دليل تحليل تأثير الأعمال

لا يعلم الجميع أين ومتى يبدأون في تنفيذ خطط استمرارية العمل. عادة ما أقول هذا: عندما تكون الخسائر المحتملة أعلى من تكاليف مواجهة التهديد ، فقد حان الوقت لاتخاذ التدابير ، ستكون التكاليف كافية. والعكس صحيح. إذا كانت تكلفة المضاد أكثر أو أقل وضوحًا ، فإن تقدير الخسائر يعد مهمة غير تافهة. أدعوك إلى كواليس مشروع لتقييم تأثير حالات الطوارئ على الأعمال التجارية (تحليل تأثير الأعمال - BIA) ووضع استراتيجية لضمان استمرارية تكنولوجيا المعلومات باستخدام مثال بائع تجزئة كبير. لذا دعنا نذهب.

ابدأ

شاركنا في مشروع X5 Retail Group - أكبر بائع تجزئة في روسيا. تدير الشركة شبكات Pyaterochka و Carousel و Crossroads.

لديها بالفعل سياسة إدارة مخاطر المقاطعة الخاصة بها ، والتي تشمل:

1. تأمين ضد المخاطر
2. تشكيل إدارة الأزمات ؛
3. التقليل من المخاطر على حياة وصحة الناس ؛
4. السيطرة على مخاطر إدارة الأعمال ؛
5. إعداد خطط الإنعاش الطارئة لأنظمة تكنولوجيا المعلومات.

وفقًا لهذه السياسة ، تتطلب البنية التحتية المركزية لتكنولوجيا المعلومات تطوير استمرارية خدمات تكنولوجيا المعلومات وخطط التعافي من الكوارث. سيكون الحل المثالي هو بناء مركز بيانات احتياطي ، وإنشاء نسخ متزامن ، وإعداد أتمتة نقل الطوارئ ، ومشاهدة "H" في الساعة ، وكيف تنتقل أنظمة تكنولوجيا المعلومات إلى مركز بيانات النسخ الاحتياطي وتضاء الأضواء الخضراء ، مما يشير إلى أنه لا يوجد خطر على الأعمال.

ولكن بالنظر إلى اقتصاديات العملية ، اقترحت الشركة أن حجز أنظمة تكنولوجيا المعلومات الأكثر أهمية فقط سيكون إجراءً مناسبًا للطوارئ ، والتي بدونها لن تتمكن المتاجر من العمل وستبدأ خسائر مالية كبيرة في الشركة. يطرح سؤال مهم - ما هي الأنظمة وإلى متى يجب استعادتها؟
حدد قسم تكنولوجيا المعلومات للعميل تصنيف أنظمة تكنولوجيا المعلومات ووقت الاسترداد المقبول لكل نظام. ومع ذلك ، تقرر لاحقًا إجراء تقييم كامل لتأثير حالات الطوارئ على أعمال الشركة (BIA) وفقًا لمعيار ISO 22301 وأفضل الممارسات.

الحجم والحدود

يبدأ المسرح بشماعات ، ويبدأ BIA بتعريف نطاق العمل. للقيام بذلك ، تحتاج إلى فحص العمليات التجارية للشركة ، وخدماتها ، والبيانات المالية ، والعلاقات مع الشركاء والعملاء والمقاولين. ثم حدد وتنسيق عمليات وخدمات الأعمال الرئيسية التي ستقع ضمن حدود المشروع. تعتمد مدة وتكاليف BIA على الحجم. علاوة على ذلك ، تقترح تجربتنا أنه لا يجب عليك تمديد المشروع لأكثر من 9 أشهر.

في حالتنا ، حدد العميل بالفعل الحدود باختيار أهم العمليات التجارية للأنشطة التجارية.

المقابلة

بمجرد إصلاح حدود وإطار عمل BIA ، يتم تحديد قائمة بأصحاب المصلحة من رجال الأعمال والإدارات الأخرى التي ترغب في إجراء مقابلة معهم. من المهم جدًا جمع المعلومات من الإدارات المختلفة للحصول على صورة موضوعية للعمليات في الشركة ، لفهم كيفية عملها ، للحصول على تقييم "ماذا سيحدث إذا ...". في هذه المرحلة ، نحصل على معلومات حول كيفية اعتماد العمليات التجارية بالضبط على تكنولوجيا المعلومات وبناء مصفوفة من هذه التبعيات. أيضا ، يقوم ممثلو الأعمال والأطراف المهتمون بعملية الأعمال بتقييم العواقب والأضرار المحتملة والسيناريوهات المحتملة. لهذا ، قمنا بتطوير استبيان خاص وقمنا بإجراء مقابلات مع حوالي 50 مستجيبًا (قدمنا ​​50 عرضًا تقديميًا حول المشروع نفسه ، وأجرينا ، واستلمنا جميع الاستبيانات المكتملة)

العمليات التجارية

بالتوازي مع المقابلات ، قمنا بوصف العمليات التجارية ، مع مراعاة الوقت المستغرق لإكمال العمليات الفردية وعمق التفصيل ، وهو ما يكفي لمزيد من التحليل. من الضروري تقسيم العملية إلى مكونات أصغر وعمليات محددة من أجل فهم كيفية تأثير نظام تكنولوجيا المعلومات على عملية معينة في أوقات مختلفة من اليوم وأوقات مختلفة من السنة. في هذه المرحلة ، من المهم أن نفهم أننا لا نصف العمليات التجارية وفقًا لـ GOST أو منهجية أخرى. نحن لا نقوم بتحسين عمليات الأعمال ولا نعطي بشكل عام توصيات لتحسين عمليات الأعمال ، على الأقل داخل BIA. نحن نصف العمليات التجارية بمثل هذه التفاصيل التي تتيح لنا تبرير منهجية حساب الخسائر وتقييم الخسائر وفقًا لعدة معايير. للحصول على وصف رسومي ، تم استخدام الترميز EPC و ARIS و MS Visio كأدوات.

العتبات

من أجل تحديد وقت الاسترداد الهدف الموضوعي ، من الضروري على الشاطئ الاتفاق على المعايير التي سنقيم بها الضرر ، وعلى قيم عتبةها. إذا تم تجاوز هذه العتبات ، فسوف نعتبر الضرر حرجًا ، وستصبح الفترة الزمنية التي يتم عندها الوصول إلى قيمة العتبة هي وقت الاسترداد المستهدف. تم اقتراح خيارين:

• تحديد RTO بمعيار واحد - الخسائر المالية ؛
• تحديد RTO من خلال ثلاثة معايير - الخسارة المالية ، وفقدان السمعة ، وفقدان القدرة على التحكم في العمليات التجارية.

يبدو أن الخيار الأول بمعيار واحد هو الأفضل ، حيث يمكن تحويل أي خسائر بشكل مشروط إلى أموال - الشيء الرئيسي هو الاتفاق على صيغة إعادة الحساب. ولكن ، كما تظهر الممارسة ، لا أحد يروي على وجه التحديد خسائر السمعة في الخسائر المالية ، ويمكن أن تستغرق الموافقة على هذه الصيغة وقتًا غير محدد. تقرر النظر في وقت الاسترداد لكلا الخيارين ، وفي مرحلة تقديم النتائج ، سيحدد العميل نفسه أيهما يعكس الواقع بموضوعية أكبر.



في المستقبل ، سأقول أنه عند استخدام الخيار الأول مع معيار واحد ، اتضح أن RTO في عملية "التسعير" ، على سبيل المثال ، يمكن أن تصل إلى 10 أيام. عند حساب الخيار الثاني ، لم يتجاوز RTO 24 ساعة. على أي حال ، فإن قرار الإدارة - أي الخسائر التي يجب مراعاتها وأيها لا - يبقى مع العميل.

المخاطر

لقد حددنا مع العميل قائمة المخاطر التشغيلية. أي تلك التي تؤثر على تكنولوجيا المعلومات ، وتلك التي تؤثر بدورها على العمليات التجارية التي ... حسنًا ، كما تفهم. هذه المرحلة مهمة لأن الطوارئ لا تعتبر حصانًا كرويًا في فراغ ، يقولون ما سيحدث للوطن الأم ولنا إذا فقدنا تكنولوجيا المعلومات. تم تقسيم المخاطر إلى العالمية والمحلية. بالنسبة لكل منهم ، تم تحديد سيناريو تطوير وتأثير على عمليات الشركة مع مراعاة نتائج المقابلة. من الواضح أن نفس نظام تكنولوجيا المعلومات في حالة الفشل يمكن أن يؤثر على العديد من العمليات التجارية ، لكننا كنا قلقين للغاية بشأن عمليتين فقط في المشروع. ثم قمنا بتقييم المطالبات وفقًا للمعايير التالية:

• انتشار التهديد
• القدرة على التنبيه.
• مدة التعرض ؛
• احتمال الحدوث ؛
• الضرر المقدر.

ونتيجة لذلك ، رسموا خريطة حرارية حيث تلقى كل تطبيق تقييمًا لمدى سخونة الأعمال التي يمكن حرقها خلال فترة التوقف. على سبيل المثال ، لمدة 4 ساعات من وقت التعطل لوحدات SAP الفردية ، لا تزال الشركة لا تتلقى مشاكل خطيرة ، ولكن حتى الساعات الأولى من وقت التعطل لبرنامج تسجيل النقد على الخريطة الحرارية يتم تمييزها باللون الأحمر الناري.

من الضروري توضيح أن تقييم المخاطر والتصنيف الإضافي يتم تشكيلهما بمساعدة مجموعة من الخبراء وهي ضرورية لتحديد المواقف الأكثر خطورة للعميل.

الخطر والسيناريو المحتملان. حريق في مركز البيانات: احترقت غرفة الخادم تمامًا ، وحدة SAP المشاركة في عملية "التجديد" غير متاحة. وهذا يعني أنه يتم تقليل نطاق المنتج كل يوم ، حتى يتم استعادة وحدة SAP المحترقة. بادئ ذي بدء ، يتعلق هذا بالمنتجات القابلة للتلف ، وثانيًا ، المنتجات التي يزداد الطلب عليها (على سبيل المثال ، الحبوب والخبز) ، وثالثًا ، المواد الكيميائية المنزلية. من الواضح أن هذا الوضع سيؤدي إلى انخفاض الإيرادات في المتاجر. لكن هذا ليس واضحًا تمامًا: فالمشتري الذي جاء لشراء الجعة والسجائر ، في غياب أي من السلع ، لا يمكنه على الأرجح شراء أي شيء. وبالمثل لعملية التسعير. إذا وصل عميل مشروط اكتشف خصومات يوم الأربعاء الساعة 12 ظهرًا إلى المتجر في فترة ما بعد الظهر ، ولم تنجح عملية "التسعير" (أي الأسعار بدون خصومات) ، فعندئذٍ:

أ) لا يشتري أي شيء (= خسارة مالية) ؛
ب) يتهم المخزن بالاحتيال (= فقدان السمعة)
ب) يشتكي للجهة المنظمة (= عقوبة الإعلان غير العادل).

تقنية تقدير الخسارة

كما فهمت على الأرجح مما سبق ، من أجل حساب الخسائر المالية ، من الضروري تطوير منهجية وصيغ لحسابها ، والتي تأخذ في الاعتبار الخصومات والعروض الترويجية والوقت من اليوم والموسم المرتفع (على سبيل المثال ، الإثارة في نهاية ديسمبر). يجب أن تحتوي المنهجية على جزء وصفي (من أين تأتي ولماذا يتم ضربها بالأوزان) ، بالإضافة إلى الجداول والرسوم البيانية لوضوح الإدراك.

تصف التقنية أيضًا:

• كيف يتم تحديد وقت الاسترداد لعملية الأعمال
• كيف يترجم وقت الاسترداد لعملية الأعمال إلى RTO / RPO لأنظمة تكنولوجيا المعلومات
• فئات الحرجة وفئات التعافي - لماذا هذا مطلوب.

نحن نمضي قدما.

حساب RTO

بعد إجراء جميع المقابلات ، وصف العمليات التجارية ، وتقييم المخاطر ، وتحديد المنهجية والموافقة عليها ، وحساب الخسائر. نظرًا لأن أعمال Pyaterochka و Carousel و Crossroads تختلف في الحجم على الأقل - لكل شبكة قمنا بتطوير جداولنا الخاصة وجداولنا الزمنية وحسابات الخسائر.

بالنسبة لعملية العمل ككل ، يتم تحديد وقت الاسترداد (انظر المنهجية) ، عندما تتجاوز الخسائر قيمة العتبة (انظر العتبات). يتم تعيين وقت الاسترداد هذا لأنظمة تكنولوجيا المعلومات المشاركة في عملية الأعمال (انظر مصفوفة المقابلة والتبعية). يبدو أنه تم تحديد معايير الاستمرارية - اكتمال المشروع (انظر الحدود والإطار). ولكن لا يكفي القول "يجب استعادة العملية خلال 12 ساعة". من المهم تحديد كيفية عمل هذا الآن. كم عدد الساعات التي يمكن فيها تحديث نظام تكنولوجيا المعلومات اليوم؟ وماذا إذا كان وقت الاسترداد الحالي أطول أو أطول بكثير من الهدف؟ لأولئك الذين لا يزالون يحتفظون بالعقل والتركيز ، مرحبًا بكم في GAP!

تحليل وخطة عمل GAP

نتيجة للخطوات السابقة ، حددنا حالة العمليات وأنظمة TO TO ، أي كما يجب أن تكون مثالية. في المرحلة الحالية ، نحدد حالة "كما هي". في الوقت نفسه ، نلمس العمليات التجارية إلى حد أقل ، ونركز على مكون تكنولوجيا المعلومات. بالنسبة للعميل ، قمنا بتقييم حلوله الحالية من حيث التعافي من حالة الطوارئ. علاوة على ذلك ، في هذه الحالة ، لم يكن من الضروري إجراء انتعاش حقيقي باستخدام جهاز توقيت. كان يكفي التعمق في التفاصيل واختبار سطح المكتب بما يكفي لفهم أن RTO المستهدف غير قابل للتحقيق.

بعد ذلك ، قمنا بتطوير عدد من التوصيات ، ذات الطبيعة العامة (لضمان استمرارية تكنولوجيا المعلومات) ، والمرتبطة مباشرة بأنظمة تكنولوجيا المعلومات وبنيتها. هذه رسومات تخطيطية للحلول التقنية وتقدير تقريبي لتكلفة تنفيذها. في الواقع ، الآن هناك أساس لاتخاذ قرار. على جانب من المقياس - الخسائر ، وعلى الجانب الآخر - تكلفة التدابير.
إذا لم تخضع بعض أنظمة تكنولوجيا المعلومات لتحليل GAP ، أو بالأحرى ، فإن وقت الاسترداد أطول من الهدف ، فإننا ننشئ برنامجًا للمشاريع لتحقيق الحالة المستهدفة أو ، إذا أردت ، خارطة طريق مع تبرير تسلسل المشاريع وتقييم مؤقت لتحسين استدامة المؤسسة.

بالإضافة إلى ذلك ، بالنسبة للعميل ، قمنا بتطوير مواد وقوالب منهجية لتشكيل خطط الاستمرارية وخطط التعافي من الكوارث.

إستراتيجية

انتظر ، انتظر ، لقد انتهيت تقريبا.

بناءً على نتائج BIA ، قمنا بتطوير إستراتيجية استمرارية تكنولوجيا المعلومات. وصفت استراتيجية الاستمرارية نقطتين رئيسيتين.

1. ما هي مخاطر تكنولوجيا المعلومات التي تؤثر على أنشطة الشركة التي يتم أخذها في الاعتبار والتي لا يتم أخذها في الاعتبار (أي ما نخافه وسنقرره في إطار الاستمرارية ، وما لا نخاف منه ، ولهذا لدينا إدارة الحوادث).
2. ما هي الحلول التنظيمية والمعمارية والبنية التحتية وغيرها التي سندافع عنها ضد التهديدات.

بالاستراتيجية نقتل عصفورين بحجر واحد. أولاً ، يفهم كل فرد في الشركة كيف وماذا سنحمي أنفسنا من ذلك. ثانيًا ، بالنسبة لغير المتخصصين في تكنولوجيا المعلومات (على سبيل المثال ، الممولين) ، تبدو عملية وضع ميزانية لحلول استعادة القدرة على العمل بعد الكوارث أكثر شفافية. وبغض النظر عن مدى تشاؤمها ، فإن الاستراتيجية تساعد على اتخاذ القرارات الإدارية الصحيحة (هناك دائمًا خيار عدم إنفاق الأموال على DR ، والآن نعرف بالضبط كيف سيؤثر ذلك على الشركة في حالة وقوع حادث).

ما هي الخطوة التالية؟ مواصلة تنفيذ إستراتيجية الاستمرارية وتحليل تأثير الأعمال لعمليات الأعمال وأنظمة تكنولوجيا المعلومات الأخرى. تطوير خطط الاستمرارية ، الاختبار الدوري لهذه الخطط ، لكن هذه قصة مختلفة تمامًا.

إيغور تيوكاشيف ، استشاري ، مركز تصميم الأنظمة البيئية النفاثة