العناصر التي يحتاج المدققون الى الالمام بها عن استمرارية الأعمال

 العناصر التي يحتاج المدققون الى الالمام بها عن استمرارية الأعمال

حسام خطاب

مدير تدقيق في مجال تقنية المعلومات في أحد البنوك الإقليمية في الأردن

صادرة من المدقق الداخلي مجلة متخصصة صادرة عن جمعية المراجعين الداخليين اليمنية

العدد الثالث

تعرف إدارة استمرارية الأعمال وفقاً لمعايير الأيزو 22301 2 على أنها: «عملية إدارية متكاملة تحدد التهديدات المحتملة للمؤسسة وتداعيات تلك التهديدات – إذا تحققت – على العمليات التجارية؛ مما يساعد في بناء القدرة التنظيمية للمؤسسة، بالإضافة إلى القدرة على الاستجابة الفعالة التي تعمل على حماية مصالح أصحاب المصلحة والسمعة والعلامة التجارية وأنشطة إيجاد القيمة».

تتألف دورة حياة استمرارية الأعمال من مراحل ينبغي للمؤسسة اتباعها؛ لكي ترتقي بمستوى استعدادها للاستمرارية والبقاء. يوضح المخطط البياني التالي عناصر دورة حياة إدارة استمرارية الأعمال حسب معايير الأيزو 22313.

إدراك طبيعة المؤسسة

تتعلق هذه المرحلة باستيعاب وفهم البيئة الداخلية والخارجية التي تعمل فيهما المؤسسة. كما تشير هذه المرحلة إلى الظروف المحيطة وإدراك القدرات والكفاءات الجوهرية لدى المؤسسة. وفي هذه المرحلة الرئيسية، يجري تحديد الأنشطة المؤسسية الجوهرية والتهديدات المحيطة بها من خلال إجراء تحليل التأثير على الأعمال وتقييم المخاطر.

تحليل التأثير على الأعمال

وفقاً للقاعدة 20 /80، فإن %80 من المخرجات وعائدات المؤسسة تنبع من %20 من أنشطتها. وفي تحليل التأثير على الأعمال، يجري تحديد هذه الأنشطة الحرجة والأولويات الخاصة بالمؤسسة بوضوح، إضافة إلى تحديد مدى الاعتمادية بين الأنشطة المختلفة، والحد الأدنى من الموارد اللازمة للتعافي. كما يجري أيضاً تقييم الأضرار المحتملة على الأعمال جراء التعطل إضافة إلى الفترات الزمنية القصوى المقبولة لتوقف الأنشطة. وفي خضم المواقف الكارثية، فإن الوقت المتاح للتفكير واتخاذ رد الفعل محدود، وينبغي على المؤسسات استيعاب هذه الحقيقة جيداً.

تقييم المخاطر

على المؤسسة إجراء دراسة وتقييم رسمي للمخاطر، بحيث يتم بشكل منهجي تحديد وتحليل وتقييم مخاطر تعطيل الأنشطة ذات الأولوية بالنسبة للمؤسسة، والموارد اللازمة لها على أساس نتائج تحليل التأثير على الأعمال.

تحديد خيارات استمرارية الأعمال

في هذه المرحلة، يجب على المؤسسة تحديد بدائل استمرارية الأعمال على أساس مخرجات تحليل التأثير على الأعمال وتقييم المخاطر، وذلك بهدف الحد من التأثير الكلي للاضطرابات التي حدثت لأنشطة المؤسسة. يجب أن تركز البدائل في المقام الأول على الحد من حدوث اضطرابات للأنشطة ذات الأولوية، ومن ثم التعامل مع أي اضطرابات قد تحدث. ينبغي دراسة جميع الخيارات، ومن ثم اختيار البديل الأكثر فاعلية من حيث التكلفة، والذي يلبي الهدف المتعلق بالوقت المستهدف لاستعادة النشاط. تتضمن خيارات الاستمرارية ما يلي:

