Czytaj książkę: «Антикризисное управление по ГОСТ Р: вводный курс. Учебное пособие ― дайджест-справочник: издание второе, дополненное и исправленное»

Рецензенты:

Бобылёва А. З. ― доктор экономических наук, профессор, заведующая кафедрой финансового менеджмента факультета государственного управления МГУ имени М. В. Ломоносова;

Тайбер З. Ю. ― кандидат экономических наук, доцент кафедры экономики инновационного развития факультета государственного управления МГУ имени М. В. Ломоносова;

Шестопёров А. М. – кандидат экономических наук, руководитель Дирекции организации правовой поддержки субъектов малого и среднего предпринимательства АО «Корпорация „МСП“».

© Андрей Сергеевич Царенко, 2022

ISBN 978-5-0059-2001-0

Создано в интеллектуальной издательской системе Ridero

От автора

Книга представляет собой доработку и актуализацию с учётом новелл национальной системы стандартизации учебного пособия «Антикризисное управление по ГОСТ Р: вводный курс. Дайджест-справочник» 2021 года издания.

На сегодня при чтении курсов «Антикризисного менеджмента» («Антикризисного управления»), «Государственного антикризисного управления» часто неоправданно забытыми оказываются национальные стандарты антикризисной проблематики. Данное издание, представляющее собой дайджест-справочник по содержанию национальных стандартов в сфере антикризисного управления организацией призвано устранить этот пробел, дополнить преподаваемый профильный учебный курс модулем/разделом «Стандартизация в сфере антикризисного управления».

В рамках данного учебного пособия предпринята попытка представить основные достижения национальной стандартизации в антикризисной сфере, изложить требования к программе-минимум и рекомендации для достижения кризисоустойчивости систем управления и построения организации «готовой к кризису». При этом следует отметить, что стандарты системы ГОСТ основываются на лучшей мировой практике.

Пособие основано на разборе подхода к антикризисному управлению в рамках стандартов ГОСТ Р серии 53647 «Менеджмент непрерывности бизнеса», частично затронуты дополняющие серию аналоги стандартов Международной организации стандартизации (ИСО) ― ГОСТ Р ИСО 22301—2014 Системы менеджмента непрерывности бизнеса. Общие требования и ГОСТ Р ИСО 22313—2015 Менеджмент непрерывности бизнеса. Руководство по внедрению, а также их обновлённые версии редакции 2021 года, в которых, в том числе термин «бизнес» заменён на «деятельность».

В данном вводном курсе основной упор сделан на стандарты:

– ГОСТ Р 53647.1—2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство.

– ГОСТ Р 53647.2—2009 Менеджмент непрерывности бизнеса. Часть 2. Требования.

– ГОСТ Р 53647.9—2013 Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса.

Данное пособие рекомендуется для направлений подготовки программ бакалавриата и магистратуры:

– «Менеджмент»;

– «Государственное и муниципальное управление»;

– «Управление персоналом».

ДАЙДЖЕСТ-СПРАВОЧНИК

Основные национальные стандарты в сфере антикризисного управления

Рис. 1  Основные национальные стандарты по антикризисному управлению по базе Росстандарта

ГОСТ Р 53647.1—2009 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Часть 1 Практическое руководство ―

Устанавливает

– процессы, принципы и терминологию менеджмента непрерывности бизнеса (МНБ);

– основные положения для понимания, разработки и внедрения менеджмента непрерывности бизнеса в организации и обеспечения доверия к продукции или услугам организации со стороны потребителей и партнеров.

Может помочь организации последовательно измерять и оценивать свою способность к обеспечению непрерывности бизнеса.

ГОСТ Р 53647.2—2009 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Часть 2 ТРЕБОВАНИЯ ―

Устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).

ГОСТ Р 53647.3—2015 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. ЧАСТЬ 3. РУКОВОДСТВО ПО ОБЕСПЕЧЕНИЮ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ГОСТ Р ИСО 22301 ―

Обеспечивает помощь организациям по выполнению требований ГОСТ Р ИСО 22301 и основывается на предположении, что организацией уже предприняты некоторые действия по внедрению МНБ.

ГОСТ Р 53647.4—2011 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. РУКОВОДЯЩИЕ УКАЗАНИЯ ПО ОБЕСПЕЧЕНИЮ ГОТОВНОСТИ К ИНЦИДЕНТАМ И НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ―

Содержит полный набор средств управления, основанных на передовых методах IPOCM (Обеспечение готовности к инцидентам и непрерывности деятельности), используемых на всех этапах руководства и управления организацией.

