Антикризисное управление по ГОСТ Р: вводный курс. Учебное пособие ― дайджест-справочник: издание второе, дополненное и исправленное

Рецензенты:

Бобылёва А. З. ― доктор экономических наук, профессор, заведующая кафедрой финансового менеджмента факультета государственного управления МГУ имени М. В. Ломоносова;

Тайбер З. Ю. ― кандидат экономических наук, доцент кафедры экономики инновационного развития факультета государственного управления МГУ имени М. В. Ломоносова;

Шестопёров А. М. – кандидат экономических наук, руководитель Дирекции организации правовой поддержки субъектов малого и среднего предпринимательства АО «Корпорация „МСП“».

© Андрей Сергеевич Царенко, 2022

ISBN 978-5-0059-2001-0

Создано в интеллектуальной издательской системе Ridero

От автора

Книга представляет собой доработку и актуализацию с учётом новелл национальной системы стандартизации учебного пособия «Антикризисное управление по ГОСТ Р: вводный курс. Дайджест-справочник» 2021 года издания.

На сегодня при чтении курсов «Антикризисного менеджмента» («Антикризисного управления»), «Государственного антикризисного управления» часто неоправданно забытыми оказываются национальные стандарты антикризисной проблематики. Данное издание, представляющее собой дайджест-справочник по содержанию национальных стандартов в сфере антикризисного управления организацией призвано устранить этот пробел, дополнить преподаваемый профильный учебный курс модулем/разделом «Стандартизация в сфере антикризисного управления».

В рамках данного учебного пособия предпринята попытка представить основные достижения национальной стандартизации в антикризисной сфере, изложить требования к программе-минимум и рекомендации для достижения кризисоустойчивости систем управления и построения организации «готовой к кризису». При этом следует отметить, что стандарты системы ГОСТ основываются на лучшей мировой практике.

Пособие основано на разборе подхода к антикризисному управлению в рамках стандартов ГОСТ Р серии 53647 «Менеджмент непрерывности бизнеса», частично затронуты дополняющие серию аналоги стандартов Международной организации стандартизации (ИСО) ― ГОСТ Р ИСО 22301—2014 Системы менеджмента непрерывности бизнеса. Общие требования и ГОСТ Р ИСО 22313—2015 Менеджмент непрерывности бизнеса. Руководство по внедрению, а также их обновлённые версии редакции 2021 года, в которых, в том числе термин «бизнес» заменён на «деятельность».

В данном вводном курсе основной упор сделан на стандарты:

– ГОСТ Р 53647.1—2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство.

– ГОСТ Р 53647.2—2009 Менеджмент непрерывности бизнеса. Часть 2. Требования.

– ГОСТ Р 53647.9—2013 Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса.

Данное пособие рекомендуется для направлений подготовки программ бакалавриата и магистратуры:

– «Менеджмент»;

– «Государственное и муниципальное управление»;

– «Управление персоналом».

ДАЙДЖЕСТ-СПРАВОЧНИК

Основные национальные стандарты в сфере антикризисного управления

Рис. 1 Основные национальные стандарты по антикризисному управлению по базе Росстандарта

ГОСТ Р 53647.1—2009 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Часть 1 Практическое руководство ―

Устанавливает

– процессы, принципы и терминологию менеджмента непрерывности бизнеса (МНБ);

– основные положения для понимания, разработки и внедрения менеджмента непрерывности бизнеса в организации и обеспечения доверия к продукции или услугам организации со стороны потребителей и партнеров.

Может помочь организации последовательно измерять и оценивать свою способность к обеспечению непрерывности бизнеса.

ГОСТ Р 53647.2—2009 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Часть 2 ТРЕБОВАНИЯ ―

Устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).

ГОСТ Р 53647.3—2015 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. ЧАСТЬ 3. РУКОВОДСТВО ПО ОБЕСПЕЧЕНИЮ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ГОСТ Р ИСО 22301 ―

Обеспечивает помощь организациям по выполнению требований ГОСТ Р ИСО 22301 и основывается на предположении, что организацией уже предприняты некоторые действия по внедрению МНБ.

ГОСТ Р 53647.4—2011 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. РУКОВОДЯЩИЕ УКАЗАНИЯ ПО ОБЕСПЕЧЕНИЮ ГОТОВНОСТИ К ИНЦИДЕНТАМ И НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ―

Содержит полный набор средств управления, основанных на передовых методах IPOCM (Обеспечение готовности к инцидентам и непрерывности деятельности), используемых на всех этапах руководства и управления организацией.

