Professional Documents
Culture Documents
واألزمات والكوارث
صاحب السمو الشيخ
خليفة بن زايد آل نهيان
رئيس دولة االمارات العربية املتحدة
رئيس املجلس األعىل لألمن الوطني
صاحب السمو الشيخ
محمد بن راشد آل مكتوم
نائب رئيس الدولة رئيس مجلس الوزراء -حاكم ديب
نائب رئيس املجلس األعىل لألمن الوطني
الفريق أول سمو الشيخ
محمد بن زايد آل نهيان
ويل عهد أبوظبي -نائب القائد األعىل للقوات املسلحة
عضو املجلس األعىل لألمن الوطني
سمو الشيخ
هزاع بن زايد آل نهيان
مستشار األمن الوطني
رئيس مجلس إدارة الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث
دولة اإلمارات العربية المتحدة
المجلس األعلى لألمن الوطني
الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث
إن هذا الكتاب هو معيار قياس لبناء مقدرة المؤسسة على االستمرار في أداء مهامها ،أو خدماتها األساسية،
خالل أي طارئ يؤ ّدي إلى إرباك أو توقّف العمل لديها.
يشتمل الجزء األول على المواصفات ،ويب ِّين جميع األجزاء والعناصر المه َّمة في البرنامج ،حيث يشرح «ما هي»
مك ِّونات هذا البرنامج.
ويفسر الجزء الثاني «كيف» يتم عمل العناصر المذكورة في الجزء األول ،بطريقة واضحة ،وتت ّم االستعانة بالجزء
ِّ
الثاني ،كما جاءت في الجزء األول ،وبالتسلسل نفسه ،حيث – على سبيل المثال :الفقرة 1-2-8في الجزء األول،
تقابلها الفقرة أ 1-2-8-في الجزء الثاني ،وهكذا...
ويُعنى الجزء الثالث بالنماذج .وقد قُمنا بإدراج نموذج واحد لخطة استمرارية األعمال ،كمثال ،تُمكن االستعانة
به .وفي المستقبل ،عند إصدار التحديثات ،سوف نقوم بوضع نماذج أخرى ُمسا ِعدة.
ال يتعارض هذا المعيار مع أية وثيقة أخرى ،صدرت عن الهيئة الوطنية إلدارة الطوارئ واألزمات
والكوارث .وفي حال وجود أي تعارضُ ،يرجى الرجوع إلى الوثائق المعنية ،واألخ ْذ بها ،حيث
خصصان إلدارة استمرارية األعمال فقط .وتعتبر هذه أن «المعيار» و«الدليل اإلرشادي» هذاُ ،م ّ
الوثيقة «معيارا ً» إلدارة استمرارية األعمال.
12
تمهيد
استغرق إعداد هذا المعيار وإصداره ،نحو عام ونصف من العمل المتواصل ،حيث تم البدء في المشروع مع
بداية شهر سبتمبر ،2009وقد ساهم فيه الكثير من المؤسسات والشركات وبيوت الخبرة العالمية ،إلى جانب
المختصين العالميين ،بقيادة وإشراف الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث ،التي تعمل
ِّ عدد من
تحت مظلة المجلس األعلى لألمن الوطني.
الجهات المشاركة في اإلعداد:
الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث
المجلس التنفيذي إلمارة أبوظبي
هيئة أبوظبي للمحاسبة
مركز أبوظبي للمعلومات
خبراء أجانب متعاقدون
التخصصية:
ُّ الجهات المشاركة في المراجعة
معهد المعايير البريطاني
معهد استمرارية األعمال البريطاني ( ) BCI
معهد التعافي من الكوارث العالمي ( ) DRII
شركة االستشارات الفنية البلجيكية أسكيور ()ASCUR
ستيلهنج لالستشارات ( ) STEELHENGE
الجهات المشاركة في المراجعة الفنية بإشراف مكتب سمو نائب القائد األعلى للقوات المسلحة:
13
الفهرس
13
تمهيد
18
كلمة سمو مستشار األمن الوطني
20
مفتاح االستخدام
21
المقدمة
23 الجزء األول :المواصفات
24 :1مقدمة
24
1-1الغرض
24
2-1المسؤوليات
24
3-1التسلسل الهرمي للخطط والسلطات
25
:2مستوى المسؤوليات
25 :3االلتزام
25 1-3التكليف بالسلطة
26
2-3الضوابط المحددة بواسطة الجهات التشريعية
26 :4إمكانية التطبيق
26 :5النطاق
26
1-5نطاق المعيار
26 2-5نطاق مقدرة المؤسسة على استمرارية الخدمات والمهام فيها
27 :6متطلبات معيار إدارة استمرارية األعمال
27
1-6المتطلبات
27
2-6االحتياجات المطلوبة لتحديد ‘‘ المقدرة المناسبة على االستمرارية باألعمال‘‘
28 :7وثائق وسجالت إدارة استمرارية األعمال
28 1-7الوثائق المطلوبة
28
2-7السيطرة على الوثائق والسجالت الخاصة بإدارة استمرارية األعمال
29 1-2-7سمات الوثائق والسجالت
29
:8وضع برنامج استمرارية األعمال
29
1-8وضع برنامج استمرارية األعمال
29
2-8مشاركة اإلدارة العليا
29
3-8تحليل التأثير على األعمال ()BIA
14
29
4-8توثيق التحليل الخاص بالتأثير على األعمال
30 5-8تقييم المخاطر
30 6-8استراتيجية إدارة المخاطر
31
7-8استراتيجية إدارة استمرارية األعمال
31
8-8خطة إدارة استمرارية األعمال
32
9-8التثقيف والتدريب
33
10-8االختبارات والتمرين
34
11-8التطوير المستمر إلدارة استمرارية األعمال
36
:9تقييم وقياس إدارة استمرارية األعمال
36
1-9التدقيق السنوي إلدارة استمرارية األعمال
37 2-9مراجعة المو ِّردين األساسيين
37
3-9مراجعة العمالء والغير
37
4 -9المراجعة بعد الطارئ أو األزمة أو الكارثة
37
5-9التقرير السنوي لتقييم إدارة استمرارية األعمال
37 :10مراجعة اإلدارة
37
1-10المراجعة اإلدارية لبرنامج استمرارية األعمال
38
2-10توثيق مراجعة اإلدارة
38
3-10النقاط التي يجب االطالع عليها خالل المراجعة اإلدارية
38
4-10نتائج المراجعة اإلدارية
39
الجزء الثاني :الدليل اإلرشادي
40
أ 1-مقدمة
40
أ 1-1-الغرض
40
أ 2-1-المسؤوليات
40 أ 3-1-التسلسل الهرمي للخطط والسلطات
40
مستوى المسؤوليات أ 2-
41
أ 3-االلتزام
41
أ 1-3-التكليف بالسلطة
41
أ 2-3-الضوابط التي تح ِّددها الجهات التشريعية
41
إمكانية التطبيق أ4 -
42
أ 5 -النطاق
15
42 أ 1-5-نطاق المعيار
42 أ 2-5-نطاق قدرة المؤسسة على استمرارية الخدمات والمهام بها
43
متطلبات إدارة استمرارية األعمال أ 6-
43
أ 1-6-المتطلبات
43
أ 2-6-القدرة الالزمة لتحقيق استمرارية األعمال
47
وثائق وسجالت إدارة استمرارية األعمال أ7 -
47
أ 1-7-الوثائق المطلوبة
48
أ 2-7-السيطرة على الوثائق والسجالت الخاصة بإدارة استمرارية األعمال
49 برنامج استمرارية األعمال أ8 -
49
أ 1-8-وضع برنامج استمرارية األعمال
50
أ 2-8-مشاركة اإلدارة العليا
51 أ 3-8-تحليل التأثير على األعمال ( )BIA
53
أ 4-8-توثيق التحليل الخاص بالتأثير على األعمال
56 أ 5-8-تقييم المخاطر
59
أ 6-8-استراتيجية معالجة المخاطر
63 أ 7-8-استراتيجية إدارة استمرارية األعمال
64 أ 8-8-خطة استمرارية األعمال
71
أ 9-8-التوعية والتدريب
73
أ 10-8-اإلختبار والتمارين
78
أ 11-8-التطوير المستمر إلدارة استمرارية األعمال
84 تقييم وقياس إدارة استمرارية األعمال أ 9-
84
أ 1-9-المراجعة السنوية لقدرة استمرارية األعمال
85
أ 2-9-مراجعة المو ِّردين األساسيين
86
أ 3-9-مراجعة العمالء والطرف الثالث
86
أ 4-9-مراجعة ما بعد الطوارئ واألزمات والكوارث
86 أ 5-9-التقرير السنوي لتقييم إدارة استمرارية األعمال
87 أ 1 0-إدارة مراجعة قدرة استمرارية األعمال
87 أ 1-10-مراجعة اإلدارة
87
أ 2-10-وثائق مراجعة اإلدارة
87 أ 3-10-معطيات مراجعة اإلدارة
89 أ 4-10-مخرجات مراجعة اإلدارة
16
90 الجزء الثالث :نماذج خطة استمرارية األعمال
91
-1نموذج خطة استمرارية األعمال
91
إخالء المسؤولية
91
بيانات الخطة
91 قائمة توزيع الخطة
92 المقدمة
92
النطاق
93 األهداف
94
إعداد الفريق /طلب الخطة
94 اإلنذار واإلشعار
94 ال ِفرق /المجموعات
94 األدوار والمسؤوليات
96
اإلخالء والتجميع
97 االستجابة للحوادث
100 االتصال بشأن الحوادث
100 االستمرارية
101
قائمة مهام استمرارية األعمال
101 التعافي
102
قائمة مهام إجراءات التعافي
102 التدريب على التخطيط والتحديث
104
الملحق أ -جهات االتصال األساسية
105 الملحق ب ( -المعرف أيضاً باسم «صندوق الطوارئ»)
107
الملحق ج -نموذج من التقارير والنماذج
109
الملحق د -المراجع والوثائق ذات الصلة
110 الملحق هـ -مسرد المصطلحات
17
كلمة سمو مستشار األمن الوطني
نحو أفضل الممارسات في مجال إدارة استمرارية األعمال
من منطلق حرص قيادتنا الرشيدة على توفير الرفاهية واالستقرار للمجتمع ،في جميع الحاالت ،فقد حرصنا ،من
جهتنا ،على أن تكون جميع مؤسسات الدولة ،في جميع القطاعات الحيوية ،قادرة على االستمرار في تقديم
خدماتها وواجباتها تجاه المجتمع ،ليس في األحوال العادية فقط ،وإنما -كذلك -المقدرة على التعامل مع
والمنسقة مسبقاً ،لكي تتمكَّن هذه المؤسسات
َّ الحوادث ال ُمفاجِئة ،عبر إعداد الخطط والتجهيزات المدروسة
من االستمرار في دورها ،والقيام بالمهام الضرورية تجاه المجتمع ،خالل الكوارث المختلفة.
ولقد ت َّم إعداد هذه الوثيقة ،لتكون معيارا ً إرشادياً ،لمساعدة جميع مؤسسات الدولة ،في مجال إدارة استمرارية
المختصون والخبراء لدينا ،بدراسة أفضل الممارسات العالمية في هذا المجال ،وارتأينا ضرورة
ُّ األعمال ،حيث قام
إصدار هذا المعيار ،ليكون مرجعاً لمساعدة جميع مؤسسات الدولة ،من القطاعين العام والخاص ،للوصول إلى
المستوى المطلوب ،من المرونة والمقدرة على امتصاص الصدمات المفاجئة ،واالستمرارية في العمل خالل
حاالت الطوارئ واألزمات والكوارث.
وال يختلف اثنان ،في أن إدارة استمرارية األعمال ،أصبحت اليوم من العناصر األساسية في منظومة إدارة
الطوارئ واألزمات والكوارث ،لذلك ،فإن بناء تلك المقدرة ،يحتاج إلى الدعم والتشجيع من قبل اإلدارات العليا
في المؤسسات ،لضمان تسخير الموارد اإلضافية ،التي تمكِّن المؤسسة من االستمرار في أداء المهام الضرورية،
كحد أدنى ،خالل الطوارئ واألزمات ،إلى أن يت ّم استرجاع المقدرة الكاملة والعودة إلى الحياة الطبيعية.
وفي هذا السياق ،فإننا نهيب بالجميع ،التعاون وااللتزام بهذا المعيار ،لضمان الح ّد األدنى من المتطلّبات الفنية
والتدريبية واإلدارية ،للوصول إلى تلك الغاية التى توفّر للمجتمع الطمأنينة واالستقرار في جميع األحوال.
وجل-
ظل قيادتنا الغالية ،وأدام علينا -ع َّز َ
وفَّقنا الله لما فيه الخير لمجتمع دولة اإلمارات العربية المتحدة ،في ّ
األمن واالستقرار.
19
20
المقدمة
بتوجيهات من القيادة الرشيدة ،ومن منطلق التزام الحكومة االتحادية لدولة اإلمارات العربية المتحدة ،بتعزيز
االستقرار في الدولة ،وبمتابعة المجلس األعلى لألمن الوطني ،قامت الهيئة الوطنية إلدارة الطوارئ واألزمات
والكوارث ،بصياغة اإلصدار األول لمعيار إدارة استمرارية األعمال.
ت َّم إعداد هذا المعيار ،مع دليل إرشادي ،ونموذج لخطة استمرارية األعمال ،بهدف تمكين المؤسسات من
بناء المقدرة على استمرارية األعمال فيها ،بأسلوب منهجي ،وذلك خالل وبعد التع ُّرض للطوارئ أو الكوارث
أو األزمات ،من أجل ضمان االستمرار في تقديم الخدمات والمهام األساسية والضرورية ،في القطاعين العام
والخاص ،لتعزيز استقرار األمن الوطني بالدولة.
فالمؤسسات الحكومية وشركاؤها من القطاع الخاص ،تحتاج إلى التعامل مع الطارئ أو األزمة أو الكارثة،
منسق وف ّعال ،لكي تتمكَّن من التعافي التام من التعطّل .وخالل هذا الطارئ أو األزمة أو الكارثة ،الب َّد
بأسلوب َّ
من االستمرار في تقديم الخدمات والمهام األساسية والضرورية إلى المجتمع ،إلى أن يعود الوضع إلى طبيعته.
إن مفهوم إدارة استمرارية األعمال ( ،) BCM -Business Continuity Managementيعني بناء قدرة
المؤسسة على االستمرار في تقديم خدماتها ومهامها األساسية /الضرورية (كح ّد أدنى) بعد وخالل التع ُّرض
لطارئ أو أزمة أو كارثة تسببت في إرباك العمل أو إيقاف عجلته.
ت َّمت صياغة أول معيار في هذا المجال في العام ،2006في المملكة المتحدة ،وذلك إبّان المعاناة من عدة
أزمات وكوارث ،األمر الذي اضطر الباحثين بعدها إلى إيجاد آليات وأساليب لوضع معايير ،في حال التزام
المؤسسات بها ،تع ِّزز من إمكانية استمرارهم في تقديم مهامهم وخدماتهم األساسية /الضرورية ،إلى أن يتم
التعافي من الطارئ أو األزمة أو الكارثة ،والرجوع إلى الوضع الطبيعي .وتُعتبر دولة اإلمارات س ّباقة في هذا
المجال ،حيث لم تت ّم حتى اآلن صياغة معيار باللغة العربية في أ ّي من دول المنطقة.
وترتكز أهداف برنامج إدارة استمرارية األعمال لحكومة دولة اإلمارات العربية المتحدة ،أو للحكومات المحلية
في كل واحدة من إمارات الدولة ،والمؤسسات التي تعمل تحت نطاق سلطتها في القطاعين العام والخاص،
على ما يلي:
( أ ) استدامة استمرارية األعمال والمهام والخدمات األساسية /الضرورية في القطاعين العام والخاص ،بما في
ذلك المنظمات غير الربحية.
( ب ) تأمين سلسلة اإلمداد الالزم الستمرارية األعمال.
21
( ج ) وضع إجراءات االستمرارية في تقديم األعمال والمهام والخدمات األساسية /الضرورية ،عند التع ّرض
لطارئ أو أزمة أو كارثة ،للعمل بأسلوب مخطَّط وقابل للسيطرة.
( د ) إعداد خطة ف ّعالة إلدارة استمرارية األعمال والمخاطر في النشاطات /الخدمات اليومية ،في جميع
الجهات /المؤسسات االتحادية ،والمؤسسات المحلية في كل إمارة ،وجميع المؤسسات التي تعمل تحت
نطاق سلطتها في القطاعين العام والخاص.
ت َّمت االستعانة بالمراجع والوثائق التالية ،المعنية بإدارة استمرارية األعمال :
•المعيار البريطاني ،2007 :2-25999إدارة استمرارية األعمال – الجزء 2المواصفات
•المعيار األميركي ،2010 :1600 NFPAإدارة الكوارث /الطوارئ وبرامج استمرارية األعمال
•المعياران األسترالي والنيوزيلندي ،2010 :5050 AS/NZAإدارة المخاطر المتعلقة بمعوقات األعمال
•المعيار السويسري ،2009 :31000 ISOإدارة المخاطر – المبادئ والخطوط التوجيهية
•المعيار السنغافوري ,)SS(BCM 540:2008إدارة استمرارية األعمال.
ثم قمنا -بعد ذلك -بوضع هذا المعيار ليتناسب مع طبيعة أعمال حكومة دولة اإلمارات ،ويوفِّر المتطلَّبات
والمواصفات األساسية ،التي تستعين بها األطراف الداخلية والخارجية ،لمساعدة المؤسسات على مواصلة
أداء مهامها ،وتقديم خدماتها األساسية /الضرورية ،والتق ّيد بالتزاماتها التنظيمية والتعاقدية ،وحماية مصالح
المؤسسات المنتفعة ،بعد وقوع الطارئ أو األزمة أو الكارثة التي تعيقها عن أدائها .ويمكن تطبيق متطلبات
إدارة استمرارية األعمال ،الواردة في هذا المعيار ،في جميع المؤسسات ،بكافة أحجامها ،في القطاعين العام
والخاص.
يشير المصطلح « يجب/تجب» كما هو مستخدم في هذا المعيار إلى مطلب إلزامي ،إلاّ إذا ت َّم تعريفه بشكل
منفصل في المسرد.
22
الجزء األول :المواصفات
الجزء األول
المواصفات
23
:1مقدمة
1-1الغرض
يح ِّدد هذا المعيار العناصر واآلليات والنشاطات ،التي تُستخدم في وضع وتنفيذ واستخدام واستدامة إدارة
استمرارية األعمال ،للمؤسسات في القطاعين العام والخاص.
2-1المسؤوليات
يُعتبر مجلس الوزراء أو المجلس الوزاري للخدمات ،أو من يرونه مناسباً ،مسؤوالً عن التزام الوزارات والجهات
/المؤسسات ،التي تعمل تحت نطاق سلطته ،بهذا المعيار ،وتُعتبر األمانة العامة للمجالس التنفيذية ودواوين
سمو أولياء العهود في اإلمارات ،أو من يرونه مناسباً ،مسؤولين عن التزام الجهات /المؤسسات المحلية في
اإلمارات ،والجهات /المؤسسات التي تعمل تحت نطاق سلطتها ،بهذا المعيار.
3-1التسلسل الهرمي للخطط والسلطات
يوضح الشكل أدناه التسلسل الهرمي لخطط وسلطات إدارة استمرارية األعمال وإدارة الطوارئ واألزمات وإدارة
األحداث ،على المستوى الوطني والمحلي والقطاعي والمؤسسي.