Подробно описывает общие процессы планирования и управления, которые помогут организации при:

– анализе среды функционирования организации, ограничений и угроз для её работы, которые могут привести к существенным разрушениям;

– количественной оценке воздействия нарушений/разрушений на критические виды деятельности и процессы организации;

– определении видов её деятельности, которые являются критическими для достижения целей в краткосрочной и долгосрочной перспективе;

– идентификации инфраструктуры и ресурсов, необходимых организации для обеспечения непрерывности деятельности на минимальном уровне;

– документировании ключевых ресурсов, инфраструктуры, целей и распределении ответственности, необходимых для поддержки критических видов деятельности в случае возникновения нарушений/разрушений;

– установлении процессов, актуализации используемой информации и учёта изменений риска и производственной среды;

– повышении осведомлённости вовлеченного персонала, заказчиков, поставщиков и других причастных сторон об обеспечении готовности к инцидентам и непрерывности деятельности организации и, при необходимости, применении в организации всех требуемых процедур;

– выполнении принятых решений и обеспечении постоянного улучшения всех процессов.

ГОСТ Р 53647.5—2012 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. ГОТОВНОСТЬ К ОПАСНЫМ СИТУАЦИЯМ И ИНЦИДЕНТАМ ―

Представляет рекомендации в области готовности к опасным ситуациям и инцидентам.

ГОСТ Р 53647.6—2012 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. ТРЕБОВАНИЯ К СИСТЕМЕ МЕНЕДЖМЕНТА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ДЛЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ДАННЫХ ―

Позволяет организациям внедрить в рамках общей структуры управления информацией систему менеджмента персональной информации (СМПИ), которая служит основой повышения степени соответствия законодательным и обязательным требованиям о защите данных и передовому опыту в данной области деятельности.

ГОСТ Р 53647.8—2013 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. УПРАВЛЕНИЕ ЧЕЛОВЕЧЕСКИМИ РЕСУРСАМИ ―

Включает руководство по планированию и разработке стратегии и политики управления человеческими ресурсами при возникновении инцидента, предусматривающее:

– меры реагирования при непосредственном воздействии инцидента;

– организационные действия на этапе восстановления после воздействия инцидента (обеспечения непрерывности деятельности);

– поддержку персонала при восстановлении деятельности организации.

Не содержит полного руководства по управлению человеческими ресурсами в условиях инцидента, стандарт направлен на снижение воздействия инцидента на персонал и другие причастные стороны.

ГОСТ Р 53647.9—2013 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА. УПРАВЛЕНИЕ ОРГАНИЗАЦИЕЙ В УСЛОВИЯХ КРИЗИСА ―

Описывает общую и наблюдаемую природу кризисов, их происхождение и потенциальное влияние.

Устанавливает, как у организации могут развиться систематические уязвимости.

Предоставляет рекомендации, как развить улучшенную устойчивость.

Определяет общие выгоды, которые можно извлечь из развития готовности к осуществлению менеджмента в условиях кризиса.

В общих чертах обсуждает природу готовности. Даёт практический совет, как развить её. Описывает необходимые структуры и процессы.

Определяет, как системы информационного менеджмента могут поддержать лиц, принимающих решение.

Даёт суммарную информацию о планах менеджмента в условиях кризиса. Предлагает относиться к планам как к развивающимся документам, подвергающимся постоянной оценке и пересмотрам.

ГОСТ Р ИСО 22301—2021 СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ. ТРЕБОВАНИЯ ―

Устанавливает структуру системы менеджмента непрерывности деятельности (СМНД) в соответствии с количеством и типом воздействий, на которые организация может или не может реагировать при нарушении деятельности организации в работе, а также требования к внедрению и поддержанию этой системы.

Результаты применения СМНД формируются организацией с учётом правовых, нормативных, организационных и отраслевых требований, особенностей продукции и услуг, процессов, размера и структуры организации, а также требований заинтересованных сторон.

ГОСТ Р ИСО 22313—2021 Надёжность в технике. МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ. РУКОВОДСТВО ―

Приводит руководящие указания к требованиям, установленным в ИСО 22301.

Не содержит общее руководство по всем аспектам обеспечения непрерывности деятельности.