- نقل مكان ممارسة الأعمال

- نقل الموارد أو إعادة تخصيصها

- العمليات البديلة والقدرة الاحتياطية

- إحلال الموارد والمهارات

- المناورات المؤقتة

- التأمين

- استعادة الأصول

- تطوير الاستجابة الخاصة باستمرارية الأعمال وتنفيذها

يجب على المؤسسة في هذه المرحلة أن تقوم بتنفيذ استراتيجيات الاستمرارية المحددة سلفاً من خلال خطط وإجراءات. وتتضمن المتطلبات الأساسية للاستجابة الملائمة والمؤثرة ما يلي: تحديد إجراءات واضحة لإدارة الكوارث وعقباتها، والتواصل مع الجهات المعنية، ووضع خطط استمرارية الأعمال.

ورغم ذلك، يمكن أيضا تطوير خطط متخصصة أخرى لمواجهة الظروف أو الإجراءات الاستثنائية. وقد تشمل هذه الخطط المتخصصة الإضافية: خطة استجابة للطوارئ، وخطة استجابة للحوادث، وخطة للتعامل مع الأوبئة، وخطة لاستعادة النشاط في حالات الكوارث التي قد تصيب تقنية المعلومات. تخدم كل خطة من الخطط المذكورة آنفاً أهدافاً وشروطاً محددة، ويجب تحديد الحاجة إلى إعداد مثل هذه الخطط وفقاً للمخاطر الكامنة ورائها، ووفقاً للمؤسسة ذاتها ومدى قدرتها على تحمل المخاطر فضلاً عن البيئة التي تعمل فيها. وينبغي أن تتميز هذه الخطط بالتناغم والترابط المنطقي فيما بينها، وذلك لأن أي تعارض أو تناقض قد يؤثر سلباً على البرنامج ككل، وبالتالي على استمرارية أعمال المؤسسة. علاوة على ذلك، يجب تحديد الأدوار والمسؤوليات بوضوح في إطار الخطط والإجراءات التي تم تطويرها.

التدريب والاختبار

يعد التدريب في استمرارية الأعمال أحد الخطوات المهمة في البرنامج ككل، حيث إن خطط الاستمرارية يتم اختبارها والتحقق من فاعليتها في خلال هذه المرحلة. إضافة إلى ذلك، يجري فحص الموارد والفرق المعنية بتنفيذ هذه الخطط. ومن الأهمية بمكان للمؤسسة أن تتأكد من أن الخطط الحالية تلبي متطلبات الأعمال وتلبي أهدافها الخاصة بالاستمرارية في حالة الظروف العصيبة. إن التدريب المنتظم والفحوصات الملائمة تهيئ الأجواء للمؤسسة لمواجهة الظروف غير المتوقعة، وتؤدي إلى الارتقاء بمستوى جاهزيتها من خلال خطط موثوقة ومناسبة.

الدمج بين الكفاءة والوعي

يجب أن تصبح إدارة استمرارية الأعمال جزءاً لا يتجزأ من القيم الجوهرية للمؤسسة بهدف ضمان المحافظة على مستوى الكفاءة اللازم للاستجابة للحوادث. وكما أشرنا سلفاً، تُعد إدارة استمرارية الأعمال عملية متكاملة حيث إنها لا تتكون من مراحل ومخرجات غير مترابطة. إنها تمثل ثقافة يجب أن تُدمج في كيان العمليات النظامية والأعمال الروتينية. ينبغي زيادة الوعي بين الموظفين وأصحاب المصلحة ذوي الصلة، وربما تكون هناك حاجة لعقد جلسات توجيهية للتأكيد على أهمية تحقيق أهداف إدارة استمرارية الأعمال. فكلما زادت درجة الوعي التي يتميز بها موظفو مؤسسة ما زادت فرص تجاوز المؤسسة للظروف القاسية التي قد تتعرض لها.