السلطة الوطنية
خطة
االستجابة
سلطة اإلمارة
خطة االستجابة
املحلية
القطاع
خطة االستجابة
للطوارئ بالقطاع
24
الجزء األول :المواصفات
:2مستوى المسؤوليات
تقع المسؤولية في تنفيذ وإعداد برنامج استمرارية األعمال ،على اإلدارة العليا للمؤسسة ،وذلك بتخصيص
الموارد الالزمة لتنفيذه .ويق ّدم هذا المعيار ،والدليل اإلرشادي التابع له ،المستويات الدنيا المطلوبة إلعداد
البرنامج.
:3االلتزام
1-3التكليف في السلطة
على الجهات المكلفة من قبل الحكومة االتحادية للدولة ،والحكومة المحلية في كل إمارة ،أن تتأكد من التزام
المؤسسات التي تعمل تحت نطاق سلطتها بهذا المعيار.
:4إمكانية التطبيق
تُعتبر المتطلبات والمواصفات الواردة في هذا المعيار عامة ،ويُمكن تطبيقها على كافة مؤسسات الدولة
والجهات ذات الصلة ،مثل الشركات ومو ِّردي الخدمات األساسيين ،ألداء وظائف المؤسسات الحكومية األساسية
وخدمات المجتمع.
25
:5النطاق
1-5نطاق المعيار
يتناول هذا المعيار المواصفات وطريقة التنفيذ الخاصة بإدارة استمرارية األعمال.
أ 1-5-يتناول هذا المعيار متطلبات ومواصفات التأسيس والتخطيط والتنفيذ والتدريب واالستدامة والمراقبة
والمراجعة والتطوير المستمر للمؤسسة على استمرارية الخدمات والمهام فيها ،خالل الطوارئ واألزمات
والكوارث .كما يتناول الجزء الثاني من هذا المعيار طريقة تطبيقه في المؤسسات.
1-6المتطلبات
تتولى كل مؤسسة في الدولة ،مسؤولية تحديد وتوثيق مستوى قدرتها المناسبة الستمراريتها ،بتقديم وتأدية
مهامها وخدماتها الضرورية واألساسية خالل الطوارئ واألزمات والكوارث.
26
الجزء األول :المواصفات
1-7الوثائق المطلوبة
سجل وثائقي لجميع إجراءات تطبيق برنامج بناء مقدرتها على استمرارية
1-1-7يجب أن يكون لدى المؤسسة ّ
األعمال.
2-1-7يجب أن تحتوي سجالت استمرارية األعمال لدى المؤسسة على األقل ،على النقاط التالية:
( أ ) المفهوم
( ب ) السياسة
27
( ج ) الموارد الخارجية
( د ) كفاءة العاملين
( هـ ) تحليل التأثير على األعمال ( ) BIA
( و ) تقييم المخاطر
( ز ) االستراتيجية
(ح) خطة الطارئ أو األزمة أو الكارثة
(ط) خطة إدارة استمرارية األعمال
(ي) سجل التمارين
(ك) سجل المراجعة
(ل) التدقيق الداخلي
(م) االجراءات الوقائية والتصحيحية
(ن) سجل المراجعة
2-7السيطرة على الوثائق والسجالت الخاصة بإدارة استمرارية األعمال
السمات اآلتية في الوثائق والسجالت الخاصة بإدارة استمرارية األعمال: 1-2-7يجب أن تتوافر ِّ
( أ ) سهولة فهمها وتمييزها والوصول إليها ،السيما في وقت الطارئ أو األزمة أو الكارثة.
( ب ) تض ُّمنها التمييز المطلوب لتخزينها وحمايتها وسهولة استعادتها.
( ج ) تصديقها للمطابقة مع المعيار قبل إصدارها.
( د ) إخضاعها للمراجعة والتحديث وإعادة التصديق عند الضرورة مع توثيق التحديثات.
( هـ ) توفر نسخ محدثة في المواقع الرئيسة والبديلة ،وفي مواقع االستخدام األخرى.
( و ) تحديد الوثائق الواردة من المصادر الخارجية.
( ز ) إخضاع توزيعها وتحديثها للرقابة والمتابعة.
28
الجزء األول :المواصفات
المتطلبات؛ بل وتجاوزها ،سواء على المستوى االتحادي أو المحلي أو المؤسسي ،في القطاعين العام والخاص،
لترسيخ واستدامة إدارة استمرارية األعمال.
29
تقديم خدماتهم ومنتجاتهم ،عند تع ّرضهم لطارئ أو أزمة أو كارثة.
( ي ) تحديد الموارد التي يحتاجها كل نشاط أو مه َّمة أو خدمة في المؤسسة ،من أجل ضمان استمرارها.
( ك) وضع وقت التعافي المستهدف ( )RTOالسترجاع المقدرة على أداء المهام/الخدمات األساسية،
وذلك ،خالل الفترة القصوى لتح ُّمل المؤسسة النقطاع تلك الخدمات (.)TPD
5-8تقييم المخاطر
على المؤسسة أن تُجري تقييماً للمخاطر المحدقة بها ،من أجل تحديدها وتقييمها وتحديثها باستمرار ،ويتم
اتباع أسلوب ُمعتمد لتقييم المخاطر ،للتأكد من أن المؤسسة بحاجة إلى التخطيط لهذه المخاطر ،أو اتباع
استراتيجية أخرى لمعالجة هذه المخاطر؛ إذ ينبغي على المؤسسة القيام بما يلي:
• تحديد المخاطر والتهديدات التي يمكن أن تُعيق أو توقف تنفيذ النشاطات(الخدمات األساسية) الضرورية فيها.
• تحديد التأثير الذي سينجم عن تح ّول أحد المخاطر الكامنة المعروفة لديها ،إلى حدث يس ِّبب تعطل األعمال.
• عند تحديد التأثير ،يجب أن توضع في االعتبار ،االعتمادية المتبادلة ذات الصلة بأداء النشاطات(الخدمات
األساسية) الضرورية.
• تحليل مستوى التع ّرض للمخاطر من خالل:
( أ ) تحديد األحداث التي تؤ ّدي إلى تعطّل األعمال (مثل المخاطر ،التهديدات ...إلخ).
( ب ) تقييم األثر المباشر وغير المباشر الذي يُمكن أن تسبّبه هذه األحداث في العمليات اليومية
للمؤسسة ،وعلى أدائها لنشاطاتها األساسية /الضرورية ،والزيادة المتوقّعة في الطلب على
الخدمات األخرى.
( ج ) توثيق مخاطرها ،ووضع األسبقيات لها وفقاً لتقييم المخاطر.
( د ) تحديد ومراقبة الضعف بصورة مستمرة.
30
الجزء األول :المواصفات
2-6-8على الجهة /المؤسسة رفع التوصيات المعنية بمعالجة المخاطر إلى اإلدارة العليا ،لمراجعتها
وتصديقها.
31
•أثر التعطّل على النشاطات (الخدمات األساسية) الضرورية.
•الخيارات االستراتيجية والتشغيلية لالستجابة عند حدوث التعطّل.
(ي) وضع آلية اتصال واضحة ،لتمكين العاملين ووسائل اإلعالم من التواصل واالتصال ،لمعرفة مستجدات
الطارئ أو األزمة أو الكارثة.
(ك) إرشادات من أجل إدارة الطارئ أو األزمة أو الكارثة ،وتشمل الخطوات التالية:
.1كيفية التعامل مع المستجدات أثناء الطارئ أو األزمة أو الكارثة.
.2كيفية إصدار التعليمات للتعافي السريع من أجل االستمرار في تقديم النشاطات (الخدمات
األساسية) الضرورية.
(ل) تفاصيل عن الكيفية والظروف ،التي تقوم فيها المؤسسة باالتصال مع العاملين وأقاربهم والشركاء
الرئيسيين وأرقام الطوارئ.
(م) آلية تسجيل المعلومات والبيانات حول الطارئ أو األزمة أو الكارثة واالجراءات والقرارات التي ت َّم
اتخاذها.
(ن) قائمة باالجراءات والواجبات التي تحتاج للتنفيذ.
(س) قائمة بالموارد المطلوبة الستعادة األوضاع ،لالستمرار في األعمال على مدار الوقت.
(ع) وضع أولوية لألهداف ،في ما يتصل بالنشاطات(الخدمات األساسية) الضرورية ،الواجب استعادتها،
والجداول الزمنية التي تعود إليها ،ومستويات االستعادة المطلوبة لكل نشاط(خدمة أساسية)
ضرورية ،بهدف تحقيق استمرارية األعمال.
(ف) إجراءات وتعليمات «خفض الحالة» ،عند انتهاء الحادث أو الطارىء ،والرجوع إلى الحالة الطبيعية.
9-8التثقيف والتدريب
1-9-8تثقيف العاملين
على المؤسسة التأكُّد من إدراج إدارة استمرارية األعمال ضمن األعمال اليومية للمؤسسة .ويت ّم تحقيق ذلك عبر
مخصصة لذلك ،كما يت ّم نشر
برنامج مستمر للتدريب والتثقيف لكافة العاملين ،ويجري توثيقها في سجالت َّ
هذه الثقافة للجهات الخارجية أيضاً .ويشتمل برنامج تثقيف العاملين على ما يلي:
(أ) وضع األسس لتقييم مدى فعاليته.
(ب) نشر ثقافة القدرة على استمرارية األعمال.
(ج) التأكُّد من التطوير المستمر.
(د) ضمان إلمام العاملين بأدوارهم ومسؤولياتهم في برنامج إدارة استمرارية األعمال.
2-9-8التدريب
على المؤسسة التأكُّد من أن تدريب العاملين وفرق العمل ،يتناسب مع أدوارهم ومسؤولياتهم ،ويشمل -على
32
الجزء األول :المواصفات
10-8االختبارات والتمرين
على المؤسسة إجراء االختبارات والتمارين ،لضمان جاهزية الخطط للغرض الذي وضعت من أجله ،والمحافظة
على تنفيذ «خطة تدريب واختبار» بشكل سنوي.
1-10-8االختبارات
تجرى الفحوصات لتقييم جاهزية وصالحية وكفاية األدوات والتقنيات والمرافق والبنية التحتية الالزمة لتنفيذ
خطط المؤسسة الخاصة بإدارة استمرارية األعمال.
2-10-8التمارين
تجرى التمارين للتحقُّق من أن االجراءات والعاملين والعمليات المطلوبة لتنفيذ خطط استمرارية األعمال في
الجهة /المؤسسة ،تحقق تلك األهداف الواردة في تحليل التأثير على األعمال ،من خالل تلبية المتطلبات اآلتية:
( أ ) إجراء تمارين دورية ،أو عند حدوث أية تغييرات تؤثر على النشاطات(الخدمات األساسية) الضرورية
الهامة في المؤسسة.
( ب ) إجراء مجموعة من التمارين التي تُثبت بمجملها قدرة المؤسسة على استمرارية األعمال عند أخذها
مجتمعة ،وتركز على تلك المخاطر التي ت َّم تحديدها كأعلى مستوى من المخاطر في الفقرة .5-8
( ج ) عند التخطيط للتمارين ،يُؤخذ بعين االعتبار عدم تع ّرض الجهة /المؤسسة لمخاطر تعطّل األعمال،
التي قد تحدث كنتيجة مباشرة للتمرين.
( د ) تقديم منهج مو َّحد لممارسة االجراءات ،والتفاعل مع الجهات /المؤسسات األخرى في إطار مو َّحد،
قدر اإلمكان.
( هـ ) تحديد المقاصد واألهداف من كل تمرين.
( و ) كتابة تقرير عن التمرين والنتائج والتعليقات والمقترحات ،بحيث تشمل االجراءات المطلوبة وخطة
المعالجة.
( ز ) إجراء مراجعة بعد التمرين ،لتقييم األهداف التي تحقَّقت منه ،واستخالص الدروس ال ُمستفادة من
أجل التطوير.
33
( ح ) التأكُّد من دعم برنامج التدريب والتثقيف ،ألهداف إدارة استمرارية األعمال بفاعلية.
( ط ) من المق َّرر عقد تمارين دورية على المستوى الوطني ،من قبل الهيئة الوطنية إلدارة الطوارئ
واألزمات والكوارث ،وذلك للتأكُّد من تناغم الخطط لدى جميع مؤسسات الدولة ،من أجل تأكيد
التعاون والتنسيق المشترك بينها.
4-11-8عدم التوافق
تقوم المؤسسة بمعالجة عدم التوافق في مقدرتها على استمرارية األعمال فيها مع هذا المعيار ،من خالل
االجراءات الوقائية والتصحيحية.
1 -5-11-8االجراءات الوقائية:
( أ ) توضع أولوية االجراءات الوقائية ،بنا ًء على نتائج تقييم المخاطر وتحليل التأثير على األعمال للمؤسسة.
( ب ) يتوافق حجم االجراءات الوقائية مع حجم التأثير المحتمل من الطارئ أو األزمة أو الكارثة.
34
الجزء األول :المواصفات
2-5-11-8االجراءات التصحيحية:
على المؤسسة اتخاذ االجراءات الالزمة ،للتخلّص من أسباب عدم التوافق مع إدارة استمرارية األعمال ،ومنع
تكرار حدوثها ،والتي توضح إجراءات التوثيق وتحديد نقاط وأسباب عدم التوافق ،وتسجيل جميع اإلجراءات
التي ت َّم اتخاذها.
التزام اإلدارة
فهم األعامل األساسية للمؤسسة
إجراء/مراجعة تحليل
الثأثري عىل األعامل تحديد املخاطر
تحديد العمليات
التدريب والتثقيف
التطبيق واالستدامة
التدريب عىل املراجعة واالستدامة إلدارة استمرارية األعامل
35
الشكل :2نموذج عمل استمرارية األعمال
6 -11-8المطابقة والتصديق
36
الجزء األول :المواصفات
( ب ) خططها
( ج ) فرضيات التخطيط
( د ) تخصيص الموارد
( هـ ) نتائج التمارين
( و ) نتائج التدقيق
( ز ) االجراءات الوقائية والتصحيحية
:10مراجعة اإلدارة
1-10المراجعة اإلدارية لبرنامج استمرارية األعمال
تقوم اإلدارة بمراجعة قدرة المؤسسة على إدارة استمرارية األعمال في فترات دورية ،أو عند حدوث تغ ُّيرات
هامة ،للتأكُّد من صالحيتها ،واالستمرار في تلبية األهداف المطروحة إلدارة استمرارية األعمال ،على أن
37
للتحسن،
ُّ تجرى مراجعة اإلدارة مرة واحدة سنوياً على األقل .وتتض َّمن مراجعة اإلدارة ،تقييم الفرص المتاحة
والحاجة لتغييرات في سياسة استمرارية األعمال ،وأهداف األداء ،والخطط والعمليات واإلجراءات وفرق العمل
والمساندة ،للتأكُّد من بقائها صالحة للتطبيق.
38
الجزء الثاني :الدليل اإلرشادي
الجزء الثاني
الدليل اإلرشادي
39
أ 1-مقدمة
أ 1-1-الغرض
تق ّدم هذه الوثيقة مجموعة مشتركة من العمليات واإلجراءات التي تستخدم في وضع وتطبيق إدارة استمرارية
األعمال من قبل جميع المؤسسات ،من أجل:
•فهم أهداف األعمال وتحديد األنشطة األساسية /الضرورية لألعمال.
•اختبار مدى تأثير المخاطر في تعطّل األعمال.
•تحليل أثر تعطّل األعمال على األنشطة األساسية /الضرورية.
•اتخاذ قرارات بشأن كيفية تحقيق استمرارية تلك األنشطة.
•تطوير قدرة المؤسسة على االستمرار في تقديم األعمال األساسية /الضرورية ،بعد وخالل التع ُّرض
للطوارئ واألزمات والكوارث.
•تطوير مجموعة متكاملة ومتناسقة من الخطط ،لتحقيق المقدرة في إدارة استمرارية األعمال.
أ 2-1-المسؤوليات
تلتزم الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث بوضع المعيار وتوفير المشورة الفنية لتطبيقه.
40
الجزء الثاني :الدليل اإلرشادي
المؤسسات األخرى ،قد يكون من الضروري رفع األمر إلى مؤسسات من المستوى األعلى ،ومن ثم يُمكن طلب
الحصول على الموارد اإلضافية الالزمة إلدارة الحدث واالستجابة له.
الب ّد من تدوين وتوثيق جهات االتصال وإجراءات التصعيد ودرجات التصعيد في خطط إدارة الطوارئ واألزمات
والكوارث.
أ 3-االلتزام
أ 1-3-التكليف في السلطة
سيت ّم تعريف الجهات المسؤولة عن اإلشراف على التزام المؤسسات بهذا المعيار ،من قبل الجهات العليا.
يق ّدم هذا المعيار الح ّد األدنى من المتطلبات لتطوير وتعزيز إدارة استمرارية األعمال ،وعندما تقوم إحدى
الهيئات التنظيمية بوضع المتطلبات خارج إطار المبادئ واإلجراءات المنصوص عليها في هذا المعيار ،فإنه
نصت عليها الهيئة التنظيمية.
يجب على المؤسسة التابعة لها ،االلتزام بالمتطلبات التي ّ
وفي حالة وجود تعارض بين متطلّبات هذا المعيار ومتطلّبات الهيئة التنظيمية ،ينبغي على المؤسسة إرسال
طلب خطّي إلى الهيئة التنظيمية ،بغرض االسترشاد ،ويجب على المؤسسة االحتفاظ بنسخة من ر ّد الهيئة ،كذلك،
لحل
ينبغي على الهيئة التنظيمية إخطار المجلس األعلى لألمن الوطني بالتعارض ،وتقديم التوصيات المقترحة ّ
هذا التعارض.
41
أ 5-النطاق
أ 1-5-نطاق المعيار
أ 2-5-نطاق قدرة المؤسسة على استمرارية الخدمات والمهام بها
أ 1-2-5-األماكن والمرافق والمنتجات والوظائف والخدمات داخل النطاق
قد ال يت ّم إدراج جميع األماكن والمرافق والمنتجات والوظائف والخدمات ،في برنامج إدارة استمرارية األعمال
الخاص بالمؤسسة.
يعتمد تعريف ما يقع داخل النطاق ،وما هو خارجه ،بالنسبة إلى برنامج إدارة استمرارية األعمال الخاص
بالمؤسسة ،على قرار تتخذه اإلدارة العليا ،بشأن ماه ّية أنشطة األعمال التي تعتبر ضرورية /أساسية ،في
دعم أهداف أعمال هذه المؤسسة .ومن هذا المنطلق ،يُمكن تحديد األماكن والمرافق والمنتجات واألنشطة
والخدمات التي تندرج في نطاق البرنامج .كما يعتمد النطاق أيضاً ،على اإلجراءات التي تتخذها المؤسسة
بالفعل ،للتع ّرف على األسباب المحتملة لتعطل األعمال ومعالجتها ،وبمعنى آخر ،عالجات المخاطر التي تطبقها
المؤسسة( .لمزيد من التفاصيل أنظر القسم 5-8عن تقييم المخاطر ،والقسم 6-8عن استراتيجية المخاطر،
والقسم 7-8عن استراتيجية استمرارية األعمال).
أ 2-2-5-تحديد وتخصيص الموارد المطلوبة
( أ ) للشروع في إنشاء وتطوير برنامج استمرارية األعمال الخاص بها ،يجب على المؤسسة تحديد
الموظفين والمرافق واألجهزة واإلمدادات التي تحتاجها الفرق ،والتي ستطور برنامج استمرارية
األعمال الخاصة بها ،وتح ّدثه وتنفذه ،إذ يجب على المؤسسة وضع ميزانية وخطة مشروع لتنفيذ
البرنامج ،باإلضافة إلى وضع األهداف وأهداف األداء للفرق المشاركة ( .أنظر «نماذج مجموعة
أدوات استمرارية األعمال – »1للحصول على نموذج خطة مشروع استمرارية األعمال وأمثلة
مجموعة أدوات استمرارية األعمال 2لخطة نموذجية).
