позволяет определить степень автоматизации компании и рассматривать необходимость и готовность компании к разработке ИТ-стратегии.
4. Уровень зрелости системы развития и обучения персонала. Определение уровня зрелости системы развития и обучения персонала позволяет ответить на вопрос, насколько зрело и продуманно относится к процессу обучения руководство и сами сотрудники компании, а также выстроить систему обучения и развития персонала. Цель данной методики показать то, как меняются в компании процессы обучения, подготовки и переподготовки персонала.
Оценить уровень зрелости бизнес-процессов предприятия можно на основе модели зрелости процесса разработки ПО (Capability Maturity Model -СММ) Института программной инженерии при американском университете Карнеги-Меллон (Software Engineering Institute, SEI) [1], которая была разработана в 1991г. С течением времени было выпущено целое семейство моделей: SW-CMM - для программных продуктов, SE-CMM - для системной инженерии, Acquisition CMM - для закупок, People CMM - для управления людскими ресурсами, ICMM -для интеграции продуктов. В 2002 году SEI опубликовал новую модель CMMI (Capability Maturity Model Integration), объединяющую ранее выпущенные модели и учитывающую требования международных стандартов.
Базовым понятием модели CMM/CMMI считается зрелость компании. Незрелой называют компанию, где процесс конструирования ПО и принимаемые решения зависят только от таланта конкретных разработчиков. Результатом является высокий риск превышения бюджета или срыва сроков окончания проекта.
В зрелой компании работают ясные процедуры управления проектами и построения программных продуктов. По мере необходимости эти процедуры уточняются и развиваются. Оценки длительности и затрат разработки точны, основываются на накопленном опыте. Кроме того, в компании имеются и действуют корпоративные стандарты на процессы взаимодействия с заказчиком, процессы анализа, проектирования, программирования, тестирования и внедрения программных продуктов. Все это создает среду, обеспечивающую качественную разработку программного обеспечения.
В модели CMM/CMMI определены пять уровней зрелости предприятий: начальный; повторяемый; определенный; управляемый; оптимизирующий.
Начальный уровень (уровень 1) означает, что процесс на предприятии не формализован, отсутствует четкое планирование и контроль. Результаты деятельности предприятия во многом случайны. и сильно зависят от личных качеств отдельных сотрудников.
Повторяемый уровень (уровень 2) предполагает внедрение формальных процедур для выполнения основных элементов процесса
разработки ПО. Результаты выполнения процесса соответствуют заданным требованиям и стандартам. Основное отличие от уровня 1 состоит в том, что выполнение процесса планируется и контролируется. Применяемые средства планирования и управления дают возможность повторения ранее достигнутых успехов.
Определенный уровень (уровень 3) требует, чтобы все элементы процесса были определены, стандартизованы и задокументированы. Основное отличие от уровня 2 заключается в том, что элементы процесса уровня 3 планируются и управляются на основе единого стандарта предприятия. Качество разрабатываемого ПО уже не зависит от способностей отдельных личностей.
Управляемый уровень (уровень 4) на предприятии принимаются количественные показатели качества как программных продуктов, так и процесса. Это обеспечивает более точное планирование проекта и контроль качества его результатов. Основное отличие от уровня 3 состоит в более объективной, количественной оценке продукта и процесса.
Оптимизирующий уровень (уровень 5) подразумевает, что главной задачей компании становится постоянное улучшение и повышение эффективности существующих процессов, ввод новых технологий. Основное отличие от уровня 4 заключается в том, что технология создания и сопровождения программных продуктов планомерно и последовательно совершенствуется.
Каждый уровень СММ характеризуется областью ключевых процессов (ОКП), причем считается, что каждый последующий уровень включает в себя все характеристики предыдущих уровней.
По аналогии с понятием «уровень зрелости предприятия» используется понятие «уровень зрелости ИТ-инфраструктуры». Компания Gartner предлагает для оценки зрелости ИТ-службы использовать пять уровней: хаотичный; реактивный; проактивный; сервис; польза.
Хаотичный уровень характеризуется множественными службами поддержки, неразвитой службой эксплуатации.
