Когда крупной фармацевтической фирме потребуется специальный ингредиент под названием “Рекомбинантный протеин А”, она скорее всего обратится в компанию Repligen, вице-президент по развитию рынка которой Лаура Вайтхаус сказала: “Мы единственные поставщики для наших клиентов”.
Это, конечно, хорошо для бизнеса Repligen, но в то же время накладывает колоссальную ответственность на ее руководителей. Они должны быть абсолютно уверены, что их ИТ и все проводимые ими основные операции никогда не дадут сбоя, что может приостановить поставки протеина А и нанести ущерб клиентам и пациентам.
В течение нескольких минувших лет Repligen ощущала постоянно нарастающее давление со стороны своих клиентов, требующих не только улучшить планирование, с тем чтобы была обеспечена непрерывность бизнеса, но и предоставить им четкие доказательства этих улучшений. В последние годы компания работала над созданием программы восстановления после аварий и обеспечения непрерывности бизнеса, но эти усилия были не слишком активными.
Поэтому, когда руководство Repligen услышало о появлении сертифицированного стандарта непрерывности бизнеса BS25999, разработанного подразделением проблем управления института BSI (British Standards Institute), то оно решило им воспользоваться, ведь этот стандарт не только предлагает набор действий для реализации политики, но и предусматривает выдачу сертификатов клиентам.
“Как только представилась возможность сертифицировать управление непрерывностью нашего бизнеса, мы решили воспользоваться ею и переработать свою программу обеспечения непрерывности бизнеса, — пояснила Вайтхаус. — Для большей части программы это означало всё начать с нуля и построить новую систему управления непрерывностью бизнеса, согласованную с BS25999. Мы решили двигаться вперед в направлении сертификации и пригласить для проведения внешней проверки независимую организацию, что, несомненно, дало бы нашим клиентам определенную уверенность в правильности ведения нами процессов управления непрерывностью бизнеса”.
Новый стандарт
Одна из самых больших проблем, с которой сталкиваются компании при восстановлении работоспособности систем после аварии и при управлении непрерывностью бизнеса (business continuity management, BCM), — это поддержка согласованности c требованиями регулирующих органов. У большинства компаний есть политика ВСМ, но насколько она реализуемы — это совсем другой вопрос.
“Специальные исследования показывают, что даже в Европе и США 50% опрошенных фирм не готовы к проведению операций, направленных на поддержку непрерывности бизнеса, — заявил Джон ДиМария, менеджер по продуктам обеспечения непрерывности бизнеса в американском филиале BSI. — Это связано в основном c низкой согласованностью с требованиями регулирующих органов, недостаточным анализом последствий аварий и несовершенством планирования. Люди, у которых есть план, не проверяют его, не обновляют и даже не пытаются его выполнить”.
Институт BSI — одна из самых лучших организаций в области глобальной стандартизации — ввел стандарт BS25999 менее чем два года назад и делает пока только первые шаги, убеждая рынок средств восстановления после аварии и обеспечения непрерывности в важности принятия стандартов, представляющих собой концентрированный опыт лучших компаний.
Сегодня есть десятки стандартов и сертификатов в отрасли, которая имеет дело с процессами восстановления работоспособности после аварий, подготовкой или планированием действий в случае возникновения тех или иных чрезвычайных обстоятельств. Есть сертификация для профессионалов в области обеспечения непрерывности бизнеса, например предлагаемая международным институтом Disaster Recovery, множество руководств от различных регулирующих органов (FDA, FFIEC и SEC) и такие всеобъемлющие стандарты, как ISO 17799, охватывающие те или иные аспекты непрерывности бизнеса.
Как считает ДиМария, использование BS25999 происходит с помощью сертифицированной схемы, действующей в разных отраслях: “Этот стандарт был создан в ответ на запрос международного сообщества о согласованном подходе к системе управления непрерывностью бизнеса”. Процесс сертификации занимает определенное время, поэтому BSI только сейчас начинает видеть результаты своих усилий по внедрению BS25999, в частности в компании Repligen, которая первой в Северной Америке будет сертифицирована.
Не спешите — предостерегают эксперты
Некоторые специалисты в области восстановления после аварий пока не ожидают лавинообразного распространения BS25999 в качестве отраслевого стандарта.
Среди них Эл Берман, исполнительный директор DRII, который утверждает, что, несмотря на его заинтересованность в использовании стандарта, у него есть некоторые сомнения в том, насколько он в своем нынешнем виде жизнеспособен. Сегодня BS25999 находится в процессе пересмотра, и этот факт заставляет бизнес с опаской относиться к сертификации.