إدارة برنامج استمرارية الأعمال

تتمتع إدارة برنامج استمرارية الأعمال بمكانة جوهرية في دورة حياة عملية إدارة استمرارية الأعمال كما أنها تُعد من المحاور الأساسية للتنفيذ الناجح؛ لأنها تحدد منهجية التنفيذ وتضع الضوابط وتديرها لضمان تحقيق الأهداف المرجوّة. وتتضمن عملية إدارة برنامج استمرارية الأعمال عناصر مثل: القيادة والدعم وتخطيط البرنامج والتخطيط والتحكم التشغيلي وتقييم الأداء والتحسين المستمر.

ويتمثل أحد الجوانب الرئيسية لإدارة البرنامج في الحفاظ على تحديث المخرجات ذات الصلة بعملية إدارة استمرارية الأعمال لتعكس الوضع الحالي لأن افتقاد التحديث المنتظم سيؤدي إلى عدم تحقيق الأهداف المحددة في حالات الاضطرابات. ويجب أن يكون تحديث خطط إدارة استمرارية الأعمال متكاملاً مع عمليات الأعمال ذات الصلة ولا يجب اعتباره نشاطاً منفصلاً في هذه العملية.

دور المدقق الداخلي

ينبغي أن يكون دور المدقق الداخلي في دعم استمرارية الأعمال متناسباً مع مستوى نضج برنامج إدارة استمرارية الأعمال. وفي حالة عدم وجود مثل هذا البرنامج، يجب أن يتناول التدقيق الداخلي المخاطر، وربما يقوم بدور استشاري للمساعدة في تطوير إطار عمل لإدارة استمرارية الأعمال بطريقة تعاونية. وفي حالة تطبيق برنامج لإدارة استمرارية الأعمال، يجب أن يوفر التدقيق الداخلي الضمانة التي تشير إلى أن البرنامج يحقق أهدافه. يجب أن تركز التقييمات الفعالة لبرنامج إدارة استمرارية الأعمال على دورة الحياة الكاملة الخاصة به علاوة على التركيز على العمليات المرتبطة به بدلاً من الاكتفاء بمراجعة التوثيق النهائي فقط.

أحد المراجع المهمة لإجراء تقييمات إدارة استمرارية الأعمال هو الدليل العاشر لتدقيق التكنولوجيا العالمية (3) الصادر عن معهد المدققين الداخليين، وهذا المرجع يوفر التوجيه اللازم للتنفيذ الفعال لتقييم ودراسة إدارة استمرارية الأعمال، ويحتوي نموذج نضوج القدرة الخاص بإدارة استمرارية الأعمال.

الخلاصة

تمثل إدارة استمرارية الأعمال أحد المجالات المحورية للمؤسسات العاملة في هذا العصر وخاصة في قطاعات محددة مثل العمليات المصرفية والتأمين والاتصالات. يوفر 1 التوجيهات اللازمة معيار الأيزو 22313 للمؤسسات لإطلاق عملية إدارة استمرارية الأعمال وتنفيذها وتحسينها بصورة مستمرة علاوة على أنه يحدد السمات العامة لدورة حياة إدارة استمرارية الأعمال. ينبغي أن يدعم التدقيق الداخلي برنامج إدارة استمرارية الأعمال الخاص بالمؤسسة من خلال العمليات الاستشارية أو التدقيق بناءً على مستوى نضج المؤسسة في إدارة استمرارية الأعمال.

المراجع:

أيزو 22 313:2012 الأمن المجتمعي — نظم إدارة استمرارية الأعمال — كتيب إرشادي

أيزو 22 301 :2012 الأمن المجتمعي — نظم إدارة استمرارية الأعمال — المتطلبات

الدليل العاشر لتدقيق التكنولوجيا العالمية – إدارة استمرارية الأعمال – معهد المدققين الداخليين – يوليو 2008.