При реактивном уровне зрелости проводится отслеживание событий, имеется единая консоль и служба поддержки, осуществляется управление топологией сети, выполняется резервное копирование и инвентаризация;
Проактивный уровень предусматривает управление
производительностью, изменениями, проблемами, конфигурациями, доступностью. При этом должна обеспечиваться автоматизация управления ИС-службой и планирование заданий;
Уровень зрелости сервис обеспечивает планирование нагрузок и емкостей, управление уровнями обслуживания;
Уровень зрелости ИТ-службы польза предполагает обеспечение качества предоставления ИТ-сервисов посредством использования бизнес-метрик.
Эффективность информационных систем и их ИС-служб может по
разному оцениваться для различных предприятий. Данное обстоятельство влияет на подходы к повышению эффективности деятельности ИС-служб.
Компания IBM сформировала четыре профиля предприятий для оптимизации ИТ-инфраструктуры: commodity (товар); utility (ресурс); partner (партнер); enabler (поддержка).
В профиле commodity предприятие рассматривает ИТ-сервисы как свои основные инвестиции для автоматизации фундаментальных административных функций с минимальными расходами. При оптимизации ИТ-инфраструктуры в организациях с таким профилем основное внимание уделяется сокращению расходов.
Для профиля utility компании, изначально сфокусированные на расходах, но признающие важность построения отношений с клиентами. Для этих предприятий оптимизация ИТ-инфраструктуры служит средством исполнения соглашений об уровне сервиса, сокращения времени реагирования, готовности и других параметров, связанных с обслуживанием клиентов.
Профиль partner предполагает рассмотрение ИТ-инфраструктуры предприятия с точки зрения влияния на бизнес. Хотя сокращение расходов всегда актуально, основное внимание уделяется получению экономического эффекта от инвестиций в информационные технологии. В этих ситуациях бизнес-подразделения вместе с ИТ-службой работают над улучшением общего качества ИТ-сервиса и достижением конечных целей деятельности предприятия.
В компаниях данного профиля enabler ИТ-инфраструктура служит важным элементом стратегии развития бизнеса. ИТ-инициативы в них выступают основной движущей силой развития бизнеса и рассматриваются как необходимое условие конкурентоспособности.
В методологии компании Microsoft по оптимизации ИТ-инфраструктуры выделяют уровни зрелости ИТ-инфраструктуры предприятий.
Модель зрелости ИТ-инфраструктуры, разработанная Microsoft, включает четыре уровня: базовый; стандартизированный; рационализированный; динамический.
Базовый уровень зрелости ИТ-инфраструктуры характеризуется наличием большого количества процессов, выполняемых вручную, минимальной централизацией управления, отсутствием стандартов и политик безопасности, резервного копирования, управления образами систем. Руководство предприятия и ИС-службы слабо ориентируется в возможностях существующей ИТ-инфраструктуре и её потенциальных возможностях по повышению эффективности бизнеса. При этом расходы на управление ИТ-инфраструктурой высоки, так же высоки риски обеспечения качества предоставления ИТ-сервисов.
Предприятия с базовым уровнем зрелости ИТ-инфраструктуры могут повысить эффективность бизнеса при переходе на стандартизированный
уровень, за счет уменьшения расходов путем реализации следующих направлений:
• разработки стандартов и политик, а также стратегии их применения;
• снижения рисков, связанных с безопасностью, за счет создания
эшелонированной обороны;
• автоматизации многих ручных и длительно выполняемых операций;
• внедрения передового опыта.
Стандартизированный уровень зрелости ИТ-инфраструктуры предполагает введение точек управления на базе стандартов и политик администрирования настольных компьютеров и серверов, определение правил подключения машин к сети, управление ресурсами на основе Active Directory, формирование политик безопасности и управления доступом. Предприятия с ИТ-инфраструктурой данного уровня зрелости достаточно эффективно могут управлять инцидентами, но упреждающие действия по разрешению проблем ещё не проводятся. Процессы управления изменениями разрешаются частично и осуществляется первоначальное формирование базы данных позиций конфигурации.