( ب ) األهداف الرئيسة ألعمال المؤسسة اليومية ،طبقاً اللتزاماتها التنظيمية.
( ج ) عند إجراء دراسة للمخاطر ،سيكون هناك بعض المخاطر المقبولة ،التي ال يُمكن تج ُّنبها ،وبعض
المخاطر التي ال يُمكن قبولها ،وبالتالي ،يجب إيضاحها في البرنامج ،حيث إنها تمثل الخطر األكبر
على المؤسسة.
( د ) يجب وضع جميع االلتزامات التعاقدية مع المو ِّردين ،أو شركات الخدمات وغيرها ،وكذلك وضع
االلتزامات التشريعية ،حسب القوانين والمراسيم ،وأية التزامات تنظيمية.
( هـ ) يجب الوضع في الحسبان ،جميع الشركاء والجهات المستفيدة من خدمات المؤسسة ،وإعداد قائمة
تشملهم.
42
الجزء الثاني :الدليل اإلرشادي
أ-2-6-ب تحديد المستوى األدنى (المقبول) من مستويات التأثير على عمل المؤسسة،
بموجب تحديد مجاالت التأثير ومستواه داخل كل مجال .وتستطيع كل مؤسسة وضع جدول يسمى أحياناً
«جدول التأثير» ،إلدارة الطوارئ واألزمات والكوارث.
اآلثار :يمتد تأثير الطوارئ واألزمات والكوارث على المؤسسة إلى عدد من المجاالت ،من بينها:
•العاملين – عدم التواجد أو عدم المقدرة على ممارسة األعمال.
•الوضع المالي – الخسائر أو التكاليف التي ته ِّدد الوضع المالي.
•التشغيل اليومي – عدم القدرة على ممارسة األعمال اليومية.
السمعة – األضرار التي تلحق بسمعة المؤسسة أو فقدان الثقة بقيادتها. • ّ
•التق ّيد – االلتزامات التعاقدية والقانونية والتنظيمية -من خالل العجز عن االمتثال للقانون أو شروط
رخصتها وعقودها واتفاقياتها.
المستويات :تكمن إحدى طرق قياس التأثير ،من خالل استخدام القيم الرقمية ،مثل قيمة الدرهم لمعرفة األثر
المالي .وهناك طريقة أخرى تتمثل في استخدام القيم النوعيّة ،مثل :مرتفع ومتوسط ومنخفض مستوى التأثير
على سمعة المؤسسة.
هناك طريقة أخرى ،تشتمل على المزيد من القيم الكم ّية والكيفية ،كما في المثال الموضح أدناه ،حيث يت ّم
استخدام مقياس مك ّون من خمس نقاط ،فيكون الرقم 1التأثير األدنى ،والرقم 5التأثير األقصى ،وذلك باستخدام
المعيار اآلتي:
43
-1منخفض جدا ً :التعطل المؤقت ،ليس هناك تأثير على عمليات األعمال أو األنشطة األساسية/
الضرورية.
-2منخفض :التعطل المؤقت ،تأثير قصير المدى على األعمال أو األنشطة األساسية /الضرورية.
-3متوسط :تعطل قصير المدى أو مستمر ،تأثير قصير المدى على عمليات األعمال وعدم القدرة على
أداء األنشطة األساسية /الضرورية.
-4مرتفع :تعطل قصير أو طويل المدى أو مستمر ،وتأثير على عمليات األعمال ،وعدم القدرة على أداء
أغلبية األنشطة األساسية /الضرورية.
-5شديد االرتفاع :تعطل طويل المدى أو مستمر ،وتأثير على عمليات األعمال ،وعدم القدرة على أداء
األنشطة األساسية /الضرورية.
في إطار استراتيجية استمرارية األعمال ،تحتاج اإلدارة العليا إلى تحديد مستويات التأثير وما هو مقبول منها،
وما هو غير مقبول .كما أن تحديد اإلدارة لمستويات التأثير غير المقبولة ،يح ِّدد درجة قبول المخاطر لدى
المؤسسة أو درجة تح ُّمل المخاطر.
أ-2-6-ج إيجاد آلية بشكل مستمر لتقليص الخسائر والتأثيرات غير المقبولة
اإلدارة العليا مسؤولة عن التحقق ،من خالل تحليل المخاطر التي تنشأ عن الخسائر غير المقبولة ،وتحديد ما
إذا كانت إجراءات معالجة المخاطر الزمة للح ّد من تلك الخسائر.
أ ( )1يجب تأهيل عدد من العاملين للقيام بأدوار الوظائف المه َّمة في المؤسسة ،للتمكُّن من تعويض
غياب العاملين األساسيين أل ّي سبب كان.
أ ( )2يجب إبرام اتفاقيات ،أو إعداد مرافق بديلة للمرفق بالغ األهمية ،مثل غرف العمليات الرئيسة في
المؤسسة ،حيث يُمكن وضع غرف عمليات بديلة في موقع بعيد ،الستخدامها عند التع ُّرض لتعطل
في الموقع الرئيس.
أ ( )3يجب دائماً االحتفاظ بنسخ احتياطية من السجالت المه َّمة للمؤسسة ،وكذلك وضع آلية لتعويض
أي من الممتلكات أو األصول األساسية.
أ ( )4يجب أن تكون هناك خطة استمرارية أعمال خاصة بتقييم المعلومات ،حيث تتطلَّب عددا ً من
االجراءات الخاصة بتقييم المعلومات واالتصاالت.
أ ( )5يجب -كذلك -إيجاد مصادر بديلة للمو ِّردين الخارجيين ،وصياغة اتفاقيات أو مذكرات تفاهم ،مع
تلك الجهات ،في حال عجز المو ِّردين الرئيسيين عن الوفاء بالتزاماتهم نحو المؤسسة ،وذلك لضمان
استمرار سلسلة اإلمداد وعدم تأثير التعطل على أعمال المؤسسة.
أ-2-6-د التع ّرف على أهداف االسترداد والتعافي لألنشطة األساسية /الضرورية
يجب تحديد الزمن األقصى ،الذي يجب على المؤسسة خالله استرجاع الح ّد األدنى المطلوب لتقديم األعمال
44
الجزء الثاني :الدليل اإلرشادي
األساسية /الضرورية .يت ّم ذلك ،من خالل وضع جدول زمني يوضح الخدمة والزمن الالزمين السترجاعها ،إلى أن
تصل إلى الحد الذي يمكّن المؤسسة من تحقيق أهداف التعافي المح َّددة مسبقاً في الخطة ،ويتم الحصول
على هذه المعلومات من خالل إجراء تحليل التأثير على األعمال «.»BIA
أ-2-6-هـ وضع واستدامة وتطبيق خطط لالستجابة واستمرارية األعمال للنشاطات الضرورية واألساسية.
يجب أن تب ِّين خطة إدارة حوادث المؤسسة ،لإلدارة العليا وفريق إدارة الحوادث ،بيانات االتصال ومعايير
التقييم وبروتوكوالت التصعيد وخطط العمل الالزمة لتقديم التوجيه والتنسيق االستراتيجي ،أثناء وقوع حادث
ما ،إلدارة االستجابة له واستمراريته والتعافي منه .ويهدف هذا إلى:
•ضمان سالمة الموظفين الذين يتأثرون بالطوارئ واألزمات والكوارث ،واالستجابة للخطة.
•تقييم أثر التعطل.
•تنسيق جهود االستمرارية والتعافي لفرق استمرارية األعمال.
منسقة و ُمدارة ،للمعنيين الداخليين والخارجيين ،بما في ذلك وسائل اإلعالم.
•توفير اتصاالت َّ
•حماية أصول المؤسسات والموارد من األضرار والخسائر المستقبلية.
(انظر «نماذج مجموعة أدوات استمرارية األعمال – 1لالطالع على نموذج خطة إدارة الحوادث» وأمثلة مجموعة
األدوات 2الستمرارية األعمال -الخطة النموذجية).
تق ِّدم خطة استمرارية أعمال المؤسسة ،التوجيه واإلرشاد الالزمين لموظفي الدعم واألعمال ،من أجل تنفيذ
األنشطة األساسية /الضرورية في موقع عمل بديل ،أو بطاقة مخفّضة في موقع العمل الرئيس.
(انظر «نماذج مجموعة أدوات استمرارية األعمال – 1لالطالع على نموذج خطة مشروع استمرارية األعمال
ومجموعة أدوات استمرارية األعمال - 2الخطة النموذجية).
تشتمل خطة التعافي للمؤسسة ،عندما تكون هناك حاجة لوضع خطة ما ،على وضع التوجيهات واإلرشادات
للعملية واألنشطة المشتركة ،باالنتقال من العمل بقدرة عادية ،إلى الوضع العادي ،والعمل على النحو المعتاد
بعد الطوارئ واألزمات والكوارث.
يجب وضع خطة مستقلة للتعافي من الطوارئ واألزمات والكوارث ،بخصوص تكنولوجيا المعلومات ،التي تدعم
استمرارية األنشطة األساسية /الضرورية للمؤسسة ،والخاصة بالبنية التحتية لهذه التكنولوجيا .وتق ِّدم خطة
التعافي من الكوارث لتكنولوجيا المعلومات ،التوجيهات واإلرشادات الالزمة لموظفي تكنولوجيا المعلومات ،من
أجل استعادة االستخدام والوصول إلى المعلومات والبيانات وأنظمة االتصاالت الالزمة ،لتنفيذ األنشطة الحرجة
الخاصة بالمؤسسة .تقوم إدارة تكنولوجيا المعلومات ،بوضع خطة التعافي من الكوارث لتكنولوجيا المعلومات،
أو قد يقوم المورد التابع لإلدارة بوضعها من أجل الحفاظ على نظم تكنولوجيا المعلومات واالتصاالت( .لمزيد
من التفاصيل انظر القسم 2-8-8والقسم )3-8-8
أ-2-6-و التأكُّد من امتالك المقدرة على استدامة واستمرارية الوظائف والخدمات األساسية والضرورية .يجب
45
وضع خطط تسمح بمستوى مع َّين من االستجابة ،يتناسب مع درجة خطورة الطوارئ واألزمات والكوارث ،عوضاً
عن البدء بطلب كامل لبدء المساعدة عند بداية كل حادث ،حيث يجب على المؤسسة تفعيل فرق إدارة
الحوادث فيها ،إلى مستوى مناسب لمستوى الحدث ،وكم المعلومات المتاحة بشأن أثر الطوارئ واألزمات
والكوارث.
من أجل اإلعداد للحاالت التي قد يكون فيها نقص في الموارد المطلوبة لالستجابة لطارئ أو أزمة أو كارثة
أكبر ،ينبغي على المؤسسة تحديد الموارد اإلضافية ،التي يمكن طلبها من أجل تقديم المساعدة والدعم ،إذ
قد يشتمل هذا على تفعيل الفرق من المؤسسات األخرى للمساعدة في االستجابة ،وقد يشتمل ذلك على
طلب الحصول على مساعدة أخرى من السلطات المحلية ،أو على رفع حادث اإلدارة إلى الفرق خارج المنطقة
المتأثرة بالطوارئ واألزمات والكوارث.
كلما أصبح تأثير حالة الطوارئ واألزمات والكوارث ،أكثر ح ّدة ،فإن ذلك يتطلَّب المزيد من الموارد لعمل
االستجابة المبدئية ،بدالً من العمليات المعتادة .ففي بعض الحاالت ،قد تكون الحاجة للحصول على دعم من
الموارد البشرية وتكنولوجيا المعلومات وخدمات المباني ،أكثر مرتين أو ثالث مرات من الطبيعي .في الوقت
ذاته ،سيكون هناك نقص في بعض مستويات األداء أو «مواعيد اإلنجاز» لألنشطة التي تتأثر بشكل أكثر بسبب
تعطل األعمال.
في هذه الحالة ،تحتاج اإلدارة إلى إعطاء األولويات لمهامها ،ووضع توقعاتها للعمل الذي سيتم إكماله ،والفترة
الزمنية التي ستستغرقها إلتمام ذلك ،طوال فترة عملها في «حالة األزمات».
وتُمكن االستعانة بتحليل التأثير على األعمال ،لضبط التوقّعات لمستوى األداء ووقت التعافي والموارد المطلوبة
الستعادة استمرارية العمليات .وإلى أن تت ّم تلبية تلك المتطلبات ،تحتاج المؤسسات إلى إعطاء األولويات في
ما يتعلق بتخصيص مواردها المحدودة ،وضبط توقعات األداء في جميع الوحدات واإلدارات والعمليات التابعة
ألعمال تلك المؤسسة( .لمزيد من التفاصيل انظر القسم 8-8عن خطة استمرارية األعمال).
أ-2-6-ز التأكُّد من تدريب العاملين للقيام بأدوارهم ومسؤولياتهم في إدارة استمرارية األعمال
يتطلب برنامج استمرارية األعمال أن يكون جميع الموظفين ،الموكلة إليهم أدوار ومسؤوليات في وضع البرنامج
وتطبيقه ،باإلضافة إلى إجراء االستجابة واالستمرارية والتعافي من الطوارئ واألزمات والكوارث ،قد ت َّم تدريبهم
وتأهيلهم على المهارات المطلوبة ،ألداء األدوار ال ُمسندة إليهم.
(انظر «نماذج مجموعة أدوات استمرارية األعمال – 1لالطالع على سجل التدريب الستمرارية األعمال ومجموعة
أدوات استمرارية األعمال 2خطة تدريب نموذجية)
( أنظر «تدريب المجموعة 3الستمرارية األعمال» لالطالع على برنامج تدريبي موصى به لكل دور ومقدمي
خدمات التدريب الموصى بها)
أ-2-6-ح إجراء التمارين المنتظمة للتأكُّد من كفاءة خطة إدارة استمرارية األعمال ،وتدريب وممارسة العاملين
46
الجزء الثاني :الدليل اإلرشادي
سجل تقييم المخاطر ،وتحليل التأثير على أعمال المؤسسة ،وفرضيات التخطيط إلدارة أ-2-6-ط تحديث ّ
استمرارية األعمال والخطط الخاصة باالستجابة للتغ ّيرات المادية في تنظيم المؤسسة وبنيتها التحتية والعاملين
فيها وموقع إدارة عمليات المؤسسة.
يُمكن أن تحدث تغييرات كبيرة ،عند إجراء أية تغييرات على:
•األهداف االستراتيجية
•حجم المؤسسة
•اإلدارة العليا
•الموظفين األساسيين
•الخدمات
•األنشطة التي تتطلَّب تنفيذ هذه الخدمات
•األماكن
•األدوات والمعدات المستخدمة لتنفيذ تلك األنشطة (بما في ذلك تكنولوجيا المعلومات)
•اإلمدادات والمو ِّردين ومق ِّدمي الخدمات
عندما يت ّم إدخال هذه التغييرات ،يجب على المؤسسة النظر بعين االعتبار إلى مراجعة تقييم المخاطر الخاصة
بها ،وتحليل التأثير على األعمال واستراتيجية استمرارية األعمال ،لتحديد ما إذا كانت بحاجة إلى المراجعة
والتحديث.
عندما تُسفر التغييرات عن تحديث أو تعديل خطط استمرارية األعمال أو إدارة الحوادث ،قد تحتاج المؤسسة
إلى التأكُّد من تحقيقها للغرض ،من خالل إجراء تمرين قد ال يكون مبرمجاً.
47
الستمرارية األعمال ،والمحافظة على فعاليتها ،لذلك ،يجب التأكُّد من عدم جعل هذه الوثائق معقَّدة ،أو أن
يكون النظام كثير التعقيد.
يُمكن أن يختلف نطاق وثائق برنامج استمرارية األعمال من مؤسسة إلى أخرى ،ويتوقّف ذلك على حجم
المؤسسة ،وطبيعة عملها ،ومدى تنوع الخدمات أو األنشطة التي تقوم بها ،وكذلك ،على مدى خبرة الموظفين
في مجال إدارة الطوارئ واألزمات واستمرارية األعمال.
أ 2-1-7 -يجب أن تحتوي وثائق برنامج إدارة استمرارية األعمال -في الح ّد األدنى -على الوثائق التالية:
( أ ) مفهوم وأهداف إدارة استمرارية األعمال ،بما في ذلك المحدوديات.
( ب ) سياسة إدارة استمرارية األعمال.
( ج ) إمكانية توفير الموارد الخارجية.
( د ) سجالت تتعلّق بمستوى كفاءة العاملين المشاركين في برنامج إدارة استمرارية األعمال ،وسجالت
التدريب الخاصة بهم.
( ه ) تحليل التأثير على األعمال ( ) BIAبنا ًء على سجل المخاطر للمؤسسة.
سجل تقييم المخاطر. (و) ّ
( ز ) استراتيجية إدارة استمرارية األعمال.
( ح ) خطة االستجابة للطارئ أو األزمة أو الكارثة.
( ط ) خطة إدارة استمرارية األعمال ،وخطة إدارة الطارئ أو األزمة أو الكارثة.
سجل مراجعات التمارين ونتائج االختبار إلدارة استمرارية األعمال. (ي) ّ
سجل المراجعة والتطوير المستمر لبرنامج إدارة استمرارية األعمال. (ك) ّ
( ل ) عمليات التدقيق الداخلي لبرنامج إدارة استمرارية األعمال.
سجل االجراءات الوقائية والتصحيحية والدروس ال ُمستفادة من التمارين. (م) ّ
سجل مراجعة اإلدارة السنوي. (ن) ّ
(انظر «نماذج مجموعة أدوات استمرارية األعمال »1و«نماذج مجموعة استمرارية األعمال ).»2
48
الجزء الثاني :الدليل اإلرشادي
( ب ) حفظها بطريقة تمكِّن العاملين من تمييزها ،والوصول إليها بسهوله عند الحاجة ،ويفضَّ ل أن تكون بلون مم َّيز.
( ج ) التأكُّد من ،وتصديق مطابقة الوثائق مع المعيار ،من قبل لجنة التوجيه في المؤسسة.
( د ) إجراء مراجعة بشكل مستمر لجميع الوثائق ،وفي حال إجراء تعديل أو إضافة أو إلغاء على الوثائق
المستخدمة في هذا المعيار ،فإنه يتم اعتمادها مرة أخرى من اللجنة.
( هـ ) توفير نسخ من الخطة ،أو من التعليمات المطلوبة في الخطة ،أو وضع لوائح جدارية في المواقع
الرئيسة والمواقع البديلة (إن وجدت) ،وكذلك في جميع فروع المؤسسة ،وتوفير الوثائق المه َّمة
المطلوبة بتلك األحكام.
( و ) في حال ت َّم استخدام وثائق أو معلومات من مصادر خارجية ،يت ّم تحديد مصادرها ،وبيان ذلك في
جميع الوثائق ال ُمستخدمة.
( ز ) يجب عمل نظام توزيع ورقابة على الوثائق ،من أجل السيطرة ،والتأكُّد من القيام بتزويد جميع
النسخ الموجودة في جميع المواقع ،بأية تحديثات قد تكون مه َّمة وضرورية.
49
أ 2-8-مشاركة اإلدارة العليا
على مدير البرنامج في المؤسسة ،التأكُّد من مفهوم وأهداف خطة استمرارية األعمال في المؤسسة ،وأنها
موضحه بشكل ج ِّيد في وثيقة إدارة المشروع ،والتي تس َّمى في بعض األحيان «وثيقة مشروع استمرارية
األعمال».
أ 1-2-8-يجب أن تشتمل هذه الوثيقة على نطاق المشروع ،وخطة الموارد والمرافق واألجهزة والمواد المطلوبة
لتطوير برنامج قدرة استمرارية األعمال ،لتحديد تسلسل األنشطة واألطر الزمنية المطلوبة لتطوير البرنامج.
يجب أن تح ِّدد وثيقة نطاق المشروع ،ما يلي:
•األهداف المتَّفق عليها ،وأولويات األعمال.