Включает в себя те же разделы, что и ИСО 22301, но не дублирует требования и связанные с ними термины и определения.

Цель руководства состоит в  и связанных с этим вопросов. Дополнительное руководство, которое можно использовать при применении, содержат ISO/TS 22317, ISO/TS 22318, ИСО 22322, ISO/TS 22330, ISO/TS 22331 и ИСО 22398. объяснении и разъяснении смысла и цели требований ИСО 22301

ГОСТ Р 55899—2013 РУКОВОДСТВО ПО ОБОСНОВАНИЮ ПРИМЕНИМОСТИ И РАЗРАБОТКЕ СТАНДАРТОВ НА СИСТЕМЫ КРИЗИСНОГО МЕНЕДЖМЕНТА ―

Устанавливает обоснование и определение стоимости предложенного проекта стандарта на систему кризисного менеджмента в целях оценки его коммерческой пригодности;

Содержит руководящие указания по методологии (процессу) разработки и поддержанию (пересмотру и изменению) стандартов на системы кризисного менеджмента с целью обеспечить совместимость и улучшить согласованность.

Содержит руководящие указания по терминологии, структуре и общим элементам в стандартах на системы кризисного менеджмента с целью обеспечить совместимость, а также улучшить согласованность и облегчить использование.

ГОСТ Р ИСО/МЭК 27031—2012 МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. РУКОВОДСТВО ПО ГОТОВНОСТИ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ К ОБЕСПЕЧЕНИЮ НЕПРЕРЫВНОСТИ БИЗНЕСА ―

Описывает концепции и принципы готовности информационно-коммуникационных технологий (ИКТ) к обеспечению непрерывности бизнеса (ОНБ);

Предоставляется система методов и процессов определения и точного изложения всех аспектов (таких как критерии эффективности, проектирование и реализация) для совершенствования готовности ИКТ организации к обеспечению непрерывности бизнеса.

ПРИМЕЧАНИЕ

Информация о стандарте 7 серии 53647 в базе Росстандарта отсутствует.

Задание:

Зайдите на любой портал правовой/методической информации, найдите оригинальные тексты представленных стандартов, проверьте их актуальность, добавьте себе в закладки.

Базовые понятия и категории, используемые в стандартах

(crisis) ― по своей природе ненормальная, нестабильная и сложная ситуация, представляющая угрозу стратегическим целям, репутации и существованию организации; ситуация, характеризующаяся высокой степенью неопределённости, в которой нарушены основные виды деятельности и/или доверие к организации и требуется принятие срочных мер. Кризис

(incident) ―ситуация прерывания бизнеса, утраты, чрезвычайной ситуации или кризиса или способная привести к ним. Инцидент 

(disruption) ―невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением. Нарушение деятельности (организации) 

(disaster)― ситуация, в которой произошедшие широкомасштабные человеческие, материальные, экономические или экологические потери превышают возможности пострадавшей организации, сообщества или общества по реагированию и восстановлению с использованием собственных ресурсов. Бедствие/ катастрофа 

(threat) ― Потенциальная причина нежелательного инцидента, который может привести к причинению вреда людям, системе или организации, окружающей среде или сообществу. Угроза 

(hazard)― источник потенциального вреда. (all-hazards) ― природные, антропогенные (умышленные и неумышленные), в том числе техногенные, явления, способные воздействовать на организацию, сообщество или общество и окружающую среду, от которой она (оно) зависит. Опасность  Все виды опасностей 

 ― это неопределённое событие или условие, наступление которого отрицательно или положительно сказывается на целях организации. Также: следствие влияния неопределённости на достижение целей. При этом ― это ситуация, когда полностью или частично отсутствует информация, понимание или знание о событии, его последствиях или вероятности. Риск может быть вызван одной или несколькими причинами и в случае возникновения может оказать воздействие на один или несколько аспектов. Также это комбинация вероятности события и его последствий. Любые действия приводят к событиям и последствиям, которые могут представлять собой как потенциальные «положительные» возможности, так и «опасности» для организации. В настоящее время риск менеджмент включает в себя понятия положительного и негативного аспектов риска. Стандарты управления рисками, соответственно, рассматривают риск с этих позиций. В сфере безопасности последствия наступления события рассматриваются с негативной точки зрения. Соответственно управление рисками уделяет основное внимание превентивным мероприятиям или, мероприятиям, смягчающим размеры последствий. Риск неопределённость

