تاب آوری عملیاتی چیست؟

تاب آوری عملیاتی توانایی سازمان برای ادامه فعالیت و ارائه خدمات ضروری خود در صورت بروز اختلال در روند ارائه عملیات است. این امر می تواند ناشی از عوامل مختلفی مانند بلایای طبیعی، فناوری و شکست شخص ثالث، حملات سایبری یا خطای انسانی باشد.

تاب آوری عملیاتی چیست؟

تاب آوری عملیاتی و تجارب برخی کشورهای پیش رو در این حوزه
What is Operational Resilience

تاب آوری عملیاتی برای سازمان ها در هر اندازه مهم است، زیرا می تواند به محافظت از شُهرت، عملکرد مالی و توانایی آنها در ارائه خدمات به مشتریان کمک کند:

شناسایی و ارزیابی خطرات

اولین قدم این است که خطرات بالقوه ای را شناسایی کنید که می تواند عملیات شما را مختل کند. این موضوع می تواند شامل بلایای طبیعی، حملات سایبری یا خطای انسانی باشد. هنگامی که خطرات را شناسایی کردید، می توانید احتمال و تأثیر آنها را ارزیابی کنید.

اجرای کنترل ها

هنگامی که خطرات را شناسایی کردید، می توانید کنترل هایی را برای کاهش آنها اعمال کنید. این موضوع می تواند شامل مواردی مانند داشتن یک برنامه پشتیبان برای سیستم های IT شما یا آموزش کارکنان خود در مورد چگونگیِ شناسایی و پاسخ به حملات سایبری باشد.

سازمان‌ها در هر اندازه‌ای، با انجام اقداماتی برای بهبود تاب آوری عملیاتی خود، می‌توانند از شهرت، عملکرد مالی و توانایی خود در ارائه خدمات به مشتریان خود محافظت کنند و مزایای زیر را ارائه دهند:

کاهش هزینه ها

با کاهش تعداد اختلالات، سازمان‌ها می‌توانند در هزینه‌های مرتبط با خرابی‌ها، مانند بهره‌وری و درآمد از دست رفته، صرفه‌جویی کنند.

بهبود رضایت مشتری

مشتریان به احتمال زیاد با سازمان هایی که می توانند به آنها اعتماد کنند تا خدمات خود را به طور قابل اعتماد ارائه دهند، تجارت می کنند.

مزیت رقابتی افزایش یافته

سازمان هایی که در برابر اختلالات تاب آورتر هستند، موقعیت بهتری برای رقابت در بازار دارند.

چالش های تاب آوری عملیاتی

با این حال برخی از چالش‌ها وجود دارد که سازمان‌ها در بهبود تاب‌آوری عملیاتی خود با آن‌ها مواجه هستند:

کمبود منابع

بسیاری از سازمان ها منابع لازم برای سرمایه گذاری در تاب آوری عملیاتی را ندارند.

عدم آگاهی

بسیاری از سازمان ها از اهمیت تاب آوری عملیاتی یا چگونگی بهبود آن آگاه نیستند.

عدم هماهنگی

اغلب، بخش های مختلف در یک سازمان مسئول جنبه های مختلف تاب آوری عملیاتی هستند. این موضوع می تواند منجر به عدم هماهنگی و رویکرد پراکنده به مدیریت ریسک شود.

علیرغم این چالش ها، تعدادی از کارها وجود دارد که سازمان ها می توانند برای شناسایی و ارزیابی ریسک های عملیاتی، اجرای کنترل ها، آزمایش و اجرای طرح های اضطراری و برقراری ارتباط با ذینفعان انجام دهند و از این طریق توانایی خود را برای مقاومت در برابر اختلالات و ادامه فعالیت و ارائه محصولات و خدمات خود بهبود بخشند.

چه مقررات تاب آوری عملیاتی در سطح جهانی وجود دارد؟

از منظر جهانی، کمیته بازل در مورد نظارت بانکی (کمیته بازل) در مارس ۲۰۲۱ اصول تاب آوری عملیاتی (اصول) را منتشر کرد.

این اصول مبتنی بر به روز رسانی های قبلی است که کمیته بازل برای اصول خود برای مدیریت صحیح ریسک عملیاتی انجام داده است و از دیگر اصول صادر شده قبلی در مورد حاکمیت شرکتی برای بانک ها و همچنین برون سپاری، تداوم کسب و کار و راهنمایی های مرتبط با مدیریت ریسک استناد می کند.