•ال ُمنجزات المطلوبة أثناء المشروع ،وتوقيتات تسليم كل من المنتجات األولية والمنتجات النهائية.
•جميع المعايير أو المتطلبات التنظيمية التي يجب الوفاء بها.
•جميع االفتراضات التي يُمكن على أساسها تقديم بيانات بالمخاطر أو التأثيرات.
•األماكن و /أو وظائف األعمال التي يجب اشتمالها أو استثنائها من برنامج قدرة استمرارية األعمال.
•درجة المخاطر (وهذا هو مستوى الخطر الذي يقتضي إجراء معالجة أو استجابة للخطر).
•جميع المخاطر المح ّددة إلنجاح المشروع.
•الهيكل التنظيمي لبرنامج إدارة استمرارية أعمال المؤسسة (األدوار والمسؤوليات).
يجب إجراء تقييم لمقارنة القدرة الحالية للمؤسسة ،مقابل المستوى المطلوب من قبل المعيار أو المتطلّبات
المدعمة للجهة التنظيمية .ويجب وضع نتائج هذا التقييم في تقرير بيان قابلية التطبيق ،وتقديمه إلى إلدارة
العليا ،لتسليط الضوء على الفجوات التي يجب التعامل معها في تحسين قدرة برنامج استمرارية أعمال
المؤسسة ،واالرتقاء به .ويجب وضع تقرير تقييم القدرة وبيان قابلية التطبيق ودمجه مع المراجعة السنوية
ألداء قدرة استمرارية أعمال المؤسسة( .انظر «نماذج مجموعة أدوات استمرارية األعمال »1لالطالع على وثيقة
نطاق المشروع وبيان إمكانية التطبيق).
أ 2-2-8 -إضاف ًة إلى توفير الموارد لتطوير برنامج قدرة استمرارية أعمال المؤسسة ،يجب -أيضاً -على اإلدارة
العليا ،توفير الموارد المطلوبة ،لضمان أن البرنامج ال يزال سارياً .وينبغي أن يحتوي ذلك على:
•تعيين فرد أو فريق إلدارة استمرارية األعمال.
•تحديد نطاق عملية اإلدارة وبرنامج إدارة استمرارية األعمال.
•على الشخص المسؤول الذي ت َّم تعيينه إلدارة استمرارية األعمال ،التأكُّد من ،والحفاظ على:
•تطوير عملية موثقة ،واعتمادها لتخطيط برنامج إدارة استمرارية األعمال وتطويره.
•تحديد وتدوين المنهج لتطبيق كل مرحلة من برنامج إدارة استمرارية األعمال.
•ضمان توفير مستويات مناسبة من التدريب للفرق المسؤولة عن تطبيق برنامج استمرارية
األعمال.
50
الجزء الثاني :الدليل اإلرشادي
51
االستراتيجية والتكتيكية والتشغيلية في أعمال المؤسسة .على سبيل المثال:
•االستراتيجي :يمكن أن تت ّم االستعانة بفقدان القدرة على تقديم المنتج أو الخدمة ،للمساعدة في
تقرير نطاق برنامج استمرارية أعمال المؤسسة.
•التكتيكي :يُمكن أن تتم االستعانة بتعطّل األنشطة الداخلية والخارجية ،التي يُمكن أن توقف توفير
المنتجات والخدمات ،لتقديم المعلومات المتعلقة باختيار خيارات االستمرارية المناسبة ،وتحديد
الموارد المطلوبة لتنفيذ هذه الخيارات.
•التشغيلي :قد تت ّم االستعانة بتعطل أنشطة إدارة األعمال ،للمساعدة في إعداد الخطط التفصيلية،
الستجابتها والتعافي من أنشطتها األساسية /الضرورية للمستويات المطلوبة ،للوفاء بأهداف أداء قدرة
استمرارية أعمال المؤسسة.
كما يجب أن تفيد اإلدارة العليا ،أيضاً ،في مسألة تحديد أي من المنتجات أو الخدمات ،وأهميتها في حاالت
الطوارئ واألزمات والكوارث؛ فبدالً من اشتمال جميع المنتجات والخدمات ،يُمكن تنفيذ تحليل التأثير على
األعمال فقط ،على المنتجات والخدمات التي ت َّم تصنيفها بالفعل بأنها مه َّمة وضرورية.
تت ّم االستعانة ،أيضاً ،بتحليل التأثير على األعمال ،لتحديد األطر الزمنية التي تنبغي استعادة المنتجات والخدمات
األساسية /الضرورية خاللها ،واألصول (المرافق والموظفين واألنظمة والمواد) المطلوبة لتقديم تلك المنتجات
والخدمات ،ومستويات األداء المطلوبة لتحقيق أهداف التعافي للمؤسسة.
تحليل التأثير على األعمال يتبع حلقة النشاط الموضحة في الشكل التالي:
1
فهم ودراسة
مهام املؤسسة
6 بشكل دقيق 2
تأكيد ووضع فهم ودراسةاملهام
أولوية للمهام األساسية يف كل مرحلة عىل حدة
والرضورية باملؤسسة والنشاطات والخدمات
تحليل التأثير الخاصة بها
على األعمال
5 ()BIA
تحديد مستوى 3
أثر توقف العمل تحديد املستوى
وأهداف استمرارية
األعامل 4 العادي واألدىن من
متطلبات املوارد
تحديد
االعتامد الداخيل
والخارجي املتبادل
بني اإلدارات
52
الجزء الثاني :الدليل اإلرشادي
المختصة.
َّ •استطالعات الرأي ،أو االستبيانات
•أدوات البرامج ،أو حزم البرامج.
بمج َّرد اكتمال تحليل التأثير على األعمال ،تت ّم االستعانة بالنتائج ،لتحديد استراتيجيات التعافي ،الستمرارية
وتقديم المعطيات لوضع خطط استمرارية األعمال.
إن أي تغيير في العمليات ال ُمستخ َدمة إلنتاج الخدمات الحرجة للمؤسسة ،يقتضي إجراء مراجعة لتحليل التأثير
على األعمال مرة أخرى ،لتحديد ما إذا كانت المعلومات الواردة في تحليل التأثير على األعمال ،تحتاج إلى
التحديث أم ال.
وفي ح ٍّد أدنى ،يجب إجراء مراجعة ،لتحليل التأثير على األعمال مرة واحدة سنوياً ،للتحقّق من صالحيته ،وإجراء
التغييرات الالزمة عليه ،إذا لزم األمر.
( انظر « نماذج مجموعة أدوات استمرارية األعمال »1لنموذج تحليل التأثير على األعمال و «أمثلة مجموعة
أدوات استمرارية األعمال » 2لنموذج من تحليل التأثير على األعمال).
53
•اتفاقيات مستوى التشغيل الخاصة بالمؤسسة
•العقود
•تغطية التأمين
يت ّم دمج التأثيرات الواردة في تحليل التأثير على األعمال ،لتقديم تقدير يظهر التقييم الكلّي لتعطل كل نشاط؛
على سبيل المثال ،التأثير الحاد بعد خمسة أيام ،أو التأثير الضعيف بعد ثالثة أسابيع .وتُستخدم هذه التقديرات
لتصنيف األنشطة إلى مجموعات ووضع أولويات التعافي.
بالنسبة إلى األنشطة القائمة على نظم تكنولوجيا المعلومات والبيانات ،تجب أيضاً مراجعة تأثير فقدان
البيانات ،بين وقت التعطل ووقت حفظ آخر نسخة احتياطية صالحة لالستخدام .سوف يساعد هذا في تحديد
القدرات التي تض ّمها المؤسسة ،أو التي ينبغي أن تض ّمها ،الستمرار األنشطة األساسية /الضرورية ،باستخدام
حل المشاكل في البرامج وال ُنظُم ،والتي تشتمل على استخدام أدوات وتقنيات أخرى عمليات يدوية أو طرق ّ
أثناء تعطّل النظام.
يح ِّدد تحليل التأثير على األعمال ،أيضاً ،المتطلّبات الالزمة للمباني أو مجاالت العمل أو الموظفين أو أنظمة
الحاسوب أو تطبيقات البرامج أو األدوات أو المعدات أو البيانات اإللكترونية أو البيانات المطبوعة أو الوثائق
والمنتجات أو اإلمدادات أو الخدمات التي توفرها المصادر الداخلية أو الخارجية ،التي تعتبر أساسية الستمرارية
أنشطتها األساسية /الضرورية.
ويت ّم اتباع نهج عام لتقييم التأثير ،باستخدام أسوأ سيناريو ،وذلك عند إجراء تحليل التأثير على األعمال .قد
يكون األساس المنطقي وراء ذلك ،هو أن المؤسسة القادرة على استعادة االستمرارية في أكثر األوقات حرجاً،
ستكون أيضاً ،قادرة على استعادتها عندما يكون التأثير أقل سو ًءا ً.
ال يجوز تعطيل توريد ال ُمنتجات والخدمات األساسية /الضرورية للمؤسسة ،من خالل عجز الغير الذي يو ِّرد هذه
ال ُمنتجات والخدمات إلى المؤسسة ،أو التي تو ِّردها مباشرة إلى العمالء بالنيابة عن المؤسسة.
في حالة تعهيد توريد منتج أو خدمة ما ،سواء كان ذلك بصورة كلية أو جزئية ،تُعتبر المؤسسة مسؤولة عن
المحافظة على االستمرارية في توريد تلك المنتجات والخدمات لعمالئها .يجب على المؤسسات التي تتع ّهد
تقديم مرافقها أو خدماتها للمو ِّردين الخارجيين ،أن تساعد هؤالء المو ِّردين في تطوير قدرة استمرارية أعمالهم
والحفاظ عليها.
تستطيع المؤسسات القيام بذلك ،من خالل التعريف بتحليل التأثير على األعمال ،وما هو مطلوب من المو ِّرد،
عندئذ دمج هذه المتطلّبات في االتفاقيات التعاقدية ٍ من أجل تحقيق أهداف التعافي للمؤسسة .كما ينبغي
بين المؤسسة ومو ِّرديها.
من المه ّم بمكان ،أن تتطلَّب سياسة إدارة استمرارية األعمال ،وتحليل التأثير على األعمال ،مراجعة األنشطة
المعهدة ،ألن الجهات المعنية سوف تفترض أن المؤسسة على دراية باعتمادها على الغير الذين ينفذون
األنشطة ،وأنها قد صنعت خيارا ً مدروساً بشأن الغير ،الذين تعتمد عليهم المؤسسة ،وأنها اتخذت االجراءات
المناسبة للتحقق من أن الغير قادرون على أداء مه َّمتهم كما ينبغي ،من أجل الحفاظ على استمرارية األنشطة
54
الجزء الثاني :الدليل اإلرشادي
55
( ز ) تدوين جميع المو ِّردين والمتعاقدين ،الذين لهم دور خالل عمل المؤسسة ،فترة استمرارية األعمال.
( ح ) قد تكون هناك خطط معتمدة لدى بعض المؤسسات ،لذلك ال تكون هناك حاجة للبدء من
الصفر ،وعليه تجب مراجعة تلك الخطط ،وآلية تحليل التأثير على األعمال السابقة ،وتب ِّنيها في حال
صالحيتها.
( ط ) كذلك قد تكون هناك خطط مسبقة لدى المو ِّردين أو المتعاقدين ،وتتو َّجب مراجعتها ،للتأكُّد من
مواكبتها للمعيار ،وتلبيتها لجميع المتطلبات الموجودة فيه.
( ي ) يت ّم تحديد جميع المصادر الخارجية للموارد المطلوب توفّرها ،من أجل استمرارية األعمال ،ووضعها
في قوائم مع المو ِّردين لتلك االحتياجات أو الموارد.
( ك ) بنا ًء على دراسة تقنية المخاطر ،فإن هناك مخاطر مقبولة ،ولكن ،ت َّم وضع سيناريو لحدوث تلك
المخاطر ،وبالتالي هناك وقت ت َّم حسابه للتعافي واالستمرار في تقديم األعمال.
56
الجزء الثاني :الدليل اإلرشادي
57
•تحديد المخاطر غير المقبولة.
•تقديم نسخة من نتائج تقييم المخاطر للشخص المسؤول عن برنامج إدارة مخاطر المؤسسة.
•تحديد االجراءات المطلوبة للح ّد من تهديد تعطل األنشطة األساسية /الضرورية ،في تقرير يت ّم رفعه
إلى اإلدارة العليا.
ينبغي أن تشتمل نواتج تقييم المخاطر على ما يلي:
•قد تتس َّبب التهديدات في إحداث توقُّف أو انقطاع األنشطة األساسية /الضرورية للمؤسسة ،والتي يت ّم
تصنيفها حسب مستوى التأثير.
•نقاط اإلخفاق الوحيدة المصاحبة لهذه التهديدات.
•االجراءات المطلوبة للح ّد من تهديد انقطاع أو توقُّف األنشطة األساسية /الضرورية للمؤسسة.
سجل أو دفتر المخاطر ،باإلضافة إلى جميع يجب اشتمال جميع المخاطر المح َّددة في تقييم المخاطر ،في ّ
المعلومات الخاصة بالتخفيف واالجراءات الوقائية والتصحيحية الالزمة ،للح ّد من تلك المخاطر.
سجل المخاطر «وثيقة حيّة» يت ّم تحديثها مرة على األقل سنوياً ،أو عندما يت ّم إجراء تغيير ينبغي أن يكون ّ
جوهري في عملية أعمال المؤسسة أو أماكنها أو مرافقها أو عملياتها المتعلِّقة بأنشطتها األساسية /الضرورية.
سجل المخاطر يح ِّدد المعالجات التي يجب تطبيقها على تلك المب َّينة في تقييم المخاطر .هناك هناك جزء من ّ
أربع فئات أساسية من معالجة المخاطر ،موضحة في الرسم أدناه:
تقييم املخاطر
معالجة املخاطر
التخطيط للمخاطر
إزالة املخاطر تخفيف املخاطر استمرارية األعامل
قبول املخاطر ترك تقليل االحتامالت -قلل
إزالة املصدر التعايف من كارثة تقنية
الخطر بدون معالجة التأثري -حول األخرين
وقف التسبب يف املخاطر املعلومات واالتصاالت
إدارة األحداث
خارج نطاق إدارة استمرارية األعمال ضمن نطاق استمرارية
األعمال
•قبول المخاطر – ويُستخدم عندما يكون الخطر على مستوى أقل من درجة المخاطر ،أو تكلفة التعامل
مع المخاطر التي تفوق الفائدة.
•تخفيف المخاطر – ويُستخدم عندما يُمكن خفض درجة المخاطر إلى مستوى أقل من درجة المخاطر.
58
الجزء الثاني :الدليل اإلرشادي
•إزالة المخاطر – وتُستخدم عندما يُمكن القضاء على التهديد ،أو إمكانية التع ُّرض له.
•التخطيط للمخاطر – ويُستخدم عندما يت ّم تطبيق الطرق الواردة أعاله ،ولكن المؤسسة ال تزال تحتفظ
بمستوى غير مقبول من الخطر .عندها يت ّم وضع خطة استمرارية األعمال لتحديد األعمال واإلجراءات
الالزمة لالستجابة ،واستعادة استمرارية األنشطة األساسية /الضرورية في حالة تعطل األعمال.
لكل من عمليات معالجة المخاطر شخصاً مسؤوالً عن تنفيذها. ينبغي أن يكون ٍّ
في الحاالت التي تكون فيها المعالجة «التخطيط للمخاطر» ،الب ّد من وضع خطة استمرارية األعمال من جانب
اإلدارات /الوظائف المسؤولة عن تنفيذ األنشطة األساسية /الضرورية .والب ّد أن تح ِّدد هذه الخطط مجاالت
العمل والموظفين واألدوات والمعدات واألنظمة والبيانات والمعلومات الالزمة لتوفير االستمرارية لتلك
األنشطة ،داخل األطر الزمنية الموضوعة من قبل تحليل التأثير على األعمال.
السجل لعملية المراجعةّ بسجل المخاطر ،على أن يخضع هذا ّ يتولّى مدير المخاطر مسؤولية االحتفاظ
والتدقيق ،مرة سنوياً على األقل .وعلى سبيل المثال ،هناك طرق عديدة تستطيع المؤسسات من خاللها التعامل
مع مخاطر تعطل األعمال:
•إذا كان الخطر بسبب تركيز األنشطة األساسية /الضرورية في مكان واحد ،تستطيع المؤسسة الترتيب
بحيث يت ّم تنفيذ تلك األنشطة في مكانين ،طالما أنها ليست قابلة للتعطل من نفس الحدث.
•إذا كان الخطر مرتبطاً باستخدام المرافق أو المعدات أو االجراءات المنتهية ،يُمكن استبدالها أو ترقيتها.
•إذا كانت التكلفة باهظة من أجل الحصول على أماكن متع ِّددة ،أو استبدال أو ترقية المرافق أو
المعدات أو االجراءات ،تستطيع المؤسسة شراء تأمين لخفض قيمة الخسارة.
•هناك خيار آخر يتمثل في تأجير المرافق و /أو المعدات ،أو التعاقد على تنفيذ األعمال مع مؤسسة
أخرى ،والتي ال يجوز أن تخضع لنفس المخاطر.
59
تحليل بيست ( PESTالتأثيرات السياسية والبيئية واالجتماعية والتقنية).
تحليل السوق ،لتحديد وضع ال ُمخرجات تِبعاً لتعطل كبير في سلسلة اإلمداد.
في العديد من الحاالت ،يُمكن تطبيق عدد من العالجات على الخطر ،وقد تتطلَّب االستراتيجية العامة مجموعة
متن ِّوعة من العالجات للح ّد من المخاطر إلى المستوى المقبول.
عند اختيار التخطيط للمخاطر ،والذي يتطلَّب التخطيط الستمرارية األعمال ،وذلك كخيار لمعالجة الخطر ،يت ّم
النظر في ما يلي:
المواقع االحتياطية
تشتمل هذه االستراتيجية على تنفيذ األنشطة األساسية /الضرورية في موقعين جغرافيين متف ِّرقين ،إلى أن
يت ّم نقل العمليات من موقع إلى آخر .يعمل كل من الموقعين بصورة كاملة تقنياً .ويُعتبر هذا مناسباً في
المؤسسات ،السيما المالية أو األمنية ،عندما يت ّم قياس زمن االستعادة األمثل بالدقائق أو الساعات ،بدالً من
األيام.
المواقع البديلة
تض ّم المواقع البديلة استراتيجية تشبه استراتيجية المواقع االحتياطية ،الستخدام مرفق آخر لتنفيذ األنشطة
األساسية /الضرورية الخاصة بالمؤسسة ،في موقع مستقل جغرافياً عن الموقع األساسي .ففي هذه االستراتيجية،
يكون الموقع األول عامالً ويجري استخدامه ،بينما يكون اآلخر غير عامل ولكنه جاهز لالستخدام .يُطلق على
الموقع األول «الموقع الساخن» بينما يُطلق على الموقع الذي يعتبر جاهزا ً للعمل« ،الموقع الدافئ» .وكذلك،
عندما يت ّم إجراء بعض الترتيبات من أجل بناء أو تجديد موقع في وقت الطوارئ واألزمات والكوارث ،بدالً من
أن يت ّم ذلك في وقت سابق ،فإنه يطلق عليه «الموقع البارد».