(resilience) ― способность организации противостоять воздействию инцидента; способность организации управлять риском, связанным с нарушением деятельности; адаптивный потенциал организации в сложных меняющихся условиях. Устойчивость 

(capacity) ― совокупность всех сил и средств, имеющихся у организации, сообщества или общества, которые могут уменьшить уровень риска или последствия кризиса. Потенциал 

(critical activities) ― виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных и первоочередных целей организации. Критические виды деятельности 

(incident preparedness) ― действия, программы и системы, разработанные и внедренные до возникновения инцидента, которые могут помочь организации смягчить последствия и выбрать эффективные ответные меры при возникновении инцидента, а также ускорить восстановление организации после разрушений, бедствий, критических ситуаций или аварий. Готовность к инцидентам 

(incident preparedness and operational continuity management, IPOCM) ― систематические и скоординированные действия, с помощью которых организация рационально управляет своими рисками и деятельностью в условиях возможных угроз и опасных воздействий. Обеспечение готовности к инцидентам и непрерывности деятельности 

(crisis-aware organization) ― предусмотрительная организация, обладающая методами и процессами определения возникающих кризисов и борьбы с ними на самом раннем этапе при постоянной оценке своей устойчивости и своих уязвимостей. Организация, готовая к кризису 

(business continuity) ― стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения её деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне; способность организации продолжать производство продукции или оказание услуг на приемлемом, заранее заданном уровне после инцидента, нарушившего ее деятельность. Непрерывность бизнеса/деятельности 

(societal security) ― защита общества от инцидентов, чрезвычайных ситуаций и бедствий, вызванных умышленными и неумышленными действиями человека, опасными природными явлениями и техническими неисправностями, а также реагирование на такие события. Социетальная безопасность 

(civil protection) ― мероприятия и системы, предназначенные для защиты жизни и здоровья граждан, их имущества, а также окружающей среды от нежелательных событий. Нежелательные события включают аварии, чрезвычайные ситуации и бедствия. Гражданская защита 

(issues management) ― предвидение и оценка тенденций и потенциальных изменений в деловой среде организации, которые влекут за собой перспективное планирование рассмотрения возможностей и угроз и быстрое реагирование на проблемы, угрожающие репутации и отношениям с причастными сторонами. Менеджмент проблем 

 (business continuity management; BCM) ― полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, её бренда и деятельности, добавляющей ценность. Менеджмент непрерывности бизнеса; МНБ

(emergency management) ― общий подход к предупреждению и ликвидации чрезвычайных ситуаций. В менеджменте чрезвычайных ситуаций для предотвращения, обеспечения готовности, реагирования и последующего восстановления в связи с событиями, дестабилизирующими и/или нарушающими деятельность, как правило, используют подход менеджмента риска. Менеджмент чрезвычайных ситуаций 

Менеджмент непрерывности бизнеса включает в себя в случае нарушений в её работе, а также общей программой обеспечения непрерывности бизнеса организации путём обучения, практического применения и анализа непрерывности бизнеса, разработкой и актуализацией планов непрерывности бизнеса. Примечание: управление восстановлением или продолжением деятельности организации

(risk management) ― скоординированные действия по руководству и управлению организацией в области риска. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и обмен информацией о риске. Менеджмент риска 

(residual risk) ― риск, оставшийся после обработки риска. Остаточный риск 

(event) ― Возникновение или изменение специфического набора условий. Событие может быть единичным или повторяющимся и иметь несколько причин, определённым или неопределённым. Событие

Для описания события могут быть использованы термины «инцидент», «происшествие», «опасное событие» или «несчастный случай». Событие без последствий может также быть названо «угрозой возникновения опасного события», «инцидентом», «угрозой происшествия», «угрозой поражения» или «угрозой возникновения аварийной ситуации». Степень уверенности в появлении события может быть выражена с помощью отнесения события к определенному классу или разряду, таким как:

– крайне редко / маловероятно / вероятно / почти наверняка;

– невозможно / крайне маловероятно / редко / иногда / вероятно / часто. Событие может иметь несколько последствий.

