ISO 22301- Business Continuity Management

تُواجِه ادارة المنظمات والشركات على الصعيد العالمي تهديدات وحوادث خارجية قد تتسبب في اضطرابات في تطور الاعمال وقد تؤدي الى فشل العمل مثل التطورات التكنولوجية وتغيير المناخ، لذلك يجب على المنظمات ان تتكيف عند وقوع مثل تلك الحوادث والتعامل معهم بشكل فعال، ووضع خطط متسقة ل أفضل الممارسات المعترف بها دولياً لضمان وجود استجابة  فعالة وانتعاش اسرع والتأكد من انها ملائمة لتحديات الاعمال الحالية والناشئة؛ لهذا السبب تم انشاء المعيار الدولي الأول لنظام ادارة استمرارية الأعمال (ISO 22301) الذي يتطلب الأمان والمرونة لتنفيذه والحفاظ على فعالية الخطط والأنظمة والعمليات لاستمرارية الأعمال.

في 15 مايو 2012 أصدرت المنظمة الدولية للمعايير معيار الايزو 22301 (ISO/IEC 22301) المُسمّى بنظام ادارة استمرارية الأعمال، تم اصداره لتمكين مستويات اعلى من اداء استمرارية الاعمال. ان الغالبية العظمى من المُؤسسات سوف تتوافق مع معيار الأيزو 22301. تتّبِع الايزو معايير صارمة تنطبق على جميع المؤسسات – بغض النظر عن موقعها، الحجم، الهيكل التنظيمي، او الأهداف والرؤى– بما في ذلك القطاعين العام والخاص والمؤسسات غير الربحية.

تُعرَّف ادارة استمرارية الأعمال بِأَنَّهَا عملية ادارة شاملة تُحَدِّدُ التهديدات المُحتملة والتأثيرات على العمليات التي قد تسببها تلك التهديدات اذا تحققت، وتتيح اطاراً لبناء قدرة المُنشأة على مواجهة الطوارئ والقدرة على الاستجابة الفعالة التي تضمن مصالح أصحاب العمل من حيث السمعة والانشطة النافعة.

أمَّا نظام ادارة استمرارية الاعمال هو جزء من النظام الاداري الذي ينشئ استمرارية الاعمال من حيث التنفيذ والتشغيل والمراقبة وتشمل المراجعة والمحافظة والتحسين المستمر.

التخطيط لاستمرارية الاعمال هو نشاط لتحديد ما الذي ينبغي ان تكون منهجية التعاطي مع اجراءات العمل اليومية ان تكون، في حين مصطلح استمرارية الاعمال يصف الحالة الذهنية او منهجية التعاطي مع اجراءات العمل اليومية.

نظام الإدارة

  من أساسيات نجاح نشاطات استمرارية الأعمال في الشركات هو وضع نظام إداري يساعد اصحاب الأعمال على توجيه الأعمال والأنشطة نحو أهداف الشركة ، حيث أنه يختلف مستوى التعقيد في أنظمة الادارة بين الشركات باختلاف بيئاتها ، في الشركات الصغيرة ادة ما يكون النظام الاداري فيها  بسيط ؛ لأن عدد الموظفين فيهم قليل ومحدودية العمليات الادارية والتشغيلية فيهم ، وتكون الإدارية في يد مالكها الذي يحدد وظيفة كل موظف في الشركة وطريقة مساهمته في تحقيق اهداف الشركة دون الحاجة الى عمليات واجراءات معقدة ، في حين ان الشركات الكبيرة تحتاج إلى نظام اداري معقد وعالي المستوى للتحقق من سير العمليات فيها بشكل صحيح وضبط عمليات المراقبة لتحقيق أهداف المؤسسة والوفاء بالتزاماتها القانونية.