يشتمل تنفيذ هذه االستراتيجية على نقل الموظفين إلى الموقع االحتياطي ،بعد وقوع الطوارئ واألزمات
والكوارث .قد يكون الموقع البديل عبارة عن مرفق مقدم من الغير ،أو قد يكون أحد المرافق الخاصة
بالمؤسسة ،أو قد يكون أحد المواقع المشتركة ،ويتبع الحكومة المحلية أو الحكومية االتحادية .قد تكون هذه
االستراتيجية مناسبة ،عندما يت ّم قياس زمن االستعادة األمثل بالساعات أو األيام ،بدالً من األسابيع أو األشهر ،طبقا
لطبيعة الكارثة ،ويُمكن نقل الموظفين إلى الموقع البديل بسرعة كافية ،لمواصلة ممارسة األنشطة األساسية/
الضرورية ،في غضون زمن االستعادة األمثل .يتوقف نجاح هذه االستراتيجية ،على ما إذا كان الموظفون قادرين
وراغبين في العمل في الموقع البديل لفترة زمنية مط ّولة إن لزم األمر.
تعهيد األعمال
هناك استراتيجية أخرى تُمكن االستفادة منها للح ّد من المخاطر ،أال وهي تعهيد األعمال أو تنفيذ عقود األنشطة
األساسية /الضرورية للغير .يعتمد ذلك -طبعا -على طبيعة عمل المؤسسة وخدماتها ،ويكون ذلك بموجب
مذكرات تفاهم مع المتع ِّهدين .قد يكون هذا الخيار مفضالً في التصنيع ،حيث تكون التكلفة المضافة إلنشاء
60
الجزء الثاني :الدليل اإلرشادي
مواقع احتياطية أو بديلة ،أكثر من الفوائد والمم ِّيزات التي يت ّم تحصيلها من جراء المشروع.
في بعض األوقات ،يكون الخيار الوحيد للتعهيد هو التعاقد مع مؤسسة أخرى ،تقوم بتنفيذ هذا النوع من
المحصلة من معالجةَّ األعمال ،والتي يُمكن أن تكون مؤسسة منافسة .في هذه الحالة ،الب ّد من مقارنة الفوائد
المخاطر ،بخطر عمل تبعية ألحد المنافسين ،وبشكل عام ،فإن هذا الخيار يتناسب مع القطاع الخاص بشكل
أكبر.
بالنسبة إلى ال ُمنتجات والخدمات التي لها زمن استعادة قصير ،الب ّد من إبرام عقود التعهيد مسبقاً .أما بالنسبة
إلى الخدمات التي لها زمن استعادة طويل ،فقد يكون من ال ُممكن االنتظار حتى بعد الحدث إلبرام العقد .إال
أنه يوجد هناك خطر لالنتظار ،حتى بعد وقوع الحدث ،إلبرام عقد ما ،حيث أن ذلك الوقت الذي قد يلتزم فيه
الشريك ال ُمعهد له باألعمال التزاماً كامالً ،قد يكون غير قادر على تلبية جميع احتياجات المؤسسة.
يُساهم التعهيد أو التعاقد على تنفيذ األنشطة األساسية /الضرورية للغير ،في نقل المخاطرة ،ولكنه ال يعفي
المؤسسة من مسؤوليتها القانونية لتقديم المنتجات والخدمات للمعنيين ،بل تبقى المخاطرة من مسؤولية
المؤسسة.
التأمين
يمكن شراء تأمين لتقديم تعويض مالي عن فقدان األصول وتكلفة االستعادة وحماية المسؤوليات القانونية.
إال أنه ال ير َّجح أن يغطي التأمين جميع التكاليف الناتجة عن التعطل ،بما في ذلك فقدان العمالء أو ِق َيم
السمعة أو صورة العالمة التجارية .يُمكن شراء تأمين تعطل وحدات األعمال في بعض األحيان المساهمين ،أو ّ
لتغطية التكاليف المباشرة المتعلقة بفقدان العائد من تعطل األنشطة األساسية /الضرورية .إالّ أن هذا النوع من
التأمين سيغطّي فقط خسائر األعمال المرتبطة بالخسائر األخرى القابلة للتأمين عليها (مثل األضرار التي تلحق
61
بالمبنى أو منطقة العمل أو األدوات والمعدات المستخدمة في تلك المناطق ،بما في ذلك نظم تكنولوجيا
المعلومات وغير تكنولوجيا المعلومات .).هناك نوع آخر من التأمين ،وهو أن بداية الظهور في السوق تشتمل
على تغطية لمجموعة واسعة من التوقفات والتعطالت ،بما في ذلك األعطال في سلسلة اإلمداد .هناك أنواع
أخرى من التأمين والتي تُعتبر ضرورية للحماية من المخاطر ،وتشتمل على االختطاف والفدية أو األخطاء
والسهو (والمسؤولية القانونية المهنية).
حل المشاكل يدوياً
ّ
تتَّسم معظم بيئات العمل الحالية باآللية ،وباعتمادها على النظم واألدوات والمعدات التي تعمل أوتوماتيكياً،
أو تدعم أنشطتها األساسية /الضرورية بطريقة أوتوماتيكية .في بعض الحاالت ،يُمكن أن تكون عملية معالجة
المخاطر بسيطة ،كأن يت ّم ذلك عن طريق استخدام عملية يدوية أو تقنيات وأدوات بديلة ،أو وثائق ورقية بعد
تعطل األعمال.
التدريب المتبادل
هناك نوع من األخطار شائع ج ّدا ً ،يتمثل في وجود شخص واحد ،يستطيع تنفيذ النشاط الحرج ،مثل توقيع
الشيكات والعقود وتوكيالت العمل وصيانة نظام معين أو جزء من جهاز أو قيادة تنمية منتج أو خدمة جديدة.
تُمكن معالجة هذا الخطر من خالل التدريب المتبادل للعاملين ،للح ّد من نقطة اإلخفاق الوحيدة ،وضمان
استمرارية العمليات .حيث يت ّم تدريب بعض العاملين في وظائف مهنية ،للعمل في تلك الوظائف المه َّمة
التي ت َّم تحديدها في تحليل األعمال.
62
الجزء الثاني :الدليل اإلرشادي
التع ُّرض للحرائق والفيضانات واألخطار والتلوث وانتشار األمراض المعدية في مكان العمل.
63
3 .3نتائج التعطّل.
تهدف االستراتيجية إلى تحقيق الوقاية والتوافر واالسترداد .في إطار تعريفها الستراتيجية استمرارية األعمال،
تحتاج المؤسسة إلى األخذ بعين االعتبار جميع العناصر المطلوبة لتوفير استمرارية أنشطتها األساسية/
الضرورية ،ويشمل ذلك:
•أصولها األساسية /الضرورية
•معلوماتها
•مبانيها
•موظفوها
•الجهات المعنية
•إمداداتها
•بنيتها التحتية المساندة
•التكنولوجيا
يُمكن تحقيق استراتيجية استمرارية أعمال المؤسسة ،من خالل وضع خطة استمرارية أعمال واحدة أو أكثر.
عند القيام بذلك ،قد تُعالج كل خطة بعض األو ُجه أو العناصر الخاصة لعمليات المؤسسة ،أو أنها قد تُعالج
جميع العمليات في موقع واحد .سواء اختارت المؤسسة وضع خطة استمرارية أعمال واحدة أو خطط متع ِّددة،
فإن المسؤوليات الرئيسة والموارد والبرامج ونتائج النشاط ،تحتاج إلى تعريف تا ّم ٍ
وكاف في كل خطة.
أوالً ،يجب على المؤسسة االستجابة بفعالية للحادث ،من أجل توفير الصحة والسالمة لموظفيها ،وخصوصاً
لفرق االستجابة للحادث والمتض ِّررين من حالة الطوارئ أو األزمات أو الكوارث .في العديد من األحوال ،فإن
المعلومات المطلوبة لعمل هذا ،تكون واردة في خطة طوارئ مبنى المؤسسة ،أو في خطة ُمستقلة تُعرف
باسم «خطة إدارة الحوادث للمؤسسة».
ثانياً ،يجب على المؤسسة تنسيق أنشطة من يستجيبون للحادث ،وإجراء التقييم المبدئي لألضرار ،وتنظيم
فريق اإلدارة المسؤول عن تحديد االجراءات المطلوبة ،وتنسيق أنشطة الفرق المشاركة في االستجابة ،واعتماد
االتصال بالجهات المعنية الداخلية والخارجية .يجب أن تكون هذه المعلومات واردة في خطة إدارة الحوادث.
وكجز ٍء من عملية إدارة الطوارئ واألزمات والكوارث ،تحتاج المؤسسة إلى وضع وتقديم رسائل للجهات المعنية
الداخلية والخارجية ،التي ستُبقيها على اطالع على حالة استجابة المؤسسة وأنشطة التعافي من الكوارث .غالباً
64
الجزء الثاني :الدليل اإلرشادي
ما تو َجد هذه المعلومات في خطة إدارة الحوادث ،أو قد تو َجد في خطة مستقلة تُعرف باسم خطة االتصاالت
أثناء األزمات.
تشتمل طرق االتصال الخارجية على:
•األخبار أو البيانات الصحافية
•اإلعالم
•التقارير المالية
•الرسائل اإلخبارية
•المواقع اإللكترونية
المكالمات الهاتفية ورسائل البريد اإللكتروني والرسائل النصية (التي يتم تسليمها يدوياً و /أو عن طريق نظم
إشعار الطوارئ األوتوماتيكية).
أخيراً ،بمجرد أن تكون المؤسسة قادرة على بدء استعادة استمرارية أنشطتها األساسية /الضرورية ،فإنها تحتاج
إلى خطة من شأنها تحديد الفرق والعمليات واالجراءات التي ستُستخدم لتنفيذ تلك األعمال .هذه المعلومات
واردة في خطة استمرارية األعمال.
تنص خطة إدارة الحوادث لإلدارة العليا وكبار المديرين ،على التعليمات واإلرشادات الالزمة لتنسيق أنشطة ّ
الفرق المشاركة في االستجابة والترسيخ والتعافي من حوادث تعطل األعمال .ينبغي أن توفر خطة إدارة
الحوادث االستجابة للحادث ،من خالل:
.1تعريف معايير تفعيل خطة االستجابة.
.2تحديد صاحب سلطة تفعيل الخطة.
.3كيفية تفعيل أو تشكيل فريق إدارة الحوادث.
.4تحديد المجاالت الرئيسة التي سيت ّم النظر فيها ،وتدوينها في نقاط إرشادية ُمختصرة لضمان التعامل معها.
.5تفعيل أو تأسيس المواقع البديلة من أجل:
•استعادة تكنولوجيا المعلومات ،أو أحد عناصر البنية التحتية األساسية /الضرورية األخرى.
•االستخدام المؤقت ألي عنصر ،بغرض تنفيذ أنشطة األعمال األساسية /الضرورية.
.6تدوين الجهات المعنية الداخلية والخارجية التي سيتم االتصال بها في الساعات األولى فور وقوع الطوارئ
أو األزمات أو الكوارث.
.7تعريف األسلوب الالزم لكيفية التواصل مع الجهات المعنية والسلطات المحلية ووسائل اإلعالم وما الذي
يحتاجون إلى نقله إليهم.
.8توفير نماذج رسائل مكتوبة مسبقاً لالتصاالت.
65
.9تحديد الموظفين المسؤولين عن التنسيق مع المستجيبين األوائل.
.10تحديد العملية والمعيار ال ُمستخدم لتقييم الضَّ رر والتأثير.
يتألَّف فريق إدارة الحوادث من مجموعتين .المجموعة األولى هي األساسية ،وتتك َّون من ممثلين عن مجاالت
األعمال الرئيسة ،الذين يُمكن أن يلتقوا في أي نوع من الحوادث .المجموعة الثانية ،هي مجموعة الدعم،
وتتك َّون من ممثلين عن مجاالت األعمال الذين يُمكن االتصال بهم ،بنا ًء على طبيعة التعطل وتأثيره.
ال توجد قائمة مح َّددة عن مجاالت األعمال التي يجب تمثيلها في كل فريق ،إال أنه من الشائع أن نجد ممثلين
عن مجاالت األعمال ال ُمدرجة أدناه ،في كل فريق.
الفريق األساسي:
•رئاسة إدارة الحوادث (يت ّم اختياره من اإلدارة العليا).
•مندوب تكنولوجيا المعلومات.
•مندوب الخدمات المساندة أو المرافق (االتصال مع فريق تقييم األضرار).
•مندوب االتصاالت /العالقات اإلعالمية.
•مدير استمرارية األعمال.
•كاتب (لتسجيل محاضر االجتماعات والقرارات).
•فريق الدعم.
•مندوب الموارد البشرية.
•مندوب الصحة والسالمة والبيئة.
•مندوب األمن.
•مندوب قانوني.
•مندوبو التشغيل ودعم األعمال.
لضمان أن كل فريق قادر على تنفيذ مه َّمته ال ُمسندة إليه ،يجب على المؤسسة تعيين فرد أساسي وآخر
احتياطي لكل مركز في كل من الفريق األساسي وفريق الدعم .يجب أن تكون خطة إدارة الحوادث ُمختصرة
ومركّزة .كما يجب أن تح َّدد المهام التي سيتم تنفيذها ،عالوة على تقديم المعلومات األساسية المطلوبة
لتنفيذه هذه المهام .يُفضَّ ل استخدام قائمة للقيام بالفحص ،وأن تكون جميع العناصر على شكل نقاط في هذا
النوع من الخطط( .أنظر «نماذج مجموعة أدوات استمرارية األعمال – 1لنموذج خطة إدارة الحوادث «وأمثلة
مجموعة األدوات 2الستمرارية األعمال -لخطة نموذجية).
يجب أن تحتوي خطة االتصاالت الخاصة بالمؤسسة ،التعليمات واإلرشادات الالزمة لإلدارة العليا والمديرين
التنفيذيين والموظفين وموظفي العالقات العامة ،عن كيفية إرسال الرسائل للجهات المعنية الداخلية والخارجية،
وذلك قبل وأثناء وبعد وقوع أحداث تعطل األعمال.
66
الجزء الثاني :الدليل اإلرشادي
والب ّد من أن تشتمل هذه الخطة على الهيكل العام لعملية جمع ونشر المعلومات عن الطوارئ واألزمات
والكوارث للجهات المعنية الداخلية والخارجية.
كذلك تح ِّدد الخطة مجموعات الشركاء الرئيسيين والمسؤولين عن التواصل مع كل مجموعة من هؤالء الشركاء،
وذلك قبل وأثناء وبعد التع ُّرض للطارئ .توضع نماذج وأشكال الرسائل المعدة مسبقاً كجزء من خطة االتصاالت.
تُمكن االستعانة بأساليب متع ِّددة لتسليم الرسائل إلى مجموعات الشركاء الرئيسيين ،ويشمل هذا:
يجب على المؤسسات تقييم الحاجة ألساليب بديلة و /أو أنظمة إضافية ،واالستعداد لفرط تحميل النظام أو
اإلخفاق أثناء حالة الطوارئ( .أنظر «نماذج مجموعة أدوات استمرارية األعمال – 1لنموذج خطة االتصاالت
ومجموعة أدوات استمرارية األعمال 2لخطة نموذجية).
أ 1-8-8-قبل أن تقوم المؤسسة بوضع خطط استمرارية األعمال الخاصة بها ،يجب عليها تطوير أو مراجعة
وتحديث الوثائق الحالية التي تُع ِّرف أهداف استعادة الخدمات واألنشطة التي تحتاج خططها إلى تحقيقها،
على سبيل المثال ،تقييم المخاطر وتحليل التأثير على األعمال .كما ينبغي أيضاً تحديد ومراجعة االفتراضات
ال ُمستخدمة في إعداد جميع الخطط ،وذلك في بداية عملية التخطيط .عالوة على أن هذه االفتراضات يجب
أن تتماشى مع نتائج تقييم مخاطر المؤسسة وتحليل التأثير .يُمكن تخزين المعلومات السرية أو الحساسة
الالزمة لتنفيذ الخطة ،في وثيقة منفصلة ،بمستويات مناسبة من األمن والحماية ،لضمان االحتفاظ بسرية
الوثيقة ومحتوياتها.
عندما تكون المؤسسة صغيرة ،قد تشتمل خطة استمرارية األعمال على وثيقة واحدة .وعندما تكون المؤسسة
كبيرة ،أو معقدة ،فقد تكون معلومات استمرارية األعمال الخاصة بها ،متواجدة في سلسلة من الوثائق ،والتي
غالباً ما تكون خطّة منفصلة لكل إدارة أو قسم داخل المؤسسة.
عندما توجد خطة استمرارية األعمال في سلسلة من الوثائق ،يجب على المؤسسة ضمان وضع الخطط بشكل
متناسق ومنظَّم لتقديم المعلومات الالزمة لالستجابة وإدارة الحوادث واالتصال مع الجهات المعنية واستمرارية
األنشطة األساسية /الضرورية بشكل مالئم.
في ما يلي ،بعض األمثلة عن كيفية وضع خطط استمرارية األعمال لمؤسسات ذات أحجام مختلفة:
المؤسسات الصغيرة :خطة واحدة ،موقع واحد
في مؤسسة صغيرة ذات موقع واحد ،يت ّم تدوين جميع مستويات االستجابة في خطة واحدة ،بفريق واحد
إلدارة الحوادث ،يتولّى تنفيذ أنشطة المؤسسة وأعمالها.
67
•خطة استمرارية األعمال الستعادة جميع عمليات المؤسسة ،مع فريق استجابة من موظفي اإلدارة
التشغيلية.
•خطة تكنولوجيا المعلومات ،التي تورد بالتفصيل االجراءات وأساليب استرداد التكنولوجيا.
•خطة الموارد البشرية للتعامل مع المحاسبة للموظفين وإدارة تسجيل اإلصابات وحاالت الوفاة
والصدمات واالستشارات والمشاكل العامة الخاصة بالموظفين.
•خطة إدارة المرافق ،التي تتولّى تقييم الضَّ رر الذي يلحق بالموقع ،وتوفير الخدمات األمنية في كل من
المواقع األساسية والبديلة ،وإعداد المواقع البديلة ،والتواصل مع أجهزة الطوارئ وغير ذلك.
•خطة تقييم األضرار للمرافق وفرق تكنولوجيا المعلومات ،لالستخدام في تقييم تأثير الطوارئ واألزمات
والكوارث.
•خطط أخرى خاصة بالسيناريوهات المتعلقة بمهام األعمال ،أي خطة تحطّم الطائرة أو اصطدامها،
للمطارات ،وخطة التسربات النفطية للمؤسسات البحرية والنفطية ،وغير ذلك.
المؤسسات متعدِّ دة الجنسيات :خطط متعدِّ دة ،مواقع متعدِّ دة ،مناطق متعدِّ دة
يت ّم تدوين مستويات االستجابة في عدد من الخطط ،التي يت ّم تطبيقها من قبل أكثر من فريق في المؤسسات
الكبرى متع ِّددة الجنسيات:
•خطة إدارة الحوادث العالمية ،مع فريق االستجابة المك َّون من أعضاء ذوي مسؤوليات عالمية ،وخطة
واحدة إلدارة الحوادث اإلقليمية ،أو عدد أكثر من تلك الخطط مع فرق استجابة مك َّونة من كبار
المديرين م َّمن لديهم مسؤولية إقليمية.
•العمل وفق توجيهات فريق إدارة الحوادث اإلقليمي؛ مجموعة خطط استمرارية أعمال لكل مجال،
تغطي قسماً كبيرا ً أو ُمنتجاً ضخماً أو منطقة خدمة – إذ تحتوي كل خطة على فريق االستجابة الخاص
بها من المديرين التنفيذيين المسؤولين عن المجاالت المشمولة في الخطة.
•هناك خطط أخرى واردة في خطط المؤسسات متوسطة وكبيرة الحجم.
أ 2-8-8-باإلضافة إلى ما جاء في جميع الفقرات من (أ) إلى (ن) ،من المواصفات في هذه الوثيقة ،يجب على
المؤسسة أن تضع خطط إدارة استمرارية أعمالها ،من خالل اتباع إجراءات وعمليات تشتمل على الخطوات
التالية:
( أ ) تعيين شخص ما ليكون مسؤوالً عن وضع الخطة وتحديثها والحفاظ عليها.