Повышение эффективности управления ИС службой предприятия возможно путем расширения уровня контроля над инфраструктурой, а также политикой безопасности для упреждающего реагирования на различные ситуации - от изменения рыночной конъюнктуры до стихийных бедствий.
На рационализированном уровне зрелости ИТ-инфраструктуры предприятия затраты на управление настольными компьютерами, серверами и коммутационным оборудованием сетей сводятся к минимуму, а процессы поддержки и предоставления ИТ-сервисов начинают играть важную роль в поддержке и расширении бизнеса. При обеспечении информационной безопасности основное внимание уделяется профилактическим мерам, и на любые угрозы безопасности предприятие реагирует быстро и предсказуемо.
На предприятии применяется полностью автоматизированное развертывание, с минимальным участием операторов. Количество образов программных систем (images) минимально, и процесс управления настольными компьютерами минимизирован. ИС-служба поддерживает базу данных позиций конфигурации в исчерпывающей информацией.
Динамический уровень зрелости ИТ-инфраструктуры предприятия предполагает понимание стратегической ценности для эффективного ведения бизнеса и получения конкурентных преимуществ. Данный уровень предполагает, что все расходы ИС-службы прозрачны и находятся под полным контролем, пользователям доступны необходимые в их работе данные, организована эффективная совместная работа на уровне как сотрудников, так и отделов, а мобильные пользователи получают практически тот же уровень обслуживания, что и в офисах.
Процессы поддержки и предоставления ИТ-сервисов автоматизированы. Это реализуется с помощью специализированных и встроенных в систему программных средств, что позволяет управлять информационными системами в соответствии с изменяющимися требованиями бизнеса. Инвестиции в информационные технологии дают быструю и заранее просчитываемую отдачу для бизнеса.
Для данного уровня зрелости ИТ-инфраструктуры предприятия характерно эффективное управление процессами поддержки и предоставления ИТ-сервисов и постоянная оптимизация уровней поддержки сервисов.
Предприятия с динамическим уровнем зрелости ИТ-инфраструктуры имеют возможность внедрять новые ИТ-технологии, необходимых для поступательного развития бизнеса, выигрыш от которых значительно перевешивает дополнительные расходы.
В 1995 году была опубликована первая версия стандарта People-CMM, описывающая в данной модели практики организационного развития и управления персоналом.
Главным понятием стандарта является зрелость организации. Незрелой считается организация, в которой процессы зависят только от конкретных исполнителей и менеджеров, и, чаще всего, решения принимаются спонтанно. В зрелой же организации имеются четко определенные процедуры управления, и что не менее важно, менеджеры организации берут всю ответственность за работу своего персонала и его профессиональную компетентность на себя. Стандарт состоит из критериев оценки зрелости организации и рецептов улучшения существующих процессов.
В настоящее время на базе People-CMM успешно проведены улучшения работы в таких компаниях как Boeng, Ericson, Lochid Martin, IBM, Novo Nordisk IT AS, Intel и ряде др.
1 уровень. Начальный (уровень непостоянного менеджмента).
Характерные признаки данного уровня:
1.Непостоянство в совершении рабочих практик
2.Расплывчатость ответственности
3.Ритуализированные практики, работа выполняется, потому что так принято, без должного осмысления, зачем это делать
4.Персонал эмоционально не вовлечен в работу.
На этом уровне менеджеры не занимаются оценкой работы персонала и ее улучшением.
Администрирование работы считается чем-то не очень важным. Подбор персонала полностью делегирован службе персонала, менеджеры им не занимаются. Линейные менеджеры не берут на себя всю полноту ответственности за управление людьми. Недостаточно подготовленные люди становятся незаменимыми. Менеджеры занимаются в большей степени развитием своих собственных способностей и навыков, нежели
развитием профессиональной компетентности сотрудников
2 уровень. Повторяемые практики.
При переходе на 2-уровень основная задача - воспитать у менеджеров понимание, что главный приоритет в их работе - это качество и дееспособность их рабочей силы. На этом уровне основной упор делается на следующие практики:
1. Комплектация персоналом.