مصطلح نظام الإدارة يعتبر جديد نسبياً بالنسبة إلى محترفي استمرارية الاعمال بالرغم من استخدامه الواسع في التخصصات المهنية الأخرى، حيث إنه استخدم في هذا المجال لِ يساعد الشركات على توجيه الأعمال والأنشطة نحو أهداف الشركة؛ تتبع هذه الأنظمة أفضل الممارسات لتنظيم العمليات وتنفيذها، وتعمل على ادارة الموارد والسياسات والإنتاج والموظفين.

يُعرَّف نظام الإدارة بأنه وظيفة إدارية لتطوير الهيكل التنظيمي، وهو اطار العمليات والإجراءات المستخدمة لضمان أنَّ المنظمة يُمكِن أنْ تفي بجميع المهام المطلوبة لتحقيق مجموعة من أهداف العمل، وتهتم بتقديم نموذج مكون من 4 عناصر (لإنشاء وتشغيل وصيانة وتحسين) نظام الادارة وامكانيات التنفيذ التي تتوافق مع ادارة التوقعات، ويهدف الى تغطية العديد من جوانب عمليات الشركات، مثل النجاح المالي والتشغيل الآمن وجودة المنتجات والعلاقات مع العملاء والتوافق التشريعي والتنظيمي وادارة العمال وما الى ذلك.

هيكل محتويات (عناصر) نظام ادارة استمرارية الاعمال ISO 22301

  • المجال
  • المراجع المعمارية
  • الشروط والتعاريف
  • سياق المؤسسة
  • القيادة
 

خصائص النظام الاداري

من أجل تلبية أهداف عمل المُنشأة الأساسية نستخدم نظام الادارة، الخصائص الأساسية لنظام الإدارة هي:

  1. المحاسبة / المسائلة: يعمل نظام الادارة على تحديد الأدوار والمسؤوليات لأطراف المُنشأة المهتمة بتطبيق معيار استمرارية الاعمال (الايزو 22301)، بدءاً من الادارة العليا (التي تتكون من الرئيس ونائب الرئيس ومساعدي الرئيس ومستشاريه ولجنة ادارة المخاطر) حتى عامة الموظفين وكذلك المؤسسات والجهات الخارجية التي لها دور في التخطيط والاستجابة والتعافي.
  2. العمليات القابلة للتكرارتكون العمليات في المُنشآت مُصمّمة للاستخدام بشكل دوري ليس مرة واحدة فقط، لتُساعد نظام الادارة على التكييف مع مخرجات تغيير المنظمات.
  3. التوثيق: تحدد ادارة الوثائق المعتمدة التوقعات وخصائص عمليات امكانية التكرار التي تتيحها انظمة الإدارة. تعمل المنظمات على تطوير التوثيق من خلال معايير واجراءات التشغيل القياسية او اجراءات التغيير الموحدة والتي تحدد اداء وتوقعات محددة لضمان التكرار والتحسين المستمر.
  4. الكفاءة: يحدد المهارات الخاصة بكل موظف والخبرات اللازمة لتلبية الأهداف.
  5. الموارد: يحدد نظام الادارة الموارد اللزمة لتمكين المحاذاة مت الاهداف التنظيمية.
  6. التغيير الثقافي: يهتم نظام الادارة في بناء وتعزيز ودمج ثقافة ادارة استمرارية الاعمال داخل المنظمة من خلال التدريب وآليات الاتصال المناسبة حتى تضمن ان تصبح جزءاً من القيم الأساسية للمنظمة، ربما جزء من الهيكل التنظيمي.
  7. قياس الأداء وآليات المراجعة: يتضمن نظام الادارة طرق تقييم الأداء مم خلال توقعات كبار المدراء المتوليين القيادة للتركيز على التحسين المستمر.

يحرص نظام الادارة على ان تصبح استمرارية الأعمال جزء من خيارات صنع القرار والعمليات اليومية بدلاً من كونها سلسلة من الأنشطة المنفصلة.