“Я считаю, что в целом внедрение стандартов хорошо для отрасли, и думаю, что всё, что делает нас более подготовленными к ним, тоже хорошо, — подчеркнул Берман. — Но я всегда с неодобрением отношусь к стандартам, которые не приобрели окончательный вид. BS25999 предстоят перемены, и если у вас есть ясное представление о том, как он должен выглядеть, когда появится на свет, то вы должны участвовать в его изменениях”.
Одна из наиболее серьезных проблем, связанных со стандартом, состоит в том, как он соотносится с планом корректирующих мероприятий. Этот план, предписанный стандартом, формируется до самого конца процесса планирования непрерывности, т. е. до того времени, когда компания протестирует план восстановления после аварии, найдет в нем недостатки и, чтобы уменьшить их влияние, составит список необходимых корректирующих действий.
“Мне говорили, что всё это может выявиться в ходе судебных споров, когда вы соглашаетесь признать недостатки. Итак, если вы хотите пройти весь этот процесс и собираетесь признать, что у вас есть недостатки, а после этого что-то случается, то в лучшем случае это можно характеризовать, как небрежность, а в худшем — как серьезную небрежность, — пояснил Берман. — Я говорил об этом с руководителями целого ряда крупных компаний, и когда мы доходили до обсуждения этого момента, они привлекали к разговору адвокатов и просто бледнели, услышав о возможном развитии событий”.
Он также высказывает пожелание, чтобы BSI сделал процесс сертификации более прозрачным для внешнего мира. Берман все еще пытается выяснить в деталях, как проводятся аудит и тесты, что, с его точки зрения, важно для того, чтобы превратить BS25999 в надежный внешний механизм проверки процесса непрерывности бизнеса в компании.
По мнению Бермана, бизнесу не надо торопиться с принятием этого стандарта, прежде следует изучить имеющиеся варианты, поскольку BS25999 — это не единственная схема и в скором времени можно ожидать появления других стандартов непрерывности. Например, National Fire Prevention Association 1600 был официальным стандартом в Северной Америке более десяти лет. На сцену выходят и другие — сегодня American National Standards Institute назначен главным учреждением, которое будет осуществлять контроль за будущими попытками создания более совершенных стандартов в ответ на директивы законодателей, прописанные в законе Private Sector Preparedness Act 11053, принятие которого было вызвано терактом 11 сентября.
Берман надеется, что результаты этой работы появятся в ближайшие годы, а это может стать более значимым событием, учитывая, что такой стандарт не ставит целью извлечение прибыли.
“Я знаю людей из BSI, это квалифицированные профессионалы, но они занимаются бизнесом, — сказал Берман. —А закон Private Sector Preparedness Act 11053 был подготовлен ANSI, организацией, не работающей на прибыль, в этом вся разница”.
Итак, что порекомендовал бы Берман компаниям, стремящимся улучшить свои программы восстановления после аварий и планирования непрерывности?
“Мой совет любому человеку, кто спрашивает меня об этом, один: не торопитесь, нет никакой нужды в быстрой сертификации, — подчеркнул Берман. — И еще — пока существует эта неразбериха со стандартами и руководящими указаниями по работе с ними в США и по всему миру, стройте планы, базирующиеся на фундаментальных принципах. Если вы изучите структуру и основу большинства стандартов и будете придерживаться фундаментальных принципов, тогда в конце концов всё у вас будет хорошо”.
Далеко не незначительные инвестиции
Как подчеркивает Берман, компания Repligen приняла решение работать со стандартом BS25999, поскольку документ о сертификации не только позволяет ей убедить клиентов в правильности своих действий, но также предоставляет указания и инструменты для реализации этих фундаментальных принципов, т. е. дает всеобъемлющую стратегию, которая включает в себя все обычные работы по восстановлению после аварии, а именно: анализ ее воздействия на бизнес, анализ перерыва в работе, вызванного этой аварией, а также надлежащее тестирование и поддержку планов.
“Все, что стандарт требует от вас, это внедрить живую и действенную систему управления непрерывностью бизнеса, которая содержит ряд инструментов для оценки рисков, способных повлиять на ваш бизнес, — отметила Вайтхаус. — Надо фокусироваться на идентификации рисков, расставляя приоритеты по степени их воздействия на ваш бизнес, а затем попытаться сделать все так, чтобы снизить выявленные риски”.
Процесс сертификации заставил компанию Repligen внедрить более мощные механизмы восстановления, открыть новое вспомогательное производство, в целом увеличить дублирование операций и создать дополнительные каналы поставок, чтобы при отказе основного производства переключать клиентов на вспомогательное. И этот процесс еще продолжается — даже после сертификации.