کمیته بازل در اصول، تاب آوری عملیاتی را به عنوان توانایی یک بانک برای ارائه عملیات حیاتی از طریق اختلال توصیف می کند.

بانک قادر است خود را در برابر تهدیدات و شکست‌های احتمالی شناسایی و از خود محافظت کند، به آن واکنش نشان دهد و با آن سازگار شود، همچنین رویدادهای مخرب را بازیابی کرده و از آن‌ها درس بگیرد تا از طریق اختلال، تأثیر آن‌ها بر ارائه عملیات حیاتی را به حداقل برساند.

هنگام بررسی تاب آوری عملیاتی، بانک باید فرض کند که اختلالات رخ می‌دهد و ریسک کلی و تحمل آن برای اختلال را در نظر بگیرد.

در بریتانیا، بانک انگلستان یک سیاست تاب آوری عملیاتی را اجرا کرده است که توسط سازمان مقررات احتیاطی (PRA) و اداره رفتار مالی (FCA) اجرا می‌شود.

انواع زیرشاخه های «شرکت‌های خدمات مالی» (FS) در این مقررات گنجانده شده‌اند:

بانک‌های بریتانیا، موسسات و انجمن‌های ساختمانی، و شرکت‌های سرمایه‌گذاری (بانک‌ها) تعیین‌شده توسط PRA؛

شرکت های خدمات اجتماعی بریتانیا و نمایندگان مدیریت آن (بیمه گران)؛

صرافی‌های سرمایه‌گذاری شناخته شده، مدیران ارشد و شرکت‌ها و نهادهای دارای گواهینامه که تحت مقررات خدمات پرداخت و/یا مقررات پول الکترونیکی مجاز یا ثبت شده‌اند.

هدف این مقررات، بهبود تاب آوری عملیاتی شرکت ها و محافظت از بخش مالی گسترده تر و اقتصاد بریتانیا در برابر تأثیر اختلالات عملیاتی است.

این الزامات را برای اجرای کامل تا ۳۱ مارس ۲۰۲۵ تعیین کرده است، و انتظار دارد که خدمات و زنجیره حمایتی از فعالیت‌ها، با منابع، دانش و فرآیندهای مدیریتی و رویه‌های لازم، تاب آور باشند:

• خدمات مهم تجاری
• تحمل ضربه
• جدول زمانی اجرا و باقی ماندن در محدوده تحمل ضربه
• نقشه برداری
• تست سناریو
• حاکمیت
• خود ارزیابی

PRA انتظار دارد که عدم انجام خدمات داخلی فقط تا حدی مورد توجه قرار گیرد که بر ارائه خدمات تجاری خارجی که پیامدهای مستقیمی برای اهداف PRA دارند تأثیر بگذارد.

به این ترتیب، هر سرویس داخلی که برای ارائه یک سرویس تجاری مهم ضروری است، باید در نقشه‌برداری، تست سناریو و هر اصلاحی شرکت گنجانده شود تا اطمینان حاصل شود که شرکت می‌تواند در محدوده تحمل ضربه در اختلالات شدید چه بسا قابل قبول باقی بماند.

چندین کار وجود دارد که سازمان ها می توانند برای بهبود تاب آوری عملیاتی خود انجام دهند. این موارد عبارتند از:

شناسایی و ارزیابی خطرات

اولین قدم، شناسایی ریسک های عملیاتیِ بالقوه است که می تواند عملیات شما را مختل کند، و همچنین هزینه های تست استرس در برابر سناریوهای خاص را شناسایی کنید.

این موضوع می تواند شامل مواردی مانند قطع برق، از دست دادنِ یک تأمین کننده مهم، حمله باج افزار، یا از دست دادنِ یک دوره زمانی (Maxim Tolerable Period of Disruption (MTPoD)) باشد که می تواند منجر به انحلال سازمان شود.