مكونات نظام الادارة لاستمرارية الأعمال الرئيسية

يجب ان يكون نظام الادارة قادراً على تحسين اداء العمل من خلال التحسين المستمر لتحقيق الأهداف واضافة قيمة الى المؤسسة/ الشركة، تتضمن أنظمة الادارة 10 مكونات:

  1. السياسية والوثائق الأخرى: تتضمن الوثائق المكتوبة والمصدق عليها من ادارة التوقعات والاجراءات المصممة لرفع وتحسين الاداء القابل للتكرار والتحسين المستمر.
  2. مشاركة القيادة: المشاركة في قيادة قرارات المؤسسة تُمَكِّن الادارة من تخصيص الموارد بشكل مستمر وتحديد أولويات فرص التحسين المستمر بناءً على تغيير النطاق والمدى ونتائج قياس الاداء، تتشارك الادارة التنفيذية في تحديد النطاق والأهداف من البداية حتى تكون ملائمة مع الاحتياجات والضرورات الاستراتيجية.
  3. السياق والالتزامات: تتطلب انظمة الادارة بإنشاء منظمات تعتمد بشكل اساسي على نطاق المنتجات والخدمات الرئيسية بدلاً من المرافق او الهيكل التنظيمي، يعتبر اكثر استراتيجية ويتيح ايضاً اجراء حوار فعال مع المديرين التنفيذين لانهم يفكرون من حيث المخرجان التنظيمية (المنتجات والخدمات)، وتحديد الالتزامات القانونية والعقائدية والتنظيمية مقدماً كمصدر للمتطلبات.

يُعرف السياق على انه عملية مستمرة، تعمل على مراجعة المنتجات والخدمات داخل النطاق والالتزامات المرتبطة بها، وهو امر أساسي لإنشاء ملف الارتباط المستمر بين الاحتياجات الاستراتيجية للمؤسسة واستمرارية عمل النظام الاداري.

  1. الموارد: تتضمن المال والوقت اللازمين لتمكين الاشخاص المكلفين التخطيط لِ استمرارية الاعمال لتحقيق الاهداف بناءً على النطاق الذي حدده المدير التنفيذي.
  2. الاتصال: يعمل توجيه الموظفين فيما يتعلق بتخطيط الانشطة او تطوير الوعي بشأن استراتيجيات التعافي والاستجابة مثل التعاملات الداخلية والخارجية عندما تواجه حادث تجريبي، وتنسيق انشطة التخطيط لاستمرارية الاعمال والحلول التي تتطلب ذلك ومقدمو لجميع الاطراف المهتمة.
  3. الكفاءات من خلال التدريب والتوعية: يتم تعيين موظفين محددين للتخطيط ل استمرارية الاعمال من أجل التنفيذ حسب التوقعات، يجب ان تتوفر فيهم الانشطة والخبرات المناسبة لتكون ناجحة.

تهتم انظمة الادارة بتحديد الادوار والكفاءات (المؤهلات) وتحديد محتوى التدريب والتوعية الضروريين لبناء الكفاءات وتنميتها.

  1. تقييم الاداء والتدقيق الداخلي: يتم تقييم الأداء بناءً على توقعات الادارة (تشمل استخدام التدقيق الداخلي او الموضوعي مستقل الأطراف) وانشاء عمليات لتوصيل الملاحظات.
  2. عدم المطابقة والاجراءات التصحيحية: يحدد نظام الادارة العمليات التي يجب تنفيذها (اهداف الاستيراد واهداف التخفيف من المخاطر) وتحدد اماكن انشطة وتخطيط استراتيجية الاعمال وحلول للنشاطات التي تفشل في تلبية السياسة والالتزامات الاخرى.
  3. مراجعة الاداء: يهتم هذا النشاط بالحصول على ردود فعل الادارة والموافقة على خصائص النظام والأداء من خلال طرق رسمية.
  4. التحسين المستمر: يساعد هذا النشاط على استيعاب ردود افعال الاداء من اجل تحسين العمليات والنتائج الرئيسية وبالتالي التوافق بشكل أوثق مع استراتيجية احتياجات المنظمة.
 