Подробно описывает общие процессы планирования и управления, которые помогут организации при:

– анализе среды функционирования организации, ограничений и угроз для её работы, которые могут привести к существенным разрушениям;

– количественной оценке воздействия нарушений/разрушений на критические виды деятельности и процессы организации;

– определении видов её деятельности, которые являются критическими для достижения целей в краткосрочной и долгосрочной перспективе;

– идентификации инфраструктуры и ресурсов, необходимых организации для обеспечения непрерывности деятельности на минимальном уровне;

– документировании ключевых ресурсов, инфраструктуры, целей и распределении ответственности, необходимых для поддержки критических видов деятельности в случае возникновения нарушений/разрушений;

– установлении процессов, актуализации используемой информации и учёта изменений риска и производственной среды;

– повышении осведомлённости вовлеченного персонала, заказчиков, поставщиков и других причастных сторон об обеспечении готовности к инцидентам и непрерывности деятельности организации и, при необходимости, применении в организации всех требуемых процедур;

– выполнении принятых решений и обеспечении постоянного улучшения всех процессов.

ГОСТ Р 53647.5—2012 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. ГОТОВНОСТЬ К ОПАСНЫМ СИТУАЦИЯМ И ИНЦИДЕНТАМ ―

Представляет рекомендации в области готовности к опасным ситуациям и инцидентам.

ГОСТ Р 53647.6—2012 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. ТРЕБОВАНИЯ К СИСТЕМЕ МЕНЕДЖМЕНТА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ДЛЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ДАННЫХ ―

Позволяет организациям внедрить в рамках общей структуры управления информацией систему менеджмента персональной информации (СМПИ), которая служит основой повышения степени соответствия законодательным и обязательным требованиям о защите данных и передовому опыту в данной области деятельности.

ГОСТ Р 53647.8—2013 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. УПРАВЛЕНИЕ ЧЕЛОВЕЧЕСКИМИ РЕСУРСАМИ ―

Включает руководство по планированию и разработке стратегии и политики управления человеческими ресурсами при возникновении инцидента, предусматривающее:

– меры реагирования при непосредственном воздействии инцидента;

– организационные действия на этапе восстановления после воздействия инцидента (обеспечения непрерывности деятельности);

– поддержку персонала при восстановлении деятельности организации.

Не содержит полного руководства по управлению человеческими ресурсами в условиях инцидента, стандарт направлен на снижение воздействия инцидента на персонал и другие причастные стороны.

ГОСТ Р 53647.9—2013 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. УПРАВЛЕНИЕ ОРГАНИЗАЦИЕЙ В УСЛОВИЯХ КРИЗИСА ―

Описывает общую и наблюдаемую природу кризисов, их происхождение и потенциальное влияние.

Устанавливает, как у организации могут развиться систематические уязвимости.

Предоставляет рекомендации, как развить улучшенную устойчивость.

Определяет общие выгоды, которые можно извлечь из развития готовности к осуществлению менеджмента в условиях кризиса.

В общих чертах обсуждает природу готовности. Даёт практический совет, как развить её. Описывает необходимые структуры и процессы.

Определяет, как системы информационного менеджмента могут поддержать лиц, принимающих решение.

Даёт суммарную информацию о планах менеджмента в условиях кризиса. Предлагает относиться к планам как к развивающимся документам, подвергающимся постоянной оценке и пересмотрам.

ГОСТ Р ИСО 22301—2021 СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ. ТРЕБОВАНИЯ ―

Устанавливает структуру системы менеджмента непрерывности деятельности (СМНД) в соответствии с количеством и типом воздействий, на которые организация может или не может реагировать при нарушении деятельности организации в работе, а также требования к внедрению и поддержанию этой системы.

Результаты применения СМНД формируются организацией с учётом правовых, нормативных, организационных и отраслевых требований, особенностей продукции и услуг, процессов, размера и структуры организации, а также требований заинтересованных сторон.

ГОСТ Р ИСО 22313—2021 Надёжность в технике. МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ. РУКОВОДСТВО ―

Приводит руководящие указания к требованиям, установленным в ИСО 22301.