توسعه استراتژی های کاهش

هنگامی که خطرات را شناسایی کردید، باید استراتژی های کاهشی را برای کاهش احتمال یا تأثیر اختلال ایجاد کنید. این می‌تواند شامل مواردی مانند داشتن سیستم‌های قدرت پشتیبان، اجرای طرح‌های بازیابی بلایا، یا آموزش کارکنان در مورد نحوه واکنش به انواع حوادث باشد.تاب‌آوری عملیاتی

دستورالعمل‌های تاب‌آوری عملیاتی جهانی

از تحقیقات، اطلاعات زیر خلاصه‌ای کوتاه از سایر مقررات / استانداردها / کدهای عمل / دستورالعمل‌های تاب‌آوری عملیاتی جهانی را ارائه می‌کند:

استرالیا

کمیسیون اوراق بهادار و سرمایه گذاری استرالیا (ASIC) قوانین جدیدی را برای یکپارچگی بازار صادر کرده است که هدف آن ارتقای تاب آوری فنی و عملیاتی اپراتورها و شرکت کنندگان در بازارهای اوراق بهادار و آتی است، و سازمان نظارتی احتیاطی استرالیا (APRA) یک مقاله بحث در مورد یک احتیاط جدید استاندارد طراحی شده برای تقویت مدیریت ریسک های عملیاتی در صنایع بانکداری، بیمه و بازنشستگی منتشر کرده است.

کانادا

دفتر سرپرست موسسات مالی (OFSI) شناسایی کرده است که موسسات مالی تحت نظارت فدرال (FRFIs) در یک محیط ریسک پیچیده عمل می‌کنند، با افزایش تهدیدات ناشی از رویدادهایی مانند خرابی کنترل، اختلالات شخص ثالث، قطع زیرساخت‌ها، شکست های فناوری، حوادث سایبری، حوادث ژئوپلیتیکی، بیماری های همه گیر، و بلایای طبیعی و مدیریت ریسک عملیاتی، E21 پیش نویس دستورالعمل و تاب آوری عملیاتی را صادر کرده است.

اتحادیه اروپا (EU)

اتحادیه اروپا با سایر اعضای اتحادیه اروپا با اجرای قانون مقاومت عملیاتی دیجیتال (DORA) و همچنین دستورالعمل امنیت سایبری و تاب آوری نهادهای حیاتی موافقت کرده است.

هنگ کنگ (هنگ کنگ)

انجمن بازار هنگ کنگ (HKMA) یک ماژول جدید راهنمای سیاست نظارتی (SPM) در مورد تاب آوری عملیاتی همراه با نسخه اصلاح شده ماژول SPM در برنامه ریزی تداوم کسب و کار (BCM) منتشر کرده است.

ایرلند

بانک مرکزی ایرلند دستورالعمل متقابل صنعت را در مورد تاب آوری عملیاتی صادر کرده است.

مالزی

مالزی کُد فنی مالزی خود را برای BCM و کُد فنی برای اطلاعات و امنیت شبکه صادر کرده است.

عربستان سعودی (SA)

مقررات نهادهای بازار سرمایه مرجع بازار سرمایه SA (CMA)، سازمان پولی عربستان سعودی (SAMA) چارچوب امنیت سایبری، چارچوب SAMA BCM، مرکز ایمنی بیمار عربستان سعودی BCM، استانداردهای مرجع دولتی دیجیتال (DGA) BCM برای دولت دیجیتال خود را صادر کرده است. دستورالعمل های DGA برای تداوم کسب و کار (BC) در نهادهای دولتی و دستورالعمل های کمیسیون فناوری اطلاعات ارتباطات برای فاجعه برنامه ریزی بازیابی (DRP) برای صنعت ICT

سنگاپور

مرجع پولی سنگاپور (MAS) و انجمن بانک ها در سنگاپور (ABS) سندی را با عنوان مدیریت ریسک و تاب آوری عملیاتی در قانون محیط کار از راه دور و امنیت سایبری دولتی تهیه کرده اند.

امارات متحده عربی (امارات متحده عربی)

اداره خدمات مالی دبی (DFSA) تمرکز نظارتی قوی خود را بر تاب آوری عملیاتی شرکت ها حفظ می کند و این شامل تمرکز مداوم خود بر ریسک امنیت سایبری نیز می شود.

ایالات متحده (ایالات متحده)

شورای حکام سیستم فدرال رزرو، دفتر کنترل ارز، و شرکت بیمه سپرده فدرال (سازمان ها) یک مقاله بین سازمانی در مورد شیوه های صحیح برای تقویت تاب آوری عملیاتی و همچنین صدور دستورالعمل بین سازمانی در مورد روابط طرفین / مدیریت ریسک منتشر کردند.