مزايا/ فوائد معيار ISO 22301 لنظام ادارة استمرارية الأعمال

  1. تحسين تحديد المخاطر ووضع الضوابط المناسبة ونهج متسق لإدارة تلك المخاطر او التخلص منها.
  2. حماية وتعزيز سمعة المؤسسة ومصداقيتها.
  3. التقليل من تأثير اضطرابات العمل وتكرارها.
  4. وضوح مخاطر الاعمال بشكل أكبر على الصعيدين الخارجي والداخلي عبر المنطقة، يمكن المؤسسة من تبني منهج وقائي بشكل أسرع لخفض تأثير الحوادث وفترات التوقف عن العمل لأدنى مستوى عند التعرض لأي حادث.
  5. زيادة نمو الأعمال وجذب المزيد من المستثمرين، وتحسين العلاقات مع اصحاب المصلحة والاطراف المهتمة.
  6. رفع مستوى القدرة في تلبية متطلبات الجهات الرقابية وتحسين القدرات على الفوز في المنافسات، والحصول على فرص عمل جديدة.
  7. تعزيز القدرة على الاستجابة عند حدوث اضطرابات من خلال توفير تكاليف للتخفيف من تأثيرهم.
  8. زيادة الثقة في خطط التعافي الخاصة بالمؤسسة من خلال الحرص على ضمان حالات الاحتمالات الذكية والمناسبة.
  9. يقوي التزام الادارة ويضمن ان يُظهر للعملاء والموردين والموظفين بالالتزام و اخد ادارة استمرارية الاعمال بجدية.
  10. يوضح واجبب الرعاية للموظفين وزيادة مشاركتهم وتفهمهم بغض النظر عما يحدث.
  11. التأكد من توفر الموارد الكافية لاختبار استمرارية الاعمال والتسليم.
 

آلية الحصول على اعتماد لشهادة الايزو 22301 – نظام ادارة استمرارية الاعمال معيار (ISO 22301)

  1. الاجتماع الافتتاحي والتعريف بالمشروع.
  2. مرحلة تحليل الفجوة (GAP Analysis)

من خلال  قوائم التحقق والمقابلات المباشرة مع العاملين والمسؤولين عن الادارة والعمليات ، بهدف تقييم الوضع الحالي للعمليات وتحديد مدى مطابقتها وتوافقها مع متطلبات المواصفات القياسية المناسبة لمعيار (ISO 22301 )  يتم انشاء زيارة ميدانية للمنشأة واماكن تقديم المنتجات والخدمات ، ومعاينة نظام ادارة استمرارية الاعمال  الحالي عن قرب ، والتعرف على المواصفات الفنية واللوائح والتشريعات القانونية والوطنية المنظمة الخاصة بعمل المؤسسة  وتحديد النقاط التي تحتاج الى مزيد من العمل قبل اجراء التقييم الرسمي لمعرفة الفجوة بين الوضع الحالي والوضع الذي نسعى للوصول اليه حسب المتطلبات المواصفة لمعيار (ISO 22301) لتوفير الكثير من المصاريف والوقت.

مرحلة تدريب وتأهيل الكوادر البشرية:

من الضروري لتنفيذ نظام استمرارية الاعمال التأكد من أن الموظفين المرتبطين بـ( BC-DR )وفريق المشروع (بما في ذلك الإدارة ذات الصلة) لديهم الخلفية المعرفية المطلوبة وفهم نظرية استمرارية الأعمال والممارسات وكذلك أنظمة التعافي من الكوارث على النحو المحدد في المعيار الدولي (ISO22301) بالإضافة إلى الممارسات الجيدة التي تحكم الخدمات وإدارة النظم ذات الصلة.