“Система действительно ориентирована на постоянное улучшение. По мере того как вы снижаете основные риски, которые раньше могли возглавлять ваш список, на первые места в нем выходят новые риски, — пояснила Вайтхаус. — Поэтому вы должны постоянно обновлять систему и постоянно совершенствовать те области, которые способствуют снижению рисков”.
Еще более важно то, что система, которую в компании Repligen создали по схеме BS25999, дает возможность работать на автопилоте, когда руководителям бизнеса более всего требуется определить основные направления работ во время аварий.
“Она позволяет быстро реагировать на аварийную обстановку, а не размышлять в такие минуты над решением проблем, — продолжила Вайтхаус. — В момент аварии есть так много нюансов, которые надо продумать, и так много дел, которые надо сделать, что было бы лучше, если бы что-то помогало вам реагировать на происходящее и принимать правильные решения вовремя”.
По ее словам, создание BCM-системы — это “не незначительные инвестиции. Денег стоит не только установка такой системы, но и ее дальнейшая эксплуатация. И все же, как отмечает Вайтхаус, это не требует того, чтобы выложить все деньги вплоть до последнего доллара, которые, вероятно, могли бы пригодиться для восстановления после аварии. В этом и состоит прелесть BS25999, считает ДиМария: “Нужно просто подходить ко всему с позиций здравого смысла, в том числе анализировать оценки рисков и воздействие на бизнес характерного для вас набора рисков, а также понимать, что эти риски значат для вашей компании и есть ли возможность их снизить. Естественно, порой можно вложить так много средств в предотвращение риска, что дешевле будет позволить ему реализоваться и положиться на политику восстановления”.
Как увидеть отдачу
По словам Вайтхаус, было несложно вовлечь руководителей в этот проект, поскольку они чувствовали, что результаты окупят вложенные средства.
“Мы осознаем, что действительно важно защитить нашу цепочку поставок, потому что в конечном счете это повлияет на получение лекарств пациентами, — пояснила Вайтхаус. — Есть очень много бизнес-соображений, а также просто человеческих причин, по которым мы считаем наши вложения вполне целесообразными”.
Она также подчеркнула, что, поскольку BS25999 был построен для того, чтобы интегрироваться со стандартами ISO, компания Repligen полагает, что интеграция между процессами, которые они внедрили для сертификации BS25999, и процессами по управлению качеством очень важна для их давно ведущейся работы по сертификации ISO 90012000.
“Есть целый ряд синергетических эффектов между ISO и BS25999, поэтому можно ожидать некоторой экономии”, — считает Вайтхаус.
Компания надеется достичь определенной экономии и в департаменте аудита. По мнению специалистов Repligen, после того как внешние аудиторы поймут, что входит в сертификацию BS25999, компании будет существенно легче и дешевле проходить аудит.
“Я думаю, что первый аудит во многом станет обучением тому, что такое BS25999, но в общем если подумать о других стандартах типа ISO и если компания хочет сертифицироваться по ISO, то аудиторы знают, чего ожидать от нашей системы управления качеством, поскольку в отрасли известно, что такое ISO, — заявила Вайтхаус. — Поэтому, приходя к нам, аудиторы действуют иначе, чем если бы они имели дело с самодельной системой управления качеством”.
Кроме того, Repligen приобрела и лучшее знание других своих систем, что было необходимо для внедрения BCM. “Когда вы лучше изучаете детали своего бизнеса, то не только осознаете пути его защиты, но и понимаете, как улучшить сам бизнес, — подчеркнула Вайтхаус. — Это очень ценный инструмент”.
Что еще более важно, это возвращение хорошего отношения со стороны клиентов, и это Repligen надеется увидеть в результате всех своих усилий. Компания уже использовала сделанную работу для того, чтобы донести до клиентов свою приверженность идее BCM и получить вознаграждение за вложенные средства, рассылая меморандумы клиентам и включая сведения о сертификации в свои инвестиционные планы.
“Мы надеемся, что всё это станет нашим конкурентным преимуществом, — сказала Вайтхаус. — Мы считаем, что сделали правильные инвестиции для того, чтобы продолжить удовлетворять запросы своих клиентов, а также занимать достойное место на рынке”.
Надо отметить, считает Берман, что не важно, какую схему или стандарт компания использует, главная выгода, кроме общей готовности к авариям, — это удовлетворенность клиентов.
“Это один из аспектов, который хотело уяснить для себя и правительство США, — а какова же реальная награда для тех компаний, что прошли по этому пути? — подчеркнул он. — Я проповедую данную идею уже много лет, и помимо улучшения подготовки к авариям единственная награда — это сделать ваших клиентов счастливыми”.