Не содержит общее руководство по всем аспектам обеспечения непрерывности деятельности.

Включает в себя те же разделы, что и ИСО 22301, но не дублирует требования и связанные с ними термины и определения.

Цель руководства состоит в объяснении и разъяснении смысла и цели требований ИСО 22301 и связанных с этим вопросов. Дополнительное руководство, которое можно использовать при применении, содержат ISO/TS 22317, ISO/TS 22318, ИСО 22322, ISO/TS 22330, ISO/TS 22331 и ИСО 22398.

ГОСТ Р 55899—2013 РУКОВОДСТВО ПО ОБОСНОВАНИЮ ПРИМЕНИМОСТИ И РАЗРАБОТКЕ СТАНДАРТОВ НА СИСТЕМЫ КРИЗИСНОГО МЕНЕДЖМЕНТА ―

Устанавливает обоснование и определение стоимости предложенного проекта стандарта на систему кризисного менеджмента в целях оценки его коммерческой пригодности;

Содержит руководящие указания по методологии (процессу) разработки и поддержанию (пересмотру и изменению) стандартов на системы кризисного менеджмента с целью обеспечить совместимость и улучшить согласованность.

Содержит руководящие указания по терминологии, структуре и общим элементам в стандартах на системы кризисного менеджмента с целью обеспечить совместимость, а также улучшить согласованность и облегчить использование.

ГОСТ Р ИСО/МЭК 27031—2012 МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. РУКОВОДСТВО ПО ГОТОВНОСТИ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ К ОБЕСПЕЧЕНИЮ НЕПРЕРЫВНОСТИ БИЗНЕСА ―

Описывает концепции и принципы готовности информационно-коммуникационных технологий (ИКТ) к обеспечению непрерывности бизнеса (ОНБ);

Предоставляется система методов и процессов определения и точного изложения всех аспектов (таких как критерии эффективности, проектирование и реализация) для совершенствования готовности ИКТ организации к обеспечению непрерывности бизнеса.

ПРИМЕЧАНИЕ

Информация о стандарте 7 серии 53647 в базе Росстандарта отсутствует.

Задание:

Зайдите на любой портал правовой/методической информации, найдите оригинальные тексты представленных стандартов, проверьте их актуальность, добавьте себе в закладки.

Базовые понятия и категории, используемые в стандартах

Кризис (crisis) ― по своей природе ненормальная, нестабильная и сложная ситуация, представляющая угрозу стратегическим целям, репутации и существованию организации; ситуация, характеризующаяся высокой степенью неопределённости, в которой нарушены основные виды деятельности и/или доверие к организации и требуется принятие срочных мер.

Инцидент (incident) ― ситуация прерывания бизнеса, утраты, чрезвычайной ситуации или кризиса или способная привести к ним.

Нарушение деятельности (организации) (disruption) ― невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением.

Бедствие/ катастрофа (disaster) ― ситуация, в которой произошедшие широкомасштабные человеческие, материальные, экономические или экологические потери превышают возможности пострадавшей организации, сообщества или общества по реагированию и восстановлению с использованием собственных ресурсов.

Угроза (threat) ― Потенциальная причина нежелательного инцидента, который может привести к причинению вреда людям, системе или организации, окружающей среде или сообществу.

Опасность (hazard) ― источник потенциального вреда. Все виды опасностей (all-hazards) ― природные, антропогенные (умышленные и неумышленные), в том числе техногенные, явления, способные воздействовать на организацию, сообщество или общество и окружающую среду, от которой она (оно) зависит.

Риск ― это неопределённое событие или условие, наступление которого отрицательно или положительно сказывается на целях организации. Также: следствие влияния неопределённости на достижение целей. При этом неопределённость ― это ситуация, когда полностью или частично отсутствует информация, понимание или знание о событии, его последствиях или вероятности. Риск может быть вызван одной или несколькими причинами и в случае возникновения может оказать воздействие на один или несколько аспектов. Также это комбинация вероятности события и его последствий. Любые действия приводят к событиям и последствиям, которые могут представлять собой как потенциальные «положительные» возможности, так и «опасности» для организации. В настоящее время риск менеджмент включает в себя понятия положительного и негативного аспектов риска. Стандарты управления рисками, соответственно, рассматривают риск с этих позиций. В сфере безопасности последствия наступления события рассматриваются с негативной точки зрения. Соответственно управление рисками уделяет основное внимание превентивным мероприятиям или, мероприятиям, смягчающим размеры последствий.