(consequence) ― результат события, влияющий на достижение целей. Последствие может быть а) определённым или неопределённым, б) оказывать положительное или отрицательное влияние на цели; в) выражено качественно или количественно. Важно помнить: первоначальные последствия могут нарастать вследствие эффекта домино. Последствие 

(probability) ― мера возможности появления события. Часто используется математическое определение вероятности: «Вероятность ― действительное число в интервале от 0 до 1, характеризующее случайное событие». Вероятность может отражать относительную частоту появления события в серии наблюдений или степень уверенности в том, что событие произойдет. При высокой степени уверенности в появлении события вероятность близка к единице. При описании риска вместо «вероятности» может быть использовано понятие . Вероятность  «частота»

(situational awareness) ― процесс восприятия, понимания, интерпретации и оценки того, что происходит в кризисе, вместе со способностью устанавливать и моделировать предвидимые перспективные развития. Осведомлённость о ситуации / ситуационная осведомлённость

(horizon scanning) ― систематическое исследование потенциальных угроз, возможностей и перспектив развития, способных создать новые риски и изменить характер уже установленных рисков. Сканирование горизонта

– утверждение всеобщей осведомлённости о ситуации и понимании, переданное лицам, принимающим решения в условиях кризиса, и используемое как общепринятая основа для оправданных решений, поддающихся аудиту. .:  ― это доклад, представляющий согласованное и формальное заявление ситуационной осведомленности, представляется в качестве общеорганизационной базы понимания, на которой могут основываться все решения менеджмента в условиях кризиса, влияющие на всю организацию. Общепризнанная информационная картина, ОПИК Информационное заявление, ИЗ ткж. в ряде стандартов ср

(sensitive information) ― информация, которую необходимо защищать от публичного раскрытия, так как её раскрытие могло бы оказать негативное воздействие на организацию, национальную или общественную безопасность. Чувствительная информация 

(personal information management system, PIMS) ― часть общей системы менеджмента, направленная на создание, внедрение, функционирование, мониторинг, анализ, поддержание в рабочем состоянии и постоянное улучшение менеджмента персональной информации. Система менеджмента персональной информации, СМПИ 

(stakeholder) ― любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска. Примечание: эквивалентно понятиям «стейкхолдер», «заинтересованная сторона», «группа интересов», «группа влияния» в других управленческих дисциплинах. Причастная сторона 

(mutual aid agreement) ― заранее подготовленное соглашение между двумя или более субъектами об оказании помощи друг другу. Договор о взаимопомощи 

 (partnership) ― организационная форма отношений между двумя и более субъектами (государственно-государственное, государственно-частное, частное партнерство), при которой устанавливаются рамки сотрудничества, функции, процедуры и средства для предупреждения и ликвидации какого-либо инцидента, влияющего на социетальную безопасность, в соответствии с применимым законодательством. Партнёрство

(exercise) ― мероприятия, в процессе которых частично или полностью проходит отработка действий (репетиция), предусмотренных планом (ами) обеспечения непрерывности бизнеса, направленные на то, чтобы план (ы) содержал (и) необходимую информацию и при выполнении приводил (и) к запланированным результатам. Учения могут использоваться для подтверждения правильности стратегии, планов, процедур, проверки подготовки кадров, оснащения и межорганизационных соглашений; для разъяснения персоналу и отработки им функций и ответственности; совершенствования межорганизационной координации и связи; выявления дефицита ресурсов; повышения индивидуальных показателей деятельности сотрудников и выявления возможностей для улучшения; а также для контролируемой возможности практической «импровизации». ― это особый вид учений, предполагающий получение ожидаемого результата, оцениваемого по зачетной системе для достижения целей планируемого учения. Учения  Тест

(recovery time objective, RTO) ― Плановое время возобновления деятельности и восстановления ресурсов, установленное на основе максимально приемлемого периода нарушения деятельности организации. Целевой срок восстановления 

(operational continuity management team) ― группа должностных лиц организации, уполномоченных и ответственных за разработку и исполнение планов обеспечения непрерывности деятельности, а также за инициирование работ при возникновении аварий и кризисов и непосредственное координирование работ в процессе восстановления после инцидента. Координационный совет обеспечения непрерывности деятельности 

(operational continuity team) ― группа должностных лиц организации, ответственных за разработку, реализацию, инициирование и поддержку плана обеспечения непрерывности деятельности, включая процессы и процедуры, а также за проведение учений. Группа обеспечения непрерывности деятельности 

Задание:

Составьте перечень дополнительных понятий и категорий, с которыми вы сталкивались при антикризисном управлении для последующего их толкования на основе обращения к списку рекомендованной литературы.