( ب ) تحديد أهداف الخطة ونطاقها.
( ج ) تطوير العملية واعتمادها لوضع الخطة.
( د ) تشكيل الفريق/الفرق التي تتولّى تنفيذ الخطة.
( هـ ) إسناد مسؤوليات لالستجابة وإدارة الحوادث واالتصاالت ،وإعادة تأسيس استمرارية العمليات.
68
الجزء الثاني :الدليل اإلرشادي
69
تنص خطط إدارة استمرارية األعمال على العمليات واألنشطة التي سيت ّم تنفيذها ،من االستجابة يجب أن ّ
للحوادث ،إلى االستعادة الكاملة لالستمرارية ،والعودة إلى تنفيذ األنشطة والعمليات المعتادة .بالنسبة إلى
تنص خطط استمرارية األعمال ،على العمليات اإلدارات التي تتولّى مسؤولية إدارة البنية التحتية ،الب ّد من أن ّ
واألنشطة التي سيت ّم تنفيذها ،من أجل استعادة الخدمات الموجودة أو المرافق البديلة ،لدعم تعافي وحدات
األعمال األخرى.
تنص خطّة إدارة الحوادث ،على المبادئ التوجيهية حول كيفية تناول وإدارة اإلدارة العليا في المؤسسة للمشاكلّ
االستراتيجية الناجمة عن حادث كبير .كما ينبغي أن تشتمل خطة إدارة الحوادث ،على كيفية تفعيل الفريق،
حتى يتس ّنى اتخاذ إجراء لالستجابة بأقصى سرعة ُممكنة ،بعد حدوث التعطل ،إذ ينبغي تحديد مكانين على
األقل في الخطة ،الستخدامهما كمركز قيادة إدارة الحادث (أو «غرفة التحكم») .وعاد ًة ما يكون الموقع الرئيس
هو العامل ،حيث يت ّم تنفيذ العمليات واألعمال الخاصة بالمؤسسة .وينبغي أن يكون الموقع البديل على بُعد
مسافة معقولة من الموقع الرئيس ،وعلى مسافة بعيدة بدرجة كافية ،حتى ال يتأثر بنفس الحادث الذي تع َّرض
له الموقع الرئيس.
-ينبغي أن تحدِّ د الخطط التشغيلية قائمة من الموارد المطلوبة لتشغيل الخطة .قد يشمل ذلك ما يلي:
•الموظفين
•األمن
•لوجستيات النقل
•االحتياجات االجتماعية
•مصاريف مالية للطوارئ
•المرافق
•مركز قيادة الحوادث
•مواقع التعافي
•البنية األساسية
70
الجزء الثاني :الدليل اإلرشادي
-اإلمدادات
يجب على المؤسسة إعداد مس ّودة مسبقاً ،لنماذج الرسائل والنصوص والبيانات التي ستحتاجها ،لالتصال مع
تنص على المجموعات المعنية بشأن التهديدات المنصوص عليها في تقييم المخاطر .كما ينبغي أيضاً أن ّ
إجراءات تسليم هذه الرسائل ،بإخطار لمدة قصيرة ،حيث يُمكن تسليم الرسائل بسرعة استجابة مناسبة ،بنا ًء
على درجة أه ّمية الحدث.
يجب على المؤسسة تحديد المتحدثين الرسميين الرئيسيين والبدالء ،السيما المد َّربين على الحديث في وسائل
اإلعالم ،وفي التواصل مع الجهات المعنية الداخلية والخارجية.
71
•كيفية االستجابة لألحداث الخاصة.
•اإلجراءات التي يجب اتخاذها عند اإلخالء من الموقع.
•الخطط التي يجب توافرها لالستجابة وإدارة الحوادث واستمرارية األعمال والتعافي.
تشتمل البنود الالزم توافرها لزيادة التوعية بين الفرق الخاصة في برنامج إدارة استمرارية أعمال المؤسسة،
على ما يلي:
أ ( أ ) يجب دائماً وضع نظام قابل للقياس والتقييم ،حيث الب ّد من التأكُّد من فعالية البرنامج التثقيفي،
من خالل الحصول على بيانات دورية أو إجراء مقابالت مع الموظفين للوقوف على مدى فهمهم
ووعيهم ببرنامج استمرارية األعمال.
أ ( ب ) يُمكن نشر هذه الثقافة داخل المؤسسة ،من خالل قسم إدارة المخاطر أو مدير استمرارية
األعمال ،عبر عقد الدورات التوعوية بشكل مستمر ،مع وضع الملصقات الهادفة في أماكن تجمع
الموظفين ،لتذكيرهم دائماً بأهمية التأ ُّهب للطوارئ ،لكي تصبح جز ًءا ً من ثقافة بيئة العمل في
المؤسسة.
المتخصصة ،سواء
ِّ أ ( ج ) يجب تنفيذ التطوير ال ُمستمر للبرنامج عبر حضور المؤتمرات والندوات العلمية
للعاملين في مجال الطوارئ أو اإلدارة العليا في المؤسسة ،ألجل دعمهم وتف ُّهمهم ألهمية تلك
البرامج وتطويرها.
أ ( د ) كما يجب تشجيع الموظفين م َّمن يضطلعون بأدوار في برنامج استمرارية األعمال ،عبر تقديم
الحوافز المعنوية والمادية لهم ،حيث تكونهذه المهام -في كثير من األحيان -إضافة إلى أعمالهم
األصلية .وعليه ،يجب تقدير هذا العمل ،السيما بعد عقد التمارين السنوية أو الحاالت الحقيقية.
يجب النظر بعين االعتبار إلى توسيع نطاق التوعية باستمرارية األعمال لمو ِّردي المؤسسة والعمالء والمقاولين
والجهات المعنية الخارجية.
أ 2-9-8-التدريب
أ 3-9-8-سجالت التدريب
يجب على المؤسسة المحافظة على تدريب جميع الموظفين لتمكينهم من تنفيذ واجباتهم المتعلقة باستمرارية
األعمال .كما يجب أن يحصل الموظفون على تعليمات بشأن العناصر األساسية لبرنامج إدارة استمرارية أعمال
المؤسسة ،باإلضافة إلى خطط االستجابة والتعافي التي تؤثر عليهم بصورة مباشرة.
يجب أن يشتمل تدريب المؤسسة على إجراءات اإلخالء واالحتماء والتسجيل في موقع اإلخالء ،والمسؤولية عن
الموظفين ،وتفعيل وإعداد مواقع العمل البديلة ،والتعامل مع طلبات المعلومات المقدمة من الجهات المعنية
الداخلية والخارجية.
يجب أن تحصل فرق االستجابة والتعافي على التعليم والتدريب حول مسؤولياتها وواجباتها ،بما في ذلك كيفية
تفاعلها مع المستجيبين األوائل .كما يجب أن يت ّم توفير التدريبات األولية والتنشيطية للفرق على فترات زمنية
72
الجزء الثاني :الدليل اإلرشادي
منتظمة ،كما يجب إيجاد آلية مناسبة لضمان تدريب األعضاء ال ُج ُدد عند التحاقهم بالفريق.
تشتمل األمور الرئيسة ،الخاصة بااللتزام باالحتياجات التدريبية بين الفرق المعنية في إدارة استمرارية األعمال
للمؤسسة ،على ما يلي:
•نظرة عامة على إدارة استمرارية األعمال
•إدارة البرنامج
•تحليل التأثير على األعمال
•إدارة المخاطر
•وضع االستراتيجيات
•االستعداد للحادث واالستجابة له
•وضع وتنفيذ خطط استمرارية األعمال
•وضع برنامج التوعية والتدريب
•ممارسة خطط استمرارية األعمال وتحديثها وحفظها
وتشتمل مجاالت الموضوعات األخرى على ما يلي:
•تقييم األضرار
•تجديد المرافق والمعدات
•العالقات العامة واالتصاالت بشأن األزمات
•تدقيق إدارة استمرارية األعمال.
•وضع استراتيجيات استرداد تكنولوجيا المعلومات واستمرارية األعمال
•إدارة الطوارئ واألزمات
•قيادة الفريق
•اختبار األدوات والمعدات الالزمة لتنفيذ خطط إدارة استمرارية األعمال.
(أنظر «مجموعة أدوات استمرارية األعمال – 4التدريب» للحصول على قائمة مقدمي الخدمات التدريبية
المعتمدين والدورات ذات الصلة).
73
في المؤسسة.
يتو َّجب على المؤسسة تصميم سيناريوهات اختبار ،تركّز بصفة أساسية على التدريب على أنشطة األعمال ذات
المخاطر الكبرى ،ولكن ،يجب األخذ بعين االعتبار جميع ما جاء في تقييم المخاطر وتحليل التأثير الخاص
بالمؤسسة .كما يجب على المؤسسة إجراء تمرينات ،وتدوين نتائج تلك التمرينات ،لضمان أن خطط وعمليات
وفرق استمرارية األعمال ف ّعالة في تحقيق أهداف االستعادة والتعافي للمؤسسة .يضمن التمرين تدريب الفرق
كاف ،على استخدام وتشغيل المعدات واألدوات ،وغيرها من الموارد المطلوبة ،لتنفيذ والموظفين على نح ٍو ٍ
الواجبات ال ُمسندة إليهم .يت ّم إجراء التمارين عادة ،من خالل محاكاة استجابة المؤسسة لحادث ما ،بدالً من
التفعيل الحقيقي للفرق والخطط والموارد بشكل كامل ،والتي سيتم استخدامها في حادث واقعي .يُمكن أن
تكون أعمال المحاكاة هذه ،معلنة أو غير معلنة ،حيث يَكمن الهدف من برنامج التمرين ،في تحسين األداء
العام لقدرة استمرارية أعمال المؤسسة.
يت ّم إجراء التمرينات وتدريبها ،كما يلي:
.1نقاط الضعف والقوة الواضحة في الخطط وإجراءات التشغيل وافتراضات التخطيط.
.2إثبات دقة استراتيجيات استمرارية أعمال المؤسسة ،وأن خططها الخاصة باستمرارية األعمال،
ستمكّنها من الوفاء بأهداف التعافي واالسترداد المذكورة في تحليل التأثير على األعمال.
.3التحقق من تماسك الخطط وتكاملها ،من حيث قابلية التشغيل المتداخل في آن واحد.
.4اختبار وإثبات االجراءات التي ت َّم تغييرها حديثاً.
.5تآلف فرق استمرارية األعمال وإدارة الحوادث مع عملياتها وإجراءاتها.
.6التحقق من أن الموظفين والفرق ،لديهم المهارات والسلطة والخبرة الكافية لتنفيذ الخطط
واالجراءات.
.7تحسين التنسيق بين وكاالت االستجابة ومؤسسات الدعم.
.8إثبات عملية التدريب وإجراءات اإلخالء واالستجابة ،وإدارة الحوادث واالتصاالت ،واستعادة استمرارية
األعمال.
.9زيادة وعي المؤسسة وفهمها وإدراكها للتهديدات التي يُمكن أن تؤثر على األنشطة الحرجة أو
تعطلها.
.10التأكد من أن يكون قد ت َّم تحديد جميع االتصاالت والمعلومات الضرورية لتحقيق موارد التعافي
التي تتطلَّبها الخطَّة.
يجب أن يضمن برنامج التمرين على استمرارية األعمال ،أن جميع الموظفين ،وعناصر خطط استمرارية األعمال،
تت ّم ممارستها طوال فترة زمنية ما ،بطريقة من شأنها تج ُّنب تعطل العمليات العادية.
هناك عملية تُمكن االستعانة بها ،لوضع اختبار ف ّعال ،وبرنامج تمرين يتض َّمن الخطوات التالية:
.1التعاون مع اإلدارة العليا لتحديد مجاالت قدرة استمرارية أعمال المؤسسة التي يُمكن أن تستفيد من
الوعي المتزايد الذي يُمكن أن يق ِّدمه التمرين.
74
الجزء الثاني :الدليل اإلرشادي
.2تحديد عناصر خطة استمرارية األعمال ومواردها وإجراءاتها التي تُمكن ممارستها .على سبيل المثال،
تخصيص الموارد واالتصال بالطوارئ واالتصاالت ،أو االنتقال إلى موقع عمل بديل.
.3التع ُّرف على تمرين مناسب لكل عنصر أو مو ِّرد أو إجراء.
.4تحديد الموظفين أو المجموعات ال ُمدرجة في التمرين.
.5في حالة إجراء تمرينات في الماضي ،تتم مراجعة الوثائق الداعمة والثبوتية ،لتفادي استخدام نفس
السيناريو أو الموظفين ،ولتحديد األنشطة التي تتطلّب تمريناً أو اختبارا ً إضافياً.
.6ابتكار جدول زمني لضمان أن تت ّم -بمرور الوقت -االستفادة من السيناريوهات ،م ّما سيكون له أكبر
األثر على استمرارية األنشطة الهامة للمؤسسة.
يتوقف توالي االختبارات والتمرينات على طبيعة المؤسسة وحجمها ومدى تعقيدها .يجب أن يشارك جميع
األعضاء المشاركين في فريق إدارة حوادث المؤسسة ،بما في ذلك المندوبين ،في تمرين واحد على األقل كل
12شهرا ً.
هناك أحداث أخرى يُمكن أن تتطلب إجراء تمرين ،وذلك عند حصول تغييرات جوهرية في:
•مكان المؤسسة أو مرافقها
•البيئة التشغيلية للمؤسسة
•أدوات المؤسسة وتقنياتها
•الموظفين الهامين في المؤسسة
•المز ِّودين ومقدمي الخدمة
•تعهيد أعمال المؤسسة للشركاء
•استخدام أو شراء األصول الحرجة والهامة للمؤسسة
•أهداف األعمال للمؤسسة
يجب تدوين االختبار وخطة التمرين ،قبل كل اختبار ،مع التأكيد على النقاط التالية:
•األهداف
•معايير النجاح
•الجدول الزمني وجدول األنشطة
•الموارد التي يت ّم االستعانة بها
•المخاطر
•االفتراضات
•االستثناءات
(أنظر «نماذج مجموعة أدوات استمرارية األعمال »1للحصول على نموذج خطة االختبار والتمرين).
75
يجب كتابة تقرير عن االختبار والتمرين ،فوراالنتهاء منه .وينبغي أن يشتمل هذا التقرير -في ح ٍّد أدنى -على
العناصر التالية:
•ملخص اإلدارة
•المقدمة
•الخلفية
•ملخص النتائج
•ملخص االستثناءات والمشاكل
•خطة اإلجراءات التصحيحية والوقائية
•تقرير المالحظ المستقل
(أنظر «نماذج مجموعة أدوات استمرارية األعمال »1للحصول على نموذج تقرير االختبار والتمرين).
يوضح الجدول التالي قائمة بأنواع التمرينات والعمليات التي يُمكن استخدامها للمساعدة في اختيار التمرينات
وتصميمها.
76
الجزء الثاني :الدليل اإلرشادي
األساليب والمناهج
مبسط ،ثم يتط َّور تدريجياً
لضمان التمكّن من تحقيق النجاح ،يجب أن يبدأ برنامج التمرين بشكل ّ
77
أ 11-8-التطوير ال ُمستمر إلدارة استمرارية األعمال
أ 1-11-8-المتطلّبات
يجب على المؤسسة إجراء مراجعة ،بد ًءا من تحليل التأثير على األعمال وتقييم المخاطر ،وصوال إلى استراتيجية
استمرارية األعمال وخططها ،وذلك بصفة منتظمة ،في ح ٍّد أدنى ،مرة كل عام .تهدف هذه المراجعة إلى التحقق
من أن جميع وثائق قدرة استمرارية أعمال المؤسسة ،سارية ومتماشية مع األهداف االستراتيجية للمؤسسة.
كما يجب أن يت ّم إجراء هذه المراجعة ،بصورة رسمية ،من قبل المدقّق الداخلي أو مدير استمرارية األعمال،
ويت ّم على أثر هذه المراجعة تقديم تقرير لإلدارة العليا .كما تكون المراجعة والتحديث ضروريين عند حدوث
تغيير في المؤسسة ،سواء في خدماتها أو أعمالها ،أو عند حدوث تغيير في اإلدارة العليا فيها.
النطاق واألهداف
يجب أن يقوم الشخص /الفريق المراجع مبدئياً ،بإعالم إدارة المؤسسة بقرب إجراء المراجعة ،من أجل ضمان
توافر األفراد المناسبين إلجراء المراجعة .يت ّم الترتيب للمراجعة تماماً مثلما يت ّم الجتماع رسمي مع الموظفين
المشتركين في برنامج الستمرارية األعمال الوظيفية واإلدارية .تشتمل وثائق االجتماع على جميع خطط العمل
سجل
واالتفاقيات الالزمة لتنفيذ هذه الخطط .ويتم إضافة جميع المخاطر التي ت ّم التع ُّرف عليها مؤ َّخرا ً ،إلى ّ
المخاطر .يُعقد االجتماع األول مع اإلدارة العليا ،للوقوف على ما إذا كانت قد ت َّمت معالجة التغييرات الجوهرية
التي أُدخلت على أهداف المؤسسة واتجاهها من عدمه .يجب تقييم أية تغييرات لم يت ّم التع ُّرف عليها أو
معالجتها ،للتأثير على قدرة استمرارية أعمال المؤسسة .يت ّم إدخال تحديثات على نطاق برنامج استمرارية
األعمال ،حسب الحاجة.
مراجعة تحليل التأثير على األعمال
منسقي استمرارية األعمال الوظيفية أو اإلدارية ،مناقشة ومراجعة التغييرات يجب أن تتض َّمن االجتماعات مع ِّ
في النطاق .كما يجب أن تتض َّمن االجتماعات أيضاً ،تحديثات لتحليل التأثير على األعمال ،الناتج عن تلك
التغييرات في النطاق.
مراجعة االستراتيجية
يجب تقييم تحليل التأثير على األعمال ،الذي ت َّم تحديثه ومضاهاته باستجابة المؤسسة وقدرتها على االستمرارية
والتعافي .كما تجب أيضاً معالجة الفجوات التي تظهر في التحديثات التي يت ّم إدخالها على استراتيجية
استمرارية أعمال المؤسسة .يت ّم تحديث سجل المخاطر حسب الحاجة ،بما يتناسب مع التغييرات التي تطرأ
على استراتيجية استمرارية أعمال المؤسسة .االجراءات التي ت َّم اتخاذها ،أو التي تحتاج إلى إجراء لعالج
78
الجزء الثاني :الدليل اإلرشادي
مراجعة الخطة
تتم مراجعة الخطط واالجراءات ،لضمان إجراء التحديثات ،بما يتفق مع التغييرات في استراتيجية استمرارية
أعمال المؤسسة ،باإلضافة إلى البنية التحتية الالزمة لتنفيذ االستراتيجية.
عالوة على أن مراجعة الخطط تتم أيضاً بين المؤسسة واألطراف الثالثة الهامة (مثل المو ِّردين والبائعين ومق ِّدمي
الخدمات) ،حيث أن خطط المؤسسة ،مثلها مثل خطط األطراف الثالثة ،من حيث كونها ف ّعالة ومؤثرة في
اإليفاء بأهدافها الخاصة بالتعافي واالسترداد.
79
أ 5-11-8-االجراءات الوقائية والتصحيحية
من الضروري أن تعمل المؤسسة في إطار حدود درجة المخاطر التي قد تتع َّرض لها .يجب أن يخضع أي موقف،
يضع المؤسسة في مخاطرة تجاوز درجة قبولها للمخاطر ،إلجراءات وقائية وتصحيحية .كما يت ّم تدوين هذه
المخصص لحالة ال ُمخالفة .كما تجب أيضاً
َّ االجراءات في تقرير قدرة استمرارية أعمال المؤسسة ،أو التقرير
مقارنة تلك االجراءات الوقائية أو التصحيحية ،بأهداف وسياسة إدارة استمرارية األعمال ،لضمان تحقيق التوافق
ال ُمستمر.