Устойчивость (resilience) ― способность организации противостоять воздействию инцидента; способность организации управлять риском, связанным с нарушением деятельности; адаптивный потенциал организации в сложных меняющихся условиях.

Потенциал (capacity) ― совокупность всех сил и средств, имеющихся у организации, сообщества или общества, которые могут уменьшить уровень риска или последствия кризиса.

Критические виды деятельности (critical activities) ― виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных и первоочередных целей организации.

Готовность к инцидентам (incident preparedness) ― действия, программы и системы, разработанные и внедренные до возникновения инцидента, которые могут помочь организации смягчить последствия и выбрать эффективные ответные меры при возникновении инцидента, а также ускорить восстановление организации после разрушений, бедствий, критических ситуаций или аварий.

Обеспечение готовности к инцидентам и непрерывности деятельности (incident preparedness and operational continuity management, IPOCM) ― систематические и скоординированные действия, с помощью которых организация рационально управляет своими рисками и деятельностью в условиях возможных угроз и опасных воздействий.

Организация, готовая к кризису (crisis-aware organization) ― предусмотрительная организация, обладающая методами и процессами определения возникающих кризисов и борьбы с ними на самом раннем этапе при постоянной оценке своей устойчивости и своих уязвимостей.

Непрерывность бизнеса/деятельности (business continuity) ― стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения её деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне; способность организации продолжать производство продукции или оказание услуг на приемлемом, заранее заданном уровне после инцидента, нарушившего ее деятельность.

Социетальная безопасность (societal security) ― защита общества от инцидентов, чрезвычайных ситуаций и бедствий, вызванных умышленными и неумышленными действиями человека, опасными природными явлениями и техническими неисправностями, а также реагирование на такие события.

Гражданская защита (civil protection) ― мероприятия и системы, предназначенные для защиты жизни и здоровья граждан, их имущества, а также окружающей среды от нежелательных событий. Нежелательные события включают аварии, чрезвычайные ситуации и бедствия.

Менеджмент проблем (issues management) ― предвидение и оценка тенденций и потенциальных изменений в деловой среде организации, которые влекут за собой перспективное планирование рассмотрения возможностей и угроз и быстрое реагирование на проблемы, угрожающие репутации и отношениям с причастными сторонами.

Менеджмент непрерывности бизнеса; МНБ (business continuity management; BCM) ― полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, её бренда и деятельности, добавляющей ценность.

Менеджмент чрезвычайных ситуаций (emergency management) ― общий подход к предупреждению и ликвидации чрезвычайных ситуаций. В менеджменте чрезвычайных ситуаций для предотвращения, обеспечения готовности, реагирования и последующего восстановления в связи с событиями, дестабилизирующими и/или нарушающими деятельность, как правило, используют подход менеджмента риска.

Примечание: Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в её работе, а также общей программой обеспечения непрерывности бизнеса организации путём обучения, практического применения и анализа непрерывности бизнеса, разработкой и актуализацией планов непрерывности бизнеса.

Менеджмент риска (risk management) ― скоординированные действия по руководству и управлению организацией в области риска. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и обмен информацией о риске.

Остаточный риск (residual risk) ― риск, оставшийся после обработки риска.

Событие (event) ― Возникновение или изменение специфического набора условий. Событие может быть единичным или повторяющимся и иметь несколько причин, определённым или неопределённым.

Для описания события могут быть использованы термины «инцидент», «происшествие», «опасное событие» или «несчастный случай». Событие без последствий может также быть названо «угрозой возникновения опасного события», «инцидентом», «угрозой происшествия», «угрозой поражения» или «угрозой возникновения аварийной ситуации». Степень уверенности в появлении события может быть выражена с помощью отнесения события к определенному классу или разряду, таким как:

– крайне редко / маловероятно / вероятно / почти наверняка;

– невозможно / крайне маловероятно / редко / иногда / вероятно / часто. Событие может иметь несколько последствий.

Последствие (consequence) ― результат события, влияющий на достижение целей. Последствие может быть а) определённым или неопределённым, б) оказывать положительное или отрицательное влияние на цели; в) выражено качественно или количественно. Важно помнить: первоначальные последствия могут нарастать вследствие эффекта домино.