2. Коммуникации.
3. Совершенствование управления.
4. Обеспечение ресурсами.
5. Развитие навыков персонала.
6. Адекватные компенсации.
7. Закрепление выше перечисленного в соответствующих регламентах
и политиках.
Указанные практики составят твердый фундамент для всего последующего развития организации, без этой работы все последующие шаги будут бесполезны. На этом уровне менеджеры реально становятся ответственными за все, что происходит в их подразделениях. Проблемы, характерные для первого уровня теряют свою актуальность.
Трансляция и закрепление ответственности менеджеров осуществляется через политики организации и подсчет показателей подразделений. На менеджеров распространяется ответственность за набор персонала, оценку его работы, а также обратную связь персоналу по результатам работы. Уже первые шаги по внедрению второго уровня приводят к снижению текучки, сводя к минимуму одну из главных ее причин: плохие отношения с начальством. Однако данный уровень еще не обеспечивает высокой лояльности сотрудников. На этом уровне они все еще видят компанию как машину для достижения своих целей. На 2-м уровне еще нет постоянства и системности в применении практик управления персоналом.
Главная проблема 2 уровня заключается в том, что организация еще не может стандартизировать свои рабочие практики, потому что общие профессиональные знания и навыки, необходимые для эффективной работы, еще не определены.
3 уровень. Определенный (или уровень компетенций).
Главная цель этого уровня - развитие критически важных с точки зрения стратегии организации компетенций. Каждая компетенция должна стать элементом стройной архитектуры, определяемой стратегией компании и прописываемой в бизнес-планах. При чем общая архитектура компетенций прописывается для всех работ и бизнес-процессов в компании, независимо от того являются ли эти работы постоянными или сезонными и т.д. В рамках общей архитектуры компетенций формируются группы ключевых компетенций.
На 3-м уровне еще нет возможности осуществлять управление
процессами компании по конкретным показателям, тем не менее, уже сейчас организация адаптирует рабочие практики к нуждам бизнеса, фокусируя и мотивируя людей на овладение важнейшими для работы компетенциями.
Когда основные компетенции определены, наступает время обучения персонала соответствующим знаниям и профессиональным навыкам, а также развития имеющихся способностей. Технологически это может быть осуществлено следующим образом: проводиться оценка на предмет недостатка в компетенциях, карьерный рост сотрудников напрямую привязывается к соответствию профессиональным компетенциям. Для того чтобы максимально использовать компетентных профессионалов в работе, организация также должна создать соответствующее окружение, которое будет вовлекать профессионалов в процесс принятия решений, обеспечить им свободный доступ ко всей необходимой информации. Развитие коммуникативных компетенций соответствует координации и интеграции рабочего процесса.
Для этого уровня зрелости компании оптимальной является партисипативная (участная) культура. Практики управления персоналом простроенные на 2-м уровне теперь стандартизованы, закреплены и стимулируются к развитию через оценку компетенций.
4 уровень. Управляемый (Управление процессами и результатами).
На этом уровне через прописанные системы и процедуры организация устанавливает для своих бизнес-процессов конкретные рамки. Благодаря подготовленной предыдущими уровнями почве, появляется возможность управлять работой своих сотрудников на основании количественных результатов. Это может быть осуществлено благодаря тому, что, во-первых, компетентные люди осуществляют проверенные практики, во-вторых, руководство им доверяет. Это доверие побуждает менеджеров, в свою очередь, к развитию своих рабочих групп.
Поскольку все сотрудники становятся компетентными, делегирование становится обычной практикой. Разгрузившись, таким образом, от многих проблем операционного менеджмента, руководители становятся способны в большей степени заняться стратегией. При этом, когда сотрудники разовьют ключевые для работы компетенции, организация получает возможность интегрировать работу отдельных подразделений в единый мультидисциплинарный процесс (например, интеграция soft и hard в IT). В каждом подразделении или рабочей группе, совершенство работы начинает измеряться количественно. На этой стадии могут пригодиться использование таких систем как «Управление качеством» (TQM), «6 сигма» (Опыт компании «Моторола»), Система Нортона и Коплана BSC (KPI's).