(أنظر «نماذج مجموعة أدوات استمرارية األعمال »1لالطالع على نموذج التقرير المخصص لحالة المخالفة
و»أمثلة مجموعة أدوات استمرارية األعمال »2للحصول على نموذج تقرير).
يجب اتباع حاالت عدم التوافق وخيارات المعالجة ال ُمختارة لها ،من أجل ضمان اتخاذ االجراء المناسب ،ويت ّم
إعطاء األولوية لذلك االجراء ،والسلطة للمسؤولين عنه ،لكي يتمكَّنوا من تقديم المعالجة الناجحة للمخاطر .وقد
تقتضي االجراءات الوقائية والتصحيحية ،التي تتسبَّب في إحداث تغييرات على الخطط والعمليات واالجراءات
الخاصة بقدرة استمرارية أعمال المؤسسة ،إجراء مراجعة تقييم للمخاطر وتحليل التأثير المتعلِّق بالتغييرات.
80
الجزء الثاني :الدليل اإلرشادي
أ (أ) بعد إجراء تحليل التأثير على األعمال وتقييم المخاطر ،يت ّم اكتشاف عدة فجوات وثغرات يجب القيام
بإصالحها فورا ً ،من أجل التمكُّن من السيطرة على استمرارية أعمال المؤسسة في حال التع ُّرض لحالة طارئة،
وبنا ًء عليه يت ّم إعطاء هذه الفجوات أولوية المعالجة.
أ (ب) الب ّد من أن تكون أهمية وحجم ذلك اإلجراء الوقائي متواكبة مع حجم التأثير المتوقّع في حال حدوث
ذلك الطارئ ،وذلك يح ِّدد أيضاً حجم الميزانية ،إذا تطلب األمر.
أ (جـ) المتطلّبات التالية ،هي المطلوبة إليضاح توثيق االجراءات الوقائية ،وهي:
تحديد نقاط عدم التوافق المحتملة وأسبابها.
تحديد وتنفيذ اإلجراءات الوقائية المطلوبة.
سجل اإلجراءات الوقائية.
تسجيل ومراجعة نتائج اإلجراءات ال ُمتخذة في ّ
المختصة بالمؤسسة ،لديها قائمة باإلجراءات ال ُمتّخذة ،السيما في حال وجود أيّة
َّ يجب التأكُّد من أن السلطة
مخالفات أو حاالت عدم توافق.
81
حل هذه الفجوات. •ضمان ّ
•يجب إجراء عمليات التدقيق على أساس ُمنتظم ،حسبما تح ِّدده سياسات الحوكمة والتدقيق الخاصة
بالمؤسسة ،والتأكُّد مما يلي:
•التق ّيد بهذا المعيار.
•التوافق مع أهداف وسياسة إدارة استمرارية األعمال.
•التطبيق والتنفيذ واالستدامة بالشكل المناسب.
•الفعالية في اإليفاء باألهداف التي وضعت لمقدرة المؤسسة على إدارة استمرارية األعمال.
أ 2-7-11-1-8-بالنسبة إلى استمرارية األعمال ،يوصى بأالّ تزيد الفترة بين عمليات التدقيق عن العام الواحد.
وخالل هذا الوقت ،يت ّم إجراء تقييم ذاتي ومراقبة أداء (من خالل مراجعة تقارير ما بعد التمرين وما بعد
الطوارئ واألزمات والكوارث) ،وذلك حسب الحاجة ،من قبل أصحاب خطط استمرارية أعمال المؤسسة،
لضمان بقائها مناسبة للغرض .وتشتمل مجموعة وثائق استمرارية األعمال الحالية التي تق ّدم إلى المسؤولين،
على إجراء التدقيقات الداخلية أو الخارجية على نسخ من:
•سياسة استمرارية األعمال الخاصة بالمؤسسة.
•أدوار ومسؤوليات وموارد استمرارية األعمال في المؤسسة.
•تقارير التق ُّدم لمشاريع استمرارية األعمال الخاصة بالمؤسسة.
•سجالّت التدريب والكفاءة لموظفي استمرارية األعمال.
•ال ُمخرجات المأخوذة من تحليل التأثير على األعمال وتحليل االسترداد ومتطلبات االستمرارية.
•تقييمات التهديدات.
•استراتيجيات استمرارية األعمال ،بما فيها الوثائق التي تدعم اختيار االستراتيجيات ال ُمتّبعة.
•دعم مستوى الموارد.
•خطط االستجابة للحوادث.
•خطط إدارة الحوادث.
•خطط استمرارية األعمال.
•برنامج التمرين.
•تقارير التمرينات واالختبارات.
•برنامج التوعية والتدريب.
•اتفاقيات مستوى الخدمة مع العمالء والمو ِّردين.
•عقود خدمات التعافي للغير ،مثل أماكن العمل والمخلفات.
•برنامج (تدقيق) الصيانة والمراجعة ،والتقارير واإلجراءات التصحيحية.
82
الجزء الثاني :الدليل اإلرشادي
83
أ (ب) يرفع لإلدارة العليا التالي:
ختصة.
•تقرير مستقل لتدقيق استمرارية األعمال ُمتفق عليه و ُمعتمد من جانب اإلدارة ال ُم َّ
•خطة/خطط العمل العالجية ال ُمتفق عليها وال ُمعتمدة من جانب اإلدارة العليا.
•يجب أن تشتمل نتائج التقدير غير المالئم ،على ما يلي:
ختصة.
•التسليم بـ «نقص» خطط استمرارية األعمال من قبل اإلدارة ال ُم َّ
•تاريخ بدء مراجعة استمرارية األعمال التي تجرى من قبل اختصاصي استمرارية األعمال ،لمساعدة
المؤسسة في تحسين تقييمها.
•يجب تعريف السياسة الخاصة بتكرار التدقيق بوضوح ،كما يجب تدوينها في سياسة تدقيق المؤسسة ومعاييرها.
84
الجزء الثاني :الدليل اإلرشادي
يتض َّمن الحصول على االعتماد ،تقديم األدلّة التي تثبت أن خطط استمرارية أعمال المؤسسة وإجراءاتها وبنيتها
التحتية ،سوف تحقّق أهداف التعافي واالسترداد الخاصة بها ،حسب المح َّدد في تحليل التأثير على األعمال،
والوارد في سياسة استمرارية األعمال ،وال ُمدرج في نطاق برنامج استمرارية األعمال الخاص بالمؤسسة.
عندما ال يت ّم اإليفاء بأهداف قدرة استمرارية األعمال الخاصة بها ،يت ّم وضع خطة العمل التي تح ِّدد الخطوات
الالزمة لتحقيق األهداف ورصد النجاح في عمل ذلك.
تركّز عملية االعتماد على قدرة المؤسسة على ضمان توافر المزيج الصحيح من التدريب والدعم والخطط
والموارد البشرية والقيادة والمعدات والمرافق ،للوفاء بأهداف القدرة الخاصة بالمؤسسة أثناء الطوارئ
واألزمات والكوارث .تشتمل هذه العملية على مزيج من سيناريوهات التأثير والتدريب ال ُمعتمد على المهام،
ألنه يركِّز على قدرة المؤسسة على التعامل مع سيناريوهات المهام.
وتستلزم عملية االعتماد من المؤسسة ،أن تصف العملية المستخدمة لتحديد قدراتها وحدودها في اإلعداد
للحادث واالستجابة له .يجب أن يقدم تحليل التأثير على األعمال وتقييم المخاطر ،هذه المعلومات األساسية،
ويوفر تبريرا ً واضحاً لمواصفات متطلبات االسترداد الخاصة بها .كما تستلزم عملية االعتماد من المؤسسة ،أن
تظهر كيفية تلبية قدراتها المخططة بمتطلبات االسترداد ،والتي ت َّم النظر بعين االعتبار إلى خياراتها في تطوير
استراتيجية استمرارية األعمال وسبب اختيار االستراتيجية.
يُعتبر األسلوب األساسي إلثبات استراتيجية استمرارية أعمال المؤسسة مناسباً ،حيث أنه يضمن استمرارية
األنشطة الهامة والواردة في تحليل التأثير على األعمال ،مقابل التهديدات الواردة في تقييم المخاطر ،وأن
خططها مناسبة للغرض ،وأنها تت ّم من خالل ممارسة هذه الخطط واختبارها.
ولهذا السبب ،فإن نتائج تمارينها واختباراتها تُعتبر أساسية في تدوين قدرة استمرارية األعمال الخاصة بالمؤسسة
عندما تخضع للتقييم من أجل االعتماد .ومن ث ّم ،تشكل خطط وتقارير االختبار جز ًءا ً من األدلّة الخطّية المطلوبة
لالعتماد( .أنظر «نماذج مجموعة أدوات استمرارية األعمال »1للحصول على نماذج االختبارات والتمرينات).
85
أ 2-2-9-إجراء تمرينات لتقييم وإثبات االسترداد والتعافي السريع لخطط استمرارية أعمال الغير من المو ِّردين
أو األطرف التالية ،للتأكُّد من قدرتهم على االستمرار في تقديم خدماتهم واإليفاء بالتزاماتهم التعاقدية مع
المؤسسة.
(أنظر «نماذج مجموعة أدوات استمرارية األعمال »1للحصول على نماذج استطالعات الرأي والتقييم).
86
الجزء الثاني :الدليل اإلرشادي
إضاف ًة إلى اإلدارة العليا ،يجب أن تشمل مراجعة قدرة استمرارية األعمال ،األشخاص الذين يضطلعون بتنفيذ
منسقي استمرارية األعمال ،وهؤالء هم المسؤولون عن إعداد ميزانيتها ورصد مواردها. خطط المؤسسة ،مثل ِّ
كما يجب أن تشتمل هذه المراجعة أيضاً ،على مراجعة تقرير تقييم قدرة استمرارية األعمال.
87
لا م التقيي
للتدقيق ال ذايت ر
دا ختبا رين
خيل تم
اال
وال
تقرير تقييم إدارة
استمرارية األعامل
السرتاتيجية
مراجعة اإلدارة
تحليل
ا و ل ييم عام
ر،
لس
ط
أل
ل
ا
ي
ا
خ
ا
عىل
ملتطلب سة ا
امل
آلثار
ا
إضاف ًة إلى مراجعة اإلدارة المجدولة بصورة دورية ،قد تقع بعض األحداث التي تستدعي الحاجة إلى إجراء
مراجعة اإلدارة لقدرة استمرارية األعمال .وتشتمل هذه األحداث على:
•إكمال أو مراجعة سياسة استمرارية أعمال المؤسسة أو تقييم المخاطر أو تحليل التأثير على األعمال.
•التغييرات األساسية التي تطرأ على تنظيم المؤسسة وأهداف أعمالها وعملياتها ومرافقها وأجهزة
تكنولوجيا المعلومات والبنية التحتية للبرامج.
•التغييرات في االفتراضات في تقييم مخاطر المؤسسة وتحليل التأثير على األعمال.
•التغييرات في درجة مخاطر المؤسسة.
•التغييرات في المخاطر التي تواجهها المؤسسة ،والتي تشتمل على المخاطر ال ُمتعلقة بالبيئة واألماكن
واألسواق التي تعمل فيها.
•التغييرات في مو ِّردي المؤسسة وسلسلة اإلمداد الخاصة بها.
•التغييرات الرئيسة التي يت ّم إدخالها على معايير استمرارية األعمال أو اللوائح والمبادئ التوجيهية
الخاصة بتخطيط االستمرارية داخل قطاع أعمال المؤسسة أو الصناعة.
•مراجعة المتطلّبات القديمة ،أو إضافة متطلّبات تنظيمية جديدة ،وكذلك متطلّبات االمتثال في قطاع
المؤسسة أو الصناعة.
88
الجزء الثاني :الدليل اإلرشادي
•أحداث تعطل األعمال األخيرة التي أثرت بشكل مباشر على المؤسسة أو المؤسسات المشابهة في
قطاع المؤسسة أو الصناعة.
•عندما يؤثر تعطل األعمال بصورة مباشرة على المؤسسة ذاتها ،يجب أن ينظر تقرير اإلدارة ،بعين
االعتبار ،إلى سبب تفعيل الخطة ومدى نجاحها في ذلك.
•عندما يؤثر تعطل األعمال على مؤسسة أخرى ،يجب أن تحقق مراجعة اإلدارة في األسباب التي أ َّدت
إلى تفعيل المؤسسة األخرى ،وتحديد ما إذا كان التعطل أو األحداث التي س َّببتها ،قد أثرت على ملف
مخاطر أعمال المؤسسة.
يجب إدراج تقرير مراجعة إدارة استمرارية األعمال هذا ،كدليل على شهادة اعتماد قدرة استمرارية أعمال
المؤسسة( .أنظر «نماذج مجموعة أدوات استمرارية األعمال »1للحصول على نموذج تقرير مراجعة اإلدارة
الستمرارية األعمال).
89
الجزء الثالث
نماذج إدارة استمرارية األعمال
90
الجزء الثالث :نماذج إدارة استمرارية األعمال
إخالء المسؤولية
ت َّم إعداد هذا النموذج من قبل المجلس األعلى لألمن الوطني /الهيئة الوطنية إلدارة الطوارئ واألزمات
والكوارث ،لكي تستعين به المؤسسات ،في وضع خطط استمرارية األعمال وإدارة الحوادث.
وفي إطار سعينا لتطوير هذا النموذج ،فإن الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث ،على استعداد
لتقديم أية مساعدة ،خدمات فنية أو مهنية ،في مجال إدارة الحوادث أو استمرارية األعمال.
عند الحاجة للمساعدة الفنية أو المهنية ،يت ّم توجيه المؤسسات إلى طلب االستشارة من ذوي االختصاص
المر َّخص لهم ،وال ُمعتمدين من قبل الهيئةِ ،م َّمن حصلوا على التدريب المناسب ،ويتمتَّعون بالخبرة المهنية
المالئمة.
لمزيد من المعلومات عن تقييم المخاطر وتحليل التأثير على األعمال ،وللتوجيه بشأن ما يجب إدراجه في خطة
استمرارية األعمال ،يرجى االتصال بالهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث /إدارة السالمة والوقاية /
قسم استمرارية األعمال على رقم الهاتف 02/4177000 :ــ 02/ 4177020
بيانات الخطة
_____________________ تاريخ وضع الخطة :
_____________________
تاريخ آخر تحديث للخطة:
_____________________ تاريخ آخر مراجعة للخطة
_____________________ تاريخ اعتماد الخطة:
_____________________ اسم معتمد الخطة ووظيفته :
_____________________ توقيع معتمد الخطة:
قد تستعين المؤسسات بهذا النموذج كدليل لمساعدتها في وضع خطة إدارة الحوادث واستمرارية األعمال.
يجب اتباع النموذج على النحو المطلوب بما يتناسب مع حجم المؤسسة وعملياتها.
91
الب ّد من وجود قائمة بأسماء األشخاص واألماكن ،حيث تتوفَّر نسخ من الخطة ،لضمان ضبط جميع النسخ ،بغرض
التأكُّد من أن جميع النسخ سارية المفعول ،ومواكبة ألحدث المراجعات والتحديثات الصادرة.
إذا كانت القائمة مكونة من أكثر من 12-10بندا ً ،فسوف يت ّم إيرادها في ملحق إضافي.
المقدمة
يكمن الغرض من هذه الخطة في دعم أعمال إدارة الحوادث ،واستمرارية األعمال الالزمة لتلبية المتطلبات
التنظيمية والتجارية لمؤسسة ما ،باإلضافة إلى وفائها بالتزاماتها التعاقدية وتوقعات الجهات المعنية وأصحاب
الشأن ،تبعاً لألحداث التي قد تعطّل بشكل كبير قدرتها على العمل.
تق ّدم هذه الخطة المعلومات الالزمة للتفاعل مع حدث ما ،واالستجابة له ،والحفاظ على استمرارية األنشطة
الضرورية /األساسية ،وتوفير القدرة على العودة إلى العمليات الطبيعية.
النطاق
يح ّدد هذا القسم من الخطة أماكن المؤسسة ومواقعها وإداراتها التي تشملها الخطة .تُضاف الصفوف إلى
الجدول حسب الحاجة.
تشتمل أماكن العمل والمهام التي تشملها هذه الخطة ،على ما يلي:
92
الجزء الثالث :نماذج إدارة استمرارية األعمال
بنا ًء على تقييم مخاطر المؤسسة ،يتع َّين النظر بعين االعتبار ،إلى األحداث واألعطال التي:
•هي من فعل الطبيعة ،أو نجمت عن الحرائق أو الفيضانات أو الزالزل أو غير ذلك .س َّببتها األعطال
التكنولوجية أو أعطال النظام أو انقطاع التيار الكهربي أو انقطاع االتصاالت أو غير ذلك.
•هي من فعل اإلنسان ،مثل :أعمال التخريب واألعمال اإلجرامية من قبل الموظفين داخل المؤسسة أو
خارجها ،وتأثير هذه األعمال على قدرة المؤسسة على الوفاء بمتطلباتها التنظيمية ،وكذلك التزاماتها
القانونية والتعاقدية وتوقعات الجهات المعنية وأصحاب الشأن.
•باإلضافة إلى األحداث التي تؤثر على مبنى أو مكان واحد ،ينبغي على المؤسسات أيضاً النظر بعين
االعتبار ،إلى األحداث التي تؤثر على إحدى المناطق الجغرافية (مثل انقطاع التيار الكهربي أو
الفيضانات أو الطقس الحاد أو غير ذلك).
علماً بأن هذه األخطار ت َّم وضعها بعد إعداد تقييم المخاطر للمؤسسة ،أو ت َّم أخذها من سجل المخاطر التابعة
للجهة الرئيسة /األم للمؤسسة.
تم وضع هذه الخطة لتناول األحداث وتوقفات األعمال التالية:
األهداف
يق ّدم هذا القسم من الخطة نظرة شاملة عن أهداف التعافي المح َّددة بالنسبة إلى اإلدارات الكبرى التابعة
للمؤسسة أو المجموعات الوظيفية .هذه األهداف مح ّددة في تحليل التأثير على األعمال «.»BIA
93
يشمل هذا القسم أيضاً افتراضات التخطيط الخاصة بالمؤسسة.
سيتم ذكر جميع التفاصيل المعنية بأهداف التعافي واألطر الزمنية في ملحق إضافي ،إن دعت الحاجة.
تتل َّخص أهداف هذه الخطة في النقاط التالية:
إعداد الفريق /طلب الخطة
يشرح هذا القسم من الخطة ،العملية الالزمة إلعداد وتجهيز فرق المؤسسة إلدارة الحوادث واستمرارية األعمال.
كما أنها تح ِّدد المعايير أو الحوافز التي ستتم االستعانة بها ،لتحديد توقيت إعداد الفرق وطلب الخطة ذاتها.
كما يح ِّدد هذا القسم أيضاً ،الموظفين الذين لهم سلطة طلب خطة استمرارية األعمال.
اإلنذار واإلشعار
يق ِّدم هذا القسم من الخطة شرحاً لعملية إنذار فريق االستجابة للحوادث بوقوع حادث ما ،وإشعار أصحاب
الشأن الداخليين والخارجيين ،بشأن التعطل الناجم عن ذلك الحادث ،ب َمن فيهم ذوي االحتياجات الخاصة.
األدوار والمسؤوليات
يح ِّدد هذا القسم من الخطة الموظفين األساسيين واالحتياطيين الذين يضطلعون بتنفيذ أدوار رئيسة وقيادة
الفرق ،لالستجابة للحوادث وتقييم األضرار واآلثار ،وإدارة الحوادث والحفاظ على استمرارية األنشطة الحرجة.