Вероятность (probability) ― мера возможности появления события. Часто используется математическое определение вероятности: «Вероятность ― действительное число в интервале от 0 до 1, характеризующее случайное событие». Вероятность может отражать относительную частоту появления события в серии наблюдений или степень уверенности в том, что событие произойдет. При высокой степени уверенности в появлении события вероятность близка к единице. При описании риска вместо «вероятности» может быть использовано понятие «частота».

Осведомлённость о ситуации / ситуационная осведомлённость (situational awareness) ― процесс восприятия, понимания, интерпретации и оценки того, что происходит в кризисе, вместе со способностью устанавливать и моделировать предвидимые перспективные развития.

Сканирование горизонта (horizon scanning) ― систематическое исследование потенциальных угроз, возможностей и перспектив развития, способных создать новые риски и изменить характер уже установленных рисков.

Общепризнанная информационная картина, ОПИК ― утверждение всеобщей осведомлённости о ситуации и понимании, переданное лицам, принимающим решения в условиях кризиса, и используемое как общепринятая основа для оправданных решений, поддающихся аудиту. ткж. в ряде стандартов ср.: Информационное заявление, ИЗ ― это доклад, представляющий согласованное и формальное заявление ситуационной осведомленности, представляется в качестве общеорганизационной базы понимания, на которой могут основываться все решения менеджмента в условиях кризиса, влияющие на всю организацию.

Чувствительная информация (sensitive information) ― информация, которую необходимо защищать от публичного раскрытия, так как её раскрытие могло бы оказать негативное воздействие на организацию, национальную или общественную безопасность.

Система менеджмента персональной информации, СМПИ (personal information management system, PIMS) ― часть общей системы менеджмента, направленная на создание, внедрение, функционирование, мониторинг, анализ, поддержание в рабочем состоянии и постоянное улучшение менеджмента персональной информации.

Причастная сторона (stakeholder) ― любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска. Примечание: эквивалентно понятиям «стейкхолдер», «заинтересованная сторона», «группа интересов», «группа влияния» в других управленческих дисциплинах.

Договор о взаимопомощи (mutual aid agreement) ― заранее подготовленное соглашение между двумя или более субъектами об оказании помощи друг другу.

Партнёрство (partnership) ― организационная форма отношений между двумя и более субъектами (государственно-государственное, государственно-частное, частное партнерство), при которой устанавливаются рамки сотрудничества, функции, процедуры и средства для предупреждения и ликвидации какого-либо инцидента, влияющего на социетальную безопасность, в соответствии с применимым законодательством.

Учения (exercise) ― мероприятия, в процессе которых частично или полностью проходит отработка действий (репетиция), предусмотренных планом (ами) обеспечения непрерывности бизнеса, направленные на то, чтобы план (ы) содержал (и) необходимую информацию и при выполнении приводил (и) к запланированным результатам. Учения могут использоваться для подтверждения правильности стратегии, планов, процедур, проверки подготовки кадров, оснащения и межорганизационных соглашений; для разъяснения персоналу и отработки им функций и ответственности; совершенствования межорганизационной координации и связи; выявления дефицита ресурсов; повышения индивидуальных показателей деятельности сотрудников и выявления возможностей для улучшения; а также для контролируемой возможности практической «импровизации». Тест ― это особый вид учений, предполагающий получение ожидаемого результата, оцениваемого по зачетной системе для достижения целей планируемого учения.

Целевой срок восстановления (recovery time objective, RTO) ― Плановое время возобновления деятельности и восстановления ресурсов, установленное на основе максимально приемлемого периода нарушения деятельности организации.

Координационный совет обеспечения непрерывности деятельности (operational continuity management team) ― группа должностных лиц организации, уполномоченных и ответственных за разработку и исполнение планов обеспечения непрерывности деятельности, а также за инициирование работ при возникновении аварий и кризисов и непосредственное координирование работ в процессе восстановления после инцидента.

Группа обеспечения непрерывности деятельности (operational continuity team) ― группа должностных лиц организации, ответственных за разработку, реализацию, инициирование и поддержку плана обеспечения непрерывности деятельности, включая процессы и процедуры, а также за проведение учений.

Задание:

Составьте перечень дополнительных понятий и категорий, с которыми вы сталкивались при антикризисном управлении для последующего их толкования на основе обращения к списку рекомендованной литературы.