Базовые знания персонала и инфраструктура позволяют на этом уровне планировать и осуществлять целевые улучшения в работе, а также предвосхищать требуемые изменения.
5 уровень Оптимизирующий (управление изменениями)
На этом уровне вся организация представляет собой процесс непрерывного улучшения. При этом количественные результаты, полученные на уровне 4, используются для того, чтобы управлять улучшениями на уровне 5. Процесс управления изменениями становиться стандартным процессом, проводимым на регулярной основе. Менеджеры и сотрудники стимулируются к анализу своих рабочих процессов и их постоянному улучшению. Их активность в этом русле должна быть интегрирована в соответствующую процедуру на уровне компании в целом (создаются отделы управления качеством, инновационные центры и т.д.).
Для облегчения работы по постоянному улучшению в компанию приглашаются профессиональные коучи и наставники, а также сами менеджеры обучаются коучингу. При чем коучинг проводиться как на индивидуальном, так и на групповом уровне. На уровне компании в целом также постоянно ищутся и находятся пути улучшения. Возможность количественной оценки, достигнутая на предыдущих уровнях позволяют «выровнять» рабочие процессы в сторону большего соответствия организационным целям. Инновации собираются, апробируются и при положительных результатах запускаются в производство.
Таким образом уровень 5 - это постоянное улучшение посредством, во-первых, постоянных внутренних улучшений (оптимизаций), во-вторых, путем внедрения инноваций и передовых технологий. Соответствующая данному уровню орг. культура - культура постоянного улучшения.
Для надлежащего анализа воздействия на бизнес необходима исходная карта ключевых бизнес-процессов организации, для каждого из которых идентифицируются различного рода нарушения функционирования, потенциально ведущие к потерям. На основе карты ключевых бизнес-процессов строится аналитическая модель, связывающая различные нарушения в функционировании бизнес-процессов с категорией и масштабом потерь в результате такого нарушения. В зависимости от доступности информации (структурированности поставленной задачи) масштаб потерь может оцениваться количественно (в денежном выражении) или качественно (по специально разработанной качественной шкале). По результатам оценки возможных потерь модель должна позволить оценить критичность бизнес-процессов как в целом, так и оценку критичности различного рода нарушений функционирования с привязкой к масштабу соответствующих потерь.
Параллельно с анализом критичности бизнес-процессов и зависимости масштабов потерь от нарушений функционирования бизнес-процессов рекомендуется проводить анализ информационных сервисов с привязкой к бизнес-процессам и информационным потокам. Например, можно проводить анализ корпоративной учетной системы, системы консолидированной отчетности, системы бизнес-аналитики на основе хранилища данных, информационного портала, корпоративной
электронной почты, сервиса сетевой печати и др. При этом рекомендуется более глубокая степень детализации, поскольку, к примеру, корпоративная учетная система фактически предоставляет несколько сервисов (поддержка бухгалтерии, поддержка управления человеческими ресурсами, поддержка материально-технического учета и др.), различным образом задействованных в бизнес-процессах компании. В ходе анализа информационных сервисов производится их идентификация, анализ использования в рамках бизнес-процессов, анализ возможных нарушений в функционировании сервисов и предварительная оценка значимости сервисов с точки зрения бизнеса организации.
Анализ воздействия на бизнес рекомендуется завершать построением модели причинно-следственных взаимосвязей между функционированием бизнес-процессов, информационных сервисов и информационных потоков. Данная модель позволяет на основании информации о критичности бизнес-процессов и информационных потоков, а также о масштабах возможных потерь получить для каждого класса сервисов оценку критичности сервиса с точки зрения бизнеса компании и возможных потерь для бизнеса компании в зависимости от нарушения в функционировании сервиса и времени восстановления, экономически оправданных затрат на повышение уровня доступности сервиса.