يتع َّين على جميع األفراد ال ُمدرجة أسماؤهم في هذا القسم ،مراجعة هذا الجدول والمعلومات التي يحتويها
للتحقّق من فهمهم لدورهم ومهامهم المكلَّفين بها.
كما تتع َّين مراجعة المعلومات الواردة في هذا القسم ،كل 6-4أشهر ،للتحقّق من أنها مح ّدثة.
وفي ما يلي ،قائمة باألدوار الشائعة الموجودة لدى فرق إدارة الحوادث واستمرارية األعمال.
الفريق األساسي
•قائد إدارة الحوادث (يتم اختياره من اإلدارة العليا)
•مدير استمرارية األعمال
•ممثل تكنولوجيا المعلومات
•ممثل المرافق /الخدمات العامة (االتصال مع فريق تقييم األضرار)
•ممثل االتصاالت /العالقات اإلعالمية
•كاتب (لتسجيل محاضر االجتماعات والقرارات)
94
الجزء الثالث :نماذج إدارة استمرارية األعمال
فريق الدعم
•ممثل الموارد البشرية
•ممثل الصحة والسالمة والبيئة( إن وجد )
•ممثل األمن
•ممثل قانوني
•ممثلو التشغيل ودعم األعمال
وفي ما يلي ،نموذج جدول يوضح األدوار والموظفين المكلَّفين بأداء هذه األدوار ،والمسؤوليات التي تقع على
عاتقهم.
املسؤوليات:
التحقق من تفعيل الخطة.
اإلرشاف عىل التطبيق السلس لقسم االستجابة يف الخطة.
تحديد الحاجة لالستعانة باملواقع البديلة وتفعيل استخدامها.
التواصل مع أصحاب الشأن الرئيسيني حسب املحدد يف امللحق .5
توفري بيانات فريق االتصاالت لتوزيعها عىل أصحاب الشأن والجهات املعنية الداخلية والخارجية
إطالع كبار املوظفني عىل التغيريات والتحديثات التي تطرأ عىل الحدث وحالة املؤسسة
5يتعين إدراج قائمة كاملة بأصحاب الشأن الرئيسيين في ملحق إضافي بهذه الخطة.
95
البديل األسايس الدور
االسم: االسم:
بيانات االتصال: بيانات االتصال: الوظيفة
96
الجزء الثالث :نماذج إدارة استمرارية األعمال
االستجابة للحوادث
يحتوي هذا القسم من الخطة على المهام التي يتو َّجب على موظفي المؤسسة القيام بها ،قبل أو أثناء أو بعد
حاالت الطوارئ المختلفة ،إذ يجب إعدادها على نحو خاص ،بحيث تشتمل على المعلومات الخاصة بالمؤسسة
وعملياتها.
تتض َّمن أنشطة االستجابة للحوادث ،إعداد وتجهيز فرق المؤسسة وخططها ،لتقييم تأثير الحادث وإدارته
واالستجابة له والتعافي من األحداث التي تع ّرض صحة موظفيها وسالمتهم للخطر ،والتي تؤ ِّدي إلى تعطل
خطير في أنشطتها أو مهامها الحرجة التي تتَّسم باألهمية القصوى.
تشتمل هذه التوقفات واألعطال على فقدان مقر العمل الرئيس ،وعدم القدرة على أداء المهام غير الضرورية /
األساسية و /أو فقدان البنية التحتية الهامة الالزمة ألداء تلك المهام وتنفيذها.
تشتمل األنشطة في هذه المرحلة على تنفيذ تقييم الحوادث وإدارتها وإجراءات التخطيط للحوادث ،وتعبئة
المجموعات ،ونشر الموارد من أجل االستجابة لألحداث التي تس ِّبب أو التي يُحتمل أن تسبِّب ضررا ً فوريّاً أو
كبيرا ً بموظفي المؤسسة ومرافقها وعملياتها ،والمجتمعات التي تعمل المؤسسة فيها.
يتولَّى كل عضو من فريق إدارة الحوادث مسؤولية تنفيذ المهام واألنشطة التالية:
قبل الحادث
االطالع بشكل شامل على إجراءات إدارة الحوادث ،وتخطيط إجراءات الحوادث ،من أجل التمكُّن من تحقيق
أهداف هذه الخطة.
أثناء الحادث
•اشتراط تأمين سالمة وصحة موظفي المؤسسة الذين يستجيبون للحادث أو الذين يتأثرون به ،ب َمن
فيهم ذوي االحتياجات الخاصة.
•تحديد استراتيجيات اإلجراءات وخططها الستجابة المؤسسة للحادث والتعافي واالستفاقة منه.
•ضمان استمرارية األنشطة والخدمات الحرجة من قبل الموظفين المتواجدين ،أو من قبل الموظفين
الذين ت َّم استدعاؤهم حسب الضرورة.
•قيادة الفرق في تنفيذ المهام المكلفين بها في خطط عمل الحوادث الخاصة بالمؤسسة.
•بدء االتصال مع فريق إدارة الحوادث ،وإنشاء مركز عمليات لقيادة الحادث في المؤسسة.
•تفعيل وتشغيل مناطق العمل البديلة والمواقع البديلة الستئناف العمل بعد الكوارث
•حسب الضرورة.
•توفير وسائل نقل الموظفين والمعدات والبيانات واإلمدادات إلى مناطق العمل البديلة والمواقع
البديلة ،الستئناف العمل بعد الكوارث ،حسب الضرورة ،وضرورة تعريف تلك الوسائل ،سواء مملوكة
للمؤسسة أو متعاقدة.
97
•تنسيق االنتقال واإلقامة (إن اقتضت الضرورة) في مواقع العمل البديلة أو المواقع البديلة الستئناف
العمل بعد الكوارث.
•المساعدة في تحديد وتعقّب المصروفات والخسائر المتعلقة بالحوادث ،وكذلك األنشطة المطلوبة
لالستجابة والمعالجة من الحوادث.
•ترتيب المصروفات وسداد الفواتير وإيجاد آلية للصرف بدون التعقيدات اإلدارية أو الروتينية.
بعد الحادث
استخالص المعلومات بعد الحادث ورفع تقرير عن الحادث ،ويشمل ما يلي:
•تقييم األداء اإلجمالي للفرق أثناء االستجابة للحادث.
•تقييم الفعالية الكلية لخطط إدارة الحوادث واستمرارية األعمال.
•تقييم الفعالية الكلية لفرق إدارة األحداث واستمرارية األعمال في إنجاز أهداف المؤسسة الخاصة
باالستجابة للطوارئ.
•مراجعة نتائج استخالص المعلومات وتقرير ما بعد الحادث وتعليقات الفرق المشاركة في إدارة
الحوادث واالستجابة لها ومعالجتها والتعافي منها.
•إصدار التوصيات بمعالجة أية مشاكل ظهرت في أ ّي من المراحل المذكورة أعاله ،والحلول المقترحة
والدروس المستفادة.
اإلنذار واإلشعار
تحتوي عملية اإلنذار واإلشعار على أربع خطوات:
•االتصال بالفريق الرئيس المعني بإدارة الحوادث.
•تقييم نوع الحدث وتأثيره لتحديد ما إذا كان يتعين تفعيل فريق (مجموعة) دعم إدارة الحوادث أو ال.
ويشتمل هذا على النظر في نوع الحدث ومقياسه ،وتقييم األثر الحالي وال ُمحتمل على ح ٍّد سواء.
إذا لم يتطلَّب الحدث تفعيل فرق الدعم المعنية بإدارة الحوادث ،وتكليف الموظفين بمراقبة الحدث
أو الموقف والتواصل مع الموظفين ،حسب الضرورة.
إذا لم يتطلَّب الحدث تفعيل فرق الدعم المعنية بإدارة الحوادث ،بحسب ما تقتضيه الحاجة لالستجابة
للحدث ومعالجته.
•تفعيل االستجابة للطوارئ والتقييم األ ّولي وإعداد فريق إدارة الحوادث.
•بمجرد إعداد فريق إدارة الحوادث ،يتع َّين عليه القيام بما يلي:
98
الجزء الثالث :نماذج إدارة استمرارية األعمال
فريق إدارة الحوادث االتصال باملرافق لفصل التيار الكهريب والغاز ،إن لزم األمر. 4
فريق إدارة الحوادث وقادة املنطقة إحصاء جميع املوظفني والزوار. 5
فريق إدارة الحوادث /الخدمات تحديد نطاق األرضار التي لحقت باملباين ومناطق العمل 8
العامة /تكنولوجيا املعلومات وأنظمة تكنولوجيا املعلومات واالتصاالت.
واالتصاالت
فرق الدعم وإدارة الحوادث تحديد تأثري الحدث عىل القدرة عىل تنفيذ األنشطة الحرجة 9
وخدمات الدعم.
فرق الدعم وإدارة الحوادث تفعيل مركز قيادة فريق إدارة الحوادث بحسب الحاجة. 10
فريق إدارة الحوادث تفعيل مواقع العمل البديلة ،بحسب الحاجة. 11
فريق إدارة الحوادث /االتصاالت تحديد الجهات املعنية .تحديد إسرتاتيجية االتصاالت وإرسال 12
الرسائل واملعلومات التي تقتضيها الجهات املعنية الداخلية
والخارجية.
99
تشتمل عملية االستجابة للطوارئ وتقييم األثر ،على االستعانة بالفريق الرئيس إلدارة الحوادث ،لتحديد تأثير
الحادث على:
•صحة الموظفين وسالمتهم.
•المباني والمرافق وأماكن العمل.
•البنية التحتية الالزمة لدعم األنشطة الحرجة (مثل تكنولوجيا المعلومات واالتصاالت والكهرباء والمياه والغاز).
•القدرة على إجراء األعمال العادية واألنشطة الحرجة.
•القدرة على التواصل مع الجهات المعنية الداخلية والخارجية.
االستمرارية
المهام الضرورية /األساسية /قوائم مهام استمرارية األعمال.
يح ِّدد هذا القسم من الخطة ،األنشطة الحرجة الخاصة بالمؤسسة واإلجراءات ال ُمتخذة للحفاظ على االستمرارية.
يتعيَّن على كل إدارة وضع قائمة مهام ،الستمرارية األعمال ألنشطتها الحرجة.
كما يتع َّين أيضاً االستعانة بتحليل التأثير على األعمال ،لتحديد األنشطة الحرجة.
وتُمكن االستعانة بالجدول اآلتي ،لوضع قوائم فحص لمهام استمرارية األعمال.
كما ينبغي إنشاء الجدول في هذا القسم ،بنا ًء على فكرة الحفاظ على استمرارية األعمال في سيناريو «أسوأ»
االفتراضات .ويُمكن بعد ذلك تعديله ليتناسب مع األعطال األقل ح َّدة لعمليات المؤسسة.
100
الجزء الثالث :نماذج إدارة استمرارية األعمال
التعافي
التعافي هو العودة إلى ممارسة األعمال بشكل طبيعي.
ينبغي إكمال الجدول الوارد في هذه الخطة بنا ًء على فكرة دعم التعافي في سيناريو «أسوأ» االفتراضات.
ويمكن بعد ذلك تعديله ليتناسب مع درجة التعطل الذي يلحق بعمليات المؤسسة.
تشتمل عملية االسترداد على ما يلي:
101
تحديد الموارد المطلوبة الستعادة تلك األنشطة.
ذكر األشخاص الذين لديهم مسؤولية عن كل مهمة ،والتاريخ ال ُمتوقَّع لإلتمام.
تُمكن االستعانة بالجدول اآلتي ،لوضع قوائم مهام إجراءات االسترداد.
102
الجزء الثالث :نماذج إدارة استمرارية األعمال
كما أنه يُعطي الموظفين أيضاً الذين ينفّذون الخطة ،فرصة لكي يصبحوا مل ّمين بها ،وبأدوارهم ومسؤولياتهم
في تنفيذها .ويُعتبر هذا اإللمام ها ّماً للتنفيذ الناجح للخطة .ومن أجل تحقيق هذه الغاية ،يتع َّين أن تشتمل
الخطة على برنامج تدريبي لجميع الموظفين المشاركين في حالة الطوارئ في الموقع ،ويشمل ذلك ذوي
االحتياجات الخاصة .كما يتع َّين أن يذكر الجدول أعضاء الفريق باللقب والدور في الفريق (وليس مجرد االسم).
التحديث
من المهم أيضاً مراجعة الخطة وتحديثها بصورة دورية ،لضمان التحقق من مواكبة الخطة للتغيرات التي
تحدث داخل الهيكل التنظيمي للمؤسسة ،وعملياتها وموظفيها ومو ِّرديها ومتعاقديها ومقاوليها.
إضافة إلى ذلك ،وبعد التدريب أو التفعيل ،تحتاج الخطة إلى المراجعة والتحديث من قبل الفرق ،لكي تشتمل
على المعلومات التي استنتجتها عن مدى فائدة الخطة وفعاليتها في تحقيق أهداف المؤسسة.
ويمكن تدوين تفاصيل مراجعة الخطة وتحديثها في جدول مثل الجدول الموضح أدناه.
103
الملحق أ -جهات االتصال األساسية
104
الجزء الثالث :نماذج إدارة استمرارية األعمال
اإلسعاف
املستشفى
الخدمات الطبية
الحرائق
الرشطة
الكهرباء
خدمات الطوارئ
الغاز
رشكة التأمني
الرشطة
األمن
الرصف الصحي
املوردون
رشكة االتصاالت
التخلص من القاممة
املياه
105
مالحظة:
•التحقّق من تخزين صندوق الطوارئ بأمان ،داخل الموقع وخارجه (في مكان آخر).
•التحقّق من إجراء الفحص الدوري على األشياء الموجودة في الحزمة ،باإلضافة إلى تحديثها والمحافظة
عليها في حالة عمل جيدة.
•تذكر أن البطاقات النقدية /االئتمانية قد تكون مطلوبة لمصروفات الطوارئ.
•العناصر التي يتع َّين وضعها في صندوق الطوارئ مدرجة أدناه .يتع َّين تعديل القائمة بما يتناسب مع
المؤسسة واحتياجاتها.
الوثائق
•وضع خطة للموقع ،شاملة مواضع إغالق الغاز وقطع التيار الكهربائي والمياه (يفضل أن تكون محمية).
•خطة استمرارية األعمال.
•بيانات االتصال الخاصة بخدمات الطوارئ والسلطات المحلية.
•بيانات االتصال الخاصة بالموظفين – بما في ذلك أرقام الهواتف المنزلية والهواتف المتح ّركة وعناوين
البريد اإللكتروني .يُستحسن أيضاً إدراج بيانات االتصال الخاصة باألقارب لجميع الموظفين.
•بيانات االتصال الخاصة بالعمالء والمو ِّردين األساسيين.
•بيانات االتصال الخاصة بشركات المرافق.
•بيانات االتصال والتفاصيل الخاصة بالتغطية التأمينية.
•المخطَّطات والرسومات الهندسية.
•خطة اإلخالء.
•البيانات المالية والمصرفية.
•المناهج واألسرار التجارية.
•الجرد األخير لإلمدادات والمخزون والمعدات ( يحدث باستمرار ).
•قوائم المنتجات والمواصفات.
•األوراق المر ّوسة وأختام الشركة ووثائقها ومستنداتها.
المعدات
•األدوات االحتياطية للكمبيوتر واألقراص وذاكرة USBوالفالشات
•الكاميرات التقليدية أحادية االستعمال (لتسجيل الدليل في مطالبة تأمينية).
•أقنعة ضد التراب واألدخنة السامة.
•أدوات مكتبية عامة (أقالم وورق وغير ذلك).
•شريط لوضعه حول األماكن الخطرة والمناطق المحاطة.
106
الجزء الثالث :نماذج إدارة استمرارية األعمال
•أبواق مكبرة للصوت (تبقى البطاريات مغلقة بإحكام حتى يتم استخدامها)
•أقالم تحديد (لإلشارات المؤقتة).
مخصصة للرسائل واأللواح الورقية القالبة.•أوراق َّ
•هاتف محمول مع توافر رصيد مالي به باإلضافة إلى شاحن كهرباء.
•راديو (تبقى البطاريات مغلقة بإحكام حتى يتم استخدامها) – يُفضل راديو يعمل بحركة اإلنسان
«.»Windup Radio
•مجموعة أدوات صغيرة (في ح ٍّد أدنى مجموعة المطرقات ومفاتيح الربط والمفكات ومجموعة مفاتيح البراغي)
•مفاتيح احتياطية /أكواد أمنية.
•كشاف – يُفضل النوع الذي يعمل بحركة اإلنسان.
•مس ِّجل صوت.
مالحظة :يتم تدوير المواد القابلة للتلف مثل البطاريات واألفالم وغيرها.
اإلمدادات
•بطاريات لمحتويات صندوق الطوارئ (مجموعات).
•قبعات صلبة (الخوذات) .
•لفافات من شريط المخاطر.
•قفازات سميكة (أزواج).
107
•تقرير حالة نهاية اليوم لتقديمه لإلدارة العليا.
•اإلصالح /الترميم في الموقع الرئيس.
•استمرارية األنشطة /األعمال الحرجة في موقع العمل البديل.
•تقرير الحادث.
•تاريخ /وقت الحدث.
•موضع التأثير على األعمال.
•وصف الحدث.
•قائمة المباني والمرافق ومناطق العمل المتأثرة بالحدث.
•وصف تأثير الحدث على األعمال واألنشطة الحرجة.
•الوضع الراهن.
سجل الحدث.
• ّ
(سجل الحدث).
ّ •نموذج
تُمكن االستعانة بهذا النموذج لتسجيل المعلومات والقرارات واإلجراءات ال ُمتخذة في الفترة التي تتبع الحادث
مباشرة ،وفي األيام التي تليه ،حتى تتوقف فرق إدارة الحوادث واستمرارية األعمال عن العمل.
108
الجزء الثالث :نماذج إدارة استمرارية األعمال
عنوان الوثيقة
109
الملحق هـ -مسرد المصطلحات
التعريف املصطلح
وهي عبارة عن مجموعة من اإلجراءات واملعلومات خطة استمرارية األعامل
املد ّونة التي يتم تطويرها وتجميعها وحفظها لتمكني
املؤسسة من مواصلة أنشطتها الهامة والحرجة عىل
مستوى مقبول محدد مسبقاً يف حالة توقف األعامل أو
تعطلها.
تحليل التأثري عىل األعامل عملية تحليل مهام األعامل ومعرفة التأثري الذي قد
يسببه تعطل األعامل عليها من حيث التأثري عىل
القيمة واألولويات .فهذا التحليل يوضح البنية التحتية
الالزمة لدعم أنشطة األعامل الحرجة والهامة الخاصة
باملؤسسة.
أنشطة األعامل الرضورية /األنشطة الالزمة لتوفري املنتجات األساسية وتأدية املهام
والخدمات الالزمة إلنجاز واجباتها القانونية وااللتزامات األساسية
التنظيمية والتعاقدية؛ والوفاء بتوقعات الجهات املعنية
الرئيسية وحامية سمعتها
الوقت املستهدف إلعادة املنتج أو الخدمة أو النشاط زمن االستعادة األمثل
بعد وقوع حادث ما
األصول واملوظفون واملهارات واملعلومات والتكنولوجيا املوارد
(شاملة األجهزة واملعدات) واملباين واملوردون
واملعلومات (سواء كانت إلكرتونية أم ال) والتي يتعني
عىل املؤسسة أن تكون متوافرة لدى الهيئة الستخدامها،
عند الحاجة ،من أجل التشغيل وتلبية أهدافها.
التطوير الهيكيل وتطبيق ثقافة اإلدارة والسياسة إدارة املخاطر
واإلجراءات واملامرسات الخاصة مبهام تحديد املخاطر
وتحليلها وتقييمها ورقابتها واالستجابة لها.
110