  1. مرحلة التوثيق وانشاء وثائق نظام ادارة استمرارية الاعمال BCMS ISO 22301

تعتمد هذه المرحلة على المرحلة الثانية تحليل الفجوات والاطلاع على انظمة العمل، يبدأ الاستشاري عمل الوثائق المطلوبة، تشمل دليل استمرارية الاعمال والاجراءات والنماذج وتشمل وثائق نظام (ISO 22301) بعض الاجراءات التالية:

  • دليل نظام ادارة استمرارية الاعمال ISO 22301
  • إجراءات المتطلبات القانونية والتنظيمية.
  • المعلومات الموثقة وإجراءات التنفيذ.
  • إجراءات تقييم المخاطر
  • اجراء اختبار مهارة وكفاءة الناس .
  • إجراء التواصل الفعال مع الأطراف المعنية
  • إجراءات الاستجابة للحوادث .
  • إجراءات تحليل تأثير الأعمال.
 
  • استراتيجية استمرارية الأعمال.
  • خطة استمرارية الأعمال.
  • اجراءات نظام الاستجابة للحوادث.
  • اجراءات أمن المنظمة.
  • إجراءات التدقيق الداخلي في ادارة استمرارية الاعمال.
  • اجراء مراجعة ادرة استمرارية الاعمال.
  • مراقبة إجراء عدم المطابقة.
  • الإجراءات التصحيحية والوقائية.
 

مبادئ معيار ادارة استمرارية الاعمال

المبادئ الاساسية التي يستند عليهم نظام ادارة استمرارية الاعمال:

  1. دراسة تحليل المخاطر:

على المنظمة تحديد المخاطر التي ممكن ان تواجهها في الوقت الحاضر او المستقبل، ويجب اجراء هذا التحليل دراسة تحليل المخاطر لتحديد وقت التوقف المقبول الذي يمكن ان يكون للمنظمة وما هي النقاط الهامة التي ستتأثر اذا كان هناك وقت توقف طويل للغاية.

  1. تحليل تأثير الاعمال:

يجب اجراء هذا التحليل في المقام الأول للأنشطة الهامة للمنظمة، حيث ان أهمية اجراء هذا التحليل لتحديد تأثير الانقطاعات التي قد تحدث في حالة وجود خطر على أنشطة المنظمة.

يتم تحديد استراتيجية استمرارية الاعمال وفقاً لنتائج تحليل المخاطر وتحليل تأثير الأعمال، فاذا لم يتم اجراؤها بشكل صحيح يكون نظام ادارة استمرارية الاعمال غير صحي، لذلك يجب اجراء نفس التحليلات عندما تتغير الظروف.

  1. حوكمة استمرارية الاعمال.
  2. التمارين والاختبارات.
  3. التدريب ورفع الوعي والتواصل.
  4. تقييم ادارة استمرارية الاعمال.
 

استراتيجية عمل الايزو 22301 (ISO/IEC 22301)

يجب على الاستراتيجية ان تتمكن من سد الفجوات او المخاطر المحددة وتقديم أيضاً قائمة بمعالجات بالمخاطر الموصي بها للتخفيف من المخاطر والاستجابة لها والتعافي منها. تهتم استراتيجية استمرارية الاعمال بشكل اساسي في تطوير الخيارات المتاحة واختيار انسب الاستراتيجيات التي تسمح للمنظمة بالتوافق مع المتطلبات، التي يجب ان تشمل على العناصر الرئيسية الآتية:

 

بالنسبة لهدف المعيار يجب ان تضمن الموردين الخارجيين وشركاء العمل في اختيار الاستراتيجية، تُجري المنظمة تقييم لقدرات لموردين على استمرارية الاعمال كامتداد لتقييم المخاطر، ومقارنتها بالمتطلبات الداخلية او معايير (ISO 22301)، حيث ان يجب على المنظمة العمل تحسين عمليات استمرارية الاعمال الخاصة بها والنتائج، او تحديد علاقات الموردين المحتملة.

بعض النصائح لبدء استراتيجية استمرارية الاعمال ISO 22301 المُكوَّنة من 3 خطوات

  1. تحديد استراتيجية الاعمال المحتملة التي من شأنها تقليل المخاطر المحددة وتقييم المخاطر الى المستويات التي تجدها الادارة مقبولة.

يجب معالجة 3 فئات من استراتيجية الاعمال:

 

تحديد الفرص لتقليل احتمالية حدوث اضطراب وكذلك استراتيجيات للحد من تأثير حدوث اضطراب.

تحديد عملية الاستجابة للحوادث من خلال اجراءات مستقلة عن التهديدات، ميثاق الفريق (مع الموظفين الاساسين والبديلين) يكون مسؤولاً عن قيادة الاستجابة لحدث تخريبي وتحديد الاساليب التي سيتبعها الفريق النشيط والالتقاء وتقييم المواقف واتخاذ القرارات.

  1. تحديد الموارد اللازمة لتنفيذ كل فئة من فئات استراتيجية استمرارية الاعمال:
  • تقدير التكلفة المرتبطة بتنفيذ الاستراتيجية والحفاظ عليها.
  • بتضمين جميع الموارد المحددة في تحليل التأثير على الاعمال المطلوبة وقت الاضطراب، مثل الاشخاص والمعلومات والبيانات والمرافق والنقل والشركاء والموردين.
  • عند اختيار الموارد الملائمة، يجب الاخذ بعين الاعتبار خيارات استراتيجية متعددة (مع الايجابيات والسلبيات وتقديرات التكلفة) لمعالجة كل خطر يمكّن نهج الادارة من قياس متطلبات الاستثمار مقابل الرغبة في المخاطرة التنظيمية لتحديد الاستراتيجية الاكثر كفاءة.
  1. ارسال خيارات وتوصيات استراتيجية استمرارية الاعمال الى ادارة التغذية الراجعة والاختيار والموافقة.

من خلال المعلومات المقدمة، يمكن تقييم تحليل التكلفة والمزايا لتحديد الاستراتيجيات المُثلى، بناءً على متطلبات قابلية المؤسسة للمخاطر.

يحدد متخصصو استمرارية الاعمال استراتيجيات استمرارية الاعمال للتقليل من المخاطر بما يتماشى مع المتطلبات التنظيمية، منها قيود التكلفة والبيئة والالتزامات قابلية المخاطرة واهداف الاسترداد. يمكن للإدارة تحديد افضل الخيارات للوصول الى استراتيجية الاعمال من خلال النظر في مجموعة واسعة من خيارات معالجة المخاطر، فيجب ان يكون لدى اخصائي استمرارية الاعمال الدعم والموارد اللازمة لتنفيذ الاستراتيجية التي تم اختيارها وتطوير اجراءات استمرارية العمل.

تحديد مصادر بديلة للموارد او طرق بديلة للأداء المطلوب للأنشطة من احل تلبية التفاوتات والالتزامات المتعلقة بالتعطل (المرافق البديلة، الموظفون، المعدات وتقنيات المعلومات، الاطراف الثالثة) وكذلك الحلول اليدوية في حالة عدم توفر موارد التطبيق.

الخاتمة

يُقدم نظام ادارة استمرارية العمل التيقن القانوني ميزة سوقية يمكن من خلالها التقليل من الكوارث المتعلقة بالتكاليف واستيفاء المتطلبات ووضع نظام متكامل لإدارة المخاطر من خلال تحسين مستوى الوجود فهو يعمل على اكساب المنظمة مكانة تنافسية معروفة، اذا يمكن للعملاء وشركاء العمل الاعتماد على اساسها الشركة بسبب استمرار العمل حتى في وقت الأزمات.

الآن، وبعد أَنْ تَعرفت على نظام ادارة استمرارية الأعمال – الايزو 22301، قد تتساءل عن كيفية تطبيق نظام إدارة استمرارية الاعمال – الايزو 22301 داخل مُنشأتك بصورة عملية وحقيقية؟

 يُمْكِنُك الِاسْتِعانَة بشركة ريناد المجد لتقنية المعلومات (RMG) لتنفيذ وتطبيق معيار الأيزو 22301 داخل مُنشأتك الى أنْ تتم عملية المُراجعة النهائية ومن ثم حصولك على شهادة الأيزو 22301 (ISO/IEC 22301) مُعتَرَف بها دوليًا.

تواصل معنا اليوم وسنكون سعداء بخدمتك