Для надлежащего анализа воздействия на бизнес необходима исходная карта ключевых бизнес-процессов организации, для каждого из которых идентифицируются различного рода нарушения функционирования, потенциально ведущие к потерям. На основе карты ключевых бизнес-процессов строится аналитическая модель, связывающая различные нарушения в функционировании бизнес-процессов с категорией и масштабом потерь в результате такого нарушения. В зависимости от доступности информации (структурированности поставленной задачи) масштаб потерь может оцениваться количественно (в денежном выражении) или качественно (по специально разработанной качественной шкале). По результатам оценки возможных потерь модель должна позволить оценить критичность бизнес-процессов как в целом, так и оценку критичности различного рода нарушений функционирования с привязкой к масштабу соответствующих потерь.
Параллельно с анализом критичности бизнес-процессов и зависимости масштабов потерь от нарушений функционирования бизнес-процессов рекомендуется проводить анализ информационных сервисов с привязкой к бизнес-процессам и информационным потокам. Например, можно проводить анализ корпоративной учетной системы, системы консолидированной отчетности, системы бизнес-аналитики на основе хранилища данных, информационного портала, корпоративной электронной почты, сервиса сетевой печати и др. При этом рекомендуется более глубокая степень детализации, поскольку, к примеру, корпоративная учетная система фактически предоставляет несколько сервисов
(поддержка бухгалтерии, поддержка управления человеческими ресурсами, поддержка материально-технического учета и др.), различным образом задействованных в бизнес-процессах компании. В ходе анализа информационных сервисов производится их идентификация, анализ использования в рамках бизнес-процессов, анализ возможных нарушений в функционировании сервисов и предварительная оценка значимости сервисов с точки зрения бизнеса организации.
Анализ воздействия на бизнес рекомендуется завершать построением модели причинно-следственных взаимосвязей между функционированием бизнес-процессов, информационных сервисов и информационных потоков. Данная модель позволяет на основании информации о критичности бизнес-процессов и информационных потоков, а также о масштабах возможных потерь получить для каждого класса сервисов оценку критичности сервиса с точки зрения бизнеса компании и возможных потерь для бизнеса компании в зависимости от нарушения в функционировании сервиса и времени восстановления, экономически оправданных затрат на повышение уровня доступности сервиса.
Знание и умение использовать на практике выработанные в разных странах стандарты и практики ВСМ будут несомненно полезны для отечественных предприятий, многие из которых уже осознали важность работ по обеспечению непрерывности бизнеса и приступили к реализации соответствующих проектов. Итогом работы становиться, прежде всего, осознание бизнесом его слабых и уязвимых мест с точки зрения используемых информационных технологий, а так же понимание зависимости благополучия компании от работоспособности того или иного сервиса (услуги, системы). Безусловно, на выходе проекта компания получает набор рекомендаций, оформленных в виде стандартов, а так же рекомендации или конкретные технические мероприятия по «усилению» ИТ-инфраструктуры. Но нельзя забывать, что ИТ-инфраструктура Вашей организации постоянно живет и развивается вместе с Вашим бизнесом. Владение информацией об уровне зрелости информационной инфраструктуры для управления непрерывностью бизнеса позволит руководителям вовремя сориентироваться и перераспределить ресурсы для усиления отстающих направлений.
Статья написана в рамках проекта № 8.3023.2011 «Исследование и разработка методов и средств управления непрерывностью бизнеса».
Литература
1. ГОСТ Р 53647.1-2009. Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 998-ст
2. ГОСТ Р 53647.2-2009. Менеджмент непрерывности бизнеса. Часть 2 Требования. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 998-ст.
3. ГОСТ Р 53647.3-2010. Менеджмент непрерывности бизнеса. Часть 3. Руководство
по внедрению. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. № 735-ст.
4. Ринг М. Анализ факторов, влияющих на непрерывность бизнеса в новом тысячелетии // CNews: Электронный ресурс. Режим доступа: http:/ / ccm.cnews.ru/reviews / free/security/kpmg.shtml.
5. Петренко С.А., Беляев А.В. Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться. Информационные технологии для инженеров. - М.: ДМК Пресс; М.: Компания АйТи, 2011